- Démarrage
- Meilleures pratiques
- Modélisation de l'organisation dans Orchestrator
- Gestion de grands déploiements
- Meilleures pratiques d'automatisation
- Optimisation de l'infrastructure Unattended à l'aide de modèles de machine
- Organisation des ressources avec des balises
- Réplica Orchestrator en lecture seule
- Exportation des grilles dans l'arrière-plan
- Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Gestion des Robots
- Connexion des Robots à Orchestrator
- Enregistrement des identifiants du Robot dans CyberArk
- Stockage des mots de passe de l’Unattended Robot dans Azure Key Vault (lecture seule)
- Stockage des informations d’identification de l’Unattended Robot dans HashiCorp Vault (lecture seule)
- Stockage des informations d'identification du robot Unattended dans AWS Secrets Manager (lecture seule)
- Suppression des sessions Unattended déconnectées et qui ne répondent pas
- Authentification du Robot
- Authentification du Robot avec les informations d'identification du client
- Authentification par carte à puce
- Configurer les capacités d’automatisation
- Audit
- Paramètres - Niveau du locataire
- Service de catalogue de ressources
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Tests d'Orchestrator
- Autres configurations
- Intégrations
- Administration de l'hôte
- À propos du niveau de l’hôte
- Gestion des administrateurs système
- Gestion des locataires
- Configuration des notifications par e-mail du système
- Journaux d'audit pour le portail hôte
- Mode de Maintenance
- Administration de l'organisation
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
À propos d'Identity Server
UiPath® Identity Server est le service d’authentification de la version autonome d’Orchestrator. Il fournit une authentification sécurisée et l'émission de jetons pour Orchestrator et ses portails de gestion. Identity Server implémente les normes OAuth 2.0 et OpenID Connect et s’intègre aux systèmes d’identité d’entreprise tels qu’Active Directory. Consultez le schéma suivant pour comprendre le fonctionnement d'Identity Server dans l'installation autonome d'Orchestrator.
Figure 1. Diagramme du serveur d'identité
Rôle dans Orchestrator
Le serveur d'identité est responsable de :
- Authentification des utilisateurs et des applications accédant à Orchestrator
- Envoyer des jetons d’accès et d’identité
- Prise en charge des flux OAuth 2.0 et OpenID Connect
- Intégration avec des fournisseurs d'identité externes (par exemple, Active Directory, fournisseurs SAML)
- Activation de l’authentification unique (SSO)
- Sécurisation de la communication entre Orchestrator et le portail de gestion des identités
Orchestrator et ses portails de gestion reposent sur Identity Server pour l'authentification.
Flux d'authentification dans Orchestrator
- Authentification de l’utilisateur
Lorsqu'un utilisateur accède à Orchestrator ou au portail de gestion des identités :
- La demande est redirigée vers Identity Server.
- Le serveur d'identité valide l'utilisateur par rapport à :
- Comptes locaux, ou
- Les fournisseurs d'identité externes (par exemple, Active Directory, SAML).
- Une fois l’authentification réussie, Identity Server émet un jeton de sécurité.
- Accès basé sur jeton
Après l’authentification :
- Un jeton d'accès OAuth est émis.
- Le jeton accompagne les requêtes suivantes adressées à Orchestrator.
- Orchestrator valide le jeton.
- L'autorisation est déterminée en fonction des rôles et des autorisations. Identity Server gère l'authentification. Orchestrator applique l’autorisation.
Intégration Active Directory et Kerberos
Dans les environnements joints au domaine, l'installation autonome d'Orchestrator prend en charge l'authentification basée sur Kerberos :
- Le client résout le nom d'hôte Orchestrator à l'aide de DNS.
- Le client obtient un ticket d'accord de ticket Kerberos (TGT) à partir d'Active Directory.
- Le client demande un ticket de service pour le nom de principal du service (SPN) configuré.
- Le serveur Web IIS valide le ticket Kerberos.
- Identity Server traite l'identité authentifiée et émet un jeton de plateforme.
Cela permet une authentification unique fluide dans les environnements Windows d’entreprise.
Considérations relatives à la haute disponibilité
Dans les déploiements multi-nœuds :
- Identity Server s'exécute sur plusieurs nœuds derrière un équilibreur de charge.
- Les clients accèdent à Orchestrator et à Identity Server via un nom d’hôte partagé d’équilibreur de charge.
- Redis est utilisé pour mettre en cache les données client OAuth et l'état de la session sur les nœuds, garantissant ainsi la cohérence de l'authentification sur l'ensemble du cluster.
- Le nom de principal du service (SPN) doit correspondre au nom d'hôte de l'équilibreur de charge lorsque Kerberos est utilisé.
- Lors du passage d'une configuration à nœud unique à une configuration multi-nœuds, l'URL publique d'Identity Server doit être mise à jour dans la base de données et dans le fichier UiPath.Orchestrator.dll.config.
Authentification de l’application externe
Orchestrator prend en charge l'accès sécurisé pour :
- Applications externes
- Intégrations d'API
- Communication entre le Robot et Orchestrator
Les applications s'authentifient à l'aide de flux OAuth pris en charge ( tels que ROPC) et reçoivent des jetons de l'Identity Server.
Modèle de sécurité
La version autonome d'Orchestrator utilise un modèle d'authentification centralisé :
- Identity Server effectue l'authentification.
- Orchestrator applique l’autorisation.
- L'accès basé sur des jetons sécurise les API et l'interface utilisateur d'Orchestrator.
- L'intégration avec des fournisseurs d'identité externes (Active Directory, SAML) prend en charge les exigences de sécurité de l'entreprise.