- Configuración inicial
- Administración de host
- Administración de la organización
- Cuentas y roles
- Licencia
- Notificaciones
Configurar la integración de Active Directory
La integración de Active Directory no es compatible con Automation Suite en AKS/EKS.
Puedes habilitar SSO utilizando la autenticación de Windows y habilitar la funcionalidad de búsqueda en el directorio con la integración de Active Directory. La búsqueda en el directorio te permite buscar cuentas y grupos del directorio y utilizarlos como lo harías con las cuentas locales.
- La búsqueda en el directorio no encuentra usuarios de un dominio de confianza externo. Esta función no es compatible porque no hay una autoridad de confianza mutua con los dominios de confianza externos.
- La autenticación de Windows utiliza el protocolo Kerberos en Automation Suite, por lo que el inicio de sesión de Windows solo puede utilizarse con máquinas unidas a un dominio.
Colabore con sus administradores de TI para garantizar que el clúster de Automation Suite pueda acceder a su Active Directory (AD).
La integración de Active Directory puede configurarse mediante una de las dos opciones:
- Autenticación Kerberos
- Nombre de usuario y contraseña
Se recomienda la autenticación Kerberos porque es compatible con más escenarios:
Escenario |
Nombre de usuario y contraseña |
Autenticación Kerberos |
---|---|---|
Búsqueda en el directorio de los dominios del mismo bosque |
Compatible |
Compatible |
Búsqueda en el directorio de dominios en un bosque de confianza |
No compatible |
Compatible |
Búsqueda en el directorio de dominios de confianza externos |
No compatible |
No compatible |
En un entorno de Active Directory, LDAPS es una conexión segura de uso frecuente para los servicios de directorio. Es importante tener en cuenta que los escenarios de compatibilidad con LDAPS difieren en función del mecanismo de autenticación utilizado.
Mecanismo de autenticación |
Compatibilidad con LDAPS |
---|---|
Nombre de usuario y contraseña |
Compatible |
Autenticación Kerberos |
No compatible |
B.1. Requisito previo para utilizar LDAPS
Si desea utilizar LDAP sobre SSL (LDAPS), primero debe configurar LDAP sobre SSL en su entorno de AD y obtener el certificado raíz que se utilizará en la configuración del clúster de UiPath.
Problema conocido: el certificado LDAPS configurado no se mantiene al actualizar. De resultas de ello, después de una actualización es necesario añadir de nuevo el certificado LDAPS para que las conexiones seguras LDAP funcionen.
B.2. Configuración de Active Directory
<KERB_DEFAULT_KEYTAB>
, que es la cadena codificada en base64 del archivo keytab generado como parte de la configuración de Kerberos.
Notas importantes:
Omite este paso si ya has configurado Automation Suite como cliente Kerberos siguiendo el procedimiento descrito en la guía Configuración de Automation Suite como cliente Kerberos .
Si has configurado la integración de Active Directory mediante el método de nombre de usuario y contraseña, lo cual no se recomienda, realiza los pasos siguientes:
Normalmente, Google Chrome funciona sin necesidad de configuración adicional.
Si no lo hace, siga las siguientes instrucciones.
- Abra la ventana de configuración del navegador.
- Escriba about:config en la barra de direcciones.
- Especifica los FQDN de Automation Suite para los que utiliza la autenticación Kerberos:
- Busca el término
network.negotiate
. - Habilite y configure los siguientes parámetros para Kerberos:
network.negotiate-auth.delegation-uris
(valor de ejemplo:uipath-34i5ui35f.westeurope.cloudapp.azure.com
),network.negotiate-auth.trusted-uris
(valor de ejemplo:uipath-34i5ui35f.westeurope.cloudapp.azure.com
) ynetwork.negotiate-auth.allow-non-fqdn
(valor:true
).
- Busca el término
Ahora que Automation Suite está integrado con la autenticación de Windows, los usuarios para los que se ha creado una cuenta de usuario en Automation Suite pueden utilizar la opción Windows en la página Iniciar sesión para iniciar sesión en Automation Suite.
Cada administrador de la organización debe seguir estos pasos si quiere permitir el inicio de sesión con credenciales de Windows.
- Inicia sesión en Automation Suite como administrador de la organización.
- Asigna un rol de nivel de organización a un usuario o grupo de Active Directory, que puedes seleccionar desde la búsqueda.
- Repita el paso anterior para cada usuario al que desee permitir el inicio de sesión con la Autenticación de Windows.
Los usuarios a los que ha asignado funciones pueden iniciar sesión en la organización de Automation Suite con su cuenta de Active Directory. Deben conectarse desde una máquina unida al dominio.
Si recibe un error HTTP 500 al intentar iniciar sesión con las credenciales de Windows, aquí tiene algunos elementos que debe comprobar:
-
¿Está la máquina Windows unida por dominio?
En la máquina, diríjase al Panel de control > Sistema y seguridad > Sistema y compruebe si se muestra un dominio. Si no se muestra ningún dominio, añada la máquina al dominio. Las máquinas deben estar unidas a un dominio para utilizar la autenticación de Windows con el protocolo Kerberos.
-
¿Puedes iniciar sesión en la máquina Windows con las mismas credenciales?
Si no es así, pida ayuda al administrador del sistema.
-
¿Utilizas un explorador distinto de Microsoft Edge?
Se requiere una configuración adicional para los navegadores compatibles que no sean Microsoft Edge.
- Comprueba la configuración de keytab:
- Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (
servicePrincpalName
) debe ser de la formaHTTP/<Service Fabric FQDN>
; por ejemplo,HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
. -
La opción Esta cuenta admite cifrado AES de Kerberos de 256 bits debe seleccionarse para la cuenta de usuario en AD.
Si esto está mal configurado, en el registro de identity-service-api se puede observar:
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (
-
Si tiene varios directorios activos configurados en el dominio que está utilizando, la autenticación falla, y en el registro de identity-service-api puede observar:
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsEn este caso, asegúrese de que la cuenta de máquina creada para la autenticación se replica en todos los directorios activos.
-
Si ejecuta
ktpass
y asigna una nueva contraseña a la cuenta de usuario, la versión de la clave (kvno
) aumenta e invalida el antiguo keytab. En el registro de identity-service-api, puede observar:En este caso, es necesario actualizarRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
en ArgoCD. -
Si ves el siguiente error en el pod
identity-service-api
:GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
Primero comprueba si has proporcionado el parámetro
global.userInputs.identity.krb5KeytabSecret
en ArgoCD. Si el parámetro existe, comprueba si puedes iniciar sesión en el equipo Windows con las credenciales del usuario de AD utilizado para generar el llavero. Ten en cuenta que debes volver a generar el keytab si la contraseña ha cambiado o ha caducado. -
Otra posible causa de este problema es que ArgoCD se haya sincronizado previamente de forma incorrecta. Para solucionar el problema, elimina el
global.userInputs.identity.krb5KeytabSecret
existente, sincroniza ArgoCD y, una vez que la operación se haya realizado correctamente, actualizaglobal.userInputs.identity.krb5KeytabSecret
y vuelve a sincronizarlo.
-
-
¿El navegador utiliza el SPN esperado?
Si el registro de eventos de Kerberos está habilitado siguiendo estas instrucciones , aparecerá el errorKDC_ERR_S_PRINCIPAL_UNKNOWN
en los registros de eventos de Kerberos. Para obtener más información sobre este problema, consulta la Documentación de Microsoft .Para resolver este problema, desactiva la búsqueda de CNAME al negociar la autenticación de Kerberos modificando la política de grupo. Para obtener más información, consulta las instrucciones para Chrome y para Microsoft Edge .
- Limitaciones conocidas
- Paso 1. Configurar la integración de Active Directory
- a. Configuración de Kerberos (recomendada)
- B. Configuración del nombre de usuario y la contraseña
- Paso 2. Configurar la autenticación de Windows
- Requisito previo
- Configurar el clúster de Automation Suite
- Paso 3. Configuración del navegador
- Microsoft Internet Explorer
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Paso 4. Permitir la autenticación de Windows para la organización
- Solución de problemas