Abonnieren

UiPath Orchestrator

Die UiPath-Orchestrator-Anleitung

Konfigurieren der Active Directory-Integration

These instructions only apply if you have a standalone installation of Orchestrator. If you are using Orchestrator in Automation Suite, follow the Automation Suite instructions instead.

📘

Hinweis

Nach der Aktivierung dieser Integration werden lokale Benutzerkonten mit einem Active Directory-Benutzer verknĂŒpft. Dabei wird das Attribut Benutzername auf das Format user@domain aktualisiert. Somit kann sich der Benutzer nicht mehr seinem ursprĂŒnglichen Benutzernamen anmelden und muss stattdessen den neuen Benutzernamen im Format user@domain oder die E-Mail-Adresse verwenden, die mit dem Active Directory-Konto verknĂŒpft ist.

🚧

Voraussetzungen

  1. FĂŒr die Integration in Windows Active Directory (AD) und die Verwendung der Windows-Authentifizierung muss der LDAP-Port 389 auf einem oder mehreren DomĂ€nencontrollern in Ihrer DomĂ€ne zugĂ€nglich sein.

  2. Arbeiten Sie mit Ihren IT-Administratoren zusammen, um sicherzustellen, dass der Orchestrator-Cluster auf Ihr Active Directory (AD) zugreifen kann.

  3. Wenn Sie LDAP ĂŒber SSL (LDAPS) verwenden möchten, mĂŒssen Sie Zertifikate fĂŒr die Konfiguration von sicherem LDAP auf jedem DomĂ€nencontroller erwerben und installieren. Weitere Informationen und Anweisungen finden Sie im Artikel LDAP ĂŒber das SSL-Zertifikat (LDAPS).

Über Integrationsoptionen


When users log in to Orchestrator with their Active Directory credentials, Orchestrator uses the Kerberos protocol to authenticate users.

Schritt 1. Konfigurieren Sie den Orchestrator-Cluster


Requirements for multi-node clusters

  • Die Knoten im Cluster mĂŒssen unter einem Lastausgleich bereitgestellt werden. Verwenden Sie den Hostnamen des Lastausgleichs, wenn der Hostname in diesen Anweisungen erforderlich ist.
  • Der Orchestrator-Anwendungspool muss so konfiguriert werden, dass er unter einer benutzerdefinierten IdentitĂ€t ausgefĂŒhrt wird. Die benutzerdefinierte IdentitĂ€t sollte ein DomĂ€nenkonto sein.

Festlegen einer benutzerdefinierten IdentitÀt

Dies ist nur erforderlich, wenn Sie einen Cluster mit mehreren Knoten oder einen Einzelknotencluster mit einem Lastausgleich ausfĂŒhren.
FĂŒr Einzelknotencluster ohne Lastausgleich ist dies optional.

  1. Öffnen Sie den IIS (Internet Information Services Manager).
  2. Klicken Sie in IIS links im Panel Verbindungen auf Anwendungspools.
  3. Wechseln Sie zu IdentitÀt > Erweiterte Einstellungen > Prozessmodell > IdentitÀt.
  4. WĂ€hlen Sie im Dialogfeld AnwendungspoolidentitĂ€t die Option Benutzerdefiniertes Konto aus und geben Sie ein fĂŒr die DomĂ€ne qualifiziertes Benutzerkonto an.
  5. Klicken Sie auf OK, um Ihre Änderungen zu ĂŒbernehmen.
  6. Schließen Sie IIS.
999

 

SPN-Einrichtung

Wenn der Orchestrator-Anwendungspool so konfiguriert ist, dass er unter einer benutzerdefinierten IdentitĂ€t ausgefĂŒhrt wird, muss fĂŒr dieses Konto ein SPN fĂŒr den Hostnamen registriert sein.
Dieser Schritt ist erforderlich, wenn Sie Folgendes ausfĂŒhren:

  • einen Cluster mit mehreren Knoten, da Sie eine benutzerdefinierte IdentitĂ€t definieren mĂŒssen oder
  • ein Einzelknotencluster mit einem Lastausgleich, der wie ein Cluster mit mehreren Knoten behandelt wird.

Dieser Schritt ist nicht erforderlich, wenn:

  • Sie einen Einzelknotencluster ohne Lastausgleich ausfĂŒhren und
  • Sie sich fĂŒr eine benutzerdefinierte IdentitĂ€t entschieden haben, aber den Clustercomputernamen als benutzerdefinierte IdentitĂ€t verwendet haben

Auf einer Maschine, die mit einer DomÀne verbunden ist und Schreibzugriff in der Ziel-Orchestrator-Organisation und dem Mandanten hat:

  1. Öffnen Sie die Eingabeaufforderung.
  2. Ändern Sie das Verzeichnis auf C:\Windows\System32 und verwenden Sie den Befehl cd C:\Windows\System32.
  3. FĂŒhren Sie den Befehl setspn.exe -a HTTP/<hostname> <domain account> aus. Dabei ist:
    • HTTP/ – Die URL, unter der auf Ihre Orchestrator-Instanz zugegriffen werden kann.
    • <domain account> – Der Name oder DomĂ€ne\Name der benutzerdefinierten IdentitĂ€t, unter der der Orchestrator-Anwendungspool ausgefĂŒhrt wird.

Schritt 2. Konfigurieren Sie IIS, um die Windows-Authentifizierung zu aktivieren


If you have a multi-node installation, you must perform IIS configuration on each of your cluster nodes.

  1. Öffnen Sie den IIS (Internet Information Services Manager).
  2. WĂ€hlen Sie im Abschnitt Verbindungen unter dem Knoten Sites die Option UiPath Orchestrator aus.
  3. Doppelklicken Sie im Hauptpanel auf Authentifizierung, um die Details anzuzeigen.
  4. WĂ€hlen Sie Windows-Authentifizierung und dann im Panel Aktionen auf der rechten Seite Erweiterte Einstellungen aus.
    Falls nicht bereits aktiviert, aktivieren Sie die Windows-Authentifizierung und fahren Sie mit diesen Anweisungen fort.
1000
  1. Klicken Sie links auf die UiPath Orchestrator-Site und doppelklicken Sie dann im Hauptbereich auf Konfigurations-Editor.
1422
  1. WĂ€hlen Sie im Konfigurations-Editor oben in der Liste Abschnitt die Option system.webServer/security/authentication/windowsAuthentication aus.
  2. Legen Sie fĂŒr useAppPoolCredentials den Wert auf True fest:

Schritt 3. Konfigurieren des Orchestrators


  1. Melden Sie sich beim Management-Portal als Systemadministrator an.
  2. Gehen Sie zu Benutzer und wÀhlen Sie die Registerkarte Authentifizierungseinstellungen aus.
  3. Klicken Sie im Abschnitt Externe Anbieter unter Active Directory auf Konfigurieren :
905

Das Panel Active Directory konfigurieren wird rechts auf dem Bildschirm geöffnet.

  1. Aktivieren Sie das KontrollkÀstchen Aktiviert.
  2. Wenn Sie möchten, dass sich Benutzer nur mit ihren Active Directory-Anmeldeinformationen anmelden können, aktivieren Sie das KontrollkÀstchen Automatische Anmeldung mit diesem Anbieter erzwingen.
    Wenn diese Option aktiviert ist, können sich Benutzer nicht mehr mit ihrem Orchestrator-Benutzernamen und -Kennwort anmelden. Sie mĂŒssen ihre Active Directory-Anmeldeinformationen mit einem Benutzernamen verwenden, der fĂŒr die DomĂ€ne qualifiziert ist.
  3. Bearbeiten Sie optional den Wert im Feld Anzeigename , um die Beschriftung fĂŒr die Windows-AuthentifizierungsschaltflĂ€che anzupassen, die auf der Seite Anmeldung angezeigt wird.
  4. Starten Sie die IIS-Site neu. Dies ist immer dann erforderlich, wenn Sie Änderungen an externen Anbietern vornehmen.

Schritt 4. ÜberprĂŒfen Sie das Authentifizierungsprotokoll


Da die Integration nun konfiguriert ist, empfehlen wir, eine Testanmeldung mit AD-Anmeldeinformationen durchzufĂŒhren und zu ĂŒberprĂŒfen, ob das Kerberos-Protokoll fĂŒr die Anmeldung verwendet wird.

  1. Melden Sie sich beim Orchestrator mit Ihren Active Directory-Anmeldeinformationen an, um ein Anmeldeereignis zu erstellen.
    Notieren Sie sich die Zeit, zu der Sie sich angemeldet haben.
  2. Öffnen Sie Event Viewer in Windows.
  3. Gehen Sie zu Windows-Protokolle > Sicherheit.
  4. Suchen Sie in der Liste der Sicherheitsereignisse nach dem Eintrag mit den folgenden Besonderheiten:
    • Ereignis-ID: 4624
    • Datum und Uhrzeit: Das heutige Datum und die Uhrzeit, zu der Sie sich mit Ihren Active Directory-Anmeldeinformationen angemeldet haben.
  5. Doppelklicken Sie auf die Zeile, um das Dialogfeld mit den Ereigniseigenschaften zu öffnen.
  6. Scrollen Sie auf der Registerkarte Allgemein zum Abschnitt „Detaillierte Authentifizierungsinformationen“ und ĂŒberprĂŒfen Sie Folgendes:
782

Wenn die Kerberos-Authentifizierung verwendet wurde:

  • Der Wert des Authentifizierungspakets muss Negotiate sein
  • Der Wert des Paketnamens muss leer sein (-), da dies nur fĂŒr NTLM gilt. Wenn dieser Wert NTLM V2 ist, wurde das Standardauthentifizierungsprotokoll verwendet und nicht Kerberos.

In Google Chrome incognito mode, the browser prompts for credentials and it does an explicit authentication with credentials. The flow does work and it uses Kerberos.

Aktualisiert vor 5 Monaten


Konfigurieren der Active Directory-Integration


Auf API-Referenzseiten sind ÄnderungsvorschlĂ€ge beschrĂ€nkt

Sie können nur Änderungen an dem Textkörperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.