订阅

UiPath Orchestrator

UiPath Orchestrator 指南

配置 Active Directory 集成

These instructions only apply if you have a standalone installation of Orchestrator. If you are using Orchestrator in Automation Suite, follow the Automation Suite instructions instead.

📘

注意

启用此集成后,本地用户帐户将链接到 Active Directory 用户,并且在此过程中,其用户名属性将更新为 [email protected] 格式。因此,用户不能再使用其原始用户名登录,而必须使用 [email protected] 格式的新用户名或与 Active Directory 帐户绑定的电子邮件地址。

🚧

先决条件

  1. 要与 Windows Active Directory (AD) 集成并使用 Windows 身份验证,您的域中的一个或多个域控制器必须可访问 LDAP 端口 389。

  2. 与您的 IT 管理员合作,确保 Orchestrator 服务器可以访问您的 Active Directory (AD)。

  3. 如果您计划使用 LDAP over SSL (LDAPS),则必须获取并安装证书以在每个域控制器上配置安全 LDAP。有关更多信息和说明,请参阅文章 LDAP over SSL (LDAPS) 证书

关于集成选项


When users log in to Orchestrator with their Active Directory credentials, Orchestrator uses the Kerberos protocol to authenticate users.

步骤 1. 配置 Orchestrator 集群


Requirements for multi-node clusters

  • 集群中的节点必须部署在负载均衡器下。只要这些说明中需要主机名,请使用负载均衡器主机名。
  • 必须将 Orchestrator 应用程序池配置为在自定义身份下运行。自定义身份应为域帐户。

设置自定义身份

仅当您运行多节点集群或具有负载均衡器的单节点集群时,这才是必需的。
对于没有负载均衡器的单节点集群,这是可选的。

  1. 打开 IIS(Internet 信息服务管理器)。
  2. 在 IIS 的左侧“连接”面板中,单击“应用程序池”。
  3. 转到“身份” > “高级设置” > “流程模型” > “身份”。
  4. 在“应用程序池身份”对话框中,选择“自定义帐户”并指定域限定用户帐户。
  5. 单击“确定”以应用更改。
  6. 关闭 IIS。
999999

 

SPN 设置

如果 Orchestrator 应用程序池配置为在自定义身份下运行,则该帐户必须为主机名注册一个 SPN。
如果您正在运行多节点集群,则此步骤是必需的:

  • 因为您必须定义自定义身份或
  • 具有负载均衡器的单节点集群,其处理方式与多节点集群相同。

如果是以下情况,则不需要此步骤:

  • 您正在运行没有负载均衡器的单节点集群,并且
  • 您选择使用自定义身份,但使用集群计算机名称作为自定义身份

在目标 Orchestrator 组织和租户中具有写入权限的已加入域的计算机上:

  1. 打开命令提示符。
  2. 使用 cd C:\Windows\System32 命令将目录更改为 C:\Windows\System32
  3. 运行命令 setspn.exe -a HTTP/<hostname> <domain account>,其中:
    • HTTP/ - 可以访问 Orchestrator 实例的 URL。
    • <domain account> - 运行 Orchestrator 应用程序池的自定义身份的名称或域\名称。

步骤 2. 配置 IIS 以启用 Windows 身份验证


If you have a multi-node installation, you must perform IIS configuration on each of your cluster nodes.

  1. 打开 IIS(Internet 信息服务管理器)。
  2. 在“连接”部分的“站点”节点下,选择“UiPath Orchestrator”。
  3. 在主面板中,双击“身份验证”以查看详细信息。
  4. 选择“Windows 身份验证”,然后在右侧的“操作”面板中选择“高级设置”。
    如果尚未启用,请启用 Windows 身份验证以继续执行这些说明。
10001000
  1. 单击左侧的“UiPath Orchestrator”站点,然后在主要区域中双击“配置编辑器”。
14221422
  1. 在“配置编辑器”中,从顶部的“部分”列表中选择“system.webServer/security/authentication/windowsAuthentication”。
  2. 对于 useAppPoolCredentials,请将值设置为 True

Step 3. Configure Orchestrator


  1. Log in to the Management portal as a system administrator.
  2. Go to Users and select the Authentication Settings tab.
  3. In the External Providers section, click Configure under Active Directory:
905905

The Configure Active Directory panel opens at the right of the screen.

  1. 选择已启用复选框。
  2. 如果您只想允许用户使用其 Active Directory 凭据登录,请选中“强制使用此提供程序自动登录”复选框。
    如果选中,用户将无法再使用 Orchestrator 用户名和密码登录;他们必须使用 Active Directory 凭据和符合域要求的用户名。
  3. Optionally edit the value in the Display Name field to customize the label for the Windows authentication button that is displayed on the Login page.
  4. Restart the IIS site. This is required whenever you make changes to External Providers.

步骤 4. 验证身份验证协议


既然已配置集成,我们建议使用 AD 凭据执行测试登录,并验证是否使用 Kerberos 协议进行登录。

  1. 使用 Active Directory 凭据登录 Orchestrator 以创建登录事件。
    记下您的登录时间。
  2. 在 Windows 中打开事件查看器
  3. 转到“窗口日志” > “安全性”。
  4. 在安全事件列表中,查找具有以下详细信息的条目:
    • 事件 ID:4624
    • 日期和时间:今天的日期和您使用 Active Directory 凭据登录的时间。
  5. 双击该行以打开事件属性对话框。
  6. 在“常规”选项卡上,向下滚动到“详细身份验证信息”部分,然后检查以下内容:
782782

如果使用 Kerberos 身份验证:

  • “身份验证包”的值必须为“协商”
  • “包名称”的值必须为空 (-),因为这仅适用于 NTLM。如果此值为 NTLM V2,则使用默认身份验证协议,而不是 Kerberos。

In Google Chrome incognito mode, the browser prompts for credentials and it does an explicit authentication with credentials. The flow does work and it uses Kerberos.

约一个月前更新


配置 Active Directory 集成


建议的编辑仅限用于 API 参考页面

您只能建议对 Markdown 正文内容进行编辑,而不能建议对 API 规范进行编辑。