automation-suite
2023.10
false
UiPath logo, featuring letters U and I in white
Guía de administración de Automation Suite
Last updated 14 de ago. de 2024

Configurar la integración de Active Directory

ADVERTENCIA:

La integración de Active Directory no es compatible con Automation Suite en AKS/EKS.

Puedes habilitar SSO utilizando la autenticación de Windows y habilitar la funcionalidad de búsqueda en el directorio con la integración de Active Directory. La búsqueda en el directorio te permite buscar cuentas y grupos del directorio y utilizarlos como lo harías con las cuentas locales.

Limitaciones conocidas

  • La búsqueda en el directorio no encuentra usuarios de un dominio de confianza externo. Esta función no es compatible porque no hay una autoridad de confianza mutua con los dominios de confianza externos.
  • La autenticación de Windows utiliza el protocolo Kerberos en Automation Suite, por lo que el inicio de sesión de Windows solo puede utilizarse con máquinas unidas a un dominio.

Paso 1. Configurar la integración de Active Directory

Colabore con sus administradores de TI para garantizar que el clúster de Automation Suite pueda acceder a su Active Directory (AD).

La integración de Active Directory puede configurarse mediante una de las dos opciones:

  1. Autenticación Kerberos
  2. Nombre de usuario y contraseña

Se recomienda la autenticación Kerberos porque es compatible con más escenarios:

Escenario

Nombre de usuario y contraseña

Autenticación Kerberos

Búsqueda en el directorio de los dominios del mismo bosque

Compatible

Compatible

Búsqueda en el directorio de dominios en un bosque de confianza

No compatible

Compatible

Búsqueda en el directorio de dominios de confianza externos

No compatible

No compatible

En un entorno de Active Directory, LDAPS es una conexión segura de uso frecuente para los servicios de directorio. Es importante tener en cuenta que los escenarios de compatibilidad con LDAPS difieren en función del mecanismo de autenticación utilizado.

Mecanismo de autenticación

Compatibilidad con LDAPS

Nombre de usuario y contraseña

Compatible

Autenticación Kerberos

No compatible

a. Configuración de Kerberos (recomendada)

  1. Configura la autenticación Kerberos siguiendo las instrucciones de Configurar la autenticación Kerberos.
  2. Inicia sesión en el portal del host de Automation Suite como administrador del sistema.
  3. Asegúrese de que Host esté seleccionado en la parte superior del panel izquierdo y luego haga clic en Seguridad.
  4. En Active Directory, haz clic en Configurar.
    • Opcionalmente, marca la casilla de verificación Forzar inicio de sesión automático utilizando este proveedor si deseas permitir que solo se inicie sesión con cuentas de Active Directory. Haz esto solo si la integración con el proveedor se ha validado correctamente para evitar el bloqueo.
    • Deja seleccionada la casilla Usar Kerberos Auth.
    • En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
  5. Haz clic en Guardar para guardar tus cambios y volver a la página anterior.
  6. Haga clic en el interruptor a la izquierda de Active Directory para habilitar la integración.
  7. Reinicia el pod identity-service-api-*.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

B. Configuración del nombre de usuario y la contraseña

Importante: al utilizar esta opción, el servicio UiPath® utiliza las credenciales proporcionadas en texto no cifrado para comunicarse con Active Directory. Para evitar esto, recomendamos utilizar LDAP a través de SSL (LDAPS) con esta configuración.
Importante: solo los usuarios del mismo bosque que el configurado en esta página pueden interactuar con el clúster de UiPath. Los usuarios de bosque de confianza no podrán iniciar sesión en este clúster de UiPath.

B.1. Requisito previo para utilizar LDAPS

Si desea utilizar LDAP sobre SSL (LDAPS), primero debe configurar LDAP sobre SSL en su entorno de AD y obtener el certificado raíz que se utilizará en la configuración del clúster de UiPath.

Nota:

Problema conocido: el certificado LDAPS configurado no se mantiene al actualizar. De resultas de ello, después de una actualización es necesario añadir de nuevo el certificado LDAPS para que las conexiones seguras LDAP funcionen.

  1. Obtén e instala el certificado SSL para LDAPS en cada controlador de dominio.

    Para obtener más información e instrucciones, consulta el artículo Certificado LDAP por SSL (LDAPS).

  2. Cifre el certificado raíz en Base64 ejecutando el siguiente comando:
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  3. Añade el certificado raíz codificado en ArgoCD:
    1. Inicie sesión en ArgoCD.
    2. Selecciona y ve a la aplicación UiPath.
    3. En la esquina superior izquierda, haz clic en DETALLES DE LA APLICACIÓN.
    4. En la sección Parámetros, busca el parámetro global.userInputs.certificate.identity.ldaps.customRootCA.
    5. Actualice el valor del parámetro al contenido codificado que obtuvo anteriormente.
    6. Guarda.
    7. Haz clic en SYNC para aplicar tus cambios.

B.2. Configuración de Active Directory

  1. Inicia sesión en el portal del host de Automation Suite como administrador del sistema.
  2. Asegúrese de que Host esté seleccionado en la parte superior del panel izquierdo y luego haga clic en Seguridad.
  3. En Active Directory, haz clic en Configurar.
    • Si solo quieres permitir iniciar sesión con cuentas de Active Directory, marca la casilla Forzar el inicio de sesión automático utilizando este proveedor.
    • Desmarque la casilla de verificación Usar autenticación de Kerberos .
    • (Opcional, pero muy recomendable) Selecciona la casilla de verificación Usar LDAP sobre SSL (LDAPS) .
    • En el campo Nombre para mostrar, escribe el nombre que quieres mostrar en la página de inicio de sesión para esta opción de inicio.
    • En el campo Dominio predeterminado, escriba su nombre de dominio completo (FQDN) para Active Directory (AD).
    • En el campo Nombre de usuario, escribe el nombre de usuario de un usuario de AD. Debe tener el formato DOMAIN\username . Por ejemplo, TESTDOMAIN\user1.
    • En el campo Contraseña de usuario, escriba la contraseña de la cuenta AD anterior.
  4. Haga clic en Probar y Guardar para guardar los cambios y volver a la página anterior.
  5. Haga clic en el interruptor a la izquierda de Active Directory para habilitar la integración.
  6. Reinicia el pod identity-service-api-*.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

Paso 2. Configurar la autenticación de Windows

Requisito previo

Obtén <KERB_DEFAULT_KEYTAB>, que es la cadena codificada en base64 del archivo keytab generado como parte de la configuración de Kerberos.

Configurar el clúster de Automation Suite

Notas importantes:

Omite este paso si ya has configurado Automation Suite como cliente Kerberos siguiendo el procedimiento descrito en la guía Configuración de Automation Suite como cliente Kerberos .

Si has configurado la integración de Active Directory mediante el método de nombre de usuario y contraseña, lo cual no se recomienda, realiza los pasos siguientes:

  1. Diríjase a ArgoCD e inicie sesión como administrador.
  2. Seleccione y vaya a la aplicación «uipath».
  3. Haga clic en DETALLES DE LA APLICACIÓN en la esquina superior izquierda.
  4. En la sección PARÁMETROS, busque el parámetro global.kerberosAuthConfig.userKeytab.

    El parámetro tiene un valor de marcador de posición predeterminado.

  5. Actualiza el valor del marcador de posición del parámetro con <KERB_DEFAULT_KEYTAB>, y luego guarda.
  6. Haga clic en SINCRONIZAR para aplicar el cambio.
  7. Después de una sincronización correcta, reinicia Identity Server ejecutando el siguiente comando:

    kubectl -n uipath rollout restart deployment identity-service-api

Paso 3. Configuración del navegador

Microsoft Internet Explorer

No es compatible.

Microsoft Edge

No se requiere ninguna configuración adicional.

Google Chrome

Normalmente, Google Chrome funciona sin necesidad de configuración adicional.

Si no lo hace, siga las siguientes instrucciones.

  1. Diríjase a Herramientas > Opciones de Internet > Seguridad.
  2. Seleccione Intranet local.
  3. Haga clic en Sitios.
  4. Asegúrese de que esté seleccionada la opción Detectar automáticamente la red intranet o que estén seleccionadas todas las opciones.
  5. Haga clic en Avanzado.
  6. Añada el FQDN de Automation Suite a la Intranet local.
  7. Haga clic en Cerrar y en Aceptar.
  8. Haga clic en Nivel personalizado.
  9. Opcionalmente, seleccione Inicio de sesión automático solo en la zona Intranet en Autenticación de usuario

    Si se selecciona, cuando el navegador recibe la solicitud de autenticación de redirección, compruebe el origen del requerimiento. Si el dominio o la IP pertenecen a la Intranet, el navegador envía el nombre de usuario y la contraseña automáticamente. Si no es así, el navegador abre un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y espere que se introduzcan manualmente.

  10. Opcionalmente, seleccione Inicio de sesión automático con el nombre de usuario y la contraseña actuales en Autenticación de usuario.

    Si se selecciona, cuando el navegador reciba la solicitud de autenticación de redirección, envíe el nombre de usuario y la contraseña de forma silenciosa. Si el resultado de la autenticación es exitoso, el navegador continúa con la acción original. Si la autenticación falla, el navegador abra un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y vuelva a intentarlo hasta que tenga éxito.

  11. Asegúrese de que la opción Habilitar la autenticación integrada de Windows está seleccionada en la pestaña Opciones de Internet > Avanzadas y en la sección Seguridad.

Mozilla Firefox

  1. Abra la ventana de configuración del navegador.
  2. Escriba about:config en la barra de direcciones.
  3. Especifica los FQDN de Automation Suite para los que utiliza la autenticación Kerberos:
    1. Busca el término network.negotiate.
    2. Habilite y configure los siguientes parámetros para Kerberos: network.negotiate-auth.delegation-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) y network.negotiate-auth.allow-non-fqdn (valor: true).

Paso 4. Permitir la autenticación de Windows para la organización

Ahora que Automation Suite está integrado con la autenticación de Windows, los usuarios para los que se ha creado una cuenta de usuario en Automation Suite pueden utilizar la opción Windows en la página Iniciar sesión para iniciar sesión en Automation Suite.



Cada administrador de la organización debe seguir estos pasos si quiere permitir el inicio de sesión con credenciales de Windows.

  1. Inicia sesión en Automation Suite como administrador de la organización.
  2. Asigna un rol de nivel de organización a un usuario o grupo de Active Directory, que puedes seleccionar desde la búsqueda.
  3. Repita el paso anterior para cada usuario al que desee permitir el inicio de sesión con la Autenticación de Windows.

Los usuarios a los que ha asignado funciones pueden iniciar sesión en la organización de Automation Suite con su cuenta de Active Directory. Deben conectarse desde una máquina unida al dominio.

Solución de problemas

Si recibe un error HTTP 500 al intentar iniciar sesión con las credenciales de Windows, aquí tiene algunos elementos que debe comprobar:

  1. ¿Está la máquina Windows unida por dominio?

    En la máquina, diríjase al Panel de control > Sistema y seguridad > Sistema y compruebe si se muestra un dominio. Si no se muestra ningún dominio, añada la máquina al dominio. Las máquinas deben estar unidas a un dominio para utilizar la autenticación de Windows con el protocolo Kerberos.

  2. ¿Puedes iniciar sesión en la máquina Windows con las mismas credenciales?

    Si no es así, pida ayuda al administrador del sistema.

  3. ¿Utilizas un explorador distinto de Microsoft Edge?

    Se requiere una configuración adicional para los navegadores compatibles que no sean Microsoft Edge.

  4. Comprueba la configuración de keytab:
    1. Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (servicePrincpalName) debe ser de la forma HTTP/<Service Fabric FQDN>; por ejemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.
    2. La opción Esta cuenta admite cifrado AES de Kerberos de 256 bits debe seleccionarse para la cuenta de usuario en AD.

      Si esto está mal configurado, en el registro de identity-service-api se puede observar:

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
  5. Si tiene varios directorios activos configurados en el dominio que está utilizando, la autenticación falla, y en el registro de identity-service-api puede observar:

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    En este caso, asegúrese de que la cuenta de máquina creada para la autenticación se replica en todos los directorios activos.

  6. Si ejecuta ktpass y asigna una nueva contraseña a la cuenta de usuario, la versión de la clave (kvno) aumenta e invalida el antiguo keytab. En el registro de identity-service-api, puede observar:
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    En este caso, es necesario actualizar krb5KeytabSecret en ArgoCD.
  7. Si ves el siguiente error en el pod identity-service-api:
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Primero comprueba si has proporcionado el parámetro global.userInputs.identity.krb5KeytabSecret en ArgoCD. Si el parámetro existe, comprueba si puedes iniciar sesión en el equipo Windows con las credenciales del usuario de AD utilizado para generar el llavero. Ten en cuenta que debes volver a generar el keytab si la contraseña ha cambiado o ha caducado.
    2. Otra posible causa de este problema es que ArgoCD se haya sincronizado previamente de forma incorrecta. Para solucionar el problema, elimina el global.userInputs.identity.krb5KeytabSecret existente, sincroniza ArgoCD y, una vez que la operación se haya realizado correctamente, actualiza global.userInputs.identity.krb5KeytabSecret y vuelve a sincronizarlo.
  8. ¿El navegador utiliza el SPN esperado?

    Si el registro de eventos de Kerberos está habilitado siguiendo estas instrucciones , aparecerá el error KDC_ERR_S_PRINCIPAL_UNKNOWN en los registros de eventos de Kerberos. Para obtener más información sobre este problema, consulta la Documentación de Microsoft .

    Para resolver este problema, desactiva la búsqueda de CNAME al negociar la autenticación de Kerberos modificando la política de grupo. Para obtener más información, consulta las instrucciones para Chrome y para Microsoft Edge .

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.