Configurando a integração do Active Directory

Você pode habilitar o SSO usando a autenticação do Windows e habilitar a funcionalidade de pesquisa de diretórios com a integração do Active Directory. A pesquisa de diretórios permite pesquisar contas e grupos de diretórios do Orchestrator e trabalhar com eles como faria com contas locais.

Observação:

Após habilitar essa integração, as contas de usuário locais são vinculadas a um usuário do Active Directory e, no processo, seu atributo de nome de usuário é atualizado para o formato user@domain. Portanto, o usuário não pode mais usar seu nome de usuário original para fazer logon e deve, ao invés disso, usar o novo nome de usuário no formato user@domain, ou o endereço de e-mail vinculado à conta do Active Directory.

Importante:

Pré-requisitos

Para fazer a integração com o Active Directory (AD) do Windows e usar a autenticação do Windows, a porta LDAP 389 deve ser acessível em um ou mais controladores de domínio no seu domínio.
Trabalhe com seus administradores de TI para garantir que o servidor do Orchestrator possa acessar o seu Active Directory (AD).
Se você planeja usar o LDAP pelo protocolo SSL (LDAPS), deve obter e instalar certificados para configurar o LDAP seguro em cada controlador de domínio. Para obter mais informações e instruções, consulte o artigo Certificado LDAP sobre SSL (LDAPS) no site da Microsoft.

Sobre opções de integração

Quando os usuários fazem login no Orchestrator com suas credenciais do Active Directory, o Orchestrator usa o protocolo Kerberos para autenticar usuários.

No ambiente do Active Directory, LDAPS é uma conexão segura normalmente usada para serviços de diretório. É importante observar que os cenários de compatibilidade do LDAPS diferem com base no mecanismo de autenticação usado.

Mecanismo de autenticação	Compatibilidade do LDAPS
Nome de usuário e senha (não disponível)	N/A
Autenticação do Kerberos	Suportado

Etapa 1. Configurar o cluster do Orchestrator (somente Kerberos)

Se não quiser usar o protocolo Kerberos para autenticação, pule para a próxima etapa.

Requisitos para clusters de vários nós

Os nós no cluster devem ser implantados em um balanceador de carga. Use o nome do host do balanceador de carga sempre que o nome de host for exigido nessas instruções.
O pool de aplicativos do Orchestrator deve ser configurado para ser executado sob uma identidade personalizada. A identidade personalizada deve ser uma conta de domínio.

Configuração de uma identidade personalizada

Isso é necessário apenas se estiver executando um cluster de vários nós, ou um cluster de nó único com um balanceador de carga.

Para clusters de nó único sem nenhum balanceador de carga, isso é opcional.

Abra o IIS (Gerenciador de Serviços de Internet).
No IIS, no painel Conexões à esquerda, clique em Pools de aplicativo.
Acesse Identidade > Configurações avançadas > Modelo de processo > Identidade.
Na caixa de diálogo Identidade do pool de aplicativos, selecione Conta personalizada e especifique uma conta de usuário qualificada para o domínio.
Clique em OK para aplicar todas as suas alterações.
Feche o IIS.

Configuração de SPN

Se o pool de aplicativos do Orchestrator estiver configurado para ser executado sob uma identidade personalizada, essa conta deve ter um SPN registrado para o nome do host.

Esta etapa é necessária se você estiver executando:

um cluster de vários nós, porque você deve definir uma identidade personalizada ou
um cluster de nó único com um balanceador de carga, que é tratado da mesma forma que um cluster de vários nós.

Esta etapa não é necessária se:

você está executando um cluster de nó único sem nenhum balanceador de carga e
você escolheu usar uma identidade personalizada, mas usou o nome de computador do cluster como a identidade personalizada

Em uma máquina ingressada no domínio que tem acesso de gravação na organização e tenant do Orchestrator de destino:

Abra o Prompt de Comando.
Altere o diretório para C:\Windows\System32, usando o comando cd C:\Windows\System32.
Execute o comando setspn.exe -a HTTP/<hostname> <domain account>, no qual:
- HTTP/<hostname> — o URL no qual a sua instância do Orchestrator pode ser acessada.
- <domain account> — o nome ou nome de domínio da identidade personalizada na qual o pool de aplicativos do Orchestrator está em execução.

Etapa 2. Configurar o IIS para habilitar a autenticação do Windows

Observação: se você tiver uma instalação de vários nós, deverá executar a configuração do IIS em cada um dos nós do cluster.

Abra o IIS (Gerenciador de Serviços de Internet).
Na seção Conexões, no nó Sites, selecione UiPath Orchestrator.
No painel principal, clique duas vezes em Autenticação para exibir os detalhes.
Selecione Autenticação do Windows e, em seguida, no painel Ações à direita, selecione Configurações avançadas.

Observação: se já não estiver ativada, ative a Autenticação do Windows para continuar com estas instruções.
Clique no site do UiPath Orchestrator à esquerda e, em seguida, clique duas vezes em Editor de configuração na área principal.
No topo do Editor de configuração, na lista Seção, selecione system.webServer/security/authentication/windowsAuthentication.
Para useAppPoolCredentials, defina o valor como True:

Etapa 3. Configurar o Orchestrator

Faça login no Portal de gerenciamento como administrador do sistema.
Acesse Usuários e selecione a guia Configurações de autenticação.
Na seção Provedores externos, clique em Configurar em Active Directory:

O painel Configurar o Active Directory será aberto à direita da tela.
Selecione a caixa de seleção Habilitado.
Se quiser permitir que os usuários façam logon apenas usando suas credenciais do Active Directory, selecione a caixa de seleção Forçar logon automático usando esse provedor.

Se a selecionar, os usuários não poderão mais fazer logon usando seu nome de usuário e senha do Orchestrator; eles precisarão usar suas credenciais do Active Directory, com um nome de usuário com domínio qualificado.
Se você quiser usar o protocolo Kerberos para autenticação, marque a caixa de seleção Use Kerberos Auth .
Recomendamos o uso do Kerberos.
- Se você selecionar essa opção, os usuários serão conectados automaticamente ao Orchestrator sem precisar inserir suas credenciais.
- Se você não selecionar essa opção, o protocolo NTLM padrão será usado e os usuários deverão inserir suas credenciais do Active Directory para efetuar login.
Opcionalmente, edite o valor no campo Nome de exibição para personalizar o rótulo para o botão de autenticação do Windows que é exibido na página de Logon.
Reinicie o site do IIS. Isso é necessário sempre que você fizer alterações nos Provedores Externos.

Etapa 4. Verificar o protocolo de autenticação

Agora que a integração está configurada, recomendamos realizar um login de teste usando as credenciais do AD e verificar se o protocolo de autenticação escolhido (NTLM ou Kerberos) é usado para fazer login.

Faça logon no Orchestrator usando suas credenciais do Active Directory para criar um evento de logon.

Anote a hora em que fez logon.
Abra o Visualizador de Eventos no Windows.
Acesse Logs do Windows > Segurança.
Na lista de eventos de segurança, procure a entrada com as seguintes especificações:
- ID do evento: 4624
- Data e hora: a data e hora de hoje quando fez logon com suas credenciais do Active Directory.
Clique duas vezes na linha para abrir a caixa de propriedades do evento.
Na aba Geral, role para baixo até a seção Informações detalhadas de autenticação e verifique o seguinte:
Se a autenticação do Kerberos foi usada:
- o valor do Pacote de autenticação deve ser Negociar
- o valor do Nome do pacote deve estar em branco (-), porque isso se aplica apenas para o NTLM. Se esse valor for NTLM V2, então o protocolo de autenticação padrão foi usado e não o Kerberos.

No modo de navegação anônima do Google Chrome, o navegador solicita as credenciais e faz uma autenticação explícita com credenciais. O fluxo realmente funciona e usa o Kerberos.

Nesta página