automation-suite
2024.10
true
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique. La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.
UiPath logo, featuring letters U and I in white

Guide d'administration d'Automation Suite

Dernière mise à jour 24 févr. 2025

Configurer l'intégration d'Active Directory

Avertissement :

L’intégration d’Active Directory n’est pas prise en charge avec Automation Suite sur AKS/EKS.

Vous pouvez activer l'authentification unique via l'authentification Windows et activer la fonctionnalité de recherche dans l'annuaire via l'intégration Active Directory. La recherche dans l'annuaire vous permet de rechercher des comptes et des groupes présents dans l'annuaire et de travailler avec eux comme vous le feriez avec des comptes locaux.

Limites connues

  • La recherche dans l'annuaire ne permet pas de trouver des utilisateurs appartenant à un domaine d'approbation externe. Cette fonctionnalité n'est pas prise en charge car il n'existe pas d'autorité mutuellement approuvée dans le cadre des approbations externes.
  • L'authentification Windows utilise le protocole Kerberos dans Automation Suite. Par conséquent, la connexion Windows ne peut être utilisée qu'avec des machines appartenant à un domaine.

Étape 1. Configurer l'intégration d'Active Directory

Travaillez avec vos administrateurs informatiques pour vous assurer que le cluster Automation Suite peut accéder à votre Active Directory (AD).

L'intégration d'Active Directory peut être configurée à l'aide de l'une de ces deux options :

  1. Authentification Kerberos
  2. UsernameAndPassword

L'authentification Kerberos est recommandée car elle prend en charge davantage de scénarios, comme décrit dans le tableau suivant :

Scénario

UsernameAndPassword

Authentification Kerberos

Recherche d'annuaire pour les domaines dans la même forêt

Pris en charge

Pris en charge

Recherche dans l'annuaire pour les domaines d'une forêt approuvée

Non pris en charge

Pris en charge

Recherche d'annuaire pour les domaines de confiance externes

Non pris en charge

Non pris en charge

Dans un environnement Active Directory, LDAPS est une connexion sécurisée couramment utilisée pour les services d'annuaire. Il est important de noter que les scénarios de prise en charge LDAPS diffèrent en fonction du mécanisme d'authentification utilisé, comme décrit dans le tableau suivant :

Mécanisme d'authentification

Prise en charge LDAPS

UsernameAndPassword

Pris en charge

Authentification Kerberos

Non pris en charge

a. Configuration Kerberos (recommandée)

  1. Configurez l’authentification Kerberos en suivant les instructions de la section Configuration de l’authentification Kerberos .
  2. Connectez-vous au portail hôte en tant qu'administrateur système.
  3. Assurez-vous que Hôte (Host) est sélectionné en haut du volet gauche, puis sélectionnez Sécurité (Security).
  4. Sous Active Directory, sélectionnez Configurer (Configure).
    • Cochez éventuellement la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory. N’effectuez cette opération que si l’intégration avec le fournisseur a été validée avec succès pour éviter le verrouillage.
    • Laissez la case Utiliser l'authentification Kerberos (Use Kerberos Auth) cochée.
    • Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .
  5. Sélectionnez Enregistrer (Save) pour enregistrer vos modifications et revenir à la page précédente.
  6. Sélectionnez le bouton à gauche d' Active Directory pour activer l'intégration.
  7. Redémarrez le pod identity-service-api-*.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante : kubectl -n uipath rollout restart deployment identity-service-api

Ancienne expérience d'administrateur

Si vous avez désactivé le bouton Nouvelle expérience administrateur (New admin experience), suivez ces instructions :

  1. Configurez l'authentification Kerberos en suivant les instructions de la section Configuration de l'authentification Kerberos.
  2. Connectez-vous au portail hôte en tant qu'administrateur système.
  3. Accédez aux Paramètres de sécurité (Security Settings).
  4. Dans la section Fournisseurs externes (External Providers ), sélectionnez Configurer (Configure) sous Active Directory.
    • Cochez la case Activé (Enabled) pour activer l'intégration.
    • Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory. :fa-warning: Effectuez cette opération uniquement si l'intégration avec le fournisseur a été validée avec succès pour éviter le verrouillage.
    • Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .
    • Laissez la case Utiliser l'authentification Kerberos (Use Kerberos Auth) cochée.
  5. Sélectionnez Tester et enregistrer (Test and Save) pour enregistrer vos modifications.
  6. Redémarrez le pod identity-service-api-*.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante : kubectl -n uipath rollout restart deployment identity-service-api

b. Configuration du nom d'utilisateur et du mot de passe

Attention : lorsque vous utilisez cette option, le service UiPath® utilise les informations d’identification fournies en texte clair pour communiquer avec Active Directory. Pour éviter cela, nous vous recommandons d’utiliser LDAP sur SSL (LDAPS) avec cette configuration.
Attention : Seuls les utilisateurs de la même forêt que celle configurée dans cette page peuvent interagir avec le cluster UiPath. Les utilisateurs des forêts approuvées ne pourront pas se connecter à ce cluster UiPath.

B.1. Prérequis pour l'utilisation de LDAPS

Si vous avez l'intention d'utiliser LDAP sur SSL (LDAPS), vous devez d'abord configurer LDAP sur SSL dans votre environnement AD et obtenir le certificat racine à utiliser dans la configuration du cluster UiPath.

Remarque :

Problème connu
: le certificat LDAPS configuré n'est pas conservé lors de la mise à niveau. Par conséquent, après une mise à niveau, il est nécessaire d'ajouter à nouveau le certificat LDAPS pour que les connexions sécurisées LDAP fonctionnent.

  1. Obtenez et installez le certificat SSL pour LDAPS sur chaque contrôleur de domaine.

    Pour plus d'informations et d'instructions, consultez l'article Certificat LDAP sur SSL (LDAPS) (LDAP over SSL (LDAPS) Certificate).

  2. Encodez le certificat racine en Base64 en exécutant la commande suivante :
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  3. Ajoutez le certificat racine encodé dans ArgoCD :
    1. Connectez-vous à ArgoCD.
    2. bSélectionnez l'application uipath et accédez-y.
    3. Dans le coin supérieur gauche, sélectionnez DÉTAILS DE L'APPLICATION (APP DETAILS).
    4. Dans la section Paramètres (Parameters), recherchez le paramètre global.userInputs.certificate.identity.ldaps.customRootCA.
    5. Mettez à jour la valeur du paramètre avec le contenu encodé que vous avez obtenu précédemment.
    6. Enregistrer.
    7. Sélectionnez SYNC pour enregistrer toutes vos modifications.

b.2. Configuration d’Active Directory

  1. Connectez-vous au portail hôte en tant qu'administrateur système.
  2. Assurez-vous que Hôte (Host) est sélectionné en haut du volet gauche, puis sélectionnez Sécurité (Security).
  3. Sous Active Directory, sélectionnez Configurer (Configure).
    • Si vous souhaitez autoriser uniquement les connections avec des comptes Active Directory, cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider).
    • Décochez la case Utiliser l'authentification Kerberos (Use Kerberos Auth).
    • (Facultatif, mais fortement recommandé) Cochez la case Utiliser LDAP sur SSL (LDAPS).
    • Dans le champ Nom complet (Display Name), saisissez le nom que vous souhaitez afficher sur la page Connexion de cette option de connexion.
    • Dans le champ Domaine par défaut (Default Domain), saisissez votre nom de domaine complet (FQDN) pour Active Directory (AD).
    • Dans le champ Nom d'utilisateur (Username), saisissez le nom d'utilisateur d'un utilisateur AD. Il doit être au format DOMAIN\username. Par exemple, TESTDOMAIN\user1.
    • Dans le champ Mot de passe utilisateur (User Password) , saisissez le mot de passe du compte AD.
  4. Sélectionnez Tester et enregistrer (Test and Save) pour enregistrer les modifications et revenir à la page précédente.
  5. Sélectionnez le bouton à gauche d' Active Directory pour activer l'intégration.
  6. Redémarrez le pod identity-service-api-*.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante : kubectl -n uipath rollout restart deployment identity-service-api

Étape 2. Configurer l'authentification Windows

Prérequis

Obtenez <KERB_DEFAULT_KEYTAB>, qui est la chaîne encodée au format Base64 du fichier keytab généré dans le cadre de la configuration de Kerberos.

Configurer le cluster Automation Suite

Remarques importantes :

Ignorez cette étape si vous avez déjà configuré Automation Suite en tant que client Kerberos en suivant la procédure décrite dans le guide Configuration d'Automation Suite en tant que client Kerberos.

Si vous avez configuré l'intégration Active Directory via la méthode du nom d'utilisateur et du mot de passe, ce qui n'est pas recommandé, procédez comme suit :

  1. Accédez à Argo CD et connectez-vous en tant qu'administrateur.
  2. Sélectionnez l'application « uipath » et accédez-y.
  3. Sélectionnez DÉTAILS DE L'APPLICATION (APP DETAILS) dans le coin supérieur gauche.
  4. Dans la section PARAMETERS, recherchez le paramètre global.kerberosAuthConfig.userKeytab.

    Le paramètre a par défaut une valeur d'espace réservé.

  5. Mettez à jour la valeur de l'espace réservé du paramètre avec <KERB_DEFAULT_KEYTAB> , puis enregistrez.
  6. Sélectionnez SYNC pour appliquer la modification.
  7. Après une synchronisation réussie, redémarrez Identity Server en exécutant la commande suivante :

    kubectl -n uipath rollout restart deployment identity-service-api

Étape 3. Configuration du navigateur

Microsoft Internet Explorer

Non pris en charge.

Microsoft Edge

Aucune configuration supplémentaire requise.

Google Chrome

Normalement, Google Chrome fonctionne sans configuration supplémentaire.

Si cela ne fonctionne pas, procédez comme suit :

  1. Accédez à Outils > Options Internet > Sécurité.
  2. Sélectionnez Intranet local.
  3. Sélectionnez des sites.
  4. Assurez-vous que l'option Détecter automatiquement le réseau intranet est sélectionnée ou que toutes les options sont sélectionnées.
  5. Sélectionnez Avancé.
  6. Ajoutez le nom de domaine complet Automation Suite à Intranet local.
  7. Sélectionnez Fermer et OK(Close and OK).
  8. Sélectionnez au niveau personnalisé.
  9. Sélectionnez éventuellement Connexion automatique uniquement dans la zone Intranet (Automatic logon only in Intranet zone) sous Authentification de l'utilisateur (User Authentication)

    Si cette option est sélectionnée, lorsque le navigateur reçoit la demande d'authentification de redirection, il vérifie la source de l'exigence. Si le domaine ou l'adresse IP appartient à l'intranet, le navigateur envoie automatiquement le nom d'utilisateur et le mot de passe. Si ce n'est pas le cas, le navigateur ouvre une boîte de dialogue de saisie avec le nom d'utilisateur et le mot de passe afin que ces informations soient entrées manuellement.

  10. Facultatif : Sélectionnez Connexion automatique avec le nom d'utilisateur et le mot de passe actuels (Automatic logon with current user name and password) sous Authentification de l'utilisateur (User Authentication).

    Si cette option est sélectionnée, lorsque le navigateur reçoit la demande d'authentification de redirection, il renvoie le nom d'utilisateur et le mot de passe en mode silencieux. Si l'authentification réussit, le navigateur poursuit en effectuant l'action initialement demandée. Si l'authentification échoue, le navigateur ouvre une boîte de dialogue de saisie avec le nom d'utilisateur et le mot de passe et effectue de nouvelles tentatives jusqu'à la réussite.

  11. Assurez-vous que l'option Activer l'authentification Windows intégrée est sélectionnée sous Options Internet > onglet Avancé et dans la section Sécurité.

Mozilla Firefox

  1. Ouvrez la fenêtre de configuration du navigateur.
  2. Tapez about:config dans la barre d'adresse.
  3. Spécifiez les noms de domaine complets d'Automation Suite pour lesquels vous utilisez l'authentification Kerberos :
    1. Recherchez le terme network.negotiate.
    2. Activez et définissez les éléments suivants pour Kerberos : network.negotiate-auth.delegation-uris (exemple de valeur : uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (exemple de valeur : uipath-34i5ui35f.westeurope.cloudapp.azure.com) et network.negotiate-auth.allow-non-fqdn (valeur : true).

Étape 4. Autoriser l'authentification Windows pour l'organisation

Maintenant que la plate-forme UiPath est intégrée à l'authentification Windows, les utilisateurs pour lesquels un compte utilisateur est créé dans UiPath peuvent utiliser l'option Windows sur la page Connexion (Login) pour se connecter à la plate-forme UiPath.



Chaque administrateur d'organisation doit le faire pour son organisation s'il souhaite autoriser la connexion avec les informations d'identification Windows.

  1. Connectez-vous en tant qu'administrateur d'organisation.
  2. Attribuez un rôle au niveau de l'organisation à un utilisateur ou à un groupe Active Directory, que vous pouvez sélectionner via la recherche.
  3. Répétez l'étape précédente pour chaque utilisateur à qui vous voulez autoriser à se connecter via l'authentification Windows.

Les utilisateurs auxquels vous avez attribué des rôles peuvent ensuite se connecter à l'organisation UiPath avec leur compte Active Directory. Ils doivent se connecter à partir d'une machine reliée au domaine.

Résolution des problèmes

Si vous recevez une erreur HTTP 500 lorsque vous essayez de vous connecter à l'aide des informations d'identification Windows, voici quelques éléments à vérifier :

  1. La machine Windows est-elle reliée au domaine ?

    Sur la machine, accédez à Panneau de configuration > Système et sécurité > Système et vérifiez si un domaine est affiché. Si aucun domaine n'est affiché, ajoutez la machine au domaine. Les machines doivent être reliées à un domaine pour pouvoir utiliser l'authentification Windows avec le protocole Kerberos.

  2. Pouvez-vous vous connecter à la machine Windows avec les mêmes informations d'identification ?

    Si ce n'est pas le cas, demandez l'aide de votre administrateur système.

  3. Utilisez-vous un navigateur autre que Microsoft Edge ?

    Une configuration supplémentaire est requise pour les navigateurs pris en charge autres que Microsoft Edge.

  4. Vérifiez la configuration du keytab :
    1. Après avoir généré le keytab, la propriété de l'utilisateur AD sur le serveur Active Directory (servicePrincpalName) doit être de la forme HTTP/<Service Fabric FQDN> - par exemple, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.

    2. L'option Ce compte prend en charge l'encodage Kerberos AES 256 bits doit être sélectionnée sur AD pour le compte d'utilisateur.

      Si la configuration est incorrecte, les éléments suivants s'affichent dans le journal identity-service-api :

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

  5. Si plusieurs Active Directory sont configurés dans le domaine que vous utilisez, l'authentification échouera et les éléments suivants s'affichent dans le journal identity-service-api : 

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    Dans ce cas, assurez-vous que le compte de la machine créé pour l'authentification est répliqué sur l'ensemble des Active Directory.

  6. Si vous exécutez ktpass et attribuez un nouveau mot de passe au compte utilisateur, la version de la clé (kvno) est mise à niveau et invalide l'ancien keytab. Dans le journal identity-service-api, les éléments suivants s'affichent : 
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    Dans ce cas, vous devez mettre à jour krb5KeytabSecret dans ArgoCD.
  7. Si vous rencontrez l'erreur suivante dans le pod identity-service-api : 
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Vérifiez d'abord si vous avez fourni le paramètre global.userInputs.identity.krb5KeytabSecret dans ArgoCD. Si le paramètre existe, vérifiez si vous pouvez vous connecter à la machine Windows avec les informations d'identification de l'utilisateur AD utilisé pour générer le keytab. Notez que vous devez régénérer le keytab si le mot de passe a été modifié ou a expiré.
    2. Une autre cause possible de ce problème est qu’ArgoCD n’a pas été correctement synchronisé auparavant. Pour résoudre le problème, supprimez le global.userInputs.identity.krb5KeytabSecret existant, synchronisez ArgoCD et, une fois l'opération réussie, mettez à jour global.userInputs.identity.krb5KeytabSecret et synchronisez à nouveau.

  8. Le navigateur utilise-t-il le SPN attendu ?

    Si la journalisation des événements Kerberos est activée en suivant ces instructions , l'erreur KDC_ERR_S_PRINCIPAL_UNKNOWN s'affiche dans les journaux des événements Kerberos. Pour plus de détails sur ce problème, consultez la documentation Microsoft .

    Pour résoudre ce problème, désactivez la recherche CNAME lors de la négociation de l'authentification Kerberos en modifiant la stratégie de groupe. Pour plus de détails, consultez les instructions pour Google Chrome et pour Microsoft Edge .

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
UiPath Forum
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2025 UiPath Tous droits réservés.