automation-suite
2021.10
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique.
UiPath logo, featuring letters U and I in white
Non pris en charge par l'assistance
Guide d'installation d'Automation Suite
Last updated 21 nov. 2024

Configurer une authentification Kerberos

Prérequis

S'assurer que le cluster Automation Suite peut accéder à votre AD

Avant de pouvoir configurer l'authentification Kerberos, travaillez avec vos administrateurs informatiques pour vous assurer que le cluster Automation Suite peut accéder à votre Active Directory (AD).

Les exigences suivantes doivent être remplies :

  • Le cluster Automation Suite doit se trouver sur le même réseau que le domaine AD ;
  • Le DNS doit être configuré correctement sur le réseau afin que le cluster Automation Suite puisse résoudre les noms de domaine AD.

    Remarque : Il est essentiel que le cluster Automation Suite puisse résoudre les domain names d'Active Directory. Vous pouvez vérifier cela en exécutant nslookup <AD domain name> sur la machine hôte.

Configuration du compte de service AD pour l'authentification Kerberos

Génération des paramètres keytab et nom d'utilisateur par défaut Kerberos

Option 1 : en exécutant le script (recommandé)

  1. Connectez-vous avec votre compte d'administrateur AD sur une machine reliée à un domaine Windows.
  2. Exécutez le script keytab-creator.ps1 en tant qu'administrateur.
  3. Saisissez les valeurs suivantes dans le script :
    1. Service Fabric FQDN. Par exemple, uipath-34i5ui35f.westeurope.cloudapp.azure.com.
    2. AD domain FQDN. Par exemple, TESTDOMAIN.LOCAL.
    3. Un compte d'utilisateur AD. Vous pouvez utiliser un compte existant, tel que sAMAccountName, ou vous pouvez autoriser le script à en créer un.
Le fichier de sortie contient les paramètres <KERB_DEFAULT_USERNAME> et <KERB_DEFAULT_KEYTAB> requis par la configuration Kerberos.

Option 2 : manuellement

Contactez votre administrateur AD dans le cas d'un compte utilisateur AD et récupérez les champs <KERB_DEFAULT_USERNAME> et <KERB_DEFAULT_KEYTAB> pour ce compte en procédant suit :
  1. Dans votre serveur AD, créez un nouveau compte utilisateur. Si vous en avez déjà un, passez à l'étape 2.
    1. Dans la console Utilisateurs et ordinateurs (Users and Computers) Active Directory, cliquez avec le bouton droit sur le dossier Users (Utilisateurs), cliquez sur Nouveau (New), puis sélectionnez Utilisateur (User).
    2. Terminez la création du compte utilisateur.
  2. Cliquez avec le bouton droit sur le compte utilisateur et sélectionnez Propriétés (Properties).
  3. Accédez à l'onglet Compte (Account), puis, sous Options du compte (Account options), sélectionnez l'option Ce compte prend en charge l'encodage Kerberos AES 256 bits.
  4. Important: Le keytab généré lors des étapes suivantes deviendra invalide si le mot de passe de l'utilisateur AD a expiré ou bien s'il a été mis à jour. De plus, l'utilisation de @ dans le mot de passe peut entraîner un keytab incorrect, ce qui entraîne des échecs d'authentification et de validation Kerberos. Pensez à vérifier que le Mot passe n'expire jamais ( Password never expires ) dans les Options de compte ( Account options) pour ce compte utilisateur AD, ou évitez d'utiliser @ dans votre mot de passe. Vous pouvez également mettre à jour le mot de passe lorsqu'il est sur le point d'expirer et générer un nouveau keytab.
  5. Pour générer un fichier keytab pour le SPN, ouvrez PowerShell avec un accès administrateur et exécutez la commande suivante :
    ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1
    Certains champs doivent être spécifiés en majuscules. Par exemple :
    ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1
    Remarque : après la génération du keytab, le nom de connexion de l’utilisateur devient HTTP/<Service Fabric FQDN>. Utilisez cette valeur pour le champ <KERB_DEFAULT_USERNAME> dans le paramètre global.kerberosAuthConfig.adUserName de l’application UiPath® dans l’interface utilisateur d’ArgoCD.
  6. Encodez le fichier keytab généré en Base64, ouvrez PowerShell et exécutez la commande suivante :
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
  7. Enregistrez le fichier keytab encodé. Vous l’utiliserez lors de la configuration du cluster UiPath® pour Kerberos. Appelons la valeur de l’étape 6 <KERB_DEFAULT_KEYTAB>.

Facultatif : Prérequis de l'authentification intégrée SQL

Pour configurer le cluster UiPath de façon à ce qu'il se connecte à SQL via l'authentification intégrée Windows/Kerberos, vous devez réaliser quelques étapes supplémentaires :

  • le serveur SQL doit être relié au domaine AD ;
  • le cluster Automation Suite doit se trouver sur le même réseau que serveur SQL ;
  • le cluster Automation Suite peut résoudre les noms de domaine des serveurs AD et SQL ;
  • l'utilisateur AD doit avoir accès au serveur SQL et aux autorisations de base de données.

Pour créer une nouvelle connexion dans SQL Server Management Studio, procédez comme suit :

  1. Dans le volet Explorateur d'objets (Object Explorer), accédez à Sécurité > Connexions (Security > Logins).

  2. Cliquez avec le bouton droit sur le dossier Connexions et sélectionnez Nouvelle connexion. La fenêtre Nouvelle connexion s'affiche.

  3. Sélectionnez l'option Authentification Windows (Windows Authentication). La fenêtre est mise à jour en conséquence.


  4. Dans le champ Nom de connexion (Login name), tapez le domaine d'utilisateur que vous souhaitez utiliser comme compte de service.

  5. Dans la liste des langues par défaut (Default Language), sélectionnez Français (French).
    Attention : Assurez-vous que la langue par défaut est définie sur Anglais. Si ce n'est pas le cas, le site Web ne peut pas démarrer et l'Observateur d'événements sur l'ordinateur sur lequel Orchestrator est installé affiche le message d'erreur suivant : « La conversion d'un type de données varchar en type de données datetime a entraîné une valeur hors limites ».
  6. Cliquez sur OK. Vos configurations sont enregistrées.

Si le compte de service a déjà été créé et ajouté à la section Sécurité > Connexions de SQL Server, vérifiez que l'option Langue par défaut de ce compte SQL est configurée sur Anglais. Si ce n'est pas le cas, effectuez les ajustements nécessaires.

Vous devez fournir à l'utilisateur qui se connecte à la base de données SQL le rôle de mappage utilisateur db_owner, comme dans la capture d'écran suivante.


Si les restrictions de sécurité ne vous autorisent pas à utiliser le rôle de mappage utilisateur db_owner avec la connexion UiPath, accordez les permissions suivantes :
  • db_datareader
  • db_datawriter
  • db_ddladmin
  • Autorisation EXECUTE sur le schéma dbo


L'autorisation EXECUTE doit être accordée en utilisant la commande SQL GRANT EXECUTE, comme suit :
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GOUSE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
Si vous souhaitez que les applications UiPath utilisent des comptes utilisateur AD uniques pour se connecter à SQL en utilisant Integrated Security=True, vous devez créer un keytab unique pour chaque application UiPath en appliquant la méthode ci-dessous. Ce keytab sera appelé <KERB_APP_KEYTAB> pour cette application.

Génération des paramètres keytab et nom d'utilisateur de l'application Kerberos

Option 1 : en exécutant le script (recommandé)
  1. Exécutez le script service-keytab-creator.ps1 .

  2. Saisissez les valeurs suivantes dans le script :

    1. AD domain FQDN. Par exemple, TESTDOMAIN.LOCAL.
    2. Le nom d'utilisateur et le mot de passe d'un compte d'utilisateur AD. Par exemple, le compte d'utilisateur AD sAMAccountName et son mot de passe.
Le fichier de sortie contient les paramètres <KERB_APP_USERNAME> et <KERB_APP_KEYTAB> requis par Kerberos.
Option 2 : manuellement

Exécutez manuellement le script suivant :

# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
La valeur <AD username> correspondra au nom <KERB_APP_USERNAME> du fichier concerné <KERB_APP_KEYTAB>.

Configuration d'Automation Suite en tant que client Kerberos

Cette section explique comment vous pouvez configurer Automation Suite en tant que client Kerberos pour l'accès LDAP ou SQL.

Avec <KERB_DEFAULT_KEYTAB>, configurez Automation Suite en tant que client Kerberos en appliquant l'un des procédés suivants :

Configuration de l'authentification Kerberos via le programme d'installation interactif

  1. Lors de l'exécution du programme d'installation d'Automation Suite, spécifiez que vous souhaitez activer l'authentification Kerberos dans la configuration du déploiement :
    ===============================================================================
                                Deployment configuration
    ===============================================================================
    
    Are you performing an evaluation/development/test/demo or a production deployment?
    [1] Production deployment (multi-node)
    [2] Evaluation/development/test/demo deployment (single-node)
    Enter your choice [2]: 2
    
    Will your deployment have access to Internet (online) or is it physically isolated from unsecured networks (air-gapped)?
    [1] Online
    [2] Air-gapped
    Enter your choice [1]: 1
    Enter the Automation Suite FQDN []: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    sfdev1868610-d053997f-lb.eastus.cloudapp.azure.comsfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    
    Would you like to enable Kerberos Auth? This will be used to connect to SQL Databases and Active Directory Lightweight Directory Adaptor if configured.
    [1] Yes
    [2] No
    
    Enter your choice [2]: 1===============================================================================
                                Deployment configuration
    ===============================================================================
    
    Are you performing an evaluation/development/test/demo or a production deployment?
    [1] Production deployment (multi-node)
    [2] Evaluation/development/test/demo deployment (single-node)
    Enter your choice [2]: 2
    
    Will your deployment have access to Internet (online) or is it physically isolated from unsecured networks (air-gapped)?
    [1] Online
    [2] Air-gapped
    Enter your choice [1]: 1
    Enter the Automation Suite FQDN []: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    sfdev1868610-d053997f-lb.eastus.cloudapp.azure.comsfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    
    Would you like to enable Kerberos Auth? This will be used to connect to SQL Databases and Active Directory Lightweight Directory Adaptor if configured.
    [1] Yes
    [2] No
    
    Enter your choice [2]: 1
  2. Fournissez les paramètres d'entrée pour l'authentification Kerberos :
    Remarque : Il s'agit du paramètre d'authentification Kerberos par défaut pour tous les services. Si vous souhaitez configurer un utilisateur AD différent par service, vous pouvez spécifier les valeurs dans l'objet JSON spécifique au service à une étape ultérieure de l'installation.
    Specify the Active Directory domain for Kerberos Auth []: 
    Specify the Ticket Granting Ticket lifetime (TGT) in hours between 8 and 168 for Kerberos Auth [8]:
    Specify the default Active Directory username for Kerberos Auth []: 
    Specify the default Active Directory user's keytab for Kerberos Auth []: 
    Specify the SQL server FQDN []: 
    Specify the SQL server connection PORT [1433]:Specify the Active Directory domain for Kerberos Auth []: 
    Specify the Ticket Granting Ticket lifetime (TGT) in hours between 8 and 168 for Kerberos Auth [8]:
    Specify the default Active Directory username for Kerberos Auth []: 
    Specify the default Active Directory user's keytab for Kerberos Auth []: 
    Specify the SQL server FQDN []: 
    Specify the SQL server connection PORT [1433]:
    Remarque :

    Le contrôleur de domaine AD a le paramètre Durée de vie maximale du ticket utilisateur (Maximum lifetime for user ticket) Kerberos dans la Politique de domaine par défaut (Default Domain Policy). Assurez-vous que la durée de vie du ticket configurée ici n'est pas supérieure au paramètre côté serveur.

    Vous devez générer le fichier keytab (<KERB_DEFAULT_KEYTAB>) comme décrit dans la section Prérequis et fournir la valeur encodée en base64 au programme d'installation. Ensuite, vous devez saisir <KERB_DEFAULT_USERNAME> comme valeur pour Active Directory username dans le programme d'installation.
  3. Terminez le reste de l'expérience d'installation comme indiqué dans l'exemple suivant :
    Would you like the databases to be automatically provisioned for all the products you've selected?
    [1] Yes
    [2] No
    
    Enter your choice [1]: 1
    
    The following databases will be provisioned automatically:
    - Shared suite capabilities: AutomationSuite_Platform
    - Orchestrator: AutomationSuite_Orchestrator
    - Test Manager: AutomationSuite_Test_Manager
    - Insights: AutomationSuite_Insights
    - Automation Hub: AutomationSuite_Automation_Hub
    - Automation Ops: AutomationSuite_Automation_Ops
    - AI Center: AutomationSuite_AICenter
    - Document understanding: AutomationSuite_DU_Datamanager
    
    
    ===============================================================================
                                Current config values
    ===============================================================================
    Multi node: false
    Airgapped: false
    Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    Sql port: 1433
    Sql username:
    Sql password:
    Create sql databases: true
    Kerberos Auth enabled: true
    Kerberos Auth Active Directory domain: abcd.com
    Kerberos Auth TGT lifetime in hours: 8
    Kerberos Auth default Active Directory username: ad_user
    Kerberos Auth default user's keytab: XXXXXXXXX
    
    
    ✅ The cluster configuration file was generated at /tmp/UiPathAutomationSuite/cluster_config.json:
    
    [1] Continue installing with the default config
    [2] Edit the config
    [3] Go to the main menu
    
    For advanced settings, quit now and manually edit the config file.
    Once the configuration file is updated, run the deployment wizard again and follow the instructions.
    Would you like the databases to be automatically provisioned for all the products you've selected?
    [1] Yes
    [2] No
    
    Enter your choice [1]: 1
    
    The following databases will be provisioned automatically:
    - Shared suite capabilities: AutomationSuite_Platform
    - Orchestrator: AutomationSuite_Orchestrator
    - Test Manager: AutomationSuite_Test_Manager
    - Insights: AutomationSuite_Insights
    - Automation Hub: AutomationSuite_Automation_Hub
    - Automation Ops: AutomationSuite_Automation_Ops
    - AI Center: AutomationSuite_AICenter
    - Document understanding: AutomationSuite_DU_Datamanager
    
    
    ===============================================================================
                                Current config values
    ===============================================================================
    Multi node: false
    Airgapped: false
    Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    Sql port: 1433
    Sql username:
    Sql password:
    Create sql databases: true
    Kerberos Auth enabled: true
    Kerberos Auth Active Directory domain: abcd.com
    Kerberos Auth TGT lifetime in hours: 8
    Kerberos Auth default Active Directory username: ad_user
    Kerberos Auth default user's keytab: XXXXXXXXX
    
    
    ✅ The cluster configuration file was generated at /tmp/UiPathAutomationSuite/cluster_config.json:
    
    [1] Continue installing with the default config
    [2] Edit the config
    [3] Go to the main menu
    
    For advanced settings, quit now and manually edit the config file.
    Once the configuration file is updated, run the deployment wizard again and follow the instructions.Would you like the databases to be automatically provisioned for all the products you've selected?
    [1] Yes
    [2] No
    
    Enter your choice [1]: 1
    
    The following databases will be provisioned automatically:
    - Shared suite capabilities: AutomationSuite_Platform
    - Orchestrator: AutomationSuite_Orchestrator
    - Test Manager: AutomationSuite_Test_Manager
    - Insights: AutomationSuite_Insights
    - Automation Hub: AutomationSuite_Automation_Hub
    - Automation Ops: AutomationSuite_Automation_Ops
    - AI Center: AutomationSuite_AICenter
    - Document understanding: AutomationSuite_DU_Datamanager
    
    
    ===============================================================================
                                Current config values
    ===============================================================================
    Multi node: false
    Airgapped: false
    Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    Sql port: 1433
    Sql username:
    Sql password:
    Create sql databases: true
    Kerberos Auth enabled: true
    Kerberos Auth Active Directory domain: abcd.com
    Kerberos Auth TGT lifetime in hours: 8
    Kerberos Auth default Active Directory username: ad_user
    Kerberos Auth default user's keytab: XXXXXXXXX
    
    
    ✅ The cluster configuration file was generated at /tmp/UiPathAutomationSuite/cluster_config.json:
    
    [1] Continue installing with the default config
    [2] Edit the config
    [3] Go to the main menu
    
    For advanced settings, quit now and manually edit the config file.
    Once the configuration file is updated, run the deployment wizard again and follow the instructions.
    Would you like the databases to be automatically provisioned for all the products you've selected?
    [1] Yes
    [2] No
    
    Enter your choice [1]: 1
    
    The following databases will be provisioned automatically:
    - Shared suite capabilities: AutomationSuite_Platform
    - Orchestrator: AutomationSuite_Orchestrator
    - Test Manager: AutomationSuite_Test_Manager
    - Insights: AutomationSuite_Insights
    - Automation Hub: AutomationSuite_Automation_Hub
    - Automation Ops: AutomationSuite_Automation_Ops
    - AI Center: AutomationSuite_AICenter
    - Document understanding: AutomationSuite_DU_Datamanager
    
    
    ===============================================================================
                                Current config values
    ===============================================================================
    Multi node: false
    Airgapped: false
    Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    Sql port: 1433
    Sql username:
    Sql password:
    Create sql databases: true
    Kerberos Auth enabled: true
    Kerberos Auth Active Directory domain: abcd.com
    Kerberos Auth TGT lifetime in hours: 8
    Kerberos Auth default Active Directory username: ad_user
    Kerberos Auth default user's keytab: XXXXXXXXX
    
    
    ✅ The cluster configuration file was generated at /tmp/UiPathAutomationSuite/cluster_config.json:
    
    [1] Continue installing with the default config
    [2] Edit the config
    [3] Go to the main menu
    
    For advanced settings, quit now and manually edit the config file.
    Once the configuration file is updated, run the deployment wizard again and follow the instructions.
  4. Facultatif : vous pouvez modifier la configuration, comme indiqué ci-dessous :
    ===============================================================================
                        Choose what setting you want to edit
    ===============================================================================
    [1] Multi node: false
    [2] Airgapped: false
    [3] Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    [4] Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    [5] Sql port: 1433
    [6] Sql username:
    [7] Sql password:
    [8] Create sql databases: true
    [9] Kerberos Auth enabled: true
    [10] Kerberos Auth Active Directory domain: abcd.com
    [11] Kerberos Auth TGT lifetime in hours
    [12] Kerberos Auth default Active Directory username: ad_user
    [13] Kerberos Auth default user's keytab: XXXXXXXXX===============================================================================
                        Choose what setting you want to edit
    ===============================================================================
    [1] Multi node: false
    [2] Airgapped: false
    [3] Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    [4] Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    [5] Sql port: 1433
    [6] Sql username:
    [7] Sql password:
    [8] Create sql databases: true
    [9] Kerberos Auth enabled: true
    [10] Kerberos Auth Active Directory domain: abcd.com
    [11] Kerberos Auth TGT lifetime in hours
    [12] Kerberos Auth default Active Directory username: ad_user
    [13] Kerberos Auth default user's keytab: XXXXXXXXX===============================================================================
                        Choose what setting you want to edit
    ===============================================================================
    [1] Multi node: false
    [2] Airgapped: false
    [3] Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    [4] Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    [5] Sql port: 1433
    [6] Sql username:
    [7] Sql password:
    [8] Create sql databases: true
    [9] Kerberos Auth enabled: true
    [10] Kerberos Auth Active Directory domain: abcd.com
    [11] Kerberos Auth TGT lifetime in hours
    [12] Kerberos Auth default Active Directory username: ad_user
    [13] Kerberos Auth default user's keytab: XXXXXXXXX===============================================================================
                        Choose what setting you want to edit
    ===============================================================================
    [1] Multi node: false
    [2] Airgapped: false
    [3] Automation Suite FQDN: sfdev1868610-d053997f-lb.eastus.cloudapp.azure.com
    [4] Sql server FQDN: sfdev1868610-d053997f-sql.database.windows.net
    [5] Sql port: 1433
    [6] Sql username:
    [7] Sql password:
    [8] Create sql databases: true
    [9] Kerberos Auth enabled: true
    [10] Kerberos Auth Active Directory domain: abcd.com
    [11] Kerberos Auth TGT lifetime in hours
    [12] Kerberos Auth default Active Directory username: ad_user
    [13] Kerberos Auth default user's keytab: XXXXXXXXX

Configuration de l'authentification Kerberos via Cluster_config.json

  1. Dans le fichier cluster_config.json, configurez le paramètre kerberos_auth_config.enabled sur true.
  2. Si vous souhaitez utiliser Kerberos pour l'accès SQL, configurez sql_connection_string_template, sql_connection_string_template_jdbc et sql_connection_string_template_odbc avec l'indicateur de sécurité intégrée.
  3. Si vous souhaitez configurer un utilisateur AD différent par service, procédez comme suit :
    1. Spécifiez ad_username et user_keytab dans l'objet JSON du groupe de services.
    2. Mettez à jour la chaîne de connexion SQL du service pour activer la sécurité intégrée. L'objet JSON doit être le suivant :
      "<serviceGroupName>": {
          "kerberos_auth_config": {
            "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
            "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
          }
      }"<serviceGroupName>": {
          "kerberos_auth_config": {
            "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
            "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
          }
      }
      Remarque : Pour obtenir la liste des noms de groupes de services, consultez Groupes de services et services.
  4. Après avoir mis à jour cluster_config.json, exécutez le script d'installation pour mettre à jour la configuration. Pour plus de détails, consultez Gestion des produits.

Exemple de mise à jour d'Orchestrator et de la plate-forme pour utiliser l'authentification Kerberos

"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}

Groupes de services et services

Le tableau suivant répertorie les groupes de services disponibles et les services qu'ils incluent. Les noms sont légèrement différents dans le fichier cluster_config.json ou dans l'interface utilisateur d'ArgoCD.
Nom du groupe de services pour cluster_config.json

Nom du groupe de services pour ArgoCD

Services inclus

orchestrator

orchestrator

Orchestrator, Webhooks

platform

platform

identité, comptable de licence (LA), audit, emplacement, gestionnaire de ressources de licence (LRM), service de gestion de l'organisation (OMS)

discovery_group

discoverygroup

Automation Hub, Task Mining

test_manager

testmanager

Test Manager

automation_ops

automationops

Automation Ops

aicenter

aicenter

AI Center

documentunderstanding

documentunderstanding

Document Understanding

insights

insights

Insights

Mise à jour de l'authentification Kerberos via l'outil CLI

Pour mettre à jour l'authentification Kerberos via l'outil CLI, voir Mise à jour de l'authentification Kerberos.

Configurer l'intégration d'Active Directory

Pour que l'authentification Kerberos soit utilisée lors de la connexion à Automation Suite, vous devez configurer davantage les paramètres de l'hôte Automation Suite.

Désactivation de l'authentification Kerberos

Suppression complète de l'authentification Kerberos

Pour supprimer complètement l'authentification Kerberos, procédez comme suit :

  1. Si vous avez utilisé Kerberos pour configurer l'intégration AD, reconfigurez AD avec l'option nom d'utilisateur et mot de passe en suivant les instructions dans Configuration de l'intégration Active Directory.
  2. Si vous avez utilisé l'authentification intégrée SQL, configurez les chaînes de connexion SQL pour utiliser User Id et Password.
  3. Désactivez l'authentification Kerberos comme suit :
    1. Accédez à l'interface utilisateur ArgoCD, recherchez l'application uipath, cliquez sur le bouton APP DETAILS dans le coin supérieur gauche, puis accédez à l'onglet PARAMETERS.
    2. Cliquez sur MODIFIERet définissez global.kerberosAuthConfig.enabled sur false.

Suppression de l'authentification intégrée SQL

Pour supprimer l'authentification intégrée SQL, procédez comme suit :

  1. Configurez les chaînes de connexion SQL pour utiliser l ' ID utilisateur et le mot de passe.
  2. Si vous souhaitez désactiver l'authentification intégrée SQL pour tous les services, définissez global.kerberosAuthConfig.enabled sur false dans ArgoCD après avoir modifié toutes les chaînes de connexion

Résoudre les problèmes Kerberos

Si vous rencontrez des problèmes lors de la configuration de Kerberos, consultez la rubrique Résolution des problèmes d'authentification.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.