orchestrator
2023.10
false
UiPath logo, featuring letters U and I in white
Guide de l'utilisateur d'Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 11 nov. 2024

Configurer l'intégration d'Active Directory

Vous pouvez activer l'authentification unique à l'aide de l'authentification Windows et activer la fonctionnalité de recherche dans l'annuaire avec l'intégration d'Active Directory. La recherche dans l'annuaire vous permet de rechercher des comptes et des groupes d'annuaire à partir d'Orchestrator et de les utiliser comme vous le feriez avec des comptes locaux.

Remarque :
Après avoir activé cette intégration, les comptes utilisateur locaux sont liés à un utilisateur Active Directory et, dans le processus, leur attribut de nom d'utilisateur est mis à jour au format user@domain. Ainsi, l'utilisateur ne peut plus utiliser son nom d'utilisateur d'origine pour se connecter et doit à la place utiliser le nouveau nom d'utilisateur au format user@domain ou l'adresse e-mail liée au compte Active Directory.
Important :

Prérequis

  • Pour s'intégrer à Windows Active Directory (AD) et utiliser l'authentification Windows, le port LDAP 389 doit être accessible sur un ou plusieurs contrôleurs de votre domaine.
  • Travaillez avec vos administrateurs informatiques pour vous assurer que le serveur Orchestrator peut accéder à votre Active Directory (AD).

  • Si vous envisagez d'utiliser LDAP sur SSL (LDAPS), vous devez obtenir et installer des certificats pour configurer un LDAP sécurisé sur chaque contrôleur de domaine. Pour plus d'informations et d'instructions, consultez l'article Certificat LDAP sur SSL (LDAPS) (LDAP over SSL (LDAPS) Certificate) sur le site Web de Microsoft.

À propos des options d'intégration

Lorsque les utilisateurs se connectent à Orchestrator avec leurs informations d'identification Active Directory, Orchestrator utilise le protocole Kerberos pour authentifier les utilisateurs.

Étape 1. Configurer le cluster Orchestrator (Kerberos uniquement)

Si vous ne souhaitez pas utiliser le protocole Kerberos pour l'authentification, passez à l'étape suivante.

Exigences pour les clusters multi-nœuds

  • Les nœuds du cluster doivent être déployés sous un équilibreur de charge. Utilisez le nom d'hôte de l'équilibreur de charge chaque fois que le nom d'hôte est requis dans ces instructions.
  • Le pool d'applications Orchestrator doit être configuré pour s'exécuter sous une identité personnalisée. L'identité personnalisée doit être un compte de domaine.

Définition d'une identité personnalisée

Cette opération n'est requise que si vous exécutez un cluster multi-nœuds ou un cluster à nœud unique avec un équilibreur de charge.

Elle est facultative pour les clusters à nœud unique sans équilibreur de charge.

  1. Ouvrez IIS (Gestionnaire des services Internet Information Services (IIS)).
  2. Dans IIS, dans le panneau Connexions (Connections) à gauche, cliquez sur Pools d'applications (Application Pools).
  3. Accédez à Identité (Identity) > Paramètres avancés (Advanced Settings) > Modèle de processus (Process Model) > Identité (Identity).
  4. Dans la boîte de dialogue Identité du pool d'applications (Application Pool Identity), sélectionnez Compte personnalisé (Custom account) et spécifiez un compte d'utilisateur qualifié pour le domaine.
  5. Cliquez sur OK pour enregistrer vos modifications.
  6. Fermez IIS.


Configuration SPN

Si le pool d'applications Orchestrator est configuré pour s'exécuter sous une identité personnalisée, ce compte doit avoir un SPN enregistré pour le nom d'hôte.

Cette étape est obligatoire si vous exécutez :

  • un cluster multi-nœuds, car vous devez définir une identité personnalisée, ou
  • un cluster à nœud unique avec un équilibreur de charge, qui est traité de la même manière qu'un cluster multi-nœuds.

Cette étape n'est pas nécessaire si :

  • vous exécutez un cluster à nœud unique sans équilibreur de charge, et
  • vous avez choisi d'utiliser une identité personnalisée, mais vous avez utilisé le nom de l'ordinateur du cluster comme identité personnalisée.

Sur une machine jointe à un domaine disposant d'un accès en écriture à l'organisation et au locataire Orchestrator cibles :

  1. Lancez l'Invite de commandes.
  2. Passez le répertoire à C:\Windows\System32, en utilisant la commande cd C:\Windows\System32.
  3. Exécutez la commande setspn.exe -a HTTP/<hostname> <domain account>, où :
    • HTTP/<hostname> : URL à laquelle votre instance d'Orchestrator est accessible.
    • <domain account> : nom ou domaine\nom de l'identité personnalisée sous laquelle le pool d'applications Orchestrator s'exécute.

Étape 2. Configurer IIS pour activer l'authentification Windows

Remarque : Si vous disposez d'une installation multi-nœuds, vous devez effectuer la configuration IIS sur chacun de vos nœuds de cluster.
  1. Ouvrez IIS (Gestionnaire des services Internet Information Services (IIS)).
  2. Dans la section Connexions (Connections), sous le nœud Sites, sélectionnez UiPath Orchestrator.
  3. Dans le panneau principal, double-cliquez sur Authentification (Authentication) pour afficher les détails.
  4. Sélectionnez Authentification Windows (Windows Authentication) puis, dans le panneau Actions à droite, sélectionnez Paramètres avancés (Advanced Settings).
    Remarque : Si elle n'est pas déjà activée, activez l'authentification Windows pour continuer de suivre ces instructions.
  5. Cliquez sur le site UiPath Orchestrator sur la gauche, puis double-cliquez sur Éditeur de configuration (Configuration Editor) dans la zone principale.


  6. Dans l'Éditeur de configuration (Configuration Editor), en haut, dans la liste Section, sélectionnez system.webServer/security/authentication/windowsAuthentication.
  7. Pour useAppPoolCredentials, définissez la valeur sur Vrai (True) :

Étape 3. Configurer Orchestrator

  1. Connectez-vous au portail de gestion en tant qu'administrateur système.
  2. Accédez à Utilisateurs ( Users ) et sélectionnez l'onglet Paramètres d'authentification ( Authentication Settings ).
  3. Dans la section Fournisseurs externes (External Providers), cliquez sur Configurer (Configure) sous Active Directory :


    Le panneau Configurer Azure Active Directory (Configure Azure Active Directory) s'ouvre à droite de l'écran.

  4. Cochez la case Activé (Enabled).
  5. Si vous souhaitez autoriser uniquement les utilisateurs à se connecter à l'aide de leurs informations d'identification Active Directory, cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider).

    Si cette option est sélectionnée, les utilisateurs ne peuvent plus se connecter à l'aide de leurs nom d'utilisateur et mot de passe Orchestrator ; ils doivent utiliser leurs informations d'identification Active Directory, avec un nom d'utilisateur qualifié pour le domaine.

  6. Si vous souhaitez utiliser le protocole Kerberos pour l'authentification, cochez la case Utiliser l'authentification Kerberos ( Use Kerberos Auth ).

    Nous vous recommandons d’utiliser Kerberos.

    • Si vous sélectionnez cette option, les utilisateurs sont automatiquement connectés à Orchestrator sans avoir à saisir leurs informations d'identification.
    • Si vous ne sélectionnez pas cette option, le protocole NTLM par défaut est utilisé et les utilisateurs doivent saisir leurs informations d'identification Active Directory pour se connecter.
  7. Vous pouvez également modifier la valeur dans le champ Nom complet (Display Name) pour personnaliser l'étiquette du bouton d'authentification Windows qui s'affiche sur la page de connexion.
  8. Redémarrez le site IIS. Ceci est requis chaque fois que vous apportez des modifications aux fournisseurs externes.

Étape 4. Vérifier le protocole d'authentification

Maintenant que l'intégration est configurée, nous vous recommandons d'effectuer une connexion test à l'aide des informations d'identification AD et de vérifier que le protocole d'authentification que vous avez choisi (NTLM ou Kerberos) est utilisé pour la connexion.

  1. Connectez-vous à Orchestrator à l'aide de vos informations d'identification Active Directory pour créer un événement de connexion.

    Notez l'heure à laquelle vous vous êtes connecté.

  2. Ouvrez l'Observateur d'événements (Event Viewer) dans Windows.
  3. Accédez à Journaux Windows (Window Logs) > Sécurité (Security).
  4. Dans la liste des événements de sécurité, recherchez l'entrée présentant les spécificités suivantes :
    • ID de l'événement (Event ID) : 4624
    • Date et heure (Date and Time) : date et heure du jour auxquelles vous vous êtes connecté avec vos informations d'identification Active Directory.
  5. Double-cliquez sur la ligne pour ouvrir la boîte de dialogue des propriétés d'événement.
  6. Dans l'onglet Général (General), faites défiler jusqu'à la section Informations d'authentification détaillées (Detailed Authentication Information) et vérifiez les éléments suivants :


    Si l'authentification Kerberos a été utilisée :

    • la valeur Package d'authentification (Authentication Package) doit être Négocier (Negotiate) ;
    • la valeur Nom du package (Package Name) doit être vide (-) car cela ne s'applique qu'à NTLM. Si cette valeur est NTLM V2, cela signifie que le protocole d'authentification par défaut a été utilisé, et non Kerberos.

En mode navigation privée de Google Chrome, le navigateur demande des informations d'identification et les utilise pour procéder à une authentification explicite. Le flux fonctionne et utilise Kerberos.

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
UiPath Forum
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2024 UiPath Tous droits réservés.