- Introdução
- Administração do host
- Organizações
- Autenticação e segurança
- Licenciamento
- Contas e funções
- Aplicativos Externos
- Notificações
- Geração de logs
- Solução de problemas
Configurando a integração do Active Directory
Você pode habilitar o SSO usando a autenticação do Windows e habilitar a funcionalidade de pesquisa de diretórios com a integração do Active Directory. A pesquisa de diretórios permite pesquisar contas e grupos de diretórios e trabalhar com eles como faria com contas locais.
- A pesquisa de diretórios não encontra usuários de um domínio de confiança externo. Esse recurso não é compatível porque não há uma autoridade de confiança mútua com confiança externa.
- A Autenticação do Windows usa o protocolo Kerberos no Automation Suite e, portanto, o logon do Windows só pode ser usado com máquinas associadas a um domínio.
Trabalhe com os seus administradores de TI para garantir que o cluster do Automation Suite possa acessar seu Active Directory (AD).
A integração do Active Directory pode ser configurada usando uma de duas opções:
- Autenticação do Kerberos
- UsernameAndPassword
A autenticação do Kerberos é recomendada porque é compatível com mais cenários:
Cenário |
UsernameAndPassword |
Autenticação do Kerberos |
---|---|---|
Pesquisa de diretórios por domínios na mesma floresta |
Suportado |
Suportado |
Pesquisa de diretórios por domínios em uma floresta confiável |
Não Compatível |
Suportado |
Pesquisa de diretórios por domínios de confiança externos |
Não Compatível |
Não Compatível |
B.1. Pré-requisito para usar LDAPS
Se você pretende usar o LDAP sobre SSL (LDAPS), primeiro deve configurar o LDAP sobre SSL em seu ambiente AD e obter o certificado raiz a ser usado na configuração do cluster UiPath.
Problema conhecido: o certificado LDAPS configurado não persiste após a atualização. Como resultado, após uma atualização, é necessário adicionar o certificado LDAPS novamente para que as conexões seguras do LDAP funcionem.
B.2. Configuração do Active Directory
<KERB_DEFAULT_KEYTAB>
, que é a string codificada em base64 do arquivo keytab, gerada como parte da configuração do Kerberos.
Normalmente, o Google Chrome funciona sem uma configuração adicional.
Se não funcionar, siga as instruções abaixo.
- Abra a janela de configuração do navegador.
- Digite about:config na barra de endereços.
- Especifique os FQDNs do Automation Suite para os quais você usa a autenticação do Kerberos:
- Pesquise o termo
network.negotiate
. - Habilite e defina o seguinte para o Kerberos:
network.negotiate-auth.delegation-uris
(valor de exemplo:uipath-34i5ui35f.westeurope.cloudapp.azure.com
),network.negotiate-auth.trusted-uris
(valor de exemplo:uipath-34i5ui35f.westeurope.cloudapp.azure.com
) enetwork.negotiate-auth.allow-non-fqdn
(valor:true
).
- Pesquise o termo
Agora que a UiPath Platform está integrada à Autenticação do Windows, os usuários para os quais uma conta de usuário é criada na UiPath pode usar a opção do Windows na página Logon para entrar na UiPath Platform.
O administrador de cada organização deve fazer isso para sua organização se quiser permitir o logon com credenciais do Windows.
- Faça login como administrador da organização.
- Atribua uma função ao nível de organização a um usuário ou grupo do Active Directory, que você pode selecionar na pesquisa.
- Repita a etapa acima para cada usuário que você deseja permitir que faça login com a Autenticação do Windows.
Então, os usuários aos quais você atribuiu funções poderão fazer login na organização do UiPath com sua conta do Active Directory. Eles devem fazer logon em uma máquina associada ao domínio.
Se você receber um erro HTTP 500 ao tentar fazer login usando as credenciais do Windows, aqui estão algumas coisas para verificar:
-
A máquina do Windows está associada a um domínio?
Na máquina, acesse Painel de controle > Sistema e segurança > Sistema e verifique se é mostrado um domínio. Se nenhum domínio for mostrado, adicione a máquina ao domínio. As máquinas devem ser associadas a um domínio para usar a Autenticação do Windows com o protocolo Kerberos.
-
Você consegue fazer login na máquina do Windows com as mesmas credenciais?
Se não conseguir, peça ajuda ao administrador de seu sistema.
-
Você está usando um navegador diferente do Microsoft Edge?
É necessária uma configuração adicional para navegadores compatíveis diferentes do Microsoft Edge.
- Verifique a configuração do keytab:
- Depois de gerar o keytab, no servidor do Active Directory, a propriedade do usuário do AD (
servicePrincpalName
) deve ter a formaHTTP/<Service Fabric FQDN>
- por exemplo,HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
. -
A opção Esta conta é compatível com critografia Kerberos AES de 256 bits deve estar selecionada para a conta do usuário no AD.
Se estiver configurado incorretamente, no log identity-service-api, você poderá ver:
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- Depois de gerar o keytab, no servidor do Active Directory, a propriedade do usuário do AD (
-
Se você tiver vários Active Directories configurados no domínio que estiver usando, a autenticação falhará e, no log identity-service-api, você poderá ver:
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsNesse caso, certifique-se de que a conta da máquina criada para autenticação seja repetida em todos os Active Directories.
-
Se você executar
ktpass
e atribuir uma nova senha à conta do usuário, a versão do keytab (kvno
) aumentará e invalidará o keytab antigo. No log identity-service-api, você pode ver:Nesse caso, você precisa atualizar oRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
no ArgoCD. -
Se você vir o seguinte erro no pod
identity-service-api
:GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
Primeiro, verifique se você forneceu o parâmetro
global.userInputs.identity.krb5KeytabSecret
no ArgoCD. Se o parâmetro existir, verifique se você pode fazer login na máquina Windows com as credenciais do usuário do AD usadas para gerar o keytab. Observe que você deve gerar novamente o keytab se a senha tiver sido alterada ou estiver expirada. -
Outra possível causa desse problema é que o ArgoCD foi sincronizado incorretamente anteriormente. Para corrigir o problema, remova o
global.userInputs.identity.krb5KeytabSecret
existente, sincronize o ArgoCD e, quando a operação for bem-sucedida, atualize oglobal.userInputs.identity.krb5KeytabSecret
e sincronize novamente.
-
-
O navegador usa o SPN esperado?
Se o log de eventos do Kerberos estiver habilitado seguindo estas instruções , você poderá visualizar o erroKDC_ERR_S_PRINCIPAL_UNKNOWN
nos logs de eventos do Kerberos. Para detalhes sobre esse problema, consulte a documentação da Microsoft .Para resolver esse problema, desabilite a pesquisa CNAME ao negociar a autenticação Kerberos modificando a política de grupo. Para obter detalhes, consulte as instruções do Google Chrome e do Microsoft Edge .
- Restrições conhecidas
- Etapa 1. Configurar a integração do Active Directory
- a. Configuração do Kerberos (recomendada)
- B. Configuração de Nome de usuário e Senha
- Etapa 2. Configurar a Autenticação do Windows
- Pré-requisito
- Configurar o cluster do Automation Suite
- Etapa 3. Configuração do navegador
- Microsoft Internet Explorer
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Etapa 4. Permitir a Autenticação do Windows para a organização
- Solução de problemas