- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenar contraseñas de robots desatendidos en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Autenticación por SmartCard
- Auditoría
- Configuración: a nivel de tenant
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Otras configuraciones
- Integraciones
- Robots clásicos
- Administración de host
- About the host level
- Gestionar los administradores del sistema
- Gestión de tenants
- Configuración de las notificaciones por correo electrónico del sistema
- Registros de auditoría para el portal del host
- Modo de mantenimiento
- Administración de la organización
- Solución de problemas
Configurar la integración de Active Directory
Puedes habilitar SSO utilizando la autenticación de Windows y habilitar la funcionalidad de búsqueda en el directorio con la integración de Active Directory. La búsqueda en el directorio te permite buscar cuentas y grupos del directorio desde Orchestrator y utilizarlos como lo harías con las cuentas locales.
user@domain
. Por lo tanto, el usuario ya no puede utilizar su nombre de usuario original para iniciar sesión y debe utilizar el nuevo nombre de usuario en el formato user@domain
o la dirección de correo electrónico vinculada a la cuenta de Active Directory.
Requisitos previos
- Para integrarse con Windows Active Directory (AD) y utilizar la autenticación de Windows, el puerto 389 de LDAP debe estar accesible en uno o más controladores de tu dominio.
- En colaboración con tus administradores de TI, asegúrate de que el servidor de Orchestrator puede acceder a tu Active Directory (AD).
-
If you plan on using LDAP over SSL (LDAPS), you must obtain and install certificates for configuring secure LDAP on each domain controller. For more information and instructions, see the LDAP over SSL (LDAPS) Certificate article on the Microsoft website.
Cuando los usuarios inician sesión en Orchestrator con sus credenciales de Active Directory, Orchestrator utiliza el protocolo Kerberos para autenticar a los usuarios.
Mecanismo de autenticación |
Compatibilidad con LDAPS |
---|---|
Nombre de usuario y contraseña (no disponibles) |
N/D |
Autenticación Kerberos |
Compatible |
Si no quieres utilizar el protocolo Kerberos para la autenticación, ve al siguiente paso.
Requisitos para los clústeres multinodo
- Los nodos del clúster deben estar implementados en un equilibrador de carga. Utiliza el nombre de host del equilibrador de carga siempre que se requiera el nombre de host en estas instrucciones.
- El grupo de aplicaciones de Orchestrator debe estar configurado para ejecutarse bajo una identidad personalizada. La identidad personalizada debe ser una cuenta de dominio.
Esto solo es necesario si se ejecuta un clúster multinodo o un clúster de nodo único con un equilibrador de carga.
Para los clústeres de un solo nodo sin equilibrador de carga, esto es opcional.
Si el grupo de aplicaciones de Orchestrator está configurado para ejecutarse bajo una identidad personalizada, esa cuenta debe tener un SPN registrado para el nombre de host.
Este paso es necesario si te ejecutas:
- un clúster multinodo porque hay que definir una identidad personalizada o
- un clúster de nodo único con un equilibrador de carga, que se trata igual que un clúster multinodo.
Este paso no es necesario si:
- estás ejecutando un clúster de nodo único sin equilibrador de carga y
- has elegido utilizar una identidad personalizada, pero has utilizado el nombre del ordenador del clúster como identidad personalizada.
En una máquina unida a un dominio que tiene acceso de escritura en la organización y el tenant de Orchestrator de destino:
Ahora que la integración está configurada, recomendamos realizar un inicio de sesión de prueba con credenciales de AD y verificar que se utiliza el protocolo de autenticación elegido (NTLM o Kerberos) para iniciar sesión.
En el modo incógnito de Google Chrome, el navegador solicita las credenciales y realiza una autenticación explícita con las mismas. El flujo funciona y utiliza Kerberos.