Guía de administración de Test Cloud privado

• La búsqueda en el directorio no encuentra usuarios de un dominio de confianza externo. Esta función no es compatible porque no hay una autoridad de confianza mutua con los dominios de confianza externos.
• La autenticación de Windows utiliza el protocolo Kerberos en Test Cloud privado, por lo que el inicio de sesión de Windows solo puede utilizarse con máquinas unidas a un dominio.

1. Autenticación Kerberos
2. Nombre de usuario y contraseña

a. Configuración de Kerberos (recomendada)​

1. Configure la autenticación Kerberos siguiendo las instrucciones de Configurar la autenticación Kerberos.
2. Inicie sesión en el portal del host como administrador del sistema.
3. Asegúrate de que Host esté seleccionado en la parte superior del panel izquierdo y luego selecciona Seguridad.
4. En Active Directory, selecciona Configurar.
   • Opcionalmente, marca la casilla de verificación Forzar inicio de sesión automático utilizando este proveedor si deseas permitir que solo se inicie sesión con cuentas de Active Directory. Haz esto solo si la integración con el proveedor se ha validado correctamente para evitar el bloqueo.
   • Leave the Use Kerberos Auth checkbox selected.
   • En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
5. Selecciona Guardar para guardar tus cambios y volver a la página anterior.
6. Selecciona el botón de alternancia a la izquierda de Active Directory para habilitar la integración.
7. Reinicia el pod identity-service-api-*.
   1. Conéctate al Servidor principal utilizando SSH.
   2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

Antigua experiencia de Administración​

1. Configure la autenticación Kerberos siguiendo las instrucciones de Configurar la autenticación Kerberos.
2. Inicie sesión en el portal del host como administrador del sistema.
3. Ve a Configuración de seguridad.
4. En la sección Proveedores externos , selecciona Configurar en Active Directory.
   • Select the Enabled checkbox to enable the integration.
   • Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts. :fa-warning: Only do this if the integration with the provider has been successfully validated to prevent lockout.
   • En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
   • Leave the Use Kerberos Auth checkbox selected.
5. Selecciona Probar y guardar para guardar tus cambios.
6. Reinicia el pod identity-service-api-*.
   1. Conéctate al Servidor principal utilizando SSH.
   2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

B. Configuración del nombre de usuario y la contraseña​

B.1. Requisito previo para utilizar LDAPS​

1. Obtén e instala el certificado SSL para LDAPS en cada controlador de dominio.

   Para obtener más información e instrucciones, consulta el artículo Certificado LDAP sobre SSL (LDAPS).

2. Cifre el certificado raíz en Base64 ejecutando el siguiente comando:

   assignment

   [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
   [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
   

3. Añade el certificado raíz codificado en ArgoCD:

   1. Inicie sesión en ArgoCD.
   2. Selecciona y ve a la aplicación UiPath.
   3. En la esquina superior izquierda, selecciona DETALLES DE LA APLICACIÓN.
   4. En la sección Parámetros, busca el parámetro global.userInputs.certificate.identity.ldaps.customRootCA.
   5. Actualice el valor del parámetro al contenido codificado que obtuvo anteriormente.
   6. Guarda.
   7. Selecciona SYNC para aplicar tus cambios.

B.2. Configuración de Active Directory​

1. Inicie sesión en el portal del host como administrador del sistema.
2. Asegúrate de que Host esté seleccionado en la parte superior del panel izquierdo y luego selecciona Seguridad.
3. En Active Directory, selecciona Configurar.
   • If you want to only allow login with Active Directory accounts, select the Force automatic login using this provider checkbox.
   • Clear the Use Kerberos Auth checkbox.
   • (Optional, but strongly recommended) Select the Use LDAP over SSL (LDAPS) checkbox.
   • In the Display Name field, type the name you want to show on the Login page for this sign in option.
   • En el campo Dominio predeterminado, escriba su nombre de dominio completo (FQDN) para Active Directory (AD).
   • In the Username field, type the user name of an AD user. It needs to be in the format DOMAIN\username. For example, TESTDOMAIN\user1.
   • En el campo Contraseña de usuario , escribe la contraseña de la cuenta AD.
4. Selecciona Probar y guardar para guardar los cambios y volver a la página anterior.
5. Selecciona el botón de alternancia a la izquierda de Active Directory para habilitar la integración.
6. Reinicia el pod identity-service-api-*.
   1. Conéctate al Servidor principal utilizando SSH.
   2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

Requisito previo​

Configurar el clúster de Automation Suite​

Notas importantes​

1. Diríjase a ArgoCD e inicie sesión como administrador.

2. Seleccione y vaya a la aplicación «uipath».

3. Selecciona DETALLES DE LA APLICACIÓN en la esquina superior izquierda.

4. En la sección PARÁMETROS, busque el parámetro global.kerberosAuthConfig.userKeytab.

   El parámetro tiene un valor de marcador de posición predeterminado.

5. Actualiza el valor del marcador de posición del parámetro con <KERB_DEFAULT_KEYTAB>, y luego guarda.

6. Selecciona SYNC para aplicar el cambio.

7. Después de una sincronización correcta, reinicia Identity Server ejecutando el siguiente comando:

   kubectl -n uipath rollout restart deployment identity-service-api

Microsoft Internet Explorer​

Microsoft Edge​

Google Chrome​

1. Diríjase a Herramientas > Opciones de Internet > Seguridad.

2. Seleccione Intranet local.

3. Selecciona Sitios.

4. Asegúrese de que esté seleccionada la opción Detectar automáticamente la red intranet o que estén seleccionadas todas las opciones.

5. Selecciona en Avanzado.

6. Añada el FQDN de Automation Suite a la Intranet local.

7. Selecciona Cerrar y Aceptar.

8. Selecciona en Nivel personalizado.

9. Opcionalmente, seleccione Inicio de sesión automático solo en la zona Intranet en Autenticación de usuario

   Si se selecciona, cuando el navegador recibe la solicitud de autenticación de redirección, compruebe el origen del requerimiento. Si el dominio o la IP pertenecen a la Intranet, el navegador envía el nombre de usuario y la contraseña automáticamente. Si no es así, el navegador abre un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y espere que se introduzcan manualmente.

10. Opcionalmente, seleccione Inicio de sesión automático con el nombre de usuario y la contraseña actuales en Autenticación de usuario.

    Si se selecciona, cuando el navegador reciba la solicitud de autenticación de redirección, envíe el nombre de usuario y la contraseña de forma silenciosa. Si el resultado de la autenticación es exitoso, el navegador continúa con la acción original. Si la autenticación falla, el navegador abra un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y vuelva a intentarlo hasta que tenga éxito.

11. Asegúrese de que la opción Habilitar la autenticación integrada de Windows está seleccionada en la pestaña Opciones de Internet > Avanzadas y en la sección Seguridad.

Mozilla Firefox​

1. Abra la ventana de configuración del navegador.
2. Escriba about:config en la barra de direcciones.
3. Especifica los FQDN de Automation Suite para los que utiliza la autenticación Kerberos:
   1. Busca el término network.negotiate.
   2. Habilite y configure los siguientes parámetros para Kerberos: network.negotiate-auth.delegation-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) y network.negotiate-auth.allow-non-fqdn (valor: true).

1. Inicia sesión como administrador de la organización.

2. Asigna un rol a nivel de organización a un usuario o grupo de Active Directory, que puedes seleccionar en la búsqueda.

3. Repite el paso anterior para cada usuario al que quieras permitir que inicie sesión con la autenticación de Windows.

   Los usuarios a los que hayas asignado roles pueden iniciar sesión en la organización de UiPath con su cuenta de Active Directory. Deben iniciar sesión desde una máquina unida a un dominio.

Solución de problemas​

1. ¿La máquina Windows está unida a un dominio? En la máquina, ve a Panel de control > Sistema y seguridad > Sistema y comprueba si se muestra un dominio. Si no se muestra ningún dominio, añade la máquina al dominio. Las máquinas deben estar unidas a un dominio para utilizar la autenticación de Windows con el protocolo Kerberos.

2. ¿Puedes iniciar sesión en la máquina Windows con las mismas credenciales? Si no es así, pida ayuda al administrador del sistema.

3. ¿Utilizas un explorador distinto de Microsoft Edge? Se requiere una configuración adicional para los navegadores compatibles que no sean Microsoft Edge.

4. Comprueba la configuración de keytab:

   1. Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (servicePrincpalName) debe ser de la forma HTTP/<Service Fabric FQDN>; por ejemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.
   2. La opción Esta cuenta admite el cifrado Kerberos AES de 256 bits debe seleccionarse para la cuenta de usuario en AD. Si esto no está configurado correctamente, en el registro de identity-service-api, se muestra lo siguiente:
      assignment

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
      

5. Si tienes varios Active Directory configurados en el dominio que estás utilizando, la autenticación falla y en el registro de identity-service-api, se muestra lo siguiente:

   assignment

   kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
   kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
   

   En este caso, asegúrese de que la cuenta de máquina creada para la autenticación se replica en todos los directorios activos.

6. Si ejecutas ktpass y asignas una nueva contraseña a la cuenta de usuario, la versión de la clave (kvno) aumenta e invalida la antigua keytab. En el registro de identity-service-api, se muestra lo siguiente:

   assignment

   Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
   Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
   

   En este caso, es necesario actualizar krb5KeytabSecret en ArgoCD.

7. Si encuentras el siguiente error en el pod identity-service-api :

   assignment

   GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
   GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
   

   1. Primero comprueba si has proporcionado el parámetro global.userInputs.identity.krb5KeytabSecret en ArgoCD. Si el parámetro existe, comprueba si puedes iniciar sesión en el equipo Windows con las credenciales del usuario de AD utilizado para generar el llavero. Ten en cuenta que debes volver a generar el keytab si la contraseña ha cambiado o ha caducado.
   2. Otra posible causa de este problema es que ArgoCD se haya sincronizado previamente de forma incorrecta. Para solucionar el problema, elimina el global.userInputs.identity.krb5KeytabSecret existente, sincroniza ArgoCD y, una vez que la operación se haya realizado correctamente, actualiza global.userInputs.identity.krb5KeytabSecret y vuelve a sincronizarlo.

8. ¿El navegador utiliza el SPN esperado?

   Si el registro de eventos de Kerberos se habilita siguiendo estas instrucciones, en sus registros de eventos aparecerá el error KDC_ERR_S_PRINCIPAL_UNKNOWN. Para obtener más información sobre este problema, consulta la documentación de Microsoft.