Automation Suite
2021.10
falso
Imagem de fundo do banner
Guia do administrador do Automation Suite
Última atualização 19 de dez de 2023

Configurando a integração do Active Directory

Você pode habilitar o SSO usando a autenticação do Windows e habilitar a funcionalidade de pesquisa de diretórios com a integração do Active Directory. A pesquisa de diretórios permite pesquisar contas e grupos de diretórios e trabalhar com eles como faria com contas locais.

Restrições conhecidas

  • A pesquisa de diretórios não encontra usuários de um domínio de confiança externo. Esse recurso não é compatível porque não há uma autoridade de confiança mútua com confiança externa.
  • A Autenticação do Windows usa o protocolo Kerberos no Automation Suite e, portanto, o logon do Windows só pode ser usado com máquinas associadas a um domínio.

Etapa 1. Configurar a integração do Active Directory

Trabalhe com os seus administradores de TI para garantir que o cluster do Automation Suite possa acessar seu Active Directory (AD).

A integração do Active Directory pode ser configurada usando uma de duas opções:

  1. Autenticação do Kerberos
  2. UsernameAndPassword

A autenticação do Kerberos é recomendada porque é compatível com mais cenários:

Cenário

UsernameAndPassword

Autenticação do Kerberos

Pesquisa de diretórios por domínios na mesma floresta

Suportado

Suportado

Pesquisa de diretórios por domínios em uma floresta confiável

Não Compatível

Suportado

Pesquisa de diretórios por domínios de confiança externos

Não Compatível

Não Compatível

a. Configuração do Kerberos (recomendada)

  1. Configure a autenticação do Kerberos seguindo as instruções em Configuração da autenticação do Kerberos.
  2. Faça login no portal do host do Automation Suite como administrador do sistema.
  3. Acesse Usuários e selecione a guia Configurações de autenticação.
  4. Na seção Provedores externos, clique em Configurar em Active Directory.
    • Selecione a caixa de seleção Habilitado.
    • Marque a caixa de seleção Usar a autenticação do Kerberos.
  5. Clique em Testar e salvar para salvar suas alterações.
  6. Reinicie o pod "identity-service-api-*".
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando: kubectl -n uipath rollout restart deployment identity-service-api

b. Configuração de nome de usuário e senha (não recomendado)

Importante: Quando você usa essa opção, o serviço UiPath usa credenciais fornecidas em texto não criptografado para se comunicar com o Active Directory.
Observação: Somente usuários do mesmo domínio como aquele configurado nesta página podem interagir com o cluster UiPath.
  1. Faça login no portal do host do Automation Suite como administrador do sistema.
  2. Acesse Usuários e selecione a guia Configurações de autenticação.
  3. Na seção Provedores externos, clique em Configurar em Active Directory.

    O painel Configurar Active Directory abre à direita da janela.

  4. Configure a integração da seguinte forma:
    • Selecione a caixa de seleção Habilitado.
    • Para forçar o login usando este provedor, marque a caixa de seleção Forçar login automático usando este provedor.
    • Marque a caixa de seleção Usar autenticação Kerberos para usar o protocolo Kerberos para autenticação. (Recomendado)
    • No campo Nome de exibição, digite o texto que deseja mostrar na página Login para esta opção de login.
    • No campo Domínio padrão digite seu nome de domínio totalmente qualificado (FQDN) para o Active Directory (AD).
    • No campo Nome de usuário, digite o nome de usuário de um usuário do AD. Ele precisa estar no formato DOMÍNIO\nomedeusuário. Por exemplo: TESTDOMAIN\user1
    • No campo Senha do usuário, digite a senha para a conta do AD acima.
  5. Clique em Testar e salvar para salvar as alterações.
  6. Reinicie o pod "identity-service-api-*".
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando: kubectl -n uipath rollout restart deployment identity-service-api

Solução de problemas

Se você receber o erro Domain unreachable, verifique o roteamento de DNS usando o comando getent ahosts <AD domain>.
Se não retornar um endereço IP, verifique o nó /etc/resolv.conf. O valor de nameserver deve apontar para o DNS do domínio do AD. Em caso negativo, entre em contato com o administrador de seu sistema para obter a configuração apropriada.

Se o nó for executado no Azure, siga as instruções em Resolução de nomes para recursos nas redes virtuais do Azure.

Uma forma de fazer isso é:

  1. No Azure, acesse a rede virtual de nós e defina os servidores DNS da rede virtual para o DNS do Active Directory.
  2. Execute systemctl restart NetworkManager.service e verifique se /etc/resolv.conf está atualizado.
  3. Reinicie o DNS principal do cluster no ArgoCD.

Etapa 2. Configurar a Autenticação do Windows

Pré-requisito

Obtenha a <KERB_DEFAULT_KEYTAB>, que é a string codificada em base64 do arquivo keytab, gerada como parte da configuração do Kerberos.

Configurar o cluster do Automation Suite

  1. Acesse o ArgoCD e faça login como administrador.
  2. Selecione e acesse o aplicativo “uipath“.
  3. Clique em DETALHES DO APP no canto superior esquerdo.
  4. Na seção PARAMETERS, procure o parâmetro global.userInputs.identity.krb5KeytabSecret.

    O parâmetro tem um valor de espaço reservado por padrão.

  5. Atualize o valor do espaço reservado do parâmetro com <KERB_DEFAULT_KEYTAB> e salve.
  6. Clique em SINCRONIZAR para aplicar a alteração.
  7. Após uma sincronização bem-sucedida, execute o comando kubectl -n uipath rollout restart deployment identity-service-api para reiniciar o Identity Server.

Etapa 3. Configuração do navegador

Microsoft Internet Explorer

Não compatível.

Microsoft Edge

Nenhuma configuração adicional necessária.

Google Chrome

Normalmente, o Google Chrome funciona sem uma configuração adicional.

Se não funcionar, siga as instruções abaixo.

  1. Acesse Ferramentas > Opções da internet > Segurança.
  2. Selecione Intranet local.
  3. Clique em Sites.
  4. Certifique-se de que Detectar automaticamente a rede da Intranet esteja selecionada ou que todas as opções estejam selecionadas.
  5. Clique em Avançado.
  6. Adicione o FQDN do Automation Suite à Intranet local.
  7. Clique em Fechar e em OK.
  8. Clique em Nível personalizado.
  9. Ou então, selecione Logon automático apenas na zona da Intranet em Autenticação do usuário

    Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele verificará a origem do requisito. Se o domínio ou IP pertencer à Intranet, o navegador enviará o nome de usuário e a senha automaticamente. Em caso negativo, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e senha, e esperará uma entrada manual.

  10. Ou então, selecione Login automático com nome de usuário e senha atuais em Autenticação do usuário.

    Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele enviará o nome de usuário e a senha silenciosamente. Se o resultado da autenticação for bem-sucedido, o navegador continuará na ação original. Se a autenticação falhar, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e tentará novamente até ser bem-sucedido.

  11. Certifique-se de que Habilitar a Autenticação do Windows integrada esteja selecionada na guia Opções da internet > Avançado e na seção Segurança.

Mozilla Firefox

  1. Abra a janela de configuração do navegador.
  2. Digite about:config na barra de endereços.
  3. Especifique os FQDNs do Automation Suite para os quais você usa a autenticação do Kerberos:
    1. Pesquise o termo network.negotiate.
    2. Habilite e defina o seguinte para o Kerberos: network.negotiate-auth.delegation-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) e network.negotiate-auth.allow-non-fqdn (valor: true).

Etapa 4. Permitir a Autenticação do Windows para a organização

Agora que o Automation Suite está integrado à Autenticação do Windows, os usuários para os quais uma conta de usuário é criada no Automation Suite pode usar a opção Windows na página Logon para entrar no Automation Suite.



O administrador de cada organização deve fazer isso para sua organização se quiser permitir o logon com credenciais do Windows.

  1. Faça logon no Automation Suite como administrador de uma organização.
  2. Atribua uma função ao nível de organização a um usuário ou grupo do Active Directory, que você pode selecionar na pesquisa.
  3. Repita a etapa acima para cada usuário que você deseja permitir que faça login com a Autenticação do Windows.

Então, os usuários aos quais você atribuiu funções poderão fazer login na organização do Automation Suite com sua conta do Active Directory. Eles devem fazer logon em uma máquina associada a um domínio.

Solução de problemas

Se você receber um erro HTTP 500 ao tentar fazer login usando as credenciais do Windows, aqui estão algumas coisas para verificar:

  1. A máquina do Windows está associada a um domínio?

    Na máquina, acesse Painel de controle > Sistema e segurança > Sistema e verifique se é mostrado um domínio. Se nenhum domínio for mostrado, adicione a máquina ao domínio. As máquinas devem ser associadas a um domínio para usar a Autenticação do Windows com o protocolo Kerberos.

  2. Você consegue fazer login na máquina do Windows com as mesmas credenciais?

    Se não conseguir, peça ajuda ao administrador de seu sistema.

  3. Você está usando um navegador diferente do Microsoft Edge?

    É necessária uma configuração adicional para navegadores compatíveis diferentes do Microsoft Edge.

  4. Verifique a configuração do keytab:
    1. Depois de gerar o keytab, no servidor do Active Directory, a propriedade do usuário do AD (servicePrincpalName) deve ter a forma HTTP/<Service Fabric FQDN> - por exemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.
    2. A opção Esta conta é compatível com critografia Kerberos AES de 256 bits deve estar selecionada para a conta do usuário no AD.

      Se estiver configurado incorretamente, no log identity-service-api, você poderá ver:

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
  5. Se você tiver vários Active Directories configurados no domínio que estiver usando, a autenticação falhará e, no log identity-service-api, você poderá ver:

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    Nesse caso, certifique-se de que a conta da máquina criada para autenticação seja repetida em todos os Active Directories.

  6. Se você executar ktpass e atribuir uma nova senha à conta do usuário, a versão do keytab (kvno) aumentará e invalidará o keytab antigo. No log identity-service-api, você pode ver:
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    Nesse caso, você precisa atualizar o krb5KeytabSecret no ArgoCD.
  7. Se você vir o seguinte erro no pod identity-service-api:
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Primeiro, verifique se você forneceu o parâmetro global.userInputs.identity.krb5KeytabSecret no ArgoCD. Se o parâmetro existir, verifique se você pode fazer login na máquina Windows com as credenciais do usuário do AD usadas para gerar o keytab. Observe que você deve gerar novamente o keytab se a senha tiver sido alterada ou estiver expirada.
    2. Outra possível causa desse problema é que o ArgoCD foi sincronizado incorretamente anteriormente. Para corrigir o problema, remova o global.userInputs.identity.krb5KeytabSecret existente, sincronize o ArgoCD e, quando a operação for bem-sucedida, atualize o global.userInputs.identity.krb5KeytabSecret e sincronize novamente.
  8. O navegador usa o SPN esperado?

    Se o log de eventos do Kerberos estiver habilitado seguindo estas instruções , você verá o erro KDC_ERR_S_PRINCIPAL_UNKNOWN nos logs de eventos do Kerberos. Para detalhes sobre esse problema, consulte a documentação da Microsoft .

    Para resolver esse problema, desabilite a pesquisa CNAME ao negociar a autenticação Kerberos modificando a política de grupo. Para obter detalhes, consulte as instruções do Google Chrome e do Microsoft Edge .

Was this page helpful?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Logotipo branco da Uipath
Confiança e segurança
© 2005-2024 UiPath. All rights reserved.