automation-suite

2024.10

true

Importante :

A tradução automática foi aplicada parcialmente neste conteúdo. A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.

Guia de instalação do Automation Suite no OpenShift

Última atualização 16 de mai de 2025

Como configurar a autenticação do Kerberos

Pré-requisitos

Para configurar com êxito a autenticação Kerberos, você deve atender aos seguintes pré-requisitos:

Garantindo que o cluster do Automation Suite possa acessar seu AD

Antes de configurar a autenticação Kerberos, trabalhe com seus administradores de TI para garantir que o cluster do Automation Suite possa acessar seu AD.

Os seguintes requisitos devem ser atendidos:

O cluster do Automation Suite deve estar na mesma rede que o domínio do AD;
O DNS deve ser configurado corretamente na rede para que o cluster do Automation Suite possa resolver os nomes de domínio do AD.

Observação: é fundamental que o cluster do Automation Suite possa resolver o AD domain names. Você pode verificar se isso ocorre executando nslookup <AD domain name> na máquina do host.

Configurando a conta de serviço do AD para autenticação Kerberos

Gerando keytab padrão Kerberos e parâmetros de nome de usuário

Opção 1: por execução do script (recomendado)

Faça login com sua conta de administrador do AD em uma máquina ingressada no domínio do Windows.
Execute o script keytab-creator.ps1 como administrador.
Insira os seguintes valores no script:
1. Service Fabric FQDN. Por exemplo, uipath-34i5ui35f.westeurope.cloudapp.azure.com.
2. AD domain FQDN. Por exemplo, TESTDOMAIN.LOCAL.
3. Uma conta de usuário do AD. Você pode usar uma conta existente, como sAMAccountName, ou pode permitir que o script crie uma nova.

O arquivo de saída contém os parâmetros <KERB_DEFAULT_USERNAME> e <KERB_DEFAULT_KEYTAB> exigidos pela configuração do Kerberos.

Opção 2: manualmente

Entre em contato com o administrador do AD para obter uma conta de usuário do AD e recupere <KERB_DEFAULT_USERNAME>e <KERB_DEFAULT_KEYTAB>para essa conta da seguinte forma:

Em seu AD Server, crie uma nova conta de usuário.Se você já tiver um, pule para a etapa 2.
1. No console Usuários e computadores do Active Directory, clique com o botão direito do mouse na pasta Usuários , selecione Novo e, então, selecione Usuário.
2. Termine de criar a conta de usuário.
Clique com o botão direito do mouse na conta de usuário e selecione Propriedades.
Vá para a guia Conta e, em seguida, em Opções de conta , selecione Esta conta suporta criptografia Kerberos AES de 256 bits .
Importante: O keytab gerado nas próximas etapas se tornará inválido se a senha do usuário do AD expirar ou for atualizada. Considere selecionar A senha nunca expira em Opções de conta para esta conta de usuário do AD.Como alternativa, você pode atualizar a senha quando estiver prestes a expirar e gerar um novo keytab.
Para gerar um arquivo keytab para o SPN, abra o PowerShell com acesso de administrador e execute o seguinte comando:
```
ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1
```
Alguns campos devem ser especificados em maiúsculas. Por exemplo:
```
ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1
```
Após a geração do keytab, o nome de login do usuário muda para HTTP/<Service Fabric FQDN>. Use esse valor para o campo <KERB_DEFAULT_USERNAME> em default_ad_username em input.json da seguinte maneira:
```
"kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
    },"kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
    },
```

Codifique o arquivo keytab gerado em Base64, abra o PowerShell e execute o seguinte comando:

[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

Salve o arquivo keytab codificado. Você o usará ao configurar o cluster UiPath® para Kerberos. Vamos chamar o valor a partir da etapa 6 <KERB_DEFAULT_KEYTAB>.

Opcional: pré-requisitos de autenticação SQL

Para configurar o cluster UiPath® para conectar-se ao SQL usando a autenticação integrada do Windows/Kerberos, você precisa realizar algumas etapas adicionais:

o servidor SQL deve ingressar no domínio AD;
o cluster do Automation Suite deve estar na mesma rede que o SQL Server;
o cluster do Automation Suite pode resolver os nomes de domínio dos servidores AD e SQL;
o usuário do AD deve ter acesso ao servidor SQL e permissões de banco de dados.

Para criar um novo login no SQL Server Management Studio, execute as seguintes etapas:

a. No painel Explorador de Objetos, navegue até Segurança > Login.

b. Clique com o botão direito do mouse na pasta Logins e selecione Novo Login. A janela Login - Novo será exibida.

c. Selecione a opção Autenticação do Windows. A janela é atualizada de acordo.

d. No campo Nome de login, digite o domínio de usuário que você deseja usar como uma conta de serviço.

e. Na lista Idioma padrão, selecione inglês.

Importante: certifique-se de que o idioma padrão esteja definido como inglês. Se não estiver, o site não pode iniciar e o Visualizador de Eventos no computador no qual o Orchestrator está instalado exibe a seguinte mensagem de erro: "a conversão de um tipo de dados varchar em um tipo de dados datetime resultou em um valor fora do intervalo".

f. Selecione OK. Suas configurações são salvas.

Se a conta de serviço já tiver sido criada e adicionada à seção Segurança > Logins do SQL Server, verifique se o Idioma Padrão dessa conta SQL está definido como inglês. Se não estiver, faça os ajustes necessários.

Você precisa fornecer ao usuário que se conecta ao banco de dados SQL a db_ownerfunção de mapeamento de usuário, como na captura de tela a seguir.

Se as restrições de segurança não permitirem que você use a função db_owner de mapeamento de usuários com o login da UiPath®, conceda as seguintes permissões:

db_datareader
db_datawriter
db_ddladmin
EXECUTEpermissão em dboesquema

A permissão EXECUTE deve ser concedida usando o comando SQL GRANT EXECUTE, da seguinte maneira:

USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GOUSE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO

Se quiser que os aplicativos da UiPath® usem as contas de usuário exclusivas do AD para conectar-se ao SQL usando Integrated Security=True, você precisa criar um keytab exclusivo para cada aplicativo da UiPath®, da seguinte forma. Isso será mencionado como <KERB_APP_KEYTAB> para essa aplicação.

Geração do keytab e parâmetros de nomes de usuários do aplicativo Kerberos

Opção 1: por execução do script (recomendado)

Execute o script service-keytab-creator.ps1 .
Insira os seguintes valores no script:
1. AD domain FQDN. Por exemplo, TESTDOMAIN.LOCAL.
2. O nome de usuário e a senha de uma conta de usuário do AD. Por exemplo, a conta de usuário AD sAMAccountName e sua senha.

O arquivo de saída contém os parâmetros <KERB_APP_USERNAME> e <KERB_APP_KEYTAB> exigidos pelo Kerberos.

Opção 2: manualmente

Execute o seguinte script manualmente:

# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

O valor <AD username>será o <KERB_APP_USERNAME>correspondente a <KERB_APP_KEYTAB>.

Configurando o Automation Suite como um cliente Kerberos

Esta seção explica como você pode configurar o Automation Suite como um cliente Kerberos para acesso LDAP ou SQL.

Com <KERB_DEFAULT_KEYTAB>, configure o Automation Suite como um cliente Kerberos seguindo as instruções em Configuração da autenticação Kerberos via input.json.

Observação: se você quiser configurar serviços diferentes para serem executados em sua própria conta AD e para acessarem o SQL com essa conta AD, você pode especificar ad_username com esse <KERB_APP_USERNAME>, e user_keytab como <KERB_APP_KEYTAB> na seção de configuração do serviço.

Configurando a autenticação Kerberos por meio de input.json

No arquivo input.json , defina o parâmetro kerberos_auth_config.enabled como true.
Se você quiser usar o Kerberos para acesso SQL, configure sql_connection_string_template, sql_connection_string_template_jdbc e sql_connection_string_template_odbc com a flag de segurança integrada.

Se você deseja configurar um usuário AD diferente por serviço, execute as seguintes etapas:

Especifique ad_username e user_keytab no objeto JSON do grupo de serviço.

Atualize a string de conexão SQL do serviço para habilitar a segurança integrada.

O objeto JSON deve ser o seguinte:

"<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
    }
}"<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
    }
}

Observação: para obter a lista de nomes de grupos de serviços, consulte Grupos de serviços e serviços

Depois de atualizar o arquivo input.json , execute o script do instalador para atualizar a configuração. Para obter mais detalhes, consulte Gerenciando produtos.

Exemplo de atualização do Orchestrator e da plataforma para usar a autenticação Kerberos

"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}

Grupos de serviços e serviços

A tabela a seguir lista os grupos de serviços disponíveis e os serviços que eles incluem. Os nomes são ligeiramente diferentes no arquivo input.json ou na interface gráfica do ArgoCD.

Nome do grupo de serviço para `input.json`	Nome do grupo de serviço para ArgoCD	Serviços incluídos
`orchestrator`	`orchestrator`	Orchestrator, Webhooks
`platform`	`platform`	Identidade, Contador de Licenças (LA), Auditoria, Localização, Gerenciador de Recursos de Licenças (LRM), Serviço de Gerenciamento da Organização (OMS)
`discovery_group`	`discoverygroup`	Automation Hub, Task Mining
`test_manager`	`testmanager`	Test Manager
`automation_ops`	`automationops`	Automation Ops
`aicenter`	`aicenter`	AI Center
`documentunderstanding`	`documentunderstanding`	Document Understanding
`insights`	`insights`	Insights
`dataservice`	`dataservice`	Data Service
`asrobots`	`asrobots`	Automation Suite Robots
`processmining`	`processmining`	Process Mining

Configurando a integração do Active Directory

Para que a autenticação Kerberos seja usada ao fazer login no Automation Suite, você deve definir ainda mais as configurações de host do Automation Suite.

Disabling Kerberos authentication

Removing Kerberos authentication completely

Para remover completamente a autenticação Kerberos, execute as seguintes etapas:

Se você usou o Kerberos para configurar a integração do AD, reconfigure o AD com a opção de nome de usuário e senha seguindo as instruções em Configurando a integração do Active Directory.
Se você usou a autenticação integrada SQL, configure as strings de conexão SQL para usar User Id e Password.
Desabilitar a autenticação do Kerberos. No arquivo cluster_config.json , defina o parâmetro kerberos_auth_config.enabled como false e execute o script do instalador para atualizar a configuração. Para obter mais detalhes, consulte Gerenciando produtos.

Removing SQL integrated authentication

Para remover a autenticação integrada do SQL, execute as seguintes etapas:

Configure as strings de conexão SQL para usar User Id e Password.
Se quiser desabilitar a autenticação integrada do SQL para todos os serviços, no arquivo cluster_config.json , defina o parâmetro kerberos_auth_config.enabled como false e execute o script do instalador para atualizar a configuração. Para obter mais detalhes, consulte Gerenciando produtos.