Configurando a integração do Active Directory

Observação:

Após habilitar essa integração, as contas de usuário locais são vinculadas a um usuário do Active Directory e, no processo, seu atributo de nome de usuário é atualizado para o formato user@domain. Portanto, o usuário não pode mais usar seu nome de usuário original para fazer logon e deve, ao invés disso, usar o novo nome de usuário no formato user@domain, ou o endereço de e-mail vinculado à conta do Active Directory.
Quando você atualizar seu Orchestrator para a 2020.4+, o Identity Server migrará suas configurações anteriores. Se você habilitou anteriormente a autenticação do Windows ao configurar o logon automático para usuários do Windows AD, então após executar a atualização, os usuários não poderão acessar a página Provedores externos, se eles tiverem se conectado anteriormente no Identity Server. Os usuários estão conectados aos tenants diretamente após inserir suas credenciais do Windows.

Sem poder acessar a página Logon, o administrador do host não pode fazer logon no tenant do Host e não poderá acessar o portal de gerenciamento de identidades.

Se esse for o seu caso, abra um novo navegador no modo anônimo e digite https://<OrchestratorURL>/identity/configuration.

Importante:

Pré-requisitos

Para fazer a integração com o Active Directory (AD) do Windows e usar a autenticação do Windows, a porta LDAP 389 deve ser acessível em um ou mais controladores de domínio no seu domínio.
Trabalhe com seus administradores de TI para garantir que o servidor do Orchestrator possa acessar o seu Active Directory (AD).
Se você planeja usar o LDAP pelo protocolo SSL (LDAPS), deve obter e instalar certificados para configurar o LDAP seguro em cada controlador de domínio. Para obter mais informações e instruções, consulte o artigo Certificado do LDAP pelo protocolo SSL (LDAPS) .

Sobre opções de integração

Quando os usuários fazem login no Orchestrator com suas credenciais do Active Directory, o Orchestrator usa o protocolo Kerberos para autenticar usuários.

No ambiente do Active Directory, LDAPS é uma conexão segura normalmente usada para serviços de diretório. É importante observar que os cenários de compatibilidade do LDAPS diferem com base no mecanismo de autenticação usado.

Mecanismo de autenticação	Compatibilidade do LDAPS
Nome de usuário e senha (não disponível)	N/A
Autenticação do Kerberos	Suportado

Etapa 1. Configurar o cluster do Orchestrator

Requisitos para clusters de vários nós

Os nós no cluster devem ser implantados em um balanceador de carga. Use o nome do host do balanceador de carga sempre que o nome de host for exigido nessas instruções.
O pool de aplicativos do Orchestrator deve ser configurado para ser executado sob uma identidade personalizada. A identidade personalizada deve ser uma conta de domínio.

Configuração de uma identidade personalizada

Isso é necessário apenas se estiver executando um cluster de vários nós, ou um cluster de nó único com um balanceador de carga.

Para clusters de nó único sem nenhum balanceador de carga, isso é opcional.

Abra o IIS (Gerenciador de Serviços de Internet).
No IIS, no painel Conexões à esquerda, clique em Pools de aplicativo.
Acesse Identidade > Configurações avançadas > Modelo de processo > Identidade.
Na caixa de diálogo Identidade do pool de aplicativos, selecione Conta personalizada e especifique uma conta de usuário qualificada para o domínio.
Clique em OK para aplicar todas as suas alterações.
Feche o IIS.

Configuração de SPN

Se o pool de aplicativos do Orchestrator estiver configurado para ser executado sob uma identidade personalizada, essa conta deve ter um SPN registrado para o nome do host.

Esta etapa é necessária se você estiver executando:

um cluster de vários nós, porque você deve definir uma identidade personalizada ou
um cluster de nó único com um balanceador de carga, que é tratado da mesma forma que um cluster de vários nós.

Esta etapa não é necessária se:

você está executando um cluster de nó único sem nenhum balanceador de carga e
você escolheu usar uma identidade personalizada, mas usou o nome de computador do cluster como a identidade personalizada

Em uma máquina ingressada no domínio que tem acesso de gravação na organização e tenant do Orchestrator de destino:

Abra o Prompt de Comando.
Altere o diretório para C:\Windows\System32, usando o comando cd C:\Windows\System32.
Execute o comando setspn.exe -a HTTP/<hostname> <domain account>, no qual:
- HTTP/<hostname> — o URL no qual a sua instância do Orchestrator pode ser acessada.
- <domain account> — o nome ou nome de domínio da identidade personalizada na qual o pool de aplicativos do Orchestrator está em execução.

Etapa 2. Configurar o IIS para habilitar a autenticação do Windows

Observação: se você tiver uma instalação de vários nós, deverá executar a configuração do IIS em cada um dos nós do cluster.

Abra o IIS (Gerenciador de Serviços de Internet).
Na seção Conexões, no nó Sites, selecione UiPath Orchestrator.
No painel principal, clique duas vezes em Autenticação para exibir os detalhes.
Selecione Autenticação do Windows e, em seguida, no painel Ações à direita, selecione Configurações avançadas.

Observação: se já não estiver ativada, ative a Autenticação do Windows para continuar com estas instruções.
Clique no site do UiPath Orchestrator à esquerda e, em seguida, clique duas vezes em Editor de configuração na área principal.
No topo do Editor de configuração, na lista Seção, selecione system.webServer/security/authentication/windowsAuthentication.
Para useAppPoolCredentials, defina o valor como True:

Etapa 3. Configurar o Orchestrator

Faça login no portal de Gerenciamento como administrador do sistema.
Acesse Configurações de segurança.
Na seção Provedores externos, clique em Configurar em Active Directory:

O painel Configurar o Active Directory será aberto à direita da tela.
Selecione a caixa de seleção Habilitado.
Se quiser permitir que os usuários façam logon apenas usando suas credenciais do Active Directory, selecione a caixa de seleção Forçar logon automático usando esse provedor.

Se a selecionar, os usuários não poderão mais fazer logon usando seu nome de usuário e senha do Orchestrator; eles precisarão usar suas credenciais do Active Directory, com um nome de usuário com domínio qualificado.
Opcionalmente, edite o valor no campo Nome de exibição para personalizar o rótulo para o botão de autenticação do Windows que é exibido na página de Logon.
Reinicie o site do IIS. Isso é necessário sempre que você fizer alterações nos Provedores Externos.

Etapa 4. Verificar o protocolo de autenticação

Agora que a integração está configurada, recomendamos realizar um logon de teste usando as credenciais do AD e verificar se o protocolo do Kerberos está sendo usado para o logon.

Faça logon no Orchestrator usando suas credenciais do Active Directory para criar um evento de logon.

Anote a hora em que fez logon.
Abra o Visualizador de Eventos no Windows.
Acesse Logs do Windows > Segurança.
Na lista de eventos de segurança, procure a entrada com as seguintes especificações:
- ID do evento: 4624
- Data e hora: a data e hora de hoje quando fez logon com suas credenciais do Active Directory.
Clique duas vezes na linha para abrir a caixa de propriedades do evento.
Na aba Geral, role para baixo até a seção Informações detalhadas de autenticação e verifique o seguinte:
Se a autenticação do Kerberos foi usada:
- o valor do Pacote de autenticação deve ser Negociar
- o valor do Nome do pacote deve estar em branco (-), porque isso se aplica apenas para o NTLM. Se esse valor for NTLM V2, então o protocolo de autenticação padrão foi usado e não o Kerberos.

Observação: no modo anônimo do Google Chrome, o navegador solicita credenciais e faz uma autenticação explícita com credenciais. O fluxo realmente funciona e usa o Kerberos.

Nesta página