Orchestrator
2023.4
False
Image de fond de la bannière
Guide de l'utilisateur d'Orchestrator
Dernière mise à jour 4 mars 2024

Configurer l'intégration d'Active Directory

Remarque :
  • Après avoir activé cette intégration, les comptes utilisateur locaux sont liés à un utilisateur Active Directory et, dans le processus, leur attribut de nom d'utilisateur est mis à jour au format user@domain. Ainsi, l'utilisateur ne peut plus utiliser son nom d'utilisateur d'origine pour se connecter et doit à la place utiliser le nouveau nom d'utilisateur au format user@domain ou l'adresse e-mail liée au compte Active Directory.
  • Lorsque vous mettez à jour Orchestrator vers 2020.4+, Identity Server migre vos paramètres précédents. Si vous aviez précédemment activé l'authentification Windows tout ayant configuré la connexion automatique pour les utilisateurs Windows AD, après avoir effectué la mise à niveau, les utilisateurs ne peuvent pas accéder à la page Fournisseurs externes (External Providers) s'ils se sont précédemment connectés à Identity Server. Les utilisateurs sont connectés aux locataires directement après avoir entré leurs informations d'identification Windows.

    Sans accès à la page de connexion, l'administrateur de l'hôte ne peut ni se connecter au locataire de l'hôte ni accéder au portail de gestion des identités.

    Si c’est votre cas, ouvrez un nouveau navigateur en mode incognito et tapez https://<OrchestratorURL>/identity/configuration.

Important :

Prérequis

  1. Pour s'intégrer à Windows Active Directory (AD) et utiliser l'authentification Windows, le port LDAP 389 doit être accessible sur un ou plusieurs contrôleurs de votre domaine.

  2. Travaillez avec vos administrateurs informatiques pour vous assurer que le serveur Orchestrator peut accéder à votre Active Directory (AD).

  3. Si vous envisagez d'utiliser LDAP sur SSL (LDAPS), vous devez obtenir et installer des certificats pour configurer un LDAP sécurisé sur chaque contrôleur de domaine. Pour plus d'informations et d'instructions, consultez l'article Certificat LDAP sur SSL (LDAPS) (LDAP over SSL (LDAPS) Certificate).

À propos des options d'intégration

Lorsque les utilisateurs se connectent à Orchestrator avec leurs informations d’identification Active Directory, Orchestrator utilise le protocole Kerberos pour les authentifier.

Dans un environnement Active Directory, LDAPS est une connexion sécurisée couramment utilisée pour les services d'annuaire. Il est important de noter que les scénarios de prise en charge LDAPS diffèrent en fonction du mécanisme d'authentification utilisé.

Mécanisme d'authentification

Prise en charge LDAPS

Nom d'utilisateur et mot de passe (non disponible)

S/O

Authentification Kerberos

Pris en charge

Étape 1. Configurer le cluster Orchestrator

Exigences pour les clusters multi-nœuds

  • Les nœuds du cluster doivent être déployés sous un équilibreur de charge. Utilisez le nom d'hôte de l'équilibreur de charge chaque fois que le nom d'hôte est requis dans ces instructions.
  • Le pool d'applications Orchestrator doit être configuré pour s'exécuter sous une identité personnalisée. L'identité personnalisée doit être un compte de domaine.

Définition d'une identité personnalisée

Cette opération n'est requise que si vous exécutez un cluster multi-nœuds ou un cluster à nœud unique avec un équilibreur de charge.

Elle est facultative pour les clusters à nœud unique sans équilibreur de charge.

  1. Ouvrez IIS (Gestionnaire des services Internet Information Services (IIS)).
  2. Dans IIS, dans le panneau Connexions (Connections) à gauche, cliquez sur Pools d'applications (Application Pools).
  3. Accédez à Identité (Identity) > Paramètres avancés (Advanced Settings) > Modèle de processus (Process Model) > Identité (Identity).
  4. Dans la boîte de dialogue Identité du pool d'applications (Application Pool Identity), sélectionnez Compte personnalisé (Custom account) et spécifiez un compte d'utilisateur qualifié pour le domaine.
  5. Cliquez sur OK pour enregistrer vos modifications.
  6. Fermez IIS.


Configuration SPN

Si le pool d'applications Orchestrator est configuré pour s'exécuter sous une identité personnalisée, ce compte doit avoir un SPN enregistré pour le nom d'hôte.

Cette étape est obligatoire si vous exécutez :

  • un cluster multi-nœuds, car vous devez définir une identité personnalisée, ou
  • un cluster à nœud unique avec un équilibreur de charge, qui est traité de la même manière qu'un cluster multi-nœuds.

Cette étape n'est pas nécessaire si :

  • vous exécutez un cluster à nœud unique sans équilibreur de charge, et
  • vous avez choisi d'utiliser une identité personnalisée, mais vous avez utilisé le nom de l'ordinateur du cluster comme identité personnalisée.

Sur une machine jointe à un domaine disposant d'un accès en écriture à l'organisation et au locataire Orchestrator cibles :

  1. Lancez l'Invite de commandes.
  2. Passez le répertoire à C:\Windows\System32, en utilisant la commande cd C:\Windows\System32.
  3. Exécutez la commande setspn.exe -a HTTP/<hostname> <domain account>, où :
    • HTTP/<hostname> : URL à laquelle votre instance d'Orchestrator est accessible.
    • <domain account> : nom ou domaine\nom de l'identité personnalisée sous laquelle le pool d'applications Orchestrator s'exécute.

Étape 2. Configurer IIS pour activer l'authentification Windows

Remarque : Si vous disposez d'une installation multi-nœuds, vous devez effectuer la configuration IIS sur chacun de vos nœuds de cluster.
  1. Ouvrez IIS (Gestionnaire des services Internet Information Services (IIS)).
  2. Dans la section Connexions (Connections), sous le nœud Sites, sélectionnez UiPath Orchestrator.
  3. Dans le panneau principal, double-cliquez sur Authentification (Authentication) pour afficher les détails.
  4. Sélectionnez Authentification Windows (Windows Authentication) puis, dans le panneau Actions à droite, sélectionnez Paramètres avancés (Advanced Settings).
    Remarque : si elle n’est pas déjà activée, activez l’authentification Windows pour continuer de suivre ces instructions.
  5. Cliquez sur le site UiPath Orchestrator sur la gauche, puis double-cliquez sur Éditeur de configuration (Configuration Editor) dans la zone principale.


  6. Dans l'Éditeur de configuration (Configuration Editor), en haut, dans la liste Section, sélectionnez system.webServer/security/authentication/windowsAuthentication.
  7. Pour useAppPoolCredentials, définissez la valeur sur Vrai (True) :

Étape 3. Configurer Orchestrator

  1. Connectez-vous au portail de gestion en tant qu'administrateur système.
  2. Accédez aux Paramètres de sécurité (Security Settings).
  3. Dans la section Fournisseurs externes (External Providers), cliquez sur Configurer (Configure) sous Active Directory :


    Le panneau Configurer Azure Active Directory (Configure Azure Active Directory) s'ouvre à droite de l'écran.

  4. Cochez la case Activé (Enabled).
  5. Si vous souhaitez autoriser uniquement les utilisateurs à se connecter à l'aide de leurs informations d'identification Active Directory, cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider).

    Si cette option est sélectionnée, les utilisateurs ne peuvent plus se connecter à l'aide de leurs nom d'utilisateur et mot de passe Orchestrator ; ils doivent utiliser leurs informations d'identification Active Directory, avec un nom d'utilisateur qualifié pour le domaine.

  6. Vous pouvez également modifier la valeur dans le champ Nom complet (Display Name) pour personnaliser l'étiquette du bouton d'authentification Windows qui s'affiche sur la page de connexion.
  7. Redémarrez le site IIS. Ceci est requis chaque fois que vous apportez des modifications aux fournisseurs externes.

Étape 4. Vérifier le protocole d'authentification

À présent que l'intégration est configurée, nous vous recommandons d'effectuer un test de connexion à l'aide des informations d'identification AD et de vérifier que le protocole Kerberos est utilisé pour la connexion.

  1. Connectez-vous à Orchestrator à l'aide de vos informations d'identification Active Directory pour créer un événement de connexion.

    Notez l'heure à laquelle vous vous êtes connecté.

  2. Ouvrez l'Observateur d'événements (Event Viewer) dans Windows.
  3. Accédez à Journaux Windows (Window Logs) > Sécurité (Security).
  4. Dans la liste des événements de sécurité, recherchez l'entrée présentant les spécificités suivantes :
    • ID de l'événement (Event ID) : 4624
    • Date et heure (Date and Time) : date et heure du jour auxquelles vous vous êtes connecté avec vos informations d'identification Active Directory.
  5. Double-cliquez sur la ligne pour ouvrir la boîte de dialogue des propriétés d'événement.
  6. Dans l'onglet Général (General), faites défiler jusqu'à la section Informations d'authentification détaillées (Detailed Authentication Information) et vérifiez les éléments suivants :


    Si l'authentification Kerberos a été utilisée :

    • la valeur Package d'authentification (Authentication Package) doit être Négocier (Negotiate) ;
    • la valeur Nom du package (Package Name) doit être vide (-) car cela ne s'applique qu'à NTLM. Si cette valeur est NTLM V2, cela signifie que le protocole d'authentification par défaut a été utilisé, et non Kerberos.
Remarque : En mode navigation privée de Google Chrome, le navigateur demande des informations d'identification et les utilise pour procéder à une authentification explicite. Le flux fonctionne et utilise Kerberos.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Logo Uipath blanc
Confiance et sécurité
© 2005-2024 UiPath. All rights reserved.