Control Room für den automatischen Active Directory-Modus konfigurieren

Konfigurieren Sie den Control Room, um Nutzer mit Hilfe von Active Directory zu authentifizieren, indem Sie dem Control Room ermöglichen, Domänen und Websites in Ihrer Organisation zu erkennen und aufzulisten.

Anmerkung: Die Active Directory-Integration ist nicht mehr änderbar, und Sie können die Konfiguration nicht mehr ändern, nachdem sie eingerichtet wurde.
Die um-properties-Datei ist eine Konfigurationsdatei, die im Control Room verwendet wird. Sie spielt eine wichtige Rolle bei der Definition verschiedener Eigenschaften und Einstellungen im Zusammenhang mit der Nutzerverwaltung und LDAP-Konfigurationen. Überprüfen Sie die folgende Tabelle, um die konfigurierbaren Einträge in der um-properties-Datei zu verstehen:
Eintrag Beschreibungen
um.ad.max.gc.url.per.forest=10 Anzahl der GC-URLs pro Gesamtstruktur, die gesammelt werden sollen, Standardwert ist 10
um.ad.max.kdc.per.domain=3 Anzahl der KDC-Server, die pro Domäne zulässig sind, standardmäßig 3
um.ad.max.retry.count=2 Anfrage wird x-mal wiederholt, standardmäßig 2-mal
um.ad.retry.delay.milliseconds=500 Anfrage wird in x Millisekunden erneut versucht, standardmäßig 500 Millisekunden
um.ad.retry.max.delay.milliseconds=5000 Anfrage wird nicht später als x Millisekunden erneut versucht, standardmäßig 5.000 Millisekunden
um.ad.krb5.cr.retries=1 Dies wird CR zwingen, sich im Falle eines fehlgeschlagenen Authentifizierens erneut beim AD zu authentifizieren; der Standardwert ist 1, kann in diesem Fall auf 2 oder 3 angepasst werden
um.ldap.connect.timeout.milliseconds=2000 Verbindungs-Timeout standardmäßig 2.000 Millisekunden
um.ldap.kdcs=\'\' Wenn die verschiedenen Key Distribution Center (KDC) im Eintrag definiert sind, werden die im automatischen Erkennungsprozess gefundenen überschrieben. Dadurch wird ein Sicherheitsnetz für Kunden geschaffen, das ihnen die Möglichkeit bietet, beliebige KDCs zu überschreiben. Wenn dieser Eintrag definiert ist, müssen alle Domänen mit entsprechenden KDCs hier definiert werden.

Es ist standardmäßig leer

Zum Beispiel, wenn die AD-Umgebung insgesamt 3 Domänen hat, domain1.com, domain2.com und domain3.com, sieht der Eintrag wie folgt aus :
um.ldap.kdcs='domain1.com:host1.domain1.com:host2.domain1.com,domain2.com:host1.domain2.com:host2.domain2.com',domain3.com:host1.domain3.com'
um.ldap.read.timeout.milliseconds=10000 Lese-Timeout, Standardwert ist 10.000 Millisekunden
um.ad.total.db.user.per.retrieval=1000 Dies dient der Batch-Synchronisierung von Nutzerrollen und lädt pro Abruf die x Anzahl von Nutzern aus der Datenbank.
um.ldap.groupmapping.domain.filter=\'\' Standardmäßig wird die Nutzergruppen verwendet, wenn diese Zeile nicht definiert ist.
um.ldap.groupmapping.sync.on.get.mappings=false Es ist standardmäßig auf „false“ gesetzt, damit die Zuordnungsliste nicht validiert wird, wenn die Liste der Zuordnungen in der Nutzeroberfläche angezeigt wird. Durch Setzen auf „true“ wird das Verhalten wie zuvor umgekehrt, sodass die Zuordnungsliste bei jedem Aufruf von „get mappings“ überprüft wird, was die Leistung beeinträchtigen kann.

Gehen Sie wie folgt vor, um den Control Room beim ersten Starten zu konfigurieren:

Prozedur

  1. Doppelklicken Sie auf das Symbol für den Automation Anywhere Control Room auf Ihrem Desktop.

    Die Seite Control Room-Einstellungen konfigurieren wird angezeigt.

  2. Geben Sie den Repository-Pfad ein.
    Das ist der Ort, an dem die hochgeladenen Automatisierungsdateien wie z. B. IQ Bots und Task Botss gespeichert werden. Beispiel: C:\Programme\AutomationAnywhere\Server Files.
  3. Geben Sie die Zugriffs-URL ein.
    Das ist die URL für den Zugriff auf Ihre Installation von Control Room.
  4. Klicken Sie auf Speichern und fortfahren.
    Wichtig: Die Schaltfläche Zurück Ihres Browsers wird automatisch deaktiviert, nachdem Sie auf Speichern und fortfahren geklickt haben. Damit wird sichergestellt, dass der Credential Vault-Master Key, der generiert wird, dem Repository-Pfad und der Zugriffs-URL für den Control Room entspricht.

    Um zur Seite Control Room-Einstellungen konfigurieren zurückzukehren, drücken Sie Ctrl plus F5 und führen einen Neustart aus.

    Die Seite Credential Vault-Einstellungen wird angezeigt.
  5. Wählen Sie aus den folgenden Optionen aus:
    • Expressmodus: Das System speichert den Master Key, um eine Verbindung mit dem Credential Vault herzustellen. Diese Option wird für eine Produktionsumgebung nicht empfohlen.
    • Manueller Modus: Sie speichern den Master Key selbst und geben den Master Key an, wenn der Credential Vault gesperrt ist. Mit Hilfe des Master Keys verbinden Nutzer sich mit dem Credential Vault, um ihre Anmeldedaten zu sichern und darauf zuzugreifen, wenn sie die Task Bots erstellen und ausführen.
      Wichtig: Wenn Sie den Master Key verlieren, können Sie nicht mehr auf den Control Room zugreifen.
  6. Klicken Sie auf Speichern und fortfahren.
    Wichtig: Die Schaltfläche Zurück des Browsers wird automatisch deaktiviert, nachdem Sie auf Speichern und fortfahren geklickt haben. Keine weiteren Änderungen an der Control Room-Konfiguration oder an den Credential Vault-Einstellungen sind erlaubt.

    Um Änderungen vorzunehmen, installieren Sie den Control Room erneut.

    Die Seite Authentifizierungstyp für Control Room-Nutzer wird angezeigt.
  7. Wählen Sie Active Directory aus.
    Automation Anywhere unterstützt die Multi-Forest-Authentifizierung in Active Directory für den Control Room. Gewährleisten Sie vor der Bereitstellung des Authentifizierungstyps Folgendes:
    • Für eine unidirektionale Vertrauensstellung zwischen Forests:
      • Die Bot Agent-Geräte befinden sich in einem oder mehreren Forests und der Control Room liegt in einem anderen Forest – der Control Room muss sich im vertrauenden Forest befinden.
      • Richten Sie eine Vertrauensstellung ein zwischen dem Forest, in dem sich der Control Room befindet, und den weiteren Forests ein, in denen sich die Bot Agent-Geräte befinden.
      • Domänen, die Bot Agent-Geräte enthalten, und der Control Room müssen mit einer gegenseitigen Vertrauensstellung zwischen den Domänen konfiguriert sein.
    • Für eine bidirektionale Vertrauensstellung zwischen Forests:
      • In dem Szenario, in dem sich die Bot Agent-Geräte in einem oder mehreren Forests und die Control Room-Geräte in einem anderen Forest befinden, werden alle Forests, die Bot Agent-Geräte und den Control Room enthalten, mit einer bidirektionalen Vertrauensstellung zwischen den Forests konfiguriert.
      • Richten Sie eine Vertrauensstellung zwischen allen Forests ein, die Control Room- und die Bot Agent-Geräte enthalten.
      • Domänen, die Bot Agent-Geräte enthalten, und der Control Room müssen mit einer gegenseitigen Vertrauensstellung zwischen den Domänen konfiguriert sein.
    • Das Stammzertifikat des LDAP-Servers wird mithilfe des bereitgestellten CertMgr-Tools per Befehl importiert.
    • Die bereitgestellten LDAP-URLs pro Forest dürfen sich nicht hinter einem Load Balancer befinden. Außerdem müssen alle LDAP-URLs auf die Stammdomänencontroller (Hauptdomänencontroller) verweisen.
    • Der Knoten, auf dem der Control Room ausgeführt wird, befindet sich in demselben Domänennetzwerk, in dem das Active Directory ausgeführt wird.
    • Der Nutzer befindet sich in der übergeordneten Domäne und die URL verweist auf die übergeordnete Domäne.

      Damit wird sichergestellt, dass ein Nutzer aus den anderen Gesamtstrukturen nicht berechtigt ist, auf die Unterdomäne zuzugreifen, wenn es zwei oder mehr Gesamtstrukturen gibt und eine der Gesamtstrukturen über eine Unterdomäne mit einem anderen Namespace verfügt.

  8. Geben Sie den Domänennutzernamen ein.
    Achten Sie darauf, dass Sie den User Principal Name (UPN) im username@domain.com-Format verwenden.
    Der hier eingegebene Nutzername muss zu einem Nutzer gehören, der mit denselben Anmeldedaten Zugriff auf alle Domänen hat.
  9. Geben Sie das Domänenkennwort ein.
    Von diesem Nutzer wird nicht erwartet, dass er den Control Room verwendet. Obwohl Sie eine Option zum Aktualisieren des Passworts haben, sollten Sie ein Konto mit der Option „Passwort läuft niemals ab“ verwenden. Wenn es abläuft, kann es aktualisiert werden, aber bis das geschehen ist, fällt das System aus.
  10. Klicken Sie auf Verbindungen erkennen.
    Alle ermittelten Active Directory-Domänen mit einer oder mehreren Websites pro Domäne werden angezeigt.
    Standardmäßig sind alle Domänen und Websites ausgewählt. Wenn nur eine Domäne und eine Website davon erkannt wird, wird sie im schreibgeschützten Modus angezeigt und kann nicht bearbeitet werden.
    Sie können die maximale Anzahl von Websites pro Domäne konfigurieren, die über mehrere Domänen hinweg ermittelt werden können, indem Sie in der Datei um.properties die folgende Eigenschaft hinzufügen, die unter <installation path>/config gespeichert ist:

    um.ldap.auto.discovery.find.max.sites=<number of sites>

    Sie können beispielsweise die automatische Erkennung für maximal 15 Websites pro Domäne konfigurieren, indem Sie der Datei um.properties den Eintrag um.ldap.auto.discovery.find.max.sites=15 hinzufügen. Das bedeutet, dass für jede vorhandene Domäne maximal 15 zugehörige Websites pro Domäne ermittelt werden können.

    Anmerkung: Wenn diese Eigenschaft nicht konfiguriert wurde, werden standardmäßig 10 Websites pro Domäne ermittelt.
  11. Wählen Sie die Domänen und Websites aus, die für die Authentifizierung verwendet werden sollen.

    Wählen Sie die Domänen und Websites aus, die für die Authentifizierung verwendet werden sollen. Wählen Sie für jede ausgewählte Domäne mindestens eine Website aus.

  12. Klicken Sie auf Verbindungen testen, um die Websites zu registrieren, die für die Authentifizierung verwendet werden sollen.
  13. Klicken Sie auf Verbindung überprüfen.

    Wenn der Control Room keine Verbindung zur Active Directory-Datenbank herstellen kann, wird eine Fehlermeldung angezeigt.

  14. Klicken Sie auf Weiter.
    Die Seite Erster Control Room-Administrator wird angezeigt.
  15. Wählen Sie in der Dropdown-Liste die Active Directory-Domäne aus und geben Sie den Nutzernamen des Control Room-Administrators ein.
  16. Klicken Sie auf Namen in Active Directory prüfen.
    Wenn der Nutzername in Active Directory vorhanden ist, werden folgende Angaben zum Nutzer angezeigt:
    • Vorname
    • Nachname
    • E-Mail

    Sie können diese vorab ausgefüllten Felder bearbeiten.

  17. Klicken Sie auf Speichern und anmelden.

    Sie werden beim Control Room als Administrator angemeldet. Sie können jetzt die gesamte RPA-Umgebung mit Control Room und Bot Agent konfigurieren und verwalten.

Nächste Maßnahme

Installieren Sie nach dem Konfigurieren des Control Rooms Produktlizenzen.