Automation Suite
2021.10
False
Image de fond de la bannière
Guide d'administration d'Automation Suite
Dernière mise à jour 25 mars 2024

Configurer l'intégration d'Active Directory

Vous pouvez activer l'authentification unique à l'aide de l'authentification Windows et activer la fonctionnalité de recherche dans l'annuaire avec l'intégration Active Directory. La recherche dans l'annuaire vous permet de rechercher des comptes et des groupes d'annuaire et de les utiliser comme vous le feriez avec des comptes locaux.

Limites connues

  • La recherche dans l'annuaire ne permet pas de trouver des utilisateurs appartenant à un domaine d'approbation externe. Cette fonctionnalité n'est pas prise en charge car il n'existe pas d'autorité mutuellement approuvée dans le cadre des approbations externes.
  • L'authentification Windows utilise le protocole Kerberos dans Automation Suite. Par conséquent, la connexion Windows ne peut être utilisée qu'avec des machines appartenant à un domaine.

Étape 1. Configurer l'intégration d'Active Directory

Travaillez avec vos administrateurs informatiques pour vous assurer que le cluster Automation Suite peut accéder à votre Active Directory (AD).

L'intégration d'Active Directory peut être configurée à l'aide de l'une de ces deux options :

  1. Authentification Kerberos
  2. UsernameAndPassword

L'authentification Kerberos est recommandée car elle prend en charge davantage de scénarios :

Scénario

UsernameAndPassword

Authentification Kerberos

Recherche d'annuaire pour les domaines dans la même forêt

Pris en charge

Pris en charge

Recherche dans l'annuaire pour les domaines d'une forêt approuvée

Non pris en charge

Pris en charge

Recherche d'annuaire pour les domaines de confiance externes

Non pris en charge

Non pris en charge

a. Configuration Kerberos (recommandée)

  1. Configurez l’authentification Kerberos en suivant les instructions de la section Configuration de l’authentification Kerberos.
  2. Connectez-vous au portail hôte Automation Suite en tant qu'administrateur système.
  3. Accédez à Utilisateurs ( Users ) et sélectionnez l'onglet Paramètres d'authentification ( Authentication Settings ).
  4. Dans la section Fournisseurs externes (External Providers), cliquez sur Configurer (Configure) sous Active Directory.
    • Cochez la case Activé (Enabled).
    • Cochez la case Utiliser l'authentification Kerberos (Use Kerberos Auth).
  5. Cliquez sur Tester et enregistrer (Test and Save) pour enregistrer vos modifications.
  6. Redémarrez le pod 'identity-service-api-*'.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante : kubectl -n uipath rollout restart deployment identity-service-api

b. Configuration du nom d'utilisateur et du mot de passe (non recommandée)

Attention : Lorsque vous utilisez cette option, le service UiPath utilise les informations d'identification fournies en texte clair pour communiquer avec Active Directory.
Remarque : Seuls les utilisateurs du même domaine que celui configuré sur cette page peuvent interagir avec le cluster UiPath.
  1. Connectez-vous au portail hôte Automation Suite en tant qu'administrateur système.
  2. Accédez à Utilisateurs ( Users ) et sélectionnez l'onglet Paramètres d'authentification ( Authentication Settings ).
  3. Dans la section Fournisseurs externes (External Providers), cliquez sur Configurer (Configure) sous Active Directory.

    Le panneau Configurer Azure Active Directory (Configure Azure Active Directory) s'ouvre à droite de la fenêtre.

  4. Configurez l'intégration comme suit :
    • Cochez la case Activé (Enabled).
    • Pour imposer la connexion à l'aide de ce fournisseur, cochez la case Forcer la connexion automatique à l'aide de ce fournisseur ( Force automatic login using this provider) .
    • Cochez la case Utiliser l'authentification Kerberos ( Use Kerberos Auth ) pour utiliser le protocole Kerberos pour l'authentification. (Recommandé)
    • Dans le champ Nom complet (Display Name), saisissez le nom que vous souhaitez afficher sur la page Connexion de cette option de connexion.
    • Dans le champ Domaine par défaut (Default Domain), saisissez votre nom de domaine complet (FQDN) pour Active Directory (AD).
    • Dans le champ Nom d'utilisateur (Username), saisissez le nom d'utilisateur d'un utilisateur AD. Il doit être au format DOMAINE\nom d'utilisateur. Par exemple : DOMAINETEST\utilisateur1
    • Dans le champ Mot de passe utilisateur (User Password), saisissez le mot de passe du compte AD ci-dessus.
  5. Cliquez sur Tester et enregistrer (Test and Save) pour enregistrer les modifications.
  6. Redémarrez le pod 'identity-service-api-*'.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante : kubectl -n uipath rollout restart deployment identity-service-api

Résolution des problèmes

Si vous obtenez l'erreur Domain unreachable, vérifiez le routage DNS à l'aide de la commande getent ahosts <AD domain>.
S'il ne renvoie pas d'adresse IP, vérifiez le nœud /etc/resolv.conf. La valeur du serveur de noms doit désigner le DNS du domaine AD. Si ce n'est pas le cas, contactez votre administrateur système pour que la configuration soit appropriée.

Si le nœud s'exécute sur Azure, suivez les instructions de la rubrique Résolution des noms pour les ressources des réseaux virtuels Azure.

Pour cela, vous pouvez procéder comme suit :

  1. Dans Azure, accédez au réseau virtuel du nœud et définissez les serveurs DNS du réseau virtuel sur le DNS d'Active Directory.
  2. Exécutez systemctl restart NetworkManager.service et vérifiez que /etc/resolv.conf soit bien à jour.
  3. Redémarrez le DNS principal du cluster à partir d'ArgoCD.

Étape 2. Configurer l'authentification Windows

Prérequis

Obtenez <KERB_DEFAULT_KEYTAB>, qui est la chaîne encodée au format Base64 du fichier keytab généré dans le cadre de la configuration de Kerberos.

Configurer le cluster Automation Suite

  1. Accédez à Argo CD et connectez-vous en tant qu'administrateur.
  2. Sélectionnez l'application « uipath » et accédez-y.
  3. Cliquez sur APP DETAILS dans le coin supérieur gauche.
  4. Dans la section PARAMETERS, recherchez le paramètre global.userInputs.identity.krb5KeytabSecret.

    Le paramètre a par défaut une valeur d'espace réservé.

  5. Mettez à jour la valeur de l'espace réservé du paramètre avec <KERB_DEFAULT_KEYTAB> , puis enregistrez.
  6. Cliquez sur SYNC pour appliquer la modification.
  7. Après avoir réalisé la synchronisation, exécutez la commande kubectl -n uipath rollout restart deployment identity-service-api pour redémarrer Identity Server.

Étape 3. Configuration du navigateur

Microsoft Internet Explorer

Non pris en charge.

Microsoft Edge

Aucune configuration supplémentaire requise.

Google Chrome

Normalement, Google Chrome fonctionne sans configuration supplémentaire.

Si ce n'est pas le cas, veuillez suivre les instructions ci-dessous.

  1. Accédez à Outils > Options Internet > Sécurité.
  2. Sélectionnez Intranet local.
  3. Cliquez sur Sites.
  4. Assurez-vous que l'option Détecter automatiquement le réseau intranet est sélectionnée ou que toutes les options sont sélectionnées.
  5. Cliquez sur Avancé.
  6. Ajoutez le nom de domaine complet Automation Suite à Intranet local.
  7. Cliquez sur Fermer et OK.
  8. Cliquez sur Personnaliser le niveau.
  9. Sélectionnez éventuellement Connexion automatique uniquement dans la zone Intranet (Automatic logon only in Intranet zone) sous Authentification de l'utilisateur (User Authentication)

    Si cette option est sélectionnée, lorsque le navigateur reçoit la demande d'authentification de redirection, il vérifie la source de l'exigence. Si le domaine ou l'adresse IP appartient à l'intranet, le navigateur envoie automatiquement le nom d'utilisateur et le mot de passe. Si ce n'est pas le cas, le navigateur ouvre une boîte de dialogue de saisie avec le nom d'utilisateur et le mot de passe afin que ces informations soient entrées manuellement.

  10. Facultatif : Sélectionnez Connexion automatique avec le nom d'utilisateur et le mot de passe actuels (Automatic logon with current user name and password) sous Authentification de l'utilisateur (User Authentication).

    Si cette option est sélectionnée, lorsque le navigateur reçoit la demande d'authentification de redirection, il renvoie le nom d'utilisateur et le mot de passe en mode silencieux. Si l'authentification réussit, le navigateur poursuit en effectuant l'action initialement demandée. Si l'authentification échoue, le navigateur ouvre une boîte de dialogue de saisie avec le nom d'utilisateur et le mot de passe et effectue de nouvelles tentatives jusqu'à la réussite.

  11. Assurez-vous que l'option Activer l'authentification Windows intégrée est sélectionnée sous Options Internet > onglet Avancé et dans la section Sécurité.

Mozilla Firefox

  1. Ouvrez la fenêtre de configuration du navigateur.
  2. Tapez about:config dans la barre d'adresse.
  3. Spécifiez les noms de domaine complets d'Automation Suite pour lesquels vous utilisez l'authentification Kerberos :
    1. Recherchez le terme network.negotiate.
    2. Activez et définissez les éléments suivants pour Kerberos : network.negotiate-auth.delegation-uris (exemple de valeur : uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (exemple de valeur : uipath-34i5ui35f.westeurope.cloudapp.azure.com) et network.negotiate-auth.allow-non-fqdn (valeur : true).

Étape 4. Autoriser l'authentification Windows pour l'organisation

Maintenant qu'Automation Suite est intégrée à l'authentification Windows, les utilisateurs pour lesquels un compte utilisateur est créé dans Automation Suite peuvent utiliser l'option Windows sur la page Connexion (Login) pour se connecter à Automation Suite.



Chaque administrateur d'organisation doit le faire pour son organisation s'il souhaite autoriser la connexion avec les informations d'identification Windows.

  1. Connectez-vous à Automation Suite en tant qu'administrateur d'organisation.
  2. Attribuez un rôle au niveau de l'organisation à un utilisateur ou à un groupe Active Directory, que vous pouvez sélectionner via la recherche.
  3. Répétez l'étape ci-dessus pour chaque utilisateur que vous voulez autoriser à se connecter via l'authentification Windows.

Les utilisateurs auxquels vous avez attribué des rôles peuvent ensuite se connecter à l'organisation Automation Suite avec leur compte Active Directory. Ils doivent se connecter à partir d'une machine reliée au domaine.

Résolution des problèmes

Si vous recevez une erreur HTTP 500 lorsque vous essayez de vous connecter à l'aide des informations d'identification Windows, voici quelques éléments à vérifier :

  1. La machine Windows est-elle reliée au domaine ?

    Sur la machine, accédez à Panneau de configuration > Système et sécurité > Système et vérifiez si un domaine est affiché. Si aucun domaine n'est affiché, ajoutez la machine au domaine. Les machines doivent être reliées à un domaine pour pouvoir utiliser l'authentification Windows avec le protocole Kerberos.

  2. Pouvez-vous vous connecter à la machine Windows avec les mêmes informations d'identification ?

    Si ce n'est pas le cas, demandez l'aide de votre administrateur système.

  3. Utilisez-vous un navigateur autre que Microsoft Edge ?

    Une configuration supplémentaire est requise pour les navigateurs pris en charge autres que Microsoft Edge.

  4. Vérifiez la configuration du keytab :
    1. Après avoir généré le keytab, la propriété de l'utilisateur AD sur le serveur Active Directory (servicePrincpalName) doit être de la forme HTTP/<Service Fabric FQDN> - par exemple, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.

    2. L'option Ce compte prend en charge l'encodage Kerberos AES 256 bits doit être sélectionnée sur AD pour le compte d'utilisateur.

      Si la configuration est incorrecte, vous verrez s'afficher le texte suivant dans le journal identity-service-api :

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

  5. Si plusieurs Active Directory sont configurés dans le domaine que vous utilisez, l'authentification échouera et le texte suivant s'affichera dans le journal identity-service-api : 

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    Dans ce cas, assurez-vous que le compte de la machine créé pour l'authentification est répliqué sur l'ensemble des Active Directory.

  6. Si vous exécutez ktpass et attribuez un nouveau mot de passe au compte utilisateur, la version de la clé (kvno) est mise à niveau et invalide l'ancien keytab. Dans le journal identity-service-api, le texte suivant s'affichera : 
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    Dans ce cas, vous devez mettre à jour krb5KeytabSecret dans ArgoCD.
  7. Si vous voyez l'erreur suivante dans le pod identity-service-api : 
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Vérifiez d'abord si vous avez fourni le paramètre global.userInputs.identity.krb5KeytabSecret dans ArgoCD. Si le paramètre existe, vérifiez si vous pouvez vous connecter à la machine Windows avec les informations d'identification de l'utilisateur AD utilisé pour générer le keytab. Notez que vous devez régénérer le keytab si le mot de passe a été modifié ou a expiré.
    2. Une autre cause possible de ce problème est qu’ArgoCD n’a pas été correctement synchronisé auparavant. Pour résoudre le problème, supprimez le global.userInputs.identity.krb5KeytabSecret existant, synchronisez ArgoCD et, une fois l'opération réussie, mettez à jour global.userInputs.identity.krb5KeytabSecret et synchronisez à nouveau.

  8. Le navigateur utilise-t-il le SPN attendu ?

    Si la journalisation des événements Kerberos est activée en suivant ces instructions , l’erreur KDC_ERR_S_PRINCIPAL_UNKNOWN s’affichera dans les journaux des événements Kerberos. Pour plus de détails sur ce problème, consultez la documentation Microsoft .

    Pour résoudre ce problème, désactivez la recherche CNAME lors de la négociation de l'authentification Kerberos en modifiant la stratégie de groupe. Pour plus de détails, consultez les instructions pour Google Chrome et pour Microsoft Edge .

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
Forum UiPath
Forum de la communauté UiPath
Logo Uipath blanc
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2024 UiPath. All rights reserved.