- Première configuration
- Administration de l'hôte
- Configuration des notifications par e-mail du système
- Gestion des administrateurs système
- Créer ou supprimer des organisations
- Journaux d'audit pour le portail hôte
- Configurer l'intégration d'Active Directory
- Configuration de l'authentification unique : SAML 2.0
- Configuration de l'authentification unique : Google
- Configuration de l'authentification unique : Azure AD
- Personnalisation de la page Connexion
- Administration de l'organisation
- Comptes et rôles
- Licences
Configurer l'intégration d'Active Directory
Vous pouvez activer l'authentification unique à l'aide de l'authentification Windows et activer la fonctionnalité de recherche dans l'annuaire avec l'intégration Active Directory. La recherche dans l'annuaire vous permet de rechercher des comptes et des groupes d'annuaire et de les utiliser comme vous le feriez avec des comptes locaux.
- La recherche dans l'annuaire ne permet pas de trouver des utilisateurs appartenant à un domaine d'approbation externe. Cette fonctionnalité n'est pas prise en charge car il n'existe pas d'autorité mutuellement approuvée dans le cadre des approbations externes.
- L'authentification Windows utilise le protocole Kerberos dans Automation Suite. Par conséquent, la connexion Windows ne peut être utilisée qu'avec des machines appartenant à un domaine.
Travaillez avec vos administrateurs informatiques pour vous assurer que le cluster Automation Suite peut accéder à votre Active Directory (AD).
L'intégration d'Active Directory peut être configurée à l'aide de l'une de ces deux options :
- Authentification Kerberos
- UsernameAndPassword
L'authentification Kerberos est recommandée car elle prend en charge davantage de scénarios :
Scénario |
UsernameAndPassword |
Authentification Kerberos |
---|---|---|
Recherche d'annuaire pour les domaines dans la même forêt |
Pris en charge |
Pris en charge |
Recherche dans l'annuaire pour les domaines d'une forêt approuvée |
Non pris en charge |
Pris en charge |
Recherche d'annuaire pour les domaines de confiance externes |
Non pris en charge |
Non pris en charge |
Résolution des problèmes
Domain unreachable
, vérifiez le routage DNS à l'aide de la commande getent ahosts <AD domain>
.
/etc/resolv.conf
. La valeur du serveur de noms doit désigner le DNS du domaine AD. Si ce n'est pas le cas, contactez votre administrateur système pour que la configuration soit appropriée.
Si le nœud s'exécute sur Azure, suivez les instructions de la rubrique Résolution des noms pour les ressources des réseaux virtuels Azure.
Pour cela, vous pouvez procéder comme suit :
- Dans Azure, accédez au réseau virtuel du nœud et définissez les serveurs DNS du réseau virtuel sur le DNS d'Active Directory.
- Exécutez
systemctl restart NetworkManager.service
et vérifiez que/etc/resolv.conf
soit bien à jour. - Redémarrez le DNS principal du cluster à partir d'ArgoCD.
<KERB_DEFAULT_KEYTAB>
, qui est la chaîne encodée au format Base64 du fichier keytab généré dans le cadre de la configuration de Kerberos.
Normalement, Google Chrome fonctionne sans configuration supplémentaire.
Si ce n'est pas le cas, veuillez suivre les instructions ci-dessous.
- Ouvrez la fenêtre de configuration du navigateur.
- Tapez about:config dans la barre d'adresse.
- Spécifiez les noms de domaine complets d'Automation Suite pour lesquels vous utilisez l'authentification Kerberos :
- Recherchez le terme
network.negotiate
. - Activez et définissez les éléments suivants pour Kerberos :
network.negotiate-auth.delegation-uris
(exemple de valeur :uipath-34i5ui35f.westeurope.cloudapp.azure.com
),network.negotiate-auth.trusted-uris
(exemple de valeur :uipath-34i5ui35f.westeurope.cloudapp.azure.com
) etnetwork.negotiate-auth.allow-non-fqdn
(valeur :true
).
- Recherchez le terme
Maintenant qu'Automation Suite est intégrée à l'authentification Windows, les utilisateurs pour lesquels un compte utilisateur est créé dans Automation Suite peuvent utiliser l'option Windows sur la page Connexion (Login) pour se connecter à Automation Suite.
Chaque administrateur d'organisation doit le faire pour son organisation s'il souhaite autoriser la connexion avec les informations d'identification Windows.
- Connectez-vous à Automation Suite en tant qu'administrateur d'organisation.
- Attribuez un rôle au niveau de l'organisation à un utilisateur ou à un groupe Active Directory, que vous pouvez sélectionner via la recherche.
- Répétez l'étape ci-dessus pour chaque utilisateur que vous voulez autoriser à se connecter via l'authentification Windows.
Les utilisateurs auxquels vous avez attribué des rôles peuvent ensuite se connecter à l'organisation Automation Suite avec leur compte Active Directory. Ils doivent se connecter à partir d'une machine reliée au domaine.
Si vous recevez une erreur HTTP 500 lorsque vous essayez de vous connecter à l'aide des informations d'identification Windows, voici quelques éléments à vérifier :
-
La machine Windows est-elle reliée au domaine ?
Sur la machine, accédez à Panneau de configuration > Système et sécurité > Système et vérifiez si un domaine est affiché. Si aucun domaine n'est affiché, ajoutez la machine au domaine. Les machines doivent être reliées à un domaine pour pouvoir utiliser l'authentification Windows avec le protocole Kerberos.
-
Pouvez-vous vous connecter à la machine Windows avec les mêmes informations d'identification ?
Si ce n'est pas le cas, demandez l'aide de votre administrateur système.
-
Utilisez-vous un navigateur autre que Microsoft Edge ?
Une configuration supplémentaire est requise pour les navigateurs pris en charge autres que Microsoft Edge.
- Vérifiez la configuration du keytab :
- Après avoir généré le keytab, la propriété de l'utilisateur AD sur le serveur Active Directory (
servicePrincpalName
) doit être de la formeHTTP/<Service Fabric FQDN>
- par exemple,HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
. -
L'option Ce compte prend en charge l'encodage Kerberos AES 256 bits doit être sélectionnée sur AD pour le compte d'utilisateur.
Si la configuration est incorrecte, vous verrez s'afficher le texte suivant dans le journal identity-service-api :
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- Après avoir généré le keytab, la propriété de l'utilisateur AD sur le serveur Active Directory (
-
Si plusieurs Active Directory sont configurés dans le domaine que vous utilisez, l'authentification échouera et le texte suivant s'affichera dans le journal identity-service-api :
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsDans ce cas, assurez-vous que le compte de la machine créé pour l'authentification est répliqué sur l'ensemble des Active Directory.
-
Si vous exécutez
ktpass
et attribuez un nouveau mot de passe au compte utilisateur, la version de la clé (kvno
) est mise à niveau et invalide l'ancien keytab. Dans le journal identity-service-api, le texte suivant s'affichera :Dans ce cas, vous devez mettre à jourRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
dans ArgoCD. -
Si vous voyez l'erreur suivante dans le pod
identity-service-api
:GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
Vérifiez d'abord si vous avez fourni le paramètre
global.userInputs.identity.krb5KeytabSecret
dans ArgoCD. Si le paramètre existe, vérifiez si vous pouvez vous connecter à la machine Windows avec les informations d'identification de l'utilisateur AD utilisé pour générer le keytab. Notez que vous devez régénérer le keytab si le mot de passe a été modifié ou a expiré. -
Une autre cause possible de ce problème est qu’ArgoCD n’a pas été correctement synchronisé auparavant. Pour résoudre le problème, supprimez le
global.userInputs.identity.krb5KeytabSecret
existant, synchronisez ArgoCD et, une fois l'opération réussie, mettez à jourglobal.userInputs.identity.krb5KeytabSecret
et synchronisez à nouveau.
-
-
Le navigateur utilise-t-il le SPN attendu ?
Si la journalisation des événements Kerberos est activée en suivant ces instructions , l’erreurKDC_ERR_S_PRINCIPAL_UNKNOWN
s’affichera dans les journaux des événements Kerberos. Pour plus de détails sur ce problème, consultez la documentation Microsoft .Pour résoudre ce problème, désactivez la recherche CNAME lors de la négociation de l'authentification Kerberos en modifiant la stratégie de groupe. Pour plus de détails, consultez les instructions pour Google Chrome et pour Microsoft Edge .
- Limites connues
- Étape 1. Configurer l'intégration d'Active Directory
- a. Configuration Kerberos (recommandée)
- b. Configuration du nom d'utilisateur et du mot de passe (non recommandée)
- Étape 2. Configurer l'authentification Windows
- Prérequis
- Configurer le cluster Automation Suite
- Étape 3. Configuration du navigateur
- Microsoft Internet Explorer
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Étape 4. Autoriser l'authentification Windows pour l'organisation
- Résolution des problèmes