- Primeros pasos
- Administración de host
- Organizaciones
- Tenants y servicios
- Autenticación y seguridad
- Licencia
- Cuentas y roles
- Aplicaciones externas
- Notificaciones
- Registro
- Solución de problemas
Guía de administración de Automation Suite
Configurar la integración de Active Directory
Puedes habilitar SSO utilizando la autenticación de Windows y habilitar la funcionalidad de búsqueda en el directorio con la integración de Active Directory. La búsqueda en el directorio te permite buscar cuentas y grupos del directorio y utilizarlos como lo harías con las cuentas locales.
- La búsqueda en el directorio no encuentra usuarios de un dominio de confianza externo. Esta función no es compatible porque no hay una autoridad de confianza mutua con los dominios de confianza externos.
- La autenticación de Windows utiliza el protocolo Kerberos en Automation Suite, por lo que el inicio de sesión de Windows solo puede utilizarse con máquinas unidas a un dominio.
Colabore con sus administradores de TI para garantizar que el clúster de Automation Suite pueda acceder a su Active Directory (AD).
La integración de Active Directory puede configurarse mediante una de las dos opciones:
- Autenticación Kerberos
- Nombre de usuario y contraseña
Se recomienda la autenticación Kerberos porque es compatible con más escenarios:
Escenario |
Nombre de usuario y contraseña |
Autenticación Kerberos |
---|---|---|
Búsqueda en el directorio de los dominios del mismo bosque |
Compatible |
Compatible |
Búsqueda en el directorio de dominios en un bosque de confianza |
No compatible |
Compatible |
Búsqueda en el directorio de dominios de confianza externos |
No compatible |
No compatible |
B.1. Requisito previo para utilizar LDAPS
Si desea utilizar LDAP sobre SSL (LDAPS), primero debe configurar LDAP sobre SSL en su entorno de AD y obtener el certificado raíz que se utilizará en la configuración del clúster de UiPath.
Problema conocido: el certificado LDAPS configurado no se mantiene al actualizar. De resultas de ello, después de una actualización es necesario añadir de nuevo el certificado LDAPS para que las conexiones seguras LDAP funcionen.
B.2. Configuración de Active Directory
Solución de problemas
Dominio inalcanzable
Domain unreachable
, compruebe el enrutamiento DNS mediante el comando getent ahosts <AD domain>
.
/etc/resolv.conf
. El valor del servidor de nombres debe apuntar al DNS del dominio AD. Si no es así, póngase en contacto con el administrador del sistema para que lo configure correctamente.
Si el nodo se ejecuta en Azure, sigue las instrucciones de Resolución de nombres para recursos en redes virtuales de Azure.
Una de las formas de lograr esto es la siguiente:
- En Azure, diríjase a la red virtual del nodo y configure los servidores DNS de la red virtual con los DNS de Active Directory.
- Ejecute
systemctl restart NetworkManager.service
y compruebe que/etc/resolv.conf
se haya actualizado. - Reinicie el núcleo del clúster DNS desde ArgoCD.
Dominio inaccesible durante el uso de LDAPS
Domain unreachable
cuando LDAPS está habilitado, puede deberse a que se está utilizando un certificado incorrecto.
Comprueba si tienes varios certificados válidos para la autenticación del servidor en el almacén de certificados del equipo local del servidor LDAP. Si es así, se puede utilizar un certificado diferente al que desea para las comunicaciones LDAPS.
La solución más sencilla es eliminar todos los certificados innecesarios del almacén de certificados del equipo local y tener solo un certificado válido para la autenticación del servidor.
<KERB_DEFAULT_KEYTAB>
, que es la cadena codificada en base64 del archivo keytab generado como parte de la configuración de Kerberos.
Normalmente, Google Chrome funciona sin necesidad de configuración adicional.
Si no lo hace, siga las siguientes instrucciones.
- Abra la ventana de configuración del navegador.
- Escriba about:config en la barra de direcciones.
- Especifica los FQDN de Automation Suite para los que utiliza la autenticación Kerberos:
- Busca el término
network.negotiate
. - Habilite y configure los siguientes parámetros para Kerberos:
network.negotiate-auth.delegation-uris
(valor de ejemplo:uipath-34i5ui35f.westeurope.cloudapp.azure.com
),network.negotiate-auth.trusted-uris
(valor de ejemplo:uipath-34i5ui35f.westeurope.cloudapp.azure.com
) ynetwork.negotiate-auth.allow-non-fqdn
(valor:true
).
- Busca el término
Ahora que la plataforma UiPath está integrada con la autenticación de Windows, los usuarios para los que se crea una cuenta de usuario en UiPath pueden utilizar la opción de Windows en la página de inicio de sesión para iniciar sesión en la plataforma UiPath.
Cada administrador de la organización debe seguir estos pasos si quiere permitir el inicio de sesión con credenciales de Windows.
- Inicia sesión como administrador de la organización.
- Asigna un rol a nivel de organización a un usuario o grupo de Active Directory, que puedes seleccionar en la búsqueda.
- Repita el paso anterior para cada usuario al que desee permitir el inicio de sesión con la Autenticación de Windows.
Los usuarios a los que hayas asignado roles pueden iniciar sesión en la organización de UiPath con su cuenta de Active Directory. Deben iniciar sesión desde una máquina unida a un dominio.
Si recibe un error HTTP 500 al intentar iniciar sesión con las credenciales de Windows, aquí tiene algunos elementos que debe comprobar:
-
¿Está la máquina Windows unida por dominio?
En la máquina, diríjase al Panel de control > Sistema y seguridad > Sistema y compruebe si se muestra un dominio. Si no se muestra ningún dominio, añada la máquina al dominio. Las máquinas deben estar unidas a un dominio para utilizar la autenticación de Windows con el protocolo Kerberos.
-
¿Puedes iniciar sesión en la máquina Windows con las mismas credenciales?
Si no es así, pida ayuda al administrador del sistema.
-
¿Utilizas un explorador distinto de Microsoft Edge?
Se requiere una configuración adicional para los navegadores compatibles que no sean Microsoft Edge.
- Comprueba la configuración de keytab:
- Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (
servicePrincpalName
) debe ser de la formaHTTP/<Service Fabric FQDN>
; por ejemplo,HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
. -
La opción Esta cuenta admite cifrado AES de Kerberos de 256 bits debe seleccionarse para la cuenta de usuario en AD.
Si esto está mal configurado, en el registro de identity-service-api se puede observar:
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (
-
Si tiene varios directorios activos configurados en el dominio que está utilizando, la autenticación falla, y en el registro de identity-service-api puede observar:
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsEn este caso, asegúrese de que la cuenta de máquina creada para la autenticación se replica en todos los directorios activos.
-
Si ejecuta
ktpass
y asigna una nueva contraseña a la cuenta de usuario, la versión de la clave (kvno
) aumenta e invalida el antiguo keytab. En el registro de identity-service-api, puede observar:En este caso, es necesario actualizarRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
en ArgoCD. -
Si ves el siguiente error en el pod
identity-service-api
:GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
Primero comprueba si has proporcionado el parámetro
global.userInputs.identity.krb5KeytabSecret
en ArgoCD. Si el parámetro existe, comprueba si puedes iniciar sesión en el equipo Windows con las credenciales del usuario de AD utilizado para generar el llavero. Ten en cuenta que debes volver a generar el keytab si la contraseña ha cambiado o ha caducado. -
Otra posible causa de este problema es que ArgoCD se haya sincronizado previamente de forma incorrecta. Para solucionar el problema, elimina el
global.userInputs.identity.krb5KeytabSecret
existente, sincroniza ArgoCD y, una vez que la operación se haya realizado correctamente, actualizaglobal.userInputs.identity.krb5KeytabSecret
y vuelve a sincronizarlo.
-
-
¿El navegador utiliza el SPN esperado?
Si el registro de eventos de Kerberos está habilitado siguiendo estas instrucciones , aparecerá el errorKDC_ERR_S_PRINCIPAL_UNKNOWN
en los registros de eventos de Kerberos. Para obtener más información sobre este problema, consulta la Documentación de Microsoft .Para resolver este problema, desactiva la búsqueda de CNAME al negociar la autenticación de Kerberos modificando la política de grupo. Para obtener más información, consulta las instrucciones para Chrome y para Microsoft Edge .
- Limitaciones conocidas
- Paso 1. Configurar la integración de Active Directory
- a. Configuración de Kerberos (recomendada)
- B. Configuración del nombre de usuario y la contraseña
- Paso 2. Configurar la autenticación de Windows
- Requisito previo
- Configurar el clúster de Automation Suite
- Paso 3. Configuración del navegador
- Microsoft Internet Explorer
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Paso 4. Permitir la autenticación de Windows para la organización
- Solución de problemas