automation-suite
2023.10
true
Guia do administrador do Automation Suite
Last updated 14 de ago de 2024

Configurando a integração do Active Directory

AVISO:

A integração do Active Directory não é compatível com o Automation Suite no AKS/EKS.

Você pode habilitar o SSO usando a autenticação do Windows e habilitar a funcionalidade de pesquisa de diretórios com a integração do Active Directory. A pesquisa de diretórios permite pesquisar contas e grupos de diretórios e trabalhar com eles como faria com contas locais.

Restrições conhecidas

  • A pesquisa de diretórios não encontra usuários de um domínio de confiança externo. Esse recurso não é compatível porque não há uma autoridade de confiança mútua com confiança externa.
  • A Autenticação do Windows usa o protocolo Kerberos no Automation Suite e, portanto, o logon do Windows só pode ser usado com máquinas associadas a um domínio.

Etapa 1. Configurar a integração do Active Directory

Trabalhe com os seus administradores de TI para garantir que o cluster do Automation Suite possa acessar seu Active Directory (AD).

A integração do Active Directory pode ser configurada usando uma de duas opções:

  1. Autenticação do Kerberos
  2. UsernameAndPassword

A autenticação do Kerberos é recomendada porque é compatível com mais cenários:

Cenário

UsernameAndPassword

Autenticação do Kerberos

Pesquisa de diretórios por domínios na mesma floresta

Suportado

Suportado

Pesquisa de diretórios por domínios em uma floresta confiável

Não Compatível

Suportado

Pesquisa de diretórios por domínios de confiança externos

Não Compatível

Não Compatível

No ambiente do Active Directory, LDAPS é uma conexão segura normalmente usada para serviços de diretório. É importante observar que os cenários de compatibilidade do LDAPS diferem com base no mecanismo de autenticação usado.

Mecanismo de autenticação

Compatibilidade do LDAPS

UsernameAndPassword

Suportado

Autenticação do Kerberos

Não Compatível

a. Configuração do Kerberos (recomendada)

  1. Configure a autenticação do Kerberos seguindo as instruções em Configuração da autenticação do Kerberos.
  2. Faça login no portal do host do Automation Suite como administrador do sistema.
  3. Certifique-se de que Host esteja selecionado na parte superior do painel esquerdo e clique em Segurança.
  4. Em Active Directory, clique em Configurar.
    • Marque a caixa de seleção opcional Forçar login automático usando este provedor se quiser permitir login apenas com contas do Active Directory. Só faça isso se a integração com o provedor tiver sido validada com sucesso para evitar bloqueios.
    • Deixe a caixa de seleção Usar Kerberos Auth marcada.
    • No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
  5. Clique em Salvar para salvar suas alterações e retornar à página anterior.
  6. Clique na alternância à esquerda do Active Directory para habilitar a integração.
  7. Reinicie o pod identity-service-api-*.
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando: kubectl -n uipath rollout restart deployment identity-service-api

B. Configuração de Nome de usuário e Senha

Importante: quando você usa essa opção, o serviço UiPath® usa credenciais fornecidas em texto claro para se comunicar com o Active Directory. Para evitar isso, recomendamos usar LDAP sobre SSL (LDAPS) com essa configuração.
Importante: Somente usuários da mesma floresta configurada nesta página podem interagir com o cluster UiPath. Os usuários de florestas confiáveis não poderão fazer login neste cluster UiPath.

B.1. Pré-requisito para usar LDAPS

Se você pretende usar o LDAP sobre SSL (LDAPS), primeiro deve configurar o LDAP sobre SSL em seu ambiente AD e obter o certificado raiz a ser usado na configuração do cluster UiPath.

Observação:

Problema conhecido: o certificado LDAPS configurado não persiste após a atualização. Como resultado, após uma atualização, é necessário adicionar o certificado LDAPS novamente para que as conexões seguras do LDAP funcionem.

  1. Obtenha e instale o certificado SSL para LDAPS em cada controlador de domínio.

    Para obter mais informações e instruções, consulte o artigo Certificado do LDAP pelo protocolo SSL (LDAPS).

  2. Codifique o certificado raiz em Base64 executando o seguinte comando:
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  3. Adicione o certificado raiz codificado no ArgoCD:
    1. Faça login no ArgoCD.
    2. Selecione e vá para o aplicativo uipath.
    3. No canto superior esquerdo, clique em DETALHES DO APLICATIVO.
    4. Na seção Parâmetros, procure o parâmetro global.userInputs.certificate.identity.ldaps.customRootCA.
    5. Atualize o valor do parâmetro para o conteúdo codificado obtido anteriormente.
    6. Salve.
    7. Clique em SYNC para aplicar suas alterações.

B.2. Configuração do Active Directory

  1. Faça login no portal do host do Automation Suite como administrador do sistema.
  2. Certifique-se de que Host esteja selecionado na parte superior do painel esquerdo e clique em Segurança.
  3. Em Active Directory, clique em Configurar.
    • Se quiser permitir login somente com contas Active Directory, marque a caixa de seleção Forçar login automático usando este provedor.
    • Desmarque a caixa de seleção Usar a autenticação do Kerberos.
    • (Opcional, mas fortemente recomendado) Marque a caixa de seleção Usar LDAP sobre SSL (LDAPS) .
    • No campo Nome de exibição, digite o nome que você quer mostrar na página Login desta opção para entrar.
    • No campo Domínio padrão digite seu nome de domínio totalmente qualificado (FQDN) para o Active Directory (AD).
    • No campo Nome de usuário , digite o nome de usuário de um usuário AD. Ele precisa estar no formato DOMAIN\username. Por exemplo, TESTDOMAIN\user1.
    • No campo Senha do usuário, digite a senha para a conta do AD acima.
  4. Clique em Testar e salvar para salvar as alterações e retornar à página anterior.
  5. Clique na alternância à esquerda do Active Directory para habilitar a integração.
  6. Reinicie o pod identity-service-api-*.
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando: kubectl -n uipath rollout restart deployment identity-service-api

Etapa 2. Configurar a Autenticação do Windows

Pré-requisito

Obtenha a <KERB_DEFAULT_KEYTAB>, que é a string codificada em base64 do arquivo keytab, gerada como parte da configuração do Kerberos.

Configurar o cluster do Automation Suite

Observações importantes:

Ignore esta etapa se você já configurou o Automation Suite como um cliente Kerberos seguindo o procedimento descrito no guia Configurando o Automation Suite como um cliente Kerberos .

Se você configurou a integração do Active Directory através do método de nome de usuário e senha, o que não é recomendado, execute as seguintes etapas:

  1. Acesse o ArgoCD e faça login como administrador.
  2. Selecione e acesse o aplicativo “uipath“.
  3. Clique em DETALHES DO APP no canto superior esquerdo.
  4. Na seção PARAMETERS, procure o parâmetro global.kerberosAuthConfig.userKeytab.

    O parâmetro tem um valor de espaço reservado por padrão.

  5. Atualize o valor do espaço reservado do parâmetro com <KERB_DEFAULT_KEYTAB> e salve.
  6. Clique em SINCRONIZAR para aplicar a alteração.
  7. Após uma sincronização bem-sucedida, reinicie o Identity Server executando o seguinte comando:

    kubectl -n uipath rollout restart deployment identity-service-api

Etapa 3. Configuração do navegador

Microsoft Internet Explorer

Não compatível.

Microsoft Edge

Nenhuma configuração adicional necessária.

Google Chrome

Normalmente, o Google Chrome funciona sem uma configuração adicional.

Se não funcionar, siga as instruções abaixo.

  1. Acesse Ferramentas > Opções da internet > Segurança.
  2. Selecione Intranet local.
  3. Clique em Sites.
  4. Certifique-se de que Detectar automaticamente a rede da Intranet esteja selecionada ou que todas as opções estejam selecionadas.
  5. Clique em Avançado.
  6. Adicione o FQDN do Automation Suite à Intranet local.
  7. Clique em Fechar e em OK.
  8. Clique em Nível personalizado.
  9. Ou então, selecione Logon automático apenas na zona da Intranet em Autenticação do usuário

    Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele verificará a origem do requisito. Se o domínio ou IP pertencer à Intranet, o navegador enviará o nome de usuário e a senha automaticamente. Em caso negativo, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e senha, e esperará uma entrada manual.

  10. Ou então, selecione Login automático com nome de usuário e senha atuais em Autenticação do usuário.

    Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele enviará o nome de usuário e a senha silenciosamente. Se o resultado da autenticação for bem-sucedido, o navegador continuará na ação original. Se a autenticação falhar, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e tentará novamente até ser bem-sucedido.

  11. Certifique-se de que Habilitar a Autenticação do Windows integrada esteja selecionada na guia Opções da internet > Avançado e na seção Segurança.

Mozilla Firefox

  1. Abra a janela de configuração do navegador.
  2. Digite about:config na barra de endereços.
  3. Especifique os FQDNs do Automation Suite para os quais você usa a autenticação do Kerberos:
    1. Pesquise o termo network.negotiate.
    2. Habilite e defina o seguinte para o Kerberos: network.negotiate-auth.delegation-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) e network.negotiate-auth.allow-non-fqdn (valor: true).

Etapa 4. Permitir a Autenticação do Windows para a organização

Agora que o Automation Suite está integrado à Autenticação do Windows, os usuários para os quais uma conta de usuário é criada no Automation Suite pode usar a opção Windows na página Logon para entrar no Automation Suite.



O administrador de cada organização deve fazer isso para sua organização se quiser permitir o logon com credenciais do Windows.

  1. Faça logon no Automation Suite como administrador de uma organização.
  2. Atribua uma função ao nível de organização a um usuário ou grupo do Active Directory, que você pode selecionar na pesquisa.
  3. Repita a etapa acima para cada usuário que você deseja permitir que faça login com a Autenticação do Windows.

Então, os usuários aos quais você atribuiu funções poderão fazer login na organização do Automation Suite com sua conta do Active Directory. Eles devem fazer logon em uma máquina associada a um domínio.

Solução de problemas

Se você receber um erro HTTP 500 ao tentar fazer login usando as credenciais do Windows, aqui estão algumas coisas para verificar:

  1. A máquina do Windows está associada a um domínio?

    Na máquina, acesse Painel de controle > Sistema e segurança > Sistema e verifique se é mostrado um domínio. Se nenhum domínio for mostrado, adicione a máquina ao domínio. As máquinas devem ser associadas a um domínio para usar a Autenticação do Windows com o protocolo Kerberos.

  2. Você consegue fazer login na máquina do Windows com as mesmas credenciais?

    Se não conseguir, peça ajuda ao administrador de seu sistema.

  3. Você está usando um navegador diferente do Microsoft Edge?

    É necessária uma configuração adicional para navegadores compatíveis diferentes do Microsoft Edge.

  4. Verifique a configuração do keytab:
    1. Depois de gerar o keytab, no servidor do Active Directory, a propriedade do usuário do AD (servicePrincpalName) deve ter a forma HTTP/<Service Fabric FQDN> - por exemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.
    2. A opção Esta conta é compatível com critografia Kerberos AES de 256 bits deve estar selecionada para a conta do usuário no AD.

      Se estiver configurado incorretamente, no log identity-service-api, você poderá ver:

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
  5. Se você tiver vários Active Directories configurados no domínio que estiver usando, a autenticação falhará e, no log identity-service-api, você poderá ver:

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    Nesse caso, certifique-se de que a conta da máquina criada para autenticação seja repetida em todos os Active Directories.

  6. Se você executar ktpass e atribuir uma nova senha à conta do usuário, a versão do keytab (kvno) aumentará e invalidará o keytab antigo. No log identity-service-api, você pode ver:
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    Nesse caso, você precisa atualizar o krb5KeytabSecret no ArgoCD.
  7. Se você vir o seguinte erro no pod identity-service-api:
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Primeiro, verifique se você forneceu o parâmetro global.userInputs.identity.krb5KeytabSecret no ArgoCD. Se o parâmetro existir, verifique se você pode fazer login na máquina Windows com as credenciais do usuário do AD usadas para gerar o keytab. Observe que você deve gerar novamente o keytab se a senha tiver sido alterada ou estiver expirada.
    2. Outra possível causa desse problema é que o ArgoCD foi sincronizado incorretamente anteriormente. Para corrigir o problema, remova o global.userInputs.identity.krb5KeytabSecret existente, sincronize o ArgoCD e, quando a operação for bem-sucedida, atualize o global.userInputs.identity.krb5KeytabSecret e sincronize novamente.
  8. O navegador usa o SPN esperado?

    Se o log de eventos do Kerberos estiver habilitado seguindo estas instruções , você poderá visualizar o erro KDC_ERR_S_PRINCIPAL_UNKNOWN nos logs de eventos do Kerberos. Para detalhes sobre esse problema, consulte a documentação da Microsoft .

    Para resolver esse problema, desabilite a pesquisa CNAME ao negociar a autenticação Kerberos modificando a política de grupo. Para obter detalhes, consulte as instruções do Google Chrome e do Microsoft Edge .

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.