Automation Suite
2023.10
False
Image de fond de la bannière
Guide d'administration d'Automation Suite
Dernière mise à jour 25 mars 2024

Configurer l'intégration d'Active Directory

Avertissement :

L’intégration d’Active Directory n’est pas prise en charge avec Automation Suite sur AKS/EKS.

Vous pouvez activer l'authentification unique à l'aide de l'authentification Windows et activer la fonctionnalité de recherche dans l'annuaire avec l'intégration Active Directory. La recherche dans l'annuaire vous permet de rechercher des comptes et des groupes d'annuaire et de les utiliser comme vous le feriez avec des comptes locaux.

Limites connues

  • La recherche dans l'annuaire ne permet pas de trouver des utilisateurs appartenant à un domaine d'approbation externe. Cette fonctionnalité n'est pas prise en charge car il n'existe pas d'autorité mutuellement approuvée dans le cadre des approbations externes.
  • L'authentification Windows utilise le protocole Kerberos dans Automation Suite. Par conséquent, la connexion Windows ne peut être utilisée qu'avec des machines appartenant à un domaine.

Étape 1. Configurer l'intégration d'Active Directory

Travaillez avec vos administrateurs informatiques pour vous assurer que le cluster Automation Suite peut accéder à votre Active Directory (AD).

L'intégration d'Active Directory peut être configurée à l'aide de l'une de ces deux options :

  1. Authentification Kerberos
  2. UsernameAndPassword

L'authentification Kerberos est recommandée car elle prend en charge davantage de scénarios :

Scénario

UsernameAndPassword

Authentification Kerberos

Recherche d'annuaire pour les domaines dans la même forêt

Pris en charge

Pris en charge

Recherche dans l'annuaire pour les domaines d'une forêt approuvée

Non pris en charge

Pris en charge

Recherche d'annuaire pour les domaines de confiance externes

Non pris en charge

Non pris en charge

Dans un environnement Active Directory, LDAPS est une connexion sécurisée couramment utilisée pour les services d'annuaire. Il est important de noter que les scénarios de prise en charge LDAPS diffèrent en fonction du mécanisme d'authentification utilisé.

Mécanisme d'authentification

Prise en charge LDAPS

UsernameAndPassword

Pris en charge

Authentification Kerberos

Non pris en charge

a. Configuration Kerberos (recommandée)

  1. Configurez l’authentification Kerberos en suivant les instructions de la section Configuration de l’authentification Kerberos.
  2. Connectez-vous au portail hôte Automation Suite en tant qu'administrateur système.
  3. Assurez-vous que Hôte (Host) est sélectionné en haut du volet gauche, puis cliquez sur Sécurité (Security).
  4. Sous Active Directory, cliquez sur Configurer (Configure).
    • Cochez éventuellement la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory. N’effectuez cette opération que si l’intégration avec le fournisseur a été validée avec succès pour éviter le verrouillage.
    • Laissez la case Utiliser l'authentification Kerberos (Use Kerberos Auth) cochée.
    • Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .
  5. Cliquez sur Enregistrer (Save) pour enregistrer vos modifications et revenir à la page précédente.
  6. Cliquez sur le bouton à gauche d'Active Directory pour activer l'intégration.
  7. Redémarrez le pod identity-service-api-*.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante : kubectl -n uipath rollout restart deployment identity-service-api

b. Configuration du nom d'utilisateur et du mot de passe

Attention : Lorsque vous utilisez cette option, le service UiPath utilise les informations d'identification fournies en texte clair pour communiquer avec Active Directory. Pour éviter cela, nous vous recommandons d'utiliser LDAP sur SSL (LDAPS) avec cette configuration.
Attention : Seuls les utilisateurs de la même forêt que celle configurée dans cette page peuvent interagir avec le cluster UiPath. Les utilisateurs des forêts approuvées ne pourront pas se connecter à ce cluster UiPath.

B.1. Prérequis pour l'utilisation de LDAPS

Si vous avez l'intention d'utiliser LDAP sur SSL (LDAPS), vous devez d'abord configurer LDAP sur SSL dans votre environnement AD et obtenir le certificat racine à utiliser dans la configuration du cluster UiPath.

Remarque :

Problème connu
: le certificat LDAPS configuré n'est pas conservé lors de la mise à niveau. Par conséquent, après une mise à niveau, il est nécessaire d'ajouter à nouveau le certificat LDAPS pour que les connexions sécurisées LDAP fonctionnent.

  1. Obtenez et installez le certificat SSL pour LDAPS sur chaque contrôleur de domaine.

    Pour plus d'informations et d'instructions, consultez l'article Certificat LDAP sur SSL (LDAPS) (LDAP over SSL (LDAPS) Certificate).

  2. Encodez le certificat racine en Base64 en exécutant la commande suivante :
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  3. Ajoutez le certificat racine encodé dans ArgoCD :
    1. Connectez-vous à ArgoCD.
    2. bSélectionnez l'application uipath et accédez-y.
    3. Dans le coin supérieur gauche, cliquez sur DÉTAILS DE L'APPLICATION (APP DETAILS).
    4. Dans la section Paramètres (Parameters), recherchez le paramètre global.userInputs.certificate.identity.ldaps.customRootCA.
    5. Mettez à jour la valeur du paramètre avec le contenu encodé que vous avez obtenu précédemment.
    6. Enregistrer.
    7. Cliquez sur SYNC pour enregistrer toutes vos modifications.

b.2. Configuration d’Active Directory

  1. Connectez-vous au portail hôte Automation Suite en tant qu'administrateur système.
  2. Assurez-vous que Hôte (Host) est sélectionné en haut du volet gauche, puis cliquez sur Sécurité (Security).
  3. Sous Active Directory, cliquez sur Configurer (Configure).
    • Si vous souhaitez autoriser uniquement les connections avec des comptes Active Directory, cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider).
    • Décochez la case Utiliser l'authentification Kerberos (Use Kerberos Auth).
    • (Facultatif, mais fortement recommandé) Cochez la case Utiliser LDAP sur SSL (LDAPS).
    • Dans le champ Nom complet (Display Name), saisissez le nom que vous souhaitez afficher sur la page Connexion de cette option de connexion.
    • Dans le champ Domaine par défaut (Default Domain), saisissez votre nom de domaine complet (FQDN) pour Active Directory (AD).
    • Dans le champ Nom d'utilisateur (Username), saisissez le nom d'utilisateur d'un utilisateur AD. Il doit être au format DOMAIN\username. Par exemple, TESTDOMAIN\user1.
    • Dans le champ Mot de passe utilisateur (User Password), saisissez le mot de passe du compte AD ci-dessus.
  4. Cliquez sur Tester et enregistrer (Test and Save) pour enregistrer les modifications et revenir à la page précédente.
  5. Cliquez sur le bouton à gauche d'Active Directory pour activer l'intégration.
  6. Redémarrez le pod identity-service-api-*.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante : kubectl -n uipath rollout restart deployment identity-service-api

Étape 2. Configurer l'authentification Windows

Prérequis

Obtenez <KERB_DEFAULT_KEYTAB>, qui est la chaîne encodée au format Base64 du fichier keytab généré dans le cadre de la configuration de Kerberos.

Configurer le cluster Automation Suite

Remarques importantes :

Ignorez cette étape si vous avez déjà configuré Automation Suite en tant que client Kerberos en suivant la procédure décrite dans le guide Configuration d'Automation Suite en tant que client Kerberos.

Si vous avez configuré l'intégration Active Directory via la méthode du nom d'utilisateur et du mot de passe, ce qui n'est pas recommandé, procédez comme suit :

  1. Accédez à Argo CD et connectez-vous en tant qu'administrateur.
  2. Sélectionnez l'application « uipath » et accédez-y.
  3. Cliquez sur APP DETAILS dans le coin supérieur gauche.
  4. Dans la section PARAMETERS, recherchez le paramètre global.kerberosAuthConfig.userKeytab.

    Le paramètre a par défaut une valeur d'espace réservé.

  5. Mettez à jour la valeur de l'espace réservé du paramètre avec <KERB_DEFAULT_KEYTAB> , puis enregistrez.
  6. Cliquez sur SYNC pour appliquer la modification.
  7. Après une synchronisation réussie, redémarrez Identity Server en exécutant la commande suivante :

    kubectl -n uipath rollout restart deployment identity-service-api

Étape 3. Configuration du navigateur

Microsoft Internet Explorer

Non pris en charge.

Microsoft Edge

Aucune configuration supplémentaire requise.

Google Chrome

Normalement, Google Chrome fonctionne sans configuration supplémentaire.

Si ce n'est pas le cas, veuillez suivre les instructions ci-dessous.

  1. Accédez à Outils > Options Internet > Sécurité.
  2. Sélectionnez Intranet local.
  3. Cliquez sur Sites.
  4. Assurez-vous que l'option Détecter automatiquement le réseau intranet est sélectionnée ou que toutes les options sont sélectionnées.
  5. Cliquez sur Avancé.
  6. Ajoutez le nom de domaine complet Automation Suite à Intranet local.
  7. Cliquez sur Fermer et OK.
  8. Cliquez sur Personnaliser le niveau.
  9. Sélectionnez éventuellement Connexion automatique uniquement dans la zone Intranet (Automatic logon only in Intranet zone) sous Authentification de l'utilisateur (User Authentication)

    Si cette option est sélectionnée, lorsque le navigateur reçoit la demande d'authentification de redirection, il vérifie la source de l'exigence. Si le domaine ou l'adresse IP appartient à l'intranet, le navigateur envoie automatiquement le nom d'utilisateur et le mot de passe. Si ce n'est pas le cas, le navigateur ouvre une boîte de dialogue de saisie avec le nom d'utilisateur et le mot de passe afin que ces informations soient entrées manuellement.

  10. Facultatif : Sélectionnez Connexion automatique avec le nom d'utilisateur et le mot de passe actuels (Automatic logon with current user name and password) sous Authentification de l'utilisateur (User Authentication).

    Si cette option est sélectionnée, lorsque le navigateur reçoit la demande d'authentification de redirection, il renvoie le nom d'utilisateur et le mot de passe en mode silencieux. Si l'authentification réussit, le navigateur poursuit en effectuant l'action initialement demandée. Si l'authentification échoue, le navigateur ouvre une boîte de dialogue de saisie avec le nom d'utilisateur et le mot de passe et effectue de nouvelles tentatives jusqu'à la réussite.

  11. Assurez-vous que l'option Activer l'authentification Windows intégrée est sélectionnée sous Options Internet > onglet Avancé et dans la section Sécurité.

Mozilla Firefox

  1. Ouvrez la fenêtre de configuration du navigateur.
  2. Tapez about:config dans la barre d'adresse.
  3. Spécifiez les noms de domaine complets d'Automation Suite pour lesquels vous utilisez l'authentification Kerberos :
    1. Recherchez le terme network.negotiate.
    2. Activez et définissez les éléments suivants pour Kerberos : network.negotiate-auth.delegation-uris (exemple de valeur : uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (exemple de valeur : uipath-34i5ui35f.westeurope.cloudapp.azure.com) et network.negotiate-auth.allow-non-fqdn (valeur : true).

Étape 4. Autoriser l'authentification Windows pour l'organisation

Maintenant qu'Automation Suite est intégrée à l'authentification Windows, les utilisateurs pour lesquels un compte utilisateur est créé dans Automation Suite peuvent utiliser l'option Windows sur la page Connexion (Login) pour se connecter à Automation Suite.



Chaque administrateur d'organisation doit le faire pour son organisation s'il souhaite autoriser la connexion avec les informations d'identification Windows.

  1. Connectez-vous à Automation Suite en tant qu'administrateur d'organisation.
  2. Attribuez un rôle au niveau de l'organisation à un utilisateur ou à un groupe Active Directory, que vous pouvez sélectionner via la recherche.
  3. Répétez l'étape ci-dessus pour chaque utilisateur que vous voulez autoriser à se connecter via l'authentification Windows.

Les utilisateurs auxquels vous avez attribué des rôles peuvent ensuite se connecter à l'organisation Automation Suite avec leur compte Active Directory. Ils doivent se connecter à partir d'une machine reliée au domaine.

Résolution des problèmes

Si vous recevez une erreur HTTP 500 lorsque vous essayez de vous connecter à l'aide des informations d'identification Windows, voici quelques éléments à vérifier :

  1. La machine Windows est-elle reliée au domaine ?

    Sur la machine, accédez à Panneau de configuration > Système et sécurité > Système et vérifiez si un domaine est affiché. Si aucun domaine n'est affiché, ajoutez la machine au domaine. Les machines doivent être reliées à un domaine pour pouvoir utiliser l'authentification Windows avec le protocole Kerberos.

  2. Pouvez-vous vous connecter à la machine Windows avec les mêmes informations d'identification ?

    Si ce n'est pas le cas, demandez l'aide de votre administrateur système.

  3. Utilisez-vous un navigateur autre que Microsoft Edge ?

    Une configuration supplémentaire est requise pour les navigateurs pris en charge autres que Microsoft Edge.

  4. Vérifiez la configuration du keytab :
    1. Après avoir généré le keytab, la propriété de l'utilisateur AD sur le serveur Active Directory (servicePrincpalName) doit être de la forme HTTP/<Service Fabric FQDN> - par exemple, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.

    2. L'option Ce compte prend en charge l'encodage Kerberos AES 256 bits doit être sélectionnée sur AD pour le compte d'utilisateur.

      Si la configuration est incorrecte, vous verrez s'afficher le texte suivant dans le journal identity-service-api :

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

  5. Si plusieurs Active Directory sont configurés dans le domaine que vous utilisez, l'authentification échouera et le texte suivant s'affichera dans le journal identity-service-api : 

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    Dans ce cas, assurez-vous que le compte de la machine créé pour l'authentification est répliqué sur l'ensemble des Active Directory.

  6. Si vous exécutez ktpass et attribuez un nouveau mot de passe au compte utilisateur, la version de la clé (kvno) est mise à niveau et invalide l'ancien keytab. Dans le journal identity-service-api, le texte suivant s'affichera : 
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    Dans ce cas, vous devez mettre à jour krb5KeytabSecret dans ArgoCD.
  7. Si vous voyez l'erreur suivante dans le pod identity-service-api : 
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Vérifiez d'abord si vous avez fourni le paramètre global.userInputs.identity.krb5KeytabSecret dans ArgoCD. Si le paramètre existe, vérifiez si vous pouvez vous connecter à la machine Windows avec les informations d'identification de l'utilisateur AD utilisé pour générer le keytab. Notez que vous devez régénérer le keytab si le mot de passe a été modifié ou a expiré.
    2. Une autre cause possible de ce problème est qu’ArgoCD n’a pas été correctement synchronisé auparavant. Pour résoudre le problème, supprimez le global.userInputs.identity.krb5KeytabSecret existant, synchronisez ArgoCD et, une fois l'opération réussie, mettez à jour global.userInputs.identity.krb5KeytabSecret et synchronisez à nouveau.

  8. Le navigateur utilise-t-il le SPN attendu ?

    Si la journalisation des événements Kerberos est activée en suivant ces instructions , l’erreur KDC_ERR_S_PRINCIPAL_UNKNOWN s’affichera dans les journaux des événements Kerberos. Pour plus de détails sur ce problème, consultez la documentation Microsoft .

    Pour résoudre ce problème, désactivez la recherche CNAME lors de la négociation de l'authentification Kerberos en modifiant la stratégie de groupe. Pour plus de détails, consultez les instructions pour Google Chrome et pour Microsoft Edge .

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
Forum UiPath
Forum de la communauté UiPath
Logo Uipath blanc
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2024 UiPath. All rights reserved.