orchestrator
2025.10
true
重要 :
新发布内容的本地化可能需要 1-2 周的时间才能完成。
Orchestrator 用户指南
UiPath™ Identity Server 是独立版 Orchestrator 的身份验证服务。它为 Orchestrator 及其管理门户提供安全身份验证和令牌颁发。Identity Server 实施 OAuth 2.0 和 OpenID Connect 标准,并可与企业身份系统(如 Active Directory)集成。查看以下图表,了解 Identity Server 如何在独立版 Orchestrator 中运行。
图 1. Identity Server 图表
Orchestrator 中的角色
Identity Server 负责:
- 对访问 Orchestrator 的用户和应用程序进行身份验证
- 颁发访问和身份令牌
- 支持 OAuth 2.0 和 OpenID Connect 流
- 与外部身份提供程序(例如 Active Directory、SAML 提供程序)集成
- 启用单点登录 (SSO)
- 保护 Orchestrator 和身份管理门户之间的通信安全
Orchestrator 及其管理门户依赖 Identity Server 进行身份验证。
Orchestrator 中的身份验证流程
- 用户身份验证
当用户访问 Orchestrator 或身份管理门户时:
- 请求将重定向到 Identity Server。
- Identity Server 根据以下项对用户进行验证:
- 本地帐户,或
- 外部身份提供程序(例如 Active Directory、SAML)。
- 成功完成身份验证后,Identity Server 会发出安全令牌。
- 基于令牌的访问
身份验证后:
- 发出 OAuth 访问令牌。
- 该令牌会随后续对 Orchestrator 的请求一起发送。
- Orchestrator 会验证令牌。
- 授权根据角色和权限确定。Identity Server 会处理身份验证。Orchestrator 会强制执行授权。
Active Directory 和 Kerberos 集成
在加入域的环境中,独立版 Orchestrator 支持基于 Kerberos 的身份验证:
- 客户端使用 DNS 解析 Orchestrator 主机名。
- 客户端从 Active Directory 获取 Kerberos 票据授予票据 (TGT)。
- 客户端请求配置的服务主体名称 (SPN) 的服务票据。
- IIS 网页服务器会验证 Kerberos 票据。
- Identity Server 会处理经过身份验证的身份,并颁发平台令牌。
这可在企业 Windows 环境中实现无缝单点登录。
高可用性考虑因素
在多节点部署中:
- Identity Server 在负载均衡器后面的多个节点上运行。
- 客户端通过共享负载均衡器主机名访问 Orchestrator 和 Identity Server。
- Redis 用于跨节点缓存 OAuth 客户端数据和会话状态,确保在整个集群中进行一致的身份验证。
- 使用 Kerberos 时,服务主体名称 (SPN) 必须与负载均衡器主机名匹配。
- 从单节点设置更改为多节点设置时,必须在数据库和 UiPath.Orchestrator.dll.config 文件中更新 Identity Server 公共 URL。
外部应用程序身份验证
Orchestrator 支持以下方面的安全访问:
- 外部应用程序
- API 集成
- 机器人到 Orchestrator 通信
应用程序使用受支持的 OAuth 流(如 ROPC)进行身份验证,并从 Identity Server 接收令牌。
安全模型
独立版 Orchestrator 使用集中身份验证模型:
- Identity Server 执行身份验证。
- Orchestrator 会强制执行授权。
- 基于令牌的访问权限可保护 API 和 Orchestrator 用户界面。
- 与外部身份提供程序(Active Directory、SAML)的集成可满足企业安全要求。