Configurar la integración de Active Directory

Puedes habilitar SSO utilizando la autenticación de Windows y habilitar la funcionalidad de búsqueda en el directorio con la integración de Active Directory. La búsqueda en el directorio te permite buscar cuentas y grupos del directorio desde Orchestrator y utilizarlos como lo harías con las cuentas locales.

Nota:

Tras activar esta integración, las cuentas de usuario locales se vinculan a un usuario de Active Directory y, en el proceso, su atributo de nombre de usuario se actualiza con el formato user@domain. Por lo tanto, el usuario ya no puede utilizar su nombre de usuario original para iniciar sesión y debe utilizar el nuevo nombre de usuario en el formato user@domain o la dirección de correo electrónico vinculada a la cuenta de Active Directory.

Importante:

Requisitos previos

Para integrarse con Windows Active Directory (AD) y utilizar la autenticación de Windows, el puerto 389 de LDAP debe estar accesible en uno o más controladores de tu dominio.
En colaboración con tus administradores de TI, asegúrate de que el servidor de Orchestrator puede acceder a tu Active Directory (AD).

Acerca de las opciones de integración

Cuando los usuarios inician sesión en Orchestrator con sus credenciales de Active Directory, Orchestrator puede utilizar cualquiera de los siguientes 2 protocolos para iniciar sesión: NTLM (predeterminado) o Kerberos (recomendado).

Orchestrator utiliza Kerberos para autenticar a los usuarios si están configurados correctamente, como se describe en esta página. Si hay un error al usar Kerberos, se utiliza la autenticación NTLM en su lugar.

Paso 1. Configurar el clúster de Orchestrator (solo Kerberos)

Si no quieres utilizar el protocolo Kerberos para la autenticación, ve al siguiente paso.

Requisitos para los clústeres multinodo

Los nodos del clúster deben estar implementados en un equilibrador de carga. Utiliza el nombre de host del equilibrador de carga siempre que se requiera el nombre de host en estas instrucciones.
El grupo de aplicaciones de Orchestrator debe estar configurado para ejecutarse bajo una identidad personalizada. La identidad personalizada debe ser una cuenta de dominio.

Configurar una identidad personalizada

Esto solo es necesario si se ejecuta un clúster multinodo o un clúster de nodo único con un equilibrador de carga.

Para los clústeres de un solo nodo sin equilibrador de carga, esto es opcional.

Abre IIS (Internet Information Services Manager).
En IIS, en el panel Conexiones de la izquierda, haz clic en Grupos de aplicaciones.
Ve a Identidad > Configuración avanzada > Modelo de proceso > Identidad.
En el cuadro de diálogo Identidad del grupo de aplicaciones, selecciona Cuenta personalizada y especifica una cuenta de usuario calificada por el dominio.
Haz clic en Aceptar para aplicar los cambios.
Cierra IIS.

Configuración de SPN

Si el grupo de aplicaciones de Orchestrator está configurado para ejecutarse bajo una identidad personalizada, esa cuenta debe tener un SPN registrado para el nombre de host.

Este paso es necesario si te ejecutas:

un clúster multinodo porque hay que definir una identidad personalizada o
un clúster de nodo único con un equilibrador de carga, que se trata igual que un clúster multinodo.

Este paso no es necesario si:

estás ejecutando un clúster de nodo único sin equilibrador de carga y
has elegido utilizar una identidad personalizada, pero has utilizado el nombre del ordenador del clúster como identidad personalizada.

En una máquina unida a un dominio que tiene acceso de escritura en la organización y el tenant de Orchestrator de destino:

Abre el Símbolo del sistema.
Cambia el directorio a C:\Windows\System32 utilizando el comando cd C:\Windows\System32.
Ejecuta el comando setspn.exe -a HTTP/<hostname> <domain account>, donde:
- HTTP/<hostname>: la URL en la que se puede acceder a tu instancia de Orchestrator.
- <domain account> - El nombre o nombre de dominio de la identidad personalizada con la que se ejecuta el grupo de aplicaciones de Orchestrator.

Paso 2. Configurar IIS para habilitar la autenticación Windows

Nota: Si tienes una instalación multinodo, debes realizar la configuración de IIS en cada uno de los nodos de clúster.

Abre IIS (Internet Information Services Manager).
En la sección Conexiones, en el nodo Sitios, selecciona UiPath Orchestrator.
En el panel principal, haz doble clic en Authentication para ver los detalles.
Selecciona Autenticación de Windows y luego, en el panel Acciones de la derecha, selecciona Configuración avanzada.

Nota: si aún no está habilitado, habilita la autenticación de Windows para continuar con estas instrucciones.
Haz clic en el sitio de UiPath Orchestrator de la izquierda y, a continuación, haz doble clic en Editor de configuración en el área principal.
En el Editor de configuración, en la parte superior, en la lista Sección, selecciona system.webServer/security/authentication/windowsAuthentication.
Para useAppPoolCredentials, establece el valor en Verdadero:

Paso 3. Configurar Orchestrator

Inicia sesión en el portal de gestión como administrador del sistema.
Diríjase a Usuarios y seleccione la pestaña Configuración de autenticación.
En la sección Proveedores externos, haz clic en Configurar en Active Directory.

El panel Configurar Active Directory se abre a la derecha de la pantalla.
Selecciona la casilla de verificación Habilitada.
Si deseas que los usuarios solo inicien sesión con sus credenciales de Active Directory, selecciona la casilla de verificación Forzar inicio de sesión automático usando este proveedor.

Si se selecciona, los usuarios ya no pueden iniciar sesión con su nombre de usuario y contraseña de Orchestrator; deben utilizar sus credenciales de Active Directory, con un nombre de usuario calificado por el dominio.
Si quieres utilizar el protocolo Kerberos para la autenticación, selecciona la casilla de verificación Usar autenticación de Kerberos .
Recomendamos utilizar Kerberos.
- Si selecciona esta opción, los usuarios inician sesión automáticamente en Orchestrator sin necesidad de introducir sus credenciales.
- Si no selecciona esta opción, se usa el protocolo NTLM predeterminado y los usuarios deben introducir sus credenciales de Active Directory para iniciar sesión.
Si lo deseas, puedes editar el valor del campo Nombre para mostrar para personalizar la etiqueta del botón de autenticación de Windows que se muestra en la página de inicio de sesión.
Reinicia el sitio IIS. Esto es necesario siempre que se realicen cambios en los proveedores externos.

Paso 4. Verificar el protocolo de autenticación

Ahora que la integración está configurada, recomendamos realizar un inicio de sesión de prueba con credenciales de AD y verificar que se utiliza el protocolo de autenticación elegido (NTLM o Kerberos) para iniciar sesión.

Inicia sesión en Orchestrator con tus credenciales de Active Directory para crear un evento de inicio de sesión.

Anota la hora a la que iniciaste sesión.
Abre el Visor de eventos en Windows.
Ve a Registros de Windows > Seguridad.
En la lista de eventos de seguridad, busca la entrada con las siguientes características:
- ID de evento: 4624
- Fecha y hora: la fecha de hoy y la hora en la que iniciaste la sesión con tus credenciales de Active Directory.
Haz doble clic en la fila para abrir el cuadro de diálogo de propiedades del evento.
En la pestaña General, desplázate hasta la sección Información detallada sobre la autenticación y comprueba lo siguiente:
Si se utilizó la autenticación Kerberos:
- el valor de Paquete de autenticación debe ser Negociar.
- el valor de Nombre de paquete debe estar en blanco (-) ya que solo se aplica a NTLM. Si este valor es NTLM V2, entonces se utilizó el protocolo de autenticación predeterminado y no Kerberos.

En el modo incógnito de Google Chrome, el navegador solicita las credenciales y realiza una autenticación explícita con las mismas. El flujo funciona y utiliza Kerberos.

En esta página