automation-suite
2022.10
false
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática. La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.
UiPath logo, featuring letters U and I in white

Guía de administración de Automation Suite

Última actualización 10 de feb. de 2025

Configurar la integración de Active Directory

Puedes habilitar SSO utilizando la autenticación de Windows y habilitar la funcionalidad de búsqueda en el directorio con la integración de Active Directory. La búsqueda en el directorio te permite buscar cuentas y grupos del directorio y utilizarlos como lo harías con las cuentas locales.

Limitaciones conocidas

  • La búsqueda en el directorio no encuentra usuarios de un dominio de confianza externo. Esta función no es compatible porque no hay una autoridad de confianza mutua con los dominios de confianza externos.
  • La autenticación de Windows utiliza el protocolo Kerberos en Automation Suite, por lo que el inicio de sesión de Windows solo puede utilizarse con máquinas unidas a un dominio.

Paso 1. Configurar la integración de Active Directory

Colabore con sus administradores de TI para garantizar que el clúster de Automation Suite pueda acceder a su Active Directory (AD).

La integración de Active Directory puede configurarse mediante una de las dos opciones:

  1. Autenticación Kerberos
  2. Nombre de usuario y contraseña

Se recomienda la autenticación Kerberos porque es compatible con más escenarios:

Escenario

Nombre de usuario y contraseña

Autenticación Kerberos

Búsqueda en el directorio de los dominios del mismo bosque

Compatible

Compatible

Búsqueda en el directorio de dominios en un bosque de confianza

No compatible

Compatible

Búsqueda en el directorio de dominios de confianza externos

No compatible

No compatible

a. Configuración de Kerberos (recomendada)

  1. Configura la autenticación Kerberos siguiendo las instrucciones de Configuración de la autenticación Kerberos .
  2. Inicie sesión en el portal del host como administrador del sistema.
  3. Asegúrate de que Host esté seleccionado en la parte superior del panel izquierdo y luego selecciona Seguridad.
  4. En Active Directory, selecciona Configurar.
    • Opcionalmente, marca la casilla de verificación Forzar inicio de sesión automático utilizando este proveedor si deseas permitir que solo se inicie sesión con cuentas de Active Directory. Haz esto solo si la integración con el proveedor se ha validado correctamente para evitar el bloqueo.
    • Deja seleccionada la casilla Usar Kerberos Auth.
    • En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
  5. Selecciona Guardar para guardar los cambios y volver a la página anterior.
  6. Selecciona el botón de alternancia a la izquierda de Active Directory para habilitar la integración.
  7. Reinicia el pod identity-service-api-*.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

B. Configuración del nombre de usuario y la contraseña

Importante: al utilizar esta opción, el servicio UiPath® utiliza las credenciales proporcionadas en texto no cifrado para comunicarse con Active Directory. Para evitar esto, recomendamos utilizar LDAP a través de SSL (LDAPS) con esta configuración.
Importante: solo los usuarios del mismo bosque que el configurado en esta página pueden interactuar con el clúster de UiPath. Los usuarios de bosque de confianza no podrán iniciar sesión en este clúster de UiPath.

B.1. Requisito previo para utilizar LDAPS

Si desea utilizar LDAP sobre SSL (LDAPS), primero debe configurar LDAP sobre SSL en su entorno de AD y obtener el certificado raíz que se utilizará en la configuración del clúster de UiPath.

Nota:

Problema conocido: el certificado LDAPS configurado no se mantiene al actualizar. De resultas de ello, después de una actualización es necesario añadir de nuevo el certificado LDAPS para que las conexiones seguras LDAP funcionen.

  1. Obtén e instala el certificado SSL para LDAPS en cada controlador de dominio.

    Para obtener más información e instrucciones, consulta el artículo Certificado LDAP sobre SSL (LDAPS).

  2. Cifre el certificado raíz en Base64 ejecutando el siguiente comando:
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  3. Añade el certificado raíz codificado en ArgoCD:
    1. Inicie sesión en ArgoCD.
    2. Selecciona y ve a la aplicación UiPath.
    3. En la esquina superior izquierda, selecciona DETALLES DE LA APLICACIÓN.
    4. En la sección Parámetros, busca el parámetro global.userInputs.certificate.identity.ldaps.customRootCA.
    5. Actualice el valor del parámetro al contenido codificado que obtuvo anteriormente.
    6. Guarda.
    7. Selecciona SINCRONIZAR para aplicar tus cambios.

B.2. Configuración de Active Directory

  1. Inicie sesión en el portal del host como administrador del sistema.
  2. Asegúrate de que Host esté seleccionado en la parte superior del panel izquierdo y luego selecciona Seguridad.
  3. En Active Directory, selecciona Configurar.
    • Si solo quieres permitir iniciar sesión con cuentas de Active Directory, marca la casilla Forzar el inicio de sesión automático utilizando este proveedor.
    • Desmarque la casilla de verificación Usar autenticación de Kerberos .
    • (Opcional, pero muy recomendable) Selecciona la casilla de verificación Usar LDAP sobre SSL (LDAPS) .
    • En el campo Nombre para mostrar, escribe el nombre que quieres mostrar en la página de inicio de sesión para esta opción de inicio.
    • En el campo Dominio predeterminado, escriba su nombre de dominio completo (FQDN) para Active Directory (AD).
    • En el campo Nombre de usuario, escribe el nombre de usuario de un usuario de AD. Debe tener el formato DOMAIN\username . Por ejemplo, TESTDOMAIN\user1.
    • En el campo Contraseña de usuario , escribe la contraseña de la cuenta AD.
  4. Selecciona Probar y guardar para guardar los cambios y volver a la página anterior.
  5. Selecciona el botón de alternancia a la izquierda de Active Directory para habilitar la integración.
  6. Reinicia el pod identity-service-api-*.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

Paso 2. Configurar la autenticación de Windows

Requisito previo

Obtén <KERB_DEFAULT_KEYTAB>, que es la cadena codificada en base64 del archivo keytab generado como parte de la configuración de Kerberos.

Configurar el clúster de Automation Suite

Notas importantes:

Omite este paso si ya has configurado Automation Suite como cliente Kerberos siguiendo el procedimiento descrito en la guía Configuración de Automation Suite como cliente Kerberos .

Si has configurado la integración de Active Directory mediante el método de nombre de usuario y contraseña, lo cual no se recomienda, realiza los pasos siguientes:

  1. Diríjase a ArgoCD e inicie sesión como administrador.
  2. Seleccione y vaya a la aplicación «uipath».
  3. Selecciona DETALLES DE LA APLICACIÓN en la esquina superior izquierda.
  4. En la sección PARÁMETROS, busque el parámetro global.kerberosAuthConfig.userKeytab.

    El parámetro tiene un valor de marcador de posición predeterminado.

  5. Actualiza el valor del marcador de posición del parámetro con <KERB_DEFAULT_KEYTAB>, y luego guarda.
  6. Selecciona SINCRONIZAR para aplicar el cambio.
  7. Después de una sincronización correcta, reinicia Identity Server ejecutando el siguiente comando:

    kubectl -n uipath rollout restart deployment identity-service-api

Paso 3. Configuración del navegador

Microsoft Internet Explorer

No es compatible.

Microsoft Edge

No se requiere ninguna configuración adicional.

Google Chrome

Normalmente, Google Chrome funciona sin necesidad de configuración adicional.

Si no funciona, sigue los siguientes pasos:

  1. Diríjase a Herramientas > Opciones de Internet > Seguridad.
  2. Seleccione Intranet local.
  3. Selecciona Sitios.
  4. Asegúrese de que esté seleccionada la opción Detectar automáticamente la red intranet o que estén seleccionadas todas las opciones.
  5. Selecciona en Avanzado.
  6. Añada el FQDN de Automation Suite a la Intranet local.
  7. Selecciona Cerrar y Aceptar.
  8. Selecciona en Nivel personalizado.
  9. Opcionalmente, seleccione Inicio de sesión automático solo en la zona Intranet en Autenticación de usuario

    Si se selecciona, cuando el navegador recibe la solicitud de autenticación de redirección, compruebe el origen del requerimiento. Si el dominio o la IP pertenecen a la Intranet, el navegador envía el nombre de usuario y la contraseña automáticamente. Si no es así, el navegador abre un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y espere que se introduzcan manualmente.

  10. Opcionalmente, seleccione Inicio de sesión automático con el nombre de usuario y la contraseña actuales en Autenticación de usuario.

    Si se selecciona, cuando el navegador reciba la solicitud de autenticación de redirección, envíe el nombre de usuario y la contraseña de forma silenciosa. Si el resultado de la autenticación es exitoso, el navegador continúa con la acción original. Si la autenticación falla, el navegador abra un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y vuelva a intentarlo hasta que tenga éxito.

  11. Asegúrese de que la opción Habilitar la autenticación integrada de Windows está seleccionada en la pestaña Opciones de Internet > Avanzadas y en la sección Seguridad.

Mozilla Firefox

  1. Abra la ventana de configuración del navegador.
  2. Escriba about:config en la barra de direcciones.
  3. Especifica los FQDN de Automation Suite para los que utiliza la autenticación Kerberos:
    1. Busca el término network.negotiate.
    2. Habilite y configure los siguientes parámetros para Kerberos: network.negotiate-auth.delegation-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) y network.negotiate-auth.allow-non-fqdn (valor: true).

Paso 4. Permitir la autenticación de Windows para la organización

Ahora que la plataforma UiPath está integrada con la autenticación de Windows, los usuarios para los que se crea una cuenta de usuario en UiPath pueden utilizar la opción de Windows en la página de inicio de sesión para iniciar sesión en la plataforma UiPath.



Cada administrador de la organización debe seguir estos pasos si quiere permitir el inicio de sesión con credenciales de Windows.

  1. Inicia sesión como administrador de la organización.
  2. Asigna un rol a nivel de organización a un usuario o grupo de Active Directory, que puedes seleccionar en la búsqueda.
  3. Repite el paso anterior para cada usuario al que quieras permitir que inicie sesión con la autenticación de Windows.

Los usuarios a los que hayas asignado roles pueden iniciar sesión en la organización de UiPath con su cuenta de Active Directory. Deben iniciar sesión desde una máquina unida a un dominio.

Solución de problemas

Si recibe un error HTTP 500 al intentar iniciar sesión con las credenciales de Windows, aquí tiene algunos elementos que debe comprobar:

  1. ¿Está la máquina Windows unida por dominio?

    En la máquina, diríjase al Panel de control > Sistema y seguridad > Sistema y compruebe si se muestra un dominio. Si no se muestra ningún dominio, añada la máquina al dominio. Las máquinas deben estar unidas a un dominio para utilizar la autenticación de Windows con el protocolo Kerberos.

  2. ¿Puedes iniciar sesión en la máquina Windows con las mismas credenciales?

    Si no es así, pida ayuda al administrador del sistema.

  3. ¿Utilizas un explorador distinto de Microsoft Edge?

    Se requiere unaconfiguración adicional para los navegadores compatibles distintos de Microsoft Edge.

  4. Comprueba la configuración de keytab:
    1. Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (servicePrincpalName) debe ser de la forma HTTP/<Service Fabric FQDN>; por ejemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.
    2. La opción Esta cuenta admite cifrado AES de Kerberos de 256 bits debe seleccionarse para la cuenta de usuario en AD.

      Si esto no está configurado correctamente, en el registro de identity-service-api, se muestra lo siguiente:

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
  5. Si tienes varios Active Directory configurados en el dominio que estás utilizando, la autenticación falla y en el registro de identity-service-api, se muestra lo siguiente:

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    En este caso, asegúrese de que la cuenta de máquina creada para la autenticación se replica en todos los directorios activos.

  6. Si ejecutas ktpass y asignas una nueva contraseña a la cuenta de usuario, la versión de la clave (kvno) aumenta e invalida la antigua keytab. En el registro de identity-service-api, se muestra lo siguiente:
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    En este caso, es necesario actualizar krb5KeytabSecret en ArgoCD.
  7. Si encuentras el siguiente error en el pod identity-service-api :
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Primero comprueba si has proporcionado el parámetro global.userInputs.identity.krb5KeytabSecret en ArgoCD. Si el parámetro existe, comprueba si puedes iniciar sesión en el equipo Windows con las credenciales del usuario de AD utilizado para generar el llavero. Ten en cuenta que debes volver a generar el keytab si la contraseña ha cambiado o ha caducado.
    2. Otra posible causa de este problema es que ArgoCD se haya sincronizado previamente de forma incorrecta. Para solucionar el problema, elimina el global.userInputs.identity.krb5KeytabSecret existente, sincroniza ArgoCD y, una vez que la operación se haya realizado correctamente, actualiza global.userInputs.identity.krb5KeytabSecret y vuelve a sincronizarlo.
  8. ¿El navegador utiliza el SPN esperado?

    Si el registro de eventos de Kerberos está habilitado siguiendo estas instrucciones , se mostrará el error KDC_ERR_S_PRINCIPAL_UNKNOWN en los registros de eventos de Kerberos. Para obtener más información sobre este problema, consulta la documentación de Microsoft .

    Para resolver este problema, deshabilita la búsqueda de CNAME al negociar la autenticación Kerberos modificando la política de grupo. Para obtener más información, consulta las instrucciones para Google Chrome y para Microsoft Edge .

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2025 UiPath. Todos los derechos reservados.