配置 Active Directory 集成

您可以使用 Windows 身份验证启用 SSO，也可以使用 Active Directory 集成启用目录搜索功能。通过目录搜索，您可以从 Orchestrator 中搜索目录帐户和组，并可以像使用本地帐户一样使用它们。

备注：

启用此集成后，本地用户帐户将链接到 Active Directory 用户，并且在此过程中，其用户名属性将更新为 user@domain 格式。因此，用户不能再使用其原始用户名登录，而必须使用 user@domain 格式的新用户名或与 Active Directory 帐户绑定的电子邮件地址。

重要提示：

先决条件

要与 Windows Active Directory (AD) 集成并使用 Windows 身份验证，您的域中的一个或多个域控制器必须可访问 LDAP 端口 389。
与您的 IT 管理员合作，确保 Orchestrator 服务器可以访问您的 Active Directory (AD)。
如果您计划使用 LDAP over SSL (LDAPS)，则必须获取并安装证书以在每个域控制器上配置安全 LDAP。有关更多信息和说明，请参阅 Microsoft 网站上的LDAP over SSL (LDAPS) 证书一文。

关于集成选项

当用户使用其 Active Directory 凭据登录 Orchestrator 时，Orchestrator 可以使用以下两种协议之一进行登录： NTLM （默认）或 Kerberos （推荐）。

如果配置正确，Orchestrator 将使用 Kerberos 对用户进行身份验证，如本页所述。如果使用 Kerberos 失败，则改用 NTLM 身份验证。

步骤 1. 配置 Orchestrator 集群（仅限 Kerberos）

如果您不想使用 Kerberos 协议进行身份验证，请跳到下一步。

多节点集群的要求

集群中的节点必须部署在负载均衡器下。只要这些说明中需要主机名，请使用负载均衡器主机名。
必须将 Orchestrator 应用程序池配置为在自定义身份下运行。自定义身份应为域帐户。

设置自定义身份

仅当您运行多节点集群或具有负载均衡器的单节点集群时，这才是必需的。

对于没有负载均衡器的单节点集群，这是可选的。

打开 IIS（Internet 信息服务管理器）。
在 IIS 的左侧“连接”面板中，单击“应用程序池”。
转到“身份”>“高级设置”>“流程模型”>“身份”。
在“应用程序池身份”对话框中，选择“自定义帐户”并指定域限定用户帐户。
单击“确定”以应用更改。
关闭 IIS。

SPN 设置

如果 Orchestrator 应用程序池配置为在自定义身份下运行，则该帐户必须为主机名注册一个 SPN。

如果您正在运行多节点集群，则此步骤是必需的：

因为您必须定义自定义身份或
具有负载均衡器的单节点集群，其处理方式与多节点集群相同。

如果是以下情况，则不需要此步骤：

您正在运行没有负载均衡器的单节点集群，并且
您选择使用自定义身份，但使用集群计算机名称作为自定义身份

在目标 Orchestrator 组织和租户中具有写入权限的已加入域的计算机上：

打开命令提示符。
使用 cd C:\Windows\System32 命令将目录更改为 C:\Windows\System32。
运行命令 setspn.exe -a HTTP/<hostname> <domain account>，其中：
- HTTP/<主机名称> - 可以访问 Orchestrator 实例的 URL。
- <domain account> - 运行 Orchestrator 应用程序池的自定义身份的名称或域\名称。

步骤 2. 配置 IIS 以启用 Windows 身份验证

注意：如果您使用多节点安装，则必须在每个集群节点上执行 IIS 配置。

打开 IIS（Internet 信息服务管理器）。
在“连接”部分的“站点”节点下，选择“UiPath Orchestrator”。
在主面板中，双击“身份验证”以查看详细信息。
选择“Windows 身份验证”，然后在右侧的“操作”面板中选择“高级设置”。

注意：如果尚未启用，请启用 Windows 身份验证以继续执行这些说明。
单击左侧的“UiPath Orchestrator”站点，然后在主要区域中双击“配置编辑器”。
在“配置编辑器”中，从顶部的“部分”列表中选择“system.webServer/security/authentication/windowsAuthentication”。
对于 useAppPoolCredentials，请将值设置为 True：

步骤 3. 配置 Orchestrator

以系统管理员身份登录到管理门户。
转到“ 用户 ”，然后选择“ 身份验证设置” 选项卡。
在“外部提供程序”部分中，单击“Active Directory”下的“配置”：

“ 配置 Active Directory ”面板将在屏幕右侧打开。
选择“已启用”复选框。
如果您只想允许用户使用其 Active Directory 凭据登录，请选中“强制使用此提供程序自动登录”复选框。

如果选中，用户将无法再使用 Orchestrator 用户名和密码登录；他们必须使用 Active Directory 凭据和符合域要求的用户名。
如果要使用 Kerberos 协议进行身份验证，请选中“ 使用 Kerberos 身份验证 ” 复选框。
我们建议使用 Kerberos。
- 如果选择此选项，则用户将自动登录 Orchestrator，而无需输入其凭据。
- 如果未选择此选项，则使用默认的 NTLM 协议，并且用户必须输入其 Active Directory 凭据才能登录。
（可选）编辑“显示名称”字段中的值，以自定义“登录”页面上显示的 Windows 身份验证按钮的标签。
重新启动 IIS 站点。每当您更改外部提供程序时，都需要执行此操作。

步骤 4. 验证身份验证协议

配置集成后，我们建议使用 AD 凭据执行测试登录，并验证是否使用所选的身份验证协议（NTLM 或 Kerberos）进行登录。

使用 Active Directory 凭据登录 Orchestrator 以创建登录事件。

记下您的登录时间。
在 Windows 中打开事件查看器。
转到“窗口日志”>“安全性”。
在安全事件列表中，查找具有以下详细信息的条目：
- 事件 ID：4624
- 日期和时间：今天的日期和您使用 Active Directory 凭据登录的时间。
双击该行以打开事件属性对话框。
在“常规”选项卡上，向下滚动到“详细身份验证信息”部分，然后检查以下内容：
如果使用 Kerberos 身份验证：
- “身份验证包”的值必须为“协商”
- “包名称”的值必须为空 (-)，因为这仅适用于 NTLM。如果此值为 NTLM V2，则使用默认身份验证协议，而不是 Kerberos。