Orchestrator
2023.4
False
Imagen de fondo del banner
Guía del usuario de Orchestrator
Última actualización 19 de abr. de 2024

Configurar la integración de Active Directory

Nota:
  • Tras activar esta integración, las cuentas de usuario locales se vinculan a un usuario de Active Directory y, en el proceso, su atributo de nombre de usuario se actualiza con el formato user@domain. Por lo tanto, el usuario ya no puede utilizar su nombre de usuario original para iniciar sesión y debe utilizar el nuevo nombre de usuario en el formato user@domain o la dirección de correo electrónico vinculada a la cuenta de Active Directory.

  • Al actualizar Orchestrator a la versión 2020.4+, Identity Server migra sus ajustes anteriores. Si anteriormente habías habilitado la autenticación de Windows y has configurado el inicio de sesión automático para los usuarios de Windows AD, después de realizar la actualización, los usuarios no podrán acceder a la página Proveedores externos si previamente han iniciado sesión en Identity Server. Los usuarios iniciarán sesión directamente en los tenants después de introducir sus credenciales de Windows.

    Sin acceso a la página Iniciar sesión, el administrador del host no puede iniciar sesión en el tenant del host y no puede acceder al portal Identity Management.

    Si se da el caso, abre un navegador en modo de incógnito y escribe https://<OrchestratorURL>/identity/configuration.

Importante:

Requisitos previos

  1. Para integrarse con Windows Active Directory (AD) y utilizar la autenticación de Windows, el puerto 389 de LDAP debe estar accesible en uno o más controladores de tu dominio.

  2. En colaboración con tus administradores de TI, asegúrate de que el servidor de Orchestrator puede acceder a tu Active Directory (AD).

  3. Si tienes previsto utilizar LDAP por SSL (LDAPS), debes obtener e instalar certificados para configurar un LDAP seguro en cada controlador de dominio. Para obtener más información e instrucciones, consulta el artículo Certificado LDAP por SSL (LDAPS).

Acerca de las opciones de integración

Cuando los usuarios inician sesión en Orchestrator con sus credenciales de Active Directory, Orchestrator utiliza el protocolo Kerberos para autenticar a los usuarios.

En un entorno de Active Directory, LDAPS es una conexión segura de uso frecuente para los servicios de directorio. Es importante tener en cuenta que los escenarios de compatibilidad con LDAPS difieren en función del mecanismo de autenticación utilizado.

Mecanismo de autenticación

Compatibilidad con LDAPS

Nombre de usuario y contraseña (no disponibles)

N/D

Autenticación Kerberos

Compatible

Paso 1. Configurar el clúster de Orchestrator

Requisitos para los clústeres multinodo

  • Los nodos del clúster deben estar implementados en un equilibrador de carga. Utiliza el nombre de host del equilibrador de carga siempre que se requiera el nombre de host en estas instrucciones.
  • El grupo de aplicaciones de Orchestrator debe estar configurado para ejecutarse bajo una identidad personalizada. La identidad personalizada debe ser una cuenta de dominio.

Configurar una identidad personalizada

Esto solo es necesario si se ejecuta un clúster multinodo o un clúster de nodo único con un equilibrador de carga.

Para los clústeres de un solo nodo sin equilibrador de carga, esto es opcional.

  1. Abre IIS (Internet Information Services Manager).
  2. En IIS, en el panel Conexiones de la izquierda, haz clic en Grupos de aplicaciones.
  3. Ve a Identidad > Configuración avanzada > Modelo de proceso > Identidad.
  4. En el cuadro de diálogo Identidad del grupo de aplicaciones, selecciona Cuenta personalizada y especifica una cuenta de usuario calificada por el dominio.
  5. Haz clic en Aceptar para aplicar los cambios.
  6. Cierra IIS.


Configuración de SPN

Si el grupo de aplicaciones de Orchestrator está configurado para ejecutarse bajo una identidad personalizada, esa cuenta debe tener un SPN registrado para el nombre de host.

Este paso es necesario si te ejecutas:

  • un clúster multinodo porque hay que definir una identidad personalizada o
  • un clúster de nodo único con un equilibrador de carga, que se trata igual que un clúster multinodo.

Este paso no es necesario si:

  • estás ejecutando un clúster de nodo único sin equilibrador de carga y
  • has elegido utilizar una identidad personalizada, pero has utilizado el nombre del ordenador del clúster como identidad personalizada.

En una máquina unida a un dominio que tiene acceso de escritura en la organización y el tenant de Orchestrator de destino:

  1. Abre el Símbolo del sistema.
  2. Cambia el directorio a C:\Windows\System32 utilizando el comando cd C:\Windows\System32.
  3. Ejecuta el comando setspn.exe -a HTTP/<hostname> <domain account>, donde:
    • HTTP/<hostname>: la URL en la que se puede acceder a tu instancia de Orchestrator.
    • <domain account> - El nombre o nombre de dominio de la identidad personalizada con la que se ejecuta el grupo de aplicaciones de Orchestrator.

Paso 2. Configurar IIS para habilitar la autenticación Windows

Nota: Si tienes una instalación multinodo, debes realizar la configuración de IIS en cada uno de los nodos de clúster.
  1. Abre IIS (Internet Information Services Manager).
  2. En la sección Conexiones, en el nodo Sitios, selecciona UiPath Orchestrator.
  3. En el panel principal, haz doble clic en Authentication para ver los detalles.
  4. Selecciona Autenticación de Windows y luego, en el panel Acciones de la derecha, selecciona Configuración avanzada.
    Nota: si aún no está habilitado, habilita la autenticación de Windows para continuar con estas instrucciones.
  5. Haz clic en el sitio de UiPath Orchestrator de la izquierda y, a continuación, haz doble clic en Editor de configuración en el área principal.


  6. En el Editor de configuración, en la parte superior, en la lista Sección, selecciona system.webServer/security/authentication/windowsAuthentication.
  7. Para useAppPoolCredentials, establece el valor en Verdadero:

Paso 3. Configurar Orchestrator

  1. Inicia sesión en el portal de gestión como administrador del sistema.
  2. Ve a Configuración de seguridad.
  3. En la sección Proveedores externos, haz clic en Configurar en Active Directory.


    El panel Configurar Active Directory se abre a la derecha de la pantalla.

  4. Selecciona la casilla de verificación Habilitada.
  5. Si deseas que los usuarios solo inicien sesión con sus credenciales de Active Directory, selecciona la casilla de verificación Forzar inicio de sesión automático usando este proveedor.

    Si se selecciona, los usuarios ya no pueden iniciar sesión con su nombre de usuario y contraseña de Orchestrator; deben utilizar sus credenciales de Active Directory, con un nombre de usuario calificado por el dominio.

  6. Si lo deseas, puedes editar el valor del campo Nombre para mostrar para personalizar la etiqueta del botón de autenticación de Windows que se muestra en la página de inicio de sesión.
  7. Reinicia el sitio IIS. Esto es necesario siempre que se realicen cambios en los proveedores externos.

Paso 4. Verificar el protocolo de autenticación

Ahora que la integración está configurada, se recomienda realizar un inicio de sesión de prueba utilizando las credenciales de AD y verificando que se utiliza el protocolo Kerberos para el inicio de sesión.

  1. Inicia sesión en Orchestrator con tus credenciales de Active Directory para crear un evento de inicio de sesión.

    Anota la hora a la que iniciaste sesión.

  2. Abre el Visor de eventos en Windows.
  3. Ve a Registros de Windows > Seguridad.
  4. En la lista de eventos de seguridad, busca la entrada con las siguientes características:
    • ID de evento: 4624
    • Fecha y hora: la fecha de hoy y la hora en la que iniciaste la sesión con tus credenciales de Active Directory.
  5. Haz doble clic en la fila para abrir el cuadro de diálogo de propiedades del evento.
  6. En la pestaña General, desplázate hasta la sección Información detallada sobre la autenticación y comprueba lo siguiente:


    Si se utilizó la autenticación Kerberos:

    • el valor de Paquete de autenticación debe ser Negociar.
    • el valor de Nombre de paquete debe estar en blanco (-) ya que solo se aplica a NTLM. Si este valor es NTLM V2, entonces se utilizó el protocolo de autenticación predeterminado y no Kerberos.
Nota: en el modo incógnito de Google Chrome, el explorador solicita credenciales y realiza una autenticación explícita con credenciales. El flujo funciona y utiliza Kerberos.

Was this page helpful?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Logotipo blanco de UiPath
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2024 UiPath. All rights reserved.