orchestrator
2022.10
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。
UiPath logo, featuring letters U and I in white
Orchestrator 用户指南
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年10月9日

配置 Active Directory 集成

您可以使用 Windows 身份验证启用 SSO,也可以使用 Active Directory 集成启用目录搜索功能。 通过目录搜索,您可以从 Orchestrator 中搜索目录帐户和组,并可以像使用本地帐户一样使用它们。

备注:
启用此集成后,本地用户帐户将链接到 Active Directory 用户,并且在此过程中,其用户名属性将更新为 user@domain 格式。因此,用户不能再使用其原始用户名登录,而必须使用 user@domain 格式的新用户名或与 Active Directory 帐户绑定的电子邮件地址。
重要提示:

先决条件

  • 要与 Windows Active Directory (AD) 集成并使用 Windows 身份验证,您的域中的一个或多个域控制器必须可访问 LDAP 端口 389。
  • 与您的 IT 管理员合作,确保 Orchestrator 服务器可以访问您的 Active Directory (AD)。

关于集成选项

当用户使用其 Active Directory 凭据登录 Orchestrator 时,Orchestrator 将使用 Kerberos 协议对用户进行身份验证。

步骤 1. 配置 Orchestrator 集群(仅限 Kerberos)

如果您不想使用 Kerberos 协议进行身份验证,请跳到下一步。

多节点集群的要求

  • 集群中的节点必须部署在负载均衡器下。只要这些说明中需要主机名,请使用负载均衡器主机名。
  • 必须将 Orchestrator 应用程序池配置为在自定义身份下运行。自定义身份应为域帐户。

设置自定义身份

仅当您运行多节点集群或具有负载均衡器的单节点集群时,这才是必需的。

对于没有负载均衡器的单节点集群,这是可选的。

  1. 打开 IIS(Internet 信息服务管理器)。
  2. 在 IIS 的左侧“连接”面板中,单击“应用程序池”
  3. 转到“身份”>“高级设置”>“流程模型”>“身份”
  4. 在“应用程序池身份”对话框中,选择“自定义帐户”并指定域限定用户帐户。
  5. 单击“确定”以应用更改。
  6. 关闭 IIS。


SPN 设置

如果 Orchestrator 应用程序池配置为在自定义身份下运行,则该帐户必须为主机名注册一个 SPN。

如果您正在运行多节点集群,则此步骤是必需的:

  • 因为您必须定义自定义身份或
  • 具有负载均衡器的单节点集群,其处理方式与多节点集群相同。

如果是以下情况,则不需要此步骤:

  • 您正在运行没有负载均衡器的单节点集群,并且
  • 您选择使用自定义身份,但使用集群计算机名称作为自定义身份

在目标 Orchestrator 组织和租户中具有写入权限的已加入域的计算机上:

  1. 打开命令提示符。
  2. 使用 cd C:\Windows\System32 命令将目录更改为 C:\Windows\System32
  3. 运行命令 setspn.exe -a HTTP/<hostname> <domain account>,其中:
    • HTTP/<主机名称> - 可以访问 Orchestrator 实例的 URL。
    • <domain account> - 运行 Orchestrator 应用程序池的自定义身份的名称或域\名称。

步骤 2. 配置 IIS 以启用 Windows 身份验证

注意:如果您使用多节点安装,则必须在每个集群节点上执行 IIS 配置。
  1. 打开 IIS(Internet 信息服务管理器)。
  2. 在“连接”部分的“站点”节点下,选择“UiPath Orchestrator”
  3. 在主面板中,双击“身份验证”以查看详细信息。
  4. 选择“Windows 身份验证”,然后在右侧的“操作”面板中选择“高级设置”
    注意:如果尚未启用,请启用 Windows 身份验证以继续执行这些说明。
  5. 单击左侧的“UiPath Orchestrator”站点,然后在主要区域中双击“配置编辑器”


  6. 在“配置编辑器”中,从顶部的“部分”列表中选择“system.webServer/security/authentication/windowsAuthentication”
  7. 对于 useAppPoolCredentials,请将值设置为 True

步骤 3. 配置 Orchestrator

  1. 以系统管理员身份登录到管理门户
  2. 转到“安全性”,并确保您位于“身份验证设置”选项卡上。
  3. 启用“Active Directory”选项,然后单击“编辑”进行配置。


    系统将打开“AD SSO 配置”窗口。

  4. 如果您只想允许用户使用其 Active Directory 凭据登录,请选中“强制使用此提供程序自动登录”复选框。

    如果选中,用户将无法再使用 Orchestrator 用户名和密码登录;他们必须使用 Active Directory 凭据和符合域要求的用户名。

  5. 如果要使用 Kerberos 协议进行身份验证,请选中“ 使用 Kerberos 身份验证 ” 复选框。

    我们建议使用 Kerberos。

    • 如果选择此选项,则用户将自动登录 Orchestrator,而无需输入其凭据。
    • 如果未选择此选项,则使用默认的 NTLM 协议,并且用户必须输入其 Active Directory 凭据才能登录。
  6. (可选)编辑“显示名称”字段中的值,以自定义“登录”页面上显示的 Windows 身份验证按钮的标签。
  7. 重新启动 IIS 站点。每当对外部身份提供程序进行更改后,您必需进行此步骤。

步骤 4. 验证身份验证协议

配置集成后,我们建议使用 AD 凭据执行测试登录,并验证是否使用所选的身份验证协议(NTLM 或 Kerberos)进行登录。

  1. 使用 Active Directory 凭据登录 Orchestrator 以创建登录事件。

    记下您的登录时间。

  2. 在 Windows 中打开事件查看器
  3. 转到“窗口日志”>“安全性”
  4. 在安全事件列表中,查找具有以下详细信息的条目:
    • 事件 ID:4624
    • 日期和时间:今天的日期和您使用 Active Directory 凭据登录的时间。
  5. 双击该行以打开事件属性对话框。
  6. 在“常规”选项卡上,向下滚动到“详细身份验证信息”部分,然后检查以下内容:


    如果使用 Kerberos 身份验证:

    • 身份验证包”的值必须为“协商”
    • 包名称”的值必须为空 (-),因为这仅适用于 NTLM。如果此值为 NTLM V2,则使用默认身份验证协议,而不是 Kerberos。

在 Google Chrome 隐身模式下,浏览器会提示输入凭据,并使用凭据进行显式身份验证。该流程确实有效,并且使用了 Kerberos。

此页面有帮助吗?

支持与服务
获取您需要的帮助
UiPath Academy
了解 RPA - 自动化课程
UiPath 论坛
UiPath Community 论坛
Uipath Logo White
信任与安全
使用条款
隐私策略
Cookie 政策
© 2005-2024 UiPath。保留所有权利。