- Démarrage
- Meilleures pratiques
- Modélisation de l'organisation dans Orchestrator
- Gestion de grands déploiements
- Meilleures pratiques d'automatisation
- Optimisation de l'infrastructure Unattended à l'aide de modèles de machine
- Organisation des ressources avec des balises
- Réplica Orchestrator en lecture seule
- Exportation des grilles dans l'arrière-plan
- Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Gestion des Robots
- Connexion des Robots à Orchestrator
- Enregistrement des identifiants du Robot dans CyberArk
- Stockage des mots de passe de l’Unattended Robot dans Azure Key Vault (lecture seule)
- Stockage des informations d’identification de l’Unattended Robot dans HashiCorp Vault (lecture seule)
- Stockage des informations d'identification du robot Unattended dans AWS Secrets Manager (lecture seule)
- Suppression des sessions Unattended déconnectées et qui ne répondent pas
- Authentification du Robot
- Authentification du Robot avec les informations d'identification du client
- Configurer les capacités d’automatisation
- Audit
- Service de catalogue de ressources
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Administration de l'hôte
- Serveur d'identité
- Authentification
- Administration de l'organisation
- Autres configurations
- Intégrations
- Résolution des problèmes
Configurer l'intégration d'Active Directory
-
Après avoir activé cette intégration, les comptes utilisateur locaux sont liés à un utilisateur Active Directory et, dans le processus, leur attribut de nom d'utilisateur est mis à jour au format
user@domain
. Ainsi, l'utilisateur ne peut plus utiliser son nom d'utilisateur d'origine pour se connecter et doit à la place utiliser le nouveau nom d'utilisateur au formatuser@domain
ou l'adresse e-mail liée au compte Active Directory. -
Lorsque vous mettez à jour Orchestrator vers 2020.4+, Identity Server migre vos paramètres précédents. Si vous aviez précédemment activé l'authentification Windows tout ayant configuré la connexion automatique pour les utilisateurs Windows AD, après avoir effectué la mise à niveau, les utilisateurs ne peuvent pas accéder à la page Fournisseurs externes (External Providers) s'ils se sont précédemment connectés à Identity Server. Les utilisateurs sont connectés aux locataires directement après avoir entré leurs informations d'identification Windows.
Sans accès à la page de connexion, l'administrateur de l'hôte ne peut ni se connecter au locataire de l'hôte ni accéder au portail de gestion des identités.
Si c’est votre cas, ouvrez un nouveau navigateur en mode incognito et tapezhttps://<OrchestratorURL>/identity/configuration
.
Prérequis
-
Pour s'intégrer à Windows Active Directory (AD) et utiliser l'authentification Windows, le port LDAP 389 doit être accessible sur un ou plusieurs contrôleurs de votre domaine.
-
Travaillez avec vos administrateurs informatiques pour vous assurer que le serveur Orchestrator peut accéder à votre Active Directory (AD).
-
Si vous envisagez d'utiliser LDAP sur SSL (LDAPS), vous devez obtenir et installer des certificats pour configurer un LDAP sécurisé sur chaque contrôleur de domaine. Pour plus d'informations et d'instructions, consultez l'article Certificat LDAP sur SSL (LDAPS) (LDAP over SSL (LDAPS) Certificate).
Lorsque les utilisateurs se connectent à Orchestrator avec leurs informations d'identification Active Directory, Orchestrator utilise le protocole Kerberos pour authentifier les utilisateurs.
Exigences pour les clusters multi-nœuds
- Les nœuds du cluster doivent être déployés sous un équilibreur de charge. Utilisez le nom d'hôte de l'équilibreur de charge chaque fois que le nom d'hôte est requis dans ces instructions.
- Le pool d'applications Orchestrator doit être configuré pour s'exécuter sous une identité personnalisée. L'identité personnalisée doit être un compte de domaine.
Cette opération n'est requise que si vous exécutez un cluster multi-nœuds ou un cluster à nœud unique avec un équilibreur de charge.
Elle est facultative pour les clusters à nœud unique sans équilibreur de charge.
Si le pool d'applications Orchestrator est configuré pour s'exécuter sous une identité personnalisée, ce compte doit avoir un SPN enregistré pour le nom d'hôte.
Cette étape est obligatoire si vous exécutez :
- un cluster multi-nœuds, car vous devez définir une identité personnalisée, ou
- un cluster à nœud unique avec un équilibreur de charge, qui est traité de la même manière qu'un cluster multi-nœuds.
Cette étape n'est pas nécessaire si :
- vous exécutez un cluster à nœud unique sans équilibreur de charge, et
- vous avez choisi d'utiliser une identité personnalisée, mais vous avez utilisé le nom de l'ordinateur du cluster comme identité personnalisée.
Sur une machine jointe à un domaine disposant d'un accès en écriture à l'organisation et au locataire Orchestrator cibles :
À présent que l'intégration est configurée, nous vous recommandons d'effectuer un test de connexion à l'aide des informations d'identification AD et de vérifier que le protocole Kerberos est utilisé pour la connexion.