UiPath - Active Directory(AD) Entegrasyonu

Bu yazıda UiPath Orchestrator servisi ile Kerberos protokolünü kullanarak, Active Directory(AD) Domain servis entegrasyonunu ele alacağız. Orchestrator ile AD entegrasyonu iki farklı protokol ile gerçekleştirilebiliyor. Bunlardan biri UiPath tarafından da önerilen Kerberos, bir diğeri ise NTLM kimlik doğrulama protokolleri. Bu yazımızda Kerberos kimlik doğrulama ile gerçekleştireceğimiz entegrasyon adımlarından bahsedeceğiz.

AD ve Orchestrator entegrasyonu için öncelikle olarak AD domain controller(DC) tarafında LDAP portu (TCP 389) erişilebilir olmalıdır.

• IIS üzerinden Application Pools > Identity > Advance Settings > Identity > Custom Account seçilerek bu alana yetkilendirilmiş servis kullanıcısı eklenir.

IIS Application Pool Identity Ayarları

• IIS üzerinde Sites > UiPath Orchestrator > Authentication ayarlarına gidilir.

Orchestrator Authentication Ayarlarının Açılması

• Authentication ayarları altında Windows Authentication aktif edilir.

IIS Üzerinden Windows Authentication Aktif Edilmesi

• Windows Authentication > Advance Settings altından Enable Kernel-mode authentication seçeneği işaretlenir.

Kernel-Mode Authentication Aktif Edilmesi

• IIS üzerinde Sites > UiPath Orchestrator > Configuration Editor ayarlarına gidilir.

Orchestrator Configuration Editor Ayarlarının Açılması

• Configuration Editor ayarları altında system.webServer/security/authentication/windowsAuthentication bölümüne gidilir ve useAppPoolCredentials değeri True olarak ayarlanır ve Apply ile kaydedilir.

Orchestrator Configuration Editor Ayarları

• Orchestrator Host Tenant’a sistem admin kullanıcısı ile giriş yapılır.

Orchestrator Host Tenant Kullanıcı Girişi

• Orchestrator > Identity arayüzünde Authentication Settings sekmesine gidilir ve Active Directory ayarları açılır.

Orchestrator Authentication Settings AD Ayarlarını Açılması

• AD ayarları aşağıdaki şekilde düzenlenir ve Test and Save butonuna tıklanır.

AD Configuration Ayarları

• Bu adım gerçekleştirildikten sonra IIS servisinde UiPath Orchestrator site restart edilir.

Etkinleştirme Sonrası Çıkan Uyarı

• Orchestrator Default Tenant’a sistem admin kullanıcısı ile giriş yapılır.

Orchestrator Default Tenant Kullanıcı Girişi

• Domain kullanıcısını yetkilendirileceği folder üzerinden Users sekmesine gidilir.

Yetki Verilecek Folder Kullanıcılarına Geçiş

• Çıkan kullanıcı listesinde yeni kullanıcı yetkilendirmek için Assign Account/Group butonuna tıklanır.
• Domain name alanından etki alanı adı, account & group name alanından domainde yetki verilmek istenen kullanıcı veya grup, roles alanından da ilgili hesaplara verilmek istenen rol seçimi yapılarak assign butonuna tıklanır.

Domain, Kullanıcı&Grup, Yetki Tanımlamaları

• Orchestrator kullanıcı giriş arayüzünde yer alan Windows logosuna tıklanır.

Active Directory Domain User Authentication Giriş

• Tenant seçimi yapılır.

Tenant Seçimi

• UiPath Orchestrator arayüzüne Active Directoru Domain User ile kullanıcı girişi sağlanmış olur.

• Son adım olarak Kerberos protokolünün kullanımını doğrulamak için IIS servisinin bulunduğu sunucuda kullanıcı girişi yapıldıktan sonra Event Viewer log incelemesi yapılır.

Event Viewer Security Log İnceleme

• Kerberos protokolü kullanılarak sağlanmış bir kullanıcı girişi sonrası Event Viewer üzerinden 4624 ID’li security log detayında yer alan Authentication Package alanı Negotiate ve Package Name alanı boş(-) olmalıdır.

Kaynak: https://docs.uipath.com/