- Introdução
- Melhores práticas
- Tenant
- Sobre o contexto do tenant
- Pesquisa de recursos em um tenant
- Gerenciamento de robôs
- Conectar Robôs ao Orchestrator
- Armazenamento de credenciais do robô no CyberArk
- Armazenamento de senhas do Unattended Robot no Azure Key Vault (somente leitura)
- Armazenamento de credenciais do Unattended Robot no HashiCorp Vault (somente leitura)
- Armazenando credenciais de Unattended Robots no AWS Secrets Manager (somente leitura)
- Exclusão de sessões não assistidas desconectadas e não responsivas
- Autenticação do robô
- Autenticação de robôs com credenciais de cliente
- Autenticação do SmartCard
- Auditar
- Configurações - Nível do tenant
- Serviço Catálogo de recursos
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Outras configurações
- Integrações
- Robôs Clássicos
- Administração do host
- Sobre o nível do host
- Gerenciamento dos administradores do sistema
- Gerenciando Tenants
- Configurando notificações de e-mail do sistema
- Logs de auditoria para o portal do host
- Modo de Manutenção
- Administração da organização
- Solução de problemas
Guia do usuário do Orchestrator
Configurando a integração do Active Directory
Você pode habilitar o SSO usando a autenticação do Windows e habilitar a funcionalidade de pesquisa de diretórios com a integração do Active Directory. A pesquisa de diretórios permite pesquisar contas e grupos de diretórios do Orchestrator e trabalhar com eles como faria com contas locais.
user@domain
. Portanto, o usuário não pode mais usar seu nome de usuário original para fazer logon e deve, ao invés disso, usar o novo nome de usuário no formato user@domain
, ou o endereço de e-mail vinculado à conta do Active Directory.
Pré-requisitos
- Para fazer a integração com o Active Directory (AD) do Windows e usar a autenticação do Windows, a porta LDAP 389 deve ser acessível em um ou mais controladores de domínio no seu domínio.
- Trabalhe com seus administradores de TI para garantir que o servidor do Orchestrator possa acessar o seu Active Directory (AD).
-
Se você planeja usar o LDAP pelo protocolo SSL (LDAPS), deve obter e instalar certificados para configurar o LDAP seguro em cada controlador de domínio. Para obter mais informações e instruções, consulte o artigo Certificado LDAP sobre SSL (LDAPS) no site da Microsoft.
Quando os usuários fazem login no Orchestrator com suas credenciais do Active Directory, o Orchestrator usa o protocolo Kerberos para autenticar usuários.
Mecanismo de autenticação |
Compatibilidade do LDAPS |
---|---|
Nome de usuário e senha (não disponível) |
N/A |
Autenticação do Kerberos |
Suportado |
Se não quiser usar o protocolo Kerberos para autenticação, pule para a próxima etapa.
Requisitos para clusters de vários nós
- Os nós no cluster devem ser implantados em um balanceador de carga. Use o nome do host do balanceador de carga sempre que o nome de host for exigido nessas instruções.
- O pool de aplicativos do Orchestrator deve ser configurado para ser executado sob uma identidade personalizada. A identidade personalizada deve ser uma conta de domínio.
Isso é necessário apenas se estiver executando um cluster de vários nós, ou um cluster de nó único com um balanceador de carga.
Para clusters de nó único sem nenhum balanceador de carga, isso é opcional.
Se o pool de aplicativos do Orchestrator estiver configurado para ser executado sob uma identidade personalizada, essa conta deve ter um SPN registrado para o nome do host.
Esta etapa é necessária se você estiver executando:
- um cluster de vários nós, porque você deve definir uma identidade personalizada ou
- um cluster de nó único com um balanceador de carga, que é tratado da mesma forma que um cluster de vários nós.
Esta etapa não é necessária se:
- você está executando um cluster de nó único sem nenhum balanceador de carga e
- você escolheu usar uma identidade personalizada, mas usou o nome de computador do cluster como a identidade personalizada
Em uma máquina ingressada no domínio que tem acesso de gravação na organização e tenant do Orchestrator de destino:
Agora que a integração está configurada, recomendamos realizar um login de teste usando as credenciais do AD e verificar se o protocolo de autenticação escolhido (NTLM ou Kerberos) é usado para fazer login.
No modo de navegação anônima do Google Chrome, o navegador solicita as credenciais e faz uma autenticação explícita com credenciais. O fluxo realmente funciona e usa o Kerberos.