Orchestrator
2023.4
False
横幅背景图像
Orchestrator 用户指南
上次更新日期 2024年5月20日

配置 Active Directory 集成

备注:
  • 启用此集成后,本地用户帐户将链接到 Active Directory 用户,并且在此过程中,其用户名属性将更新为 user@domain 格式。因此,用户不能再使用其原始用户名登录,而必须使用 user@domain 格式的新用户名或与 Active Directory 帐户绑定的电子邮件地址。
  • 当您将 Orchestrator 更新到 2020.4+ 时, Identity Server 会迁移您以前的设置。 如果您之前在 为 Windows AD 用户设置自动登录时启用了 Windows 身份验证,则执行升级后,如果用户以前登录过 Identity Server,则他们将无法访问“ 外部提供程序 ” 页面。 输入 Windows 凭据后,用户将直接登录到租户。

    如果无法访问“登录”页面,主机管理员将无法登录到“主机”租户,也无法访问身份管理门户

    如果您遇到这种情况,请以隐身模式打开一个新的浏览器,然后键入 https://<OrchestratorURL>/identity/configuration

重要提示:

先决条件

  1. 要与 Windows Active Directory (AD) 集成并使用 Windows 身份验证,您的域中的一个或多个域控制器必须可访问 LDAP 端口 389。

  2. 与您的 IT 管理员合作,确保 Orchestrator 服务器可以访问您的 Active Directory (AD)。

  3. 如果您计划使用 LDAP over SSL (LDAPS),则必须获取并安装证书以在每个域控制器上配置安全 LDAP。有关更多信息和说明,请参阅文章《LDAP over SSL (LDAPS) 证书》

关于集成选项

当用户使用其 Active Directory 凭据登录 Orchestrator 时,Orchestrator 将使用 Kerberos 协议对用户进行身份验证。

在 Active Directory 环境中,LDAPS 是目录服务常用的安全连接。需要注意的是,LDAPS 支持场景因使用的身份验证机制而异。

身份验证机制

LDAPS 支持

用户名和密码(不可用)

不适用

Kerberos 身份验证

支持

步骤 1. 配置 Orchestrator 集群

多节点集群的要求

  • 集群中的节点必须部署在负载均衡器下。只要这些说明中需要主机名,请使用负载均衡器主机名。
  • 必须将 Orchestrator 应用程序池配置为在自定义身份下运行。自定义身份应为域帐户。

设置自定义身份

仅当您运行多节点集群或具有负载均衡器的单节点集群时,这才是必需的。

对于没有负载均衡器的单节点集群,这是可选的。

  1. 打开 IIS(Internet 信息服务管理器)。
  2. 在 IIS 的左侧“连接”面板中,单击“应用程序池”
  3. 转到“身份”>“高级设置”>“流程模型”>“身份”
  4. 在“应用程序池身份”对话框中,选择“自定义帐户”并指定域限定用户帐户。
  5. 单击“确定”以应用更改。
  6. 关闭 IIS。


SPN 设置

如果 Orchestrator 应用程序池配置为在自定义身份下运行,则该帐户必须为主机名注册一个 SPN。

如果您正在运行多节点集群,则此步骤是必需的:

  • 因为您必须定义自定义身份或
  • 具有负载均衡器的单节点集群,其处理方式与多节点集群相同。

如果是以下情况,则不需要此步骤:

  • 您正在运行没有负载均衡器的单节点集群,并且
  • 您选择使用自定义身份,但使用集群计算机名称作为自定义身份

在目标 Orchestrator 组织和租户中具有写入权限的已加入域的计算机上:

  1. 打开命令提示符。
  2. 使用 cd C:\Windows\System32 命令将目录更改为 C:\Windows\System32
  3. 运行命令 setspn.exe -a HTTP/<hostname> <domain account>,其中:
    • HTTP/<主机名称> - 可以访问 Orchestrator 实例的 URL。
    • <domain account> - 运行 Orchestrator 应用程序池的自定义身份的名称或域\名称。

步骤 2. 配置 IIS 以启用 Windows 身份验证

注意:如果您使用多节点安装,则必须在每个集群节点上执行 IIS 配置。
  1. 打开 IIS(Internet 信息服务管理器)。
  2. 在“连接”部分的“站点”节点下,选择“UiPath Orchestrator”
  3. 在主面板中,双击“身份验证”以查看详细信息。
  4. 选择“Windows 身份验证”,然后在右侧的“操作”面板中选择“高级设置”
    注意:如果尚未启用,请启用 Windows 身份验证以继续执行这些说明。
  5. 单击左侧的“UiPath Orchestrator”站点,然后在主要区域中双击“配置编辑器”


  6. 在“配置编辑器”中,从顶部的“部分”列表中选择“system.webServer/security/authentication/windowsAuthentication”
  7. 对于 useAppPoolCredentials,请将值设置为 True

步骤 3. 配置 Orchestrator

  1. 以系统管理员身份登录到管理门户
  2. 前往安全性设置
  3. 在“外部提供程序”部分中,单击“Active Directory”下的“配置”


    配置 Active Directory ”面板将在屏幕右侧打开。

  4. 选择“已启用”复选框。
  5. 如果您只想允许用户使用其 Active Directory 凭据登录,请选中“强制使用此提供程序自动登录”复选框。

    如果选中,用户将无法再使用 Orchestrator 用户名和密码登录;他们必须使用 Active Directory 凭据和符合域要求的用户名。

  6. (可选)编辑“显示名称”字段中的值,以自定义“登录”页面上显示的 Windows 身份验证按钮的标签。
  7. 重新启动 IIS 站点。 每当您更改外部提供程序时,都需要执行此操作。

步骤 4. 验证身份验证协议

既然已配置集成,我们建议使用 AD 凭据执行测试登录,并验证是否使用 Kerberos 协议进行登录。

  1. 使用 Active Directory 凭据登录 Orchestrator 以创建登录事件。

    记下您的登录时间。

  2. 在 Windows 中打开事件查看器
  3. 转到“窗口日志”>“安全性”
  4. 在安全事件列表中,查找具有以下详细信息的条目:
    • 事件 ID:4624
    • 日期和时间:今天的日期和您使用 Active Directory 凭据登录的时间。
  5. 双击该行以打开事件属性对话框。
  6. 在“常规”选项卡上,向下滚动到“详细身份验证信息”部分,然后检查以下内容:


    如果使用 Kerberos 身份验证:

    • 身份验证包”的值必须为“协商”
    • 包名称”的值必须为空 (-),因为这仅适用于 NTLM。如果此值为 NTLM V2,则使用默认身份验证协议,而不是 Kerberos。
注意:在 Google Chrome 隐身模式下,浏览器会提示输入凭据,并使用凭据进行显式身份验证。该流程确实有效,并且使用了 Kerberos。

此页面是否有帮助?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath 白色徽标
信任与安全
© 2005-2024 UiPath. All rights reserved.