Guia do administrador do Test Cloud privado

Configurando a integração do Active Directory

link

• A pesquisa de diretórios não encontra usuários de um domínio de confiança externo. Esse recurso não é compatível porque não há uma autoridade de confiança mútua com confiança externa.
• A autenticação do Windows usa o protocolo Kerberos no Test Cloud privado, portanto, o login do Windows só pode ser usado com máquinas associadas a um domínio.

1. Autenticação do Kerberos
2. UsernameAndPassword

a. Configuração do Kerberos (recomendada)​

1. Configure a autenticação do Kerberos seguindo as instruções em Configuração da autenticação do Kerberos.
2. Faça login no portal do host como administrador do sistema.
3. Certifique-se de que Host esteja selecionado no topo do painel esquerdo e selecione Segurança.
4. Em Active Directory, selecione Configurar.
   • Marque a caixa de seleção opcional Forçar login automático usando este provedor se quiser permitir login apenas com contas do Active Directory. Só faça isso se a integração com o provedor tiver sido validada com sucesso para evitar bloqueios.
   • Leave the Use Kerberos Auth checkbox selected.
   • No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
5. Selecione Salvar para salvar suas alterações e retornar à página anterior.
6. Selecione a opção à esquerda do Active Directory para habilitar a integração.
7. Reinicie o pod identity-service-api-*.
   1. Conecte-se ao servidor primário usando SSH.
   2. Execute o seguinte comando: kubectl -n uipath rollout restart deployment identity-service-api

Antiga experiência antiga do Admin​

1. Configure a autenticação do Kerberos seguindo as instruções em Configuração da autenticação do Kerberos.
2. Faça login no portal do host como administrador do sistema.
3. Acesse Configurações de segurança.
4. Na seção Provedores externos , selecione Configurar em Active Directory.
   • Select the Enabled checkbox to enable the integration.
   • Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts. :fa-warning: Only do this if the integration with the provider has been successfully validated to prevent lockout.
   • No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
   • Leave the Use Kerberos Auth checkbox selected.
5. Selecione Testar e salvar para salvar suas alterações.
6. Reinicie o pod identity-service-api-*.
   1. Conecte-se ao servidor primário usando SSH.
   2. Execute o seguinte comando: kubectl -n uipath rollout restart deployment identity-service-api

B. Configuração de Nome de usuário e Senha​

B.1. Pré-requisito para usar LDAPS​

1. Obtenha e instale o certificado SSL para LDAPS em cada controlador de domínio.

   Para obter mais informações e instruções, consulte o artigo Certificado do LDAP pelo SSL do SSL (LDAPS).

2. Codifique o certificado raiz em Base64 executando o seguinte comando:

   assignment

   [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
   [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
   

3. Adicione o certificado raiz codificado no ArgoCD:

   1. Faça login no ArgoCD.
   2. Selecione e vá para o aplicativo uipath.
   3. No canto superior esquerdo, selecione DETALHES DO APP.
   4. Na seção Parâmetros, procure o parâmetro global.userInputs.certificate.identity.ldaps.customRootCA.
   5. Atualize o valor do parâmetro para o conteúdo codificado obtido anteriormente.
   6. Salve.
   7. Selecione SYNC para aplicar suas alterações.

B.2. Configuração do Active Directory​

1. Faça login no portal do host como administrador do sistema.
2. Certifique-se de que Host esteja selecionado no topo do painel esquerdo e selecione Segurança.
3. Em Active Directory, selecione Configurar.
   • If you want to only allow login with Active Directory accounts, select the Force automatic login using this provider checkbox.
   • Clear the Use Kerberos Auth checkbox.
   • (Optional, but strongly recommended) Select the Use LDAP over SSL (LDAPS) checkbox.
   • In the Display Name field, type the name you want to show on the Login page for this sign in option.
   • No campo Domínio padrão digite seu nome de domínio totalmente qualificado (FQDN) para o Active Directory (AD).
   • In the Username field, type the user name of an AD user. It needs to be in the format DOMAIN\username. For example, TESTDOMAIN\user1.
   • No campo Senha do usuário , digite a senha para a conta do AD.
4. Selecione Testar e salvar para salvar as alterações e retornar à página anterior.
5. Selecione a opção à esquerda do Active Directory para habilitar a integração.
6. Reinicie o pod identity-service-api-*.
   1. Conecte-se ao servidor primário usando SSH.
   2. Execute o seguinte comando: kubectl -n uipath rollout restart deployment identity-service-api

Pré-requisito​

Configurar o cluster do Automation Suite​

1. Acesse o ArgoCD e faça login como administrador.

2. Selecione e acesse o aplicativo “uipath“.

3. Selecione DETALHES DO APP no canto superior esquerdo.

4. Na seção PARAMETERS, procure o parâmetro global.kerberosAuthConfig.userKeytab.

   O parâmetro tem um valor de espaço reservado por padrão.

5. Atualize o valor do espaço reservado do parâmetro com <KERB_DEFAULT_KEYTAB> e salve.

6. Selecione SYNC para aplicar a alteração.

7. Após uma sincronização bem-sucedida, reinicie o Identity Server executando o seguinte comando:

   kubectl -n uipath rollout restart deployment identity-service-api

Microsoft Internet Explorer​

Microsoft Edge​

Google Chrome​

1. Acesse Ferramentas > Opções da internet > Segurança.

2. Selecione Intranet local.

3. Selecione Sites.

4. Certifique-se de que Detectar automaticamente a rede da Intranet esteja selecionada ou que todas as opções estejam selecionadas.

5. Selecione em Avançado.

6. Adicione o FQDN do Automation Suite à Intranet local.

7. Selecione Fechar e OK.

8. Selecione em Nível personalizado.

9. Ou então, selecione Logon automático apenas na zona da Intranet em Autenticação do usuário

   Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele verificará a origem do requisito. Se o domínio ou IP pertencer à Intranet, o navegador enviará o nome de usuário e a senha automaticamente. Em caso negativo, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e senha, e esperará uma entrada manual.

10. Ou então, selecione Login automático com nome de usuário e senha atuais em Autenticação do usuário.

    Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele enviará o nome de usuário e a senha silenciosamente. Se o resultado da autenticação for bem-sucedido, o navegador continuará na ação original. Se a autenticação falhar, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e tentará novamente até ser bem-sucedido.

11. Certifique-se de que Habilitar a Autenticação do Windows integrada esteja selecionada na guia Opções da internet > Avançado e na seção Segurança.

Mozilla Firefox​

1. Abra a janela de configuração do navegador.
2. Digite about:config na barra de endereços.
3. Especifique os FQDNs do Automation Suite para os quais você usa a autenticação do Kerberos:
   1. Pesquise o termo network.negotiate.
   2. Habilite e defina o seguinte para o Kerberos: network.negotiate-auth.delegation-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) e network.negotiate-auth.allow-non-fqdn (valor: true).

1. Faça login como administrador da organização.

2. Atribua uma função ao nível de organização a um usuário ou grupo do Active Directory, que você pode selecionar na pesquisa.

3. Repita a etapa anterior para cada usuário que você deseja permitir que faça login com a Autenticação do Windows.

   Então, os usuários aos quais você atribuiu funções poderão fazer login na organização do UiPath com sua conta do Active Directory. Eles devem fazer logon em uma máquina associada ao domínio.

Solução de problemas​

1. A máquina do Windows está associada a um domínio? Na máquina, acesse Painel de Controle > Sistema e Segurança > Sistema e verifique se é mostrado um domínio. Se nenhum domínio for mostrado, adicione a máquina ao domínio. As máquinas devem ser associadas a um domínio para usar a autenticação do Windows com o protocolo Kerberos.

2. Você consegue fazer login na máquina do Windows com as mesmas credenciais? Se não conseguir, peça ajuda ao administrador de seu sistema.

3. Você está usando um navegador diferente do Microsoft Edge? É necessária uma configuração adicional para navegadores compatíveis diferentes do Microsoft Edge.

4. Verifique a configuração do keytab:

   1. Depois de gerar o keytab, no servidor do Active Directory, a propriedade do usuário do AD (servicePrincpalName) deve ter a forma HTTP/<Service Fabric FQDN> - por exemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.
   2. A opção Esta conta é compatível com critografia Kerberos AES de 256 bits deve estar selecionada para a conta do usuário no AD. Se isso estiver configurado incorretamente, no log identity-service-api, o seguinte será exibido:
      assignment

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
      

5. Se você tiver vários Active Directories configurados no domínio que estiver usando, a autenticação falhará e, no log identity-service-api, o seguinte será exibido:

   assignment

   kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
   kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
   

   Nesse caso, certifique-se de que a conta da máquina criada para autenticação seja repetida em todos os Active Directories.

6. Se você executar ktpass e atribuir uma nova senha à conta do usuário, a versão do keytab (kvno) aumentará e invalidará o keytab antigo. No log identity-service-api, o seguinte é exibido:

   assignment

   Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
   Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
   

   Nesse caso, você precisa atualizar o krb5KeytabSecret no ArgoCD.

7. Se você encontrar o seguinte erro no pod identity-service-api :

   assignment

   GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
   GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
   

   1. Primeiro, verifique se você forneceu o parâmetro global.userInputs.identity.krb5KeytabSecret no ArgoCD. Se o parâmetro existir, verifique se você pode fazer login na máquina Windows com as credenciais do usuário do AD usadas para gerar o keytab. Observe que você deve gerar novamente o keytab se a senha tiver sido alterada ou estiver expirada.
   2. Outra possível causa desse problema é que o ArgoCD foi sincronizado incorretamente anteriormente. Para corrigir o problema, remova o global.userInputs.identity.krb5KeytabSecret existente, sincronize o ArgoCD e, quando a operação for bem-sucedida, atualize o global.userInputs.identity.krb5KeytabSecret e sincronize novamente.

8. O navegador usa o SPN esperado?

   Se o registro de eventos do Kerberos for habilitado seguindo estas instruções, o erro KDC_ERR_S_PRINCIPAL_UNKNOWN será mostrado nos logs de eventos do Kerberos. Para obter detalhes sobre esse problema, consulte a documentação da Microsoft.