- Première configuration
- Administration de l'hôte
- Configuration des notifications par e-mail du système
- Gestion des administrateurs système
- Créer ou supprimer des organisations
- Journaux d'audit pour le portail hôte
- Configurer l'intégration d'Active Directory
- Configuration de l'authentification unique : SAML 2.0
- Configuration de l'authentification unique : Google
- Configuration de l'authentification unique : Azure AD
- Personnalisation de la page Connexion
- Administration de l'organisation
- Comptes et rôles
- Licences
Configurer l'intégration d'Active Directory
Vous pouvez activer l'authentification unique à l'aide de l'authentification Windows et activer la fonctionnalité de recherche dans l'annuaire avec l'intégration Active Directory. La recherche dans l'annuaire vous permet de rechercher des comptes et des groupes d'annuaire et de les utiliser comme vous le feriez avec des comptes locaux.
- La recherche dans l'annuaire ne permet pas de trouver des utilisateurs appartenant à un domaine d'approbation externe. Cette fonctionnalité n'est pas prise en charge car il n'existe pas d'autorité mutuellement approuvée dans le cadre des approbations externes.
- L'authentification Windows utilise le protocole Kerberos dans Automation Suite. Par conséquent, la connexion Windows ne peut être utilisée qu'avec des machines appartenant à un domaine.
Travaillez avec vos administrateurs informatiques pour vous assurer que le cluster Automation Suite peut accéder à votre Active Directory (AD).
L'intégration d'Active Directory peut être configurée à l'aide de l'une de ces deux options :
- Authentification Kerberos
- UsernameAndPassword
L'authentification Kerberos est recommandée car elle prend en charge davantage de scénarios :
Scénario |
UsernameAndPassword |
Authentification Kerberos |
---|---|---|
Recherche d'annuaire pour les domaines dans la même forêt |
Pris en charge |
Pris en charge |
Recherche dans l'annuaire pour les domaines d'une forêt approuvée |
Non pris en charge |
Pris en charge |
Recherche d'annuaire pour les domaines de confiance externes |
Non pris en charge |
Non pris en charge |
Ancienne expérience d'administrateur
Si vous avez désactivé le bouton Nouvelle expérience administrateur (New admin experience), suivez ces instructions :
B.1. Prérequis pour l'utilisation de LDAPS
Si vous avez l'intention d'utiliser LDAP sur SSL (LDAPS), vous devez d'abord configurer LDAP sur SSL dans votre environnement AD et obtenir le certificat racine à utiliser dans la configuration du cluster UiPath.
Problème connu
: le certificat LDAPS configuré n'est pas conservé lors de la mise à niveau. Par conséquent, après une mise à niveau, il est nécessaire d'ajouter à nouveau le certificat LDAPS pour que les connexions sécurisées LDAP fonctionnent.
b.2. Configuration d’Active Directory
Ancienne expérience d'administrateur
Si vous avez désactivé le bouton Nouvelle expérience administrateur (New admin experience), suivez ces instructions :
Résolution des problèmes
Domaine inaccessible.
Domain unreachable
, vérifiez le routage DNS à l'aide de la commande getent ahosts <AD domain>
.
/etc/resolv.conf
. La valeur du serveur de noms doit désigner le DNS du domaine AD. Si ce n'est pas le cas, contactez votre administrateur système pour que la configuration soit appropriée.
Si le nœud s'exécute sur Azure, suivez les instructions de la rubrique Résolution des noms pour les ressources des réseaux virtuels Azure.
Pour cela, vous pouvez procéder comme suit :
- Dans Azure, accédez au réseau virtuel du nœud et définissez les serveurs DNS du réseau virtuel sur le DNS d'Active Directory.
-
Vérifiez si
/etc/resolv.conf
est mis à jour en exécutant la commande suivante :systemctl restart NetworkManager.service
- Redémarrez le DNS principal du cluster à partir d'ArgoCD.
Domaine inaccessible lors de l'utilisation de LDAPS
Domain unreachable
lorsque LDAPS est activé, cela peut être dû à l'utilisation du mauvais certificat.
Vérifiez si vous disposez de plusieurs certificats valides pour l'authentification du serveur dans le magasin de certificats de l'ordinateur local du serveur LDAP. Si tel est le cas, un certificat différent de celui souhaité peut être utilisé pour les communications LDAPS.
La solution la plus simple consiste à supprimer tous les certificats inutiles du magasin de certificats de l'ordinateur local et à n'avoir qu'un seul certificat valide pour l'authentification du serveur.
<KERB_DEFAULT_KEYTAB>
, qui est la chaîne encodée au format Base64 du fichier keytab généré dans le cadre de la configuration de Kerberos.
Remarques importantes :
Ignorez cette étape si vous avez déjà configuré Automation Suite en tant que client Kerberos en suivant la procédure décrite dans le guide Configuration d'Automation Suite en tant que client Kerberos.
Si vous avez configuré l'intégration Active Directory via la méthode du nom d'utilisateur et du mot de passe, ce qui n'est pas recommandé, procédez comme suit :
Normalement, Google Chrome fonctionne sans configuration supplémentaire.
Si ce n'est pas le cas, veuillez suivre les instructions ci-dessous.
- Ouvrez la fenêtre de configuration du navigateur.
- Tapez about:config dans la barre d'adresse.
- Spécifiez les noms de domaine complets d'Automation Suite pour lesquels vous utilisez l'authentification Kerberos :
- Recherchez le terme
network.negotiate
. - Activez et définissez les éléments suivants pour Kerberos :
network.negotiate-auth.delegation-uris
(exemple de valeur :uipath-34i5ui35f.westeurope.cloudapp.azure.com
),network.negotiate-auth.trusted-uris
(exemple de valeur :uipath-34i5ui35f.westeurope.cloudapp.azure.com
) etnetwork.negotiate-auth.allow-non-fqdn
(valeur :true
).
- Recherchez le terme
Maintenant qu'Automation Suite est intégrée à l'authentification Windows, les utilisateurs pour lesquels un compte utilisateur est créé dans Automation Suite peuvent utiliser l'option Windows sur la page Connexion (Login) pour se connecter à Automation Suite.
Chaque administrateur d'organisation doit le faire pour son organisation s'il souhaite autoriser la connexion avec les informations d'identification Windows.
- Connectez-vous à Automation Suite en tant qu'administrateur d'organisation.
- Attribuez un rôle au niveau de l'organisation à un utilisateur ou à un groupe Active Directory, que vous pouvez sélectionner via la recherche.
- Répétez l'étape ci-dessus pour chaque utilisateur que vous voulez autoriser à se connecter via l'authentification Windows.
Les utilisateurs auxquels vous avez attribué des rôles peuvent ensuite se connecter à l'organisation Automation Suite avec leur compte Active Directory. Ils doivent se connecter à partir d'une machine reliée au domaine.
Si vous recevez une erreur HTTP 500 lorsque vous essayez de vous connecter à l'aide des informations d'identification Windows, voici quelques éléments à vérifier :
-
La machine Windows est-elle reliée au domaine ?
Sur la machine, accédez à Panneau de configuration > Système et sécurité > Système et vérifiez si un domaine est affiché. Si aucun domaine n'est affiché, ajoutez la machine au domaine. Les machines doivent être reliées à un domaine pour pouvoir utiliser l'authentification Windows avec le protocole Kerberos.
-
Pouvez-vous vous connecter à la machine Windows avec les mêmes informations d'identification ?
Si ce n'est pas le cas, demandez l'aide de votre administrateur système.
-
Utilisez-vous un navigateur autre que Microsoft Edge ?
Une configuration supplémentaire est requise pour les navigateurs pris en charge autres que Microsoft Edge.
- Vérifiez la configuration du keytab :
- Après avoir généré le keytab, la propriété de l'utilisateur AD sur le serveur Active Directory (
servicePrincpalName
) doit être de la formeHTTP/<Service Fabric FQDN>
- par exemple,HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
. -
L'option Ce compte prend en charge l'encodage Kerberos AES 256 bits doit être sélectionnée sur AD pour le compte d'utilisateur.
Si la configuration est incorrecte, vous verrez s'afficher le texte suivant dans le journal identity-service-api :
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- Après avoir généré le keytab, la propriété de l'utilisateur AD sur le serveur Active Directory (
-
Si plusieurs Active Directory sont configurés dans le domaine que vous utilisez, l'authentification échouera et le texte suivant s'affichera dans le journal identity-service-api :
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsDans ce cas, assurez-vous que le compte de la machine créé pour l'authentification est répliqué sur l'ensemble des Active Directory.
-
Si vous exécutez
ktpass
et attribuez un nouveau mot de passe au compte utilisateur, la version de la clé (kvno
) est mise à niveau et invalide l'ancien keytab. Dans le journal identity-service-api, le texte suivant s'affichera :Dans ce cas, vous devez mettre à jourRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
dans ArgoCD. -
Si vous voyez l'erreur suivante dans le pod
identity-service-api
:GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
Vérifiez d'abord si vous avez fourni le paramètre
global.userInputs.identity.krb5KeytabSecret
dans ArgoCD. Si le paramètre existe, vérifiez si vous pouvez vous connecter à la machine Windows avec les informations d'identification de l'utilisateur AD utilisé pour générer le keytab. Notez que vous devez régénérer le keytab si le mot de passe a été modifié ou a expiré. -
Une autre cause possible de ce problème est qu’ArgoCD n’a pas été correctement synchronisé auparavant. Pour résoudre le problème, supprimez le
global.userInputs.identity.krb5KeytabSecret
existant, synchronisez ArgoCD et, une fois l'opération réussie, mettez à jourglobal.userInputs.identity.krb5KeytabSecret
et synchronisez à nouveau.
-
-
Le navigateur utilise-t-il le SPN attendu ?
Si la journalisation des événements Kerberos est activée en suivant ces instructions , l’erreurKDC_ERR_S_PRINCIPAL_UNKNOWN
s’affichera dans les journaux des événements Kerberos. Pour plus de détails sur ce problème, consultez la documentation Microsoft .Pour résoudre ce problème, désactivez la recherche CNAME lors de la négociation de l'authentification Kerberos en modifiant la stratégie de groupe. Pour plus de détails, consultez les instructions pour Google Chrome et pour Microsoft Edge .
- Limites connues
- Étape 1. Configurer l'intégration d'Active Directory
- a. Configuration Kerberos (recommandée)
- b. Configuration du nom d'utilisateur et du mot de passe
- Étape 2. Configurer l'authentification Windows
- Prérequis
- Configurer le cluster Automation Suite
- Étape 3. Configuration du navigateur
- Microsoft Internet Explorer
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Étape 4. Autoriser l'authentification Windows pour l'organisation
- Résolution des problèmes