Automation Cloud
Neuestes
False
Bannerhintergrundbild
Automation Cloud-Administratorhandbuch
Letzte Aktualisierung 15. Apr. 2024

Konfigurieren der SAML-Integration

Diese Funktion ist nur verfügbar, wenn Sie sich im Enterprise-Lizenzierungsplan befinden.

Sie können die Automation Cloud™ mit jedem Identitätsanbieter (IdP) verbinden, der den SAML 2.0-Standard verwendet. Auf dieser Seite wird der Gesamtprozess beschrieben, indem einige Beispielkonfigurationen für die SAML-Integration gezeigt werden.

Übersicht über den Konfigurationsprozess

Die SAML-Integration ist so konzipiert, dass sie schrittweise und ohne Unterbrechung für bestehende Benutzer implementiert werden kann.

Die Hauptphasen des Prozesses, die auf dieser Seite ausführlicher beschrieben werden, sind:

  1. Bereinigen von inaktiven Benutzerkonten
  2. Konfigurieren der SAML-Integration
  3. Übergang von bestehenden Benutzern zur Anmeldung mit SAML-SSO
  4. Berechtigungen und Roboter für neue Benutzer konfigurieren
  5. Verwendung von lokalen Konten einstellen (optional)

Bekannte Einschränkungen

Konten von Ihrem Identitätsanbieter können nicht durchsucht werden.

Mit der SAML-Integration können Sie nicht alle Benutzer und Gruppen ihres Identitätsanbieters durchsuchen. Nur bereitgestellte Benutzer des Verzeichnisses sind für die Suche verfügbar.

Verzeichnisbenutzer auf Organisationsebene können nicht angezeigt werden.

Auf Organisationsebene werden nur lokale Benutzer angezeigt. Bei der Just-in-Time-Bereitstellung werden Verzeichnisbenutzer hinzugefügt, sodass sie nicht auf der Verwaltungsseite Konten und Gruppen angezeigt werden.

API-Zugriffsinformationen können nicht angezeigt werden

Das Anzeigen von API-Zugriffsinformationen, mit denen Sie API-Anfragen mit einem Benutzerschlüssel autorisieren können, ist für Verzeichnisbenutzer, die sich über die SAML-Integration anmelden, nicht verfügbar.

Voraussetzungen

Um die SAML-Integration einzurichten, benötigen Sie:

  • Eine Automation Cloud-Organisation mit dem Enterprise-Lizenzierungsplan.

  • Administratorberechtigungen sowohl in der Automation Cloud als auch bei Ihrem externen Identitätsanbieter.

    Wenn Sie bei Ihrem Identitätsanbieter nicht über Administratorberechtigungen verfügen, können Sie mit einem Administrator zusammenarbeiten, um den Einrichtungsprozess abzuschließen.

  • Version 2020.10.3 oder höher von UiPath® Studio und vom UiPath Assistant, damit Sie sie so einrichten können, dass die empfohlene Bereitstellung verwendet wird.

Hinweis:

Wechseln von der Azure Active Directory-Integration

Wenn Sie derzeit die Azure Active Directory-Integration für die Authentifizierung verwenden, empfehlen wir, bei der AAD-Integration zu bleiben, da sie funktionsreicher ist.

Wenn Sie sich für einen Wechsel von der AAD-Integration entscheiden, müssen Sie die Rollenzuweisung über Verzeichnisgruppen manuell durch eine direkte Rollenzuweisung zu den Verzeichniskonten ersetzen. So müssen Sie Ihr Zugriffsschema nicht komplett neu erstellen.

Schritt 1. Inaktive Benutzerkonten bereinigen

Wenn Ihre Organisation E-Mail-Adressen wiederverwendet, ist es wichtig, dass Sie alle inaktiven Benutzerkonten entfernen, bevor Sie die SAML-Integration konfigurieren.

Wenn Sie die Integration aktivieren, können lokale Konten in der Automation Cloud mit dem Verzeichniskonto im externen Identitätsanbieter verknüpft werden, das dieselbe E-Mail-Adresse verwendet. Diese Kontoverknüpfung erfolgt, wenn sich der Verzeichniskontobenutzer mit der E-Mail-Adresse zum ersten Mal anmeldet. Die Identität von Ihrem Identitätsanbieter erbt alle Rollen, die das lokale Konto hatte, so dass der Übergang nahtlos erfolgt.

Dadurch besteht bei inaktiven lokalen Konten in der Automation Cloud das Risiko, dass lokale Konten und Verzeichniskonten nicht übereinstimmen, was zu einer unbeabsichtigten Erhöhung der Berechtigungen führen kann.

So entfernen Sie inaktive Benutzerkonten:

  1. Melden Sie sich als Organisationsadministrator bei der Automation Cloud an.
  2. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation und dann Konten und Gruppen aus.

    Die Seite Konten und Gruppen für die Organisation wird auf der Registerkarte Benutzer geöffnet.

  3. Klicken Sie auf den Spaltenheader der Spalte Zuletzt aktiv, um die Benutzer so zu sortieren, dass die Benutzer mit dem ältesten Datum der letzten Anmeldung ganz oben angezeigt werden:


    In der Spalte Zuletzt aktiv wird das Datum angezeigt, an dem sich der Benutzer zum letzten Mal in der Automation Cloud angemeldet hat. Wenn Sie in dieser Spalte „Ausstehend“ sehen, wie im obigen Beispiel, bedeutet das, dass der Benutzer sich nie angemeldet hat. Sie können diese Informationen verwenden, um Ihre inaktiven Benutzer zu identifizieren.

  4. Klicken Sie auf das Symbol Löschen am Ende der Zeile, um das lokale Konto für diesen Benutzer zu entfernen.


  5. Klicken Sie im Bestätigungsdialogfeld auf Löschen, um das Löschen des Kontos aus der Automation Cloud zu bestätigen.

    Das Benutzerkonto wird von der Seite entfernt.

  6. Löschen Sie weiterhin alle inaktiven Benutzerkonten in Ihrer Organisation.

Schritt 2. Die SAML-Integration konfigurieren

Jetzt müssen Sie sowohl die Automation Cloud als auch Ihren Identitätsanbieter (IdP) für die Integration konfigurieren.

Schritt 2.1. Informationen zum SAML-Dienstanbieter abrufen

  1. Melden Sie sich als Organisationsadministrator bei der Automation Cloud an.
  2. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation aus und wählen Sie dann Sicherheit aus.

    Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.

  3. Wählen Sie Benutzer, die sich mit SAML-SSO anmelden können aus und klicken Sie dann auf Konfigurieren.

    Ein Informationsdialogfeld wird geöffnet.

  4. Klicken Sie im Dialogfeld auf Fortfahren.

    Die nächste Seite bietet einen Überblick über die Integration.

  5. Klicken Sie in der unteren rechten Ecke auf Weiter, um mit der Konfiguration fortzufahren.

    Im Schritt Allgemeine Details finden Sie unter In IdP zu konfigurierende Daten die erforderlichen Informationen zur Konfiguration Ihres Identitätsanbieters für die Verbindung mit der Automation Cloud.



  6. Kopieren und speichern Sie die Werte für die Metadaten-URL, die Entitäts-ID und die Assertion Consumer Service-URL. Diese benötigen Sie im nächsten Schritt.

Lassen Sie diese Registerkarte im Browser für später geöffnet.

Schritt 2.2. Ihren Identitätsanbieter konfigurieren

Die Automation Cloud kann sich mit jedem externen Identitätsanbieter (IdP) verbinden, der den SAML 2.0 Standard verwendet.

Obwohl die Konfiguration je nach Ihrem gewählten IdP variieren kann, haben wir die Konfiguration für Okta oder PingOnes validiert, die Sie als Referenz zum Konfigurieren der Integration verwenden können:

Bei anderen Identitätsanbietern empfehlen wir Ihnen, deren Integrationsdokumentation zu befolgen.

A. Beispielkonfiguration für Okta

Hinweis: Die Anweisungen in diesem Abschnitt beziehen sich auf eine Beispielkonfiguration. Weitere Informationen zu IdP-Einstellungen, die hier nicht behandelt werden, finden Sie in der Okta-Dokumentation.
  1. Melden Sie sich in einer anderen Registerkarte im Browser bei der Okta-Administratorkonsole an.
  2. Gehen Sie zu „Anwendungen“ > „Anwendungen“, klicken Sie auf App-Integration erstellen und wählen Sie SAML 2.0 als Anmeldemethode aus.
  3. Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für die App an, mit der Sie die Integration vornehmen, also die Automation Cloud.
  4. Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein wie folgt aus:
    1. URL für einmaliges Anmelden: Geben Sie den Wert der Assertion Consumer Service-URL ein, den Sie von der Automation Cloud erhalten haben.
    2. Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
    3. Empfänger-URI: Geben Sie den Wert der Entitäts-ID ein, den Sie von der Automation Cloud erhalten haben.
    4. Name ID-Format: E-Mail-Adresse auswählen.
    5. Anwendungsbenutzername: E-Mail auswählen
  5. Fügen Sie bei Attributanweisungen Folgendes hinzu:
    1. Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. Lassen Sie das Namensformat als Nicht angegeben.
    3. Legen Sie den Wert auf user.email oder das Benutzerattribut fest, das die eindeutige E-Mail-Adresse des Benutzers enthält.
    4. Fügen Sie optional weitere Attributzuordnungen hinzu. Die Automation Cloud unterstützt auch die Benutzerattribute Vorname, Nachname, Berufsbezeichnung und Abteilung. Diese Informationen werden dann an die Automation Cloud weitergegeben, wo sie anderen Diensten wie dem Automation Hub zur Verfügung gestellt werden können.
  6. Wählen Sie auf der Seite Feedback die Option aus, die Sie bevorzugen.
  7. Klicken Sie Beenden an.
  8. Kopieren Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen unter Setup-Anweisungen anzeigen den Wert Metadaten-URL des Identitätsanbieters und speichern sie ihn für später.
  9. Wählen Sie die neu erstellte Anwendung für die Automation Cloud auf der Seite Anwendung aus.

  10. Wählen Sie auf der Registerkarte Zuweisungen die Option „Zuweisen“ > „Personen zuweisen“ aus und wählen Sie dann die Benutzer aus, die die SAML-Authentifizierung für die Automation Cloud verwenden möchten.

    Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

B. Beispielkonfiguration für PingOne

Hinweis: Die Anweisungen in diesem Abschnitt beziehen sich auf eine Beispielkonfiguration. Weitere Informationen zu IdP-Einstellungen, die hier nicht behandelt werden, finden Sie in der PingOne-Dokumentation.
  1. Melden Sie sich in einer anderen Registerkarte im Browser bei der PingOne-Administratorkonsole an.
  2. Wechseln Sie zu „Verbindungen“ > „Anwendungen“ und klicken Sie auf das Pluszeichen +.
  3. Klicken Sie auf Web App und klicken Sie für SAML auf Konfigurieren.
  4. Geben Sie auf der Seite App-Profil erstellen einen Namen für Ihre Automation Cloud-App an.

  5. Wählen Sie auf der Seite SAML-Verbindung konfigurieren die Option Manuell eingeben aus und geben Sie Folgendes ein:

    • ACS-URLs: Geben Sie den Wert der Assertion Consumer Service-URL ein, den Sie von der Automation Cloud erhalten haben.
    • Entitäts-ID: Geben Sie den Wert der Entitäts-ID ein, den Sie von der Automation Cloud erhalten haben.
    • SLO-Bindung: HTTP-Umleitung
    • Assertion-: Geben Sie die Gültigkeitsdauer in Sekunden ein.
  6. Klicken Sie auf Speichern und fortfahren.
  7. Fügen Sie auf der Seite Attribute zuordnen die E-Mail-Adresse hinzu:
    1. Wählen Sie + Attribut hinzufügen aus.
    2. Geben Sie für Anwendungsattribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein.
    3. Legen Sie den Ausgehenden Wert auf E-Mail-Adresse oder das Benutzerattribut fest, das die eindeutige E-Mail-Adresse des Benutzers enthält.
    4. Aktivieren Sie das Kontrollkästchen Erforderlich.
    5. Fügen Sie optional weitere Attributzuordnungen hinzu. Die Automation Cloud unterstützt auch die Benutzerattribute Vorname, Nachname, Berufsbezeichnung und Abteilung. Bei den Attributen wird die Groß-/Kleinschreibung beachtet. Diese Informationen werden dann an die Automation Cloud weitergegeben, wo sie anderen Diensten wie dem Automation Hub zur Verfügung gestellt werden können.
  8. Klicken Sie auf Speichern und schließen.
  9. Klicken Sie auf den Umschalter für die Automation Cloud-App, um die Anwendung für den Benutzerzugriff zu aktivieren.
  10. Kopieren und speichern Sie auf der Registerkarte Konfiguration den Wert der IdP-Metadaten-URL zur späteren Verwendung.

Schritt 2.3. Die Automation Cloud konfigurieren

Führen Sie die folgenden Schritte aus, um die Automation Cloud als Dienstanbieter zu aktivieren, der Ihren Identitätsanbieter erkennt:

  1. Kehren Sie in der Automation Cloud zur Registerkarte „SAML-Konfiguration“ zurück.
  2. Im Schritt Allgemeine Details:
    1. Füllen Sie unter Daten vom IdP das Feld Metadaten-URL mit der Metadaten-URL aus, die während der Konfiguration abgerufen wurde.
    2. Klicken Sie auf Daten abrufen. Nach Abschluss des Vorgangs werden die Felder Anmelde-URL, ID der Identitätsanbieterentität und Signaturzertifikat mit den IdP-Informationen gefüllt.
    3. Klicken Sie in der unteren rechten Ecke auf Weiter, um zum nächsten Schritt zu wechseln.
  3. Im Schritt Bereitstellungseinstellungen:
    1. Füllen Sie den Abschnitt Zulässige Domänen mit den Domänen aus, von denen Sie Benutzern die Anmeldung ermöglichen möchten. Geben Sie alle Domänen ein, die vom konfigurierten Identitätsanbieter unterstützt werden. Sie können mehrere Domains durch Kommata voneinander trennen.
    2. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie mit der Verknüpfung von Konten mit übereinstimmenden E-Mail-Adressen einverstanden sind.
    3. Füllen Sie unter Attributzuordnung das Feld Anzeigename mit dem Attribut Ihres IdP aus, das Sie in der Automation Cloud als Name für Benutzer anzeigen möchten. Sie können hier die Attribute Vorname und Nachname verwenden.
    4. Füllen Sie optional die verbleibenden Felder mit Attributen Ihres IdP aus.
    5. Wenn Sie auch erweiterte Details konfigurieren möchten, klicken Sie unten rechts auf Weiter, um zum letzten Schritt zu gelangen.

      Klicken Sie andernfalls auf Testen und Speichern, um die Konfiguration der Integration abzuschließen und die verbleibenden Schritte in diesem Abschnitt zu überspringen.

  4. Konfigurieren Sie auf der Seite Erweiterte Einstellungen die Optionen nach Bedarf:
    • Unangeforderte Authentifizierungsantwort zulassen: Aktivieren Sie diese Option, wenn Sie aus dem IdP-Dashboard zur Automation Cloud navigieren möchten.
    • SAML-Bindungstyp: Wählen Sie aus, wie die SAML-Konfiguration über den HTTP Benutzer-Agent kommunizieren soll.Wählen Sie HTTP-Umleitung aus, um URL-Parameter zu verwenden, oder HTTP-Post, um ein HTML-Formular mit base64-codiertem Inhalt zu verwenden.
  5. Klicken Sie auf Testen und Speichern, um die Integrationskonfiguration fertig zu stellen.

Schritt 2.4. Überprüfen Sie, ob die Integration ausgeführt wird.

So können Sie überprüfen, ob die SAML SSO-Integration ordnungsgemäß funktioniert:

  1. Öffnen Sie ein Inkognito-Browserfenster.
  2. Navigieren Sie zu Ihrer Automation Cloud-URL.
  3. Überprüfen Sie Folgendes:
    1. Werden Sie aufgefordert, sich mit Ihrem SAML-Identitätsanbieter anzumelden?
    2. Können Sie sich erfolgreich anmelden?
    3. Wenn Sie sich mit einer E-Mail-Adresse anmelden, die mit einem vorhandenen Benutzerkonto übereinstimmt, verfügen Sie dann über die entsprechenden Berechtigungen?

Schritt 2.5. Bereitstellungsregeln konfigurieren (optional)

Wenn Sie Ansprüche in Ihrem IdP verwenden, können Sie diese als Bedingungen in einer Bereitstellungsregel nutzen, so dass Benutzer automatisch mit den richtigen Lizenzen und Rollen ausgestattet werden, wenn sie sich bei der Automation Cloud anmelden.

Bereitstellungsregeln werden überprüft, wenn sich ein Benutzer anmeldet. Wenn das Benutzerkonto die Bedingungen für eine Regel erfüllt, wird es automatisch der Gruppe hinzugefügt, die der Regel zugeordnet ist.

Phase 1. Bereitstellungsgruppen einrichten

In der Automation Cloud bedeutet das Hinzufügen eines Kontos zu einer Gruppe, dass das Konto die für die Gruppe definierten Lizenzen, Rollen und Roboterkonfigurationen erbt, sofern vorhanden.

Wenn Sie also eine Gruppe für einen bestimmten Benutzertyp einrichten (z. B. Ihre Mitarbeiter, die die Automatisierungen erstellen, oder Ihre Mitarbeiter, die die Automatisierungen testen), können Sie einen neuen Mitarbeiter dieses Typs in die Automation Cloud aufnehmen, indem Sie einfach dessen Konto im IdP auf die gleiche Weise wie andere ähnliche Konten einrichten.

Auf diese Weise richten Sie die Gruppe einmal ein und wiederholen dann die Einrichtung, indem Sie der Gruppe bei Bedarf Konten hinzufügen. Wenn sich die Einrichtung für eine bestimmte Gruppe von Benutzern ändern muss, müssen Sie die Gruppe nur einmal aktualisieren und die Änderungen gelten für alle Konten in der Gruppe.

So richten Sie eine Gruppe für eine Bereitstellungsregel ein:

  1. Erstellen Sie eine neue lokale Gruppe in der Automation Cloud.

    Wenn Sie möchten, können Sie eine Ihrer vorhandenen Gruppen verwenden, anstatt eine neue zu erstellen.

  2. (Optional und erfordert eine Benutzerlizenzverwaltung) Wenn Benutzer in dieser Gruppe Benutzerlizenzen benötigen, richten Sie Regeln für die Lizenzzuweisung für die Gruppe ein.

    Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Lizenzzuweisung für die Gruppe, um sicherzustellen, dass die richtigen Lizenzen zugewiesen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die Zuweisungen oder erstellen Sie eine neue Gruppe.

  3. Weisen Sie Mandantenrollen zu und vervollständigen Sie optional die Robotereinrichtung für die Gruppe. Anweisungen finden Sie unter Zuweisen von Rollen zu einer Gruppe.

    Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Rollen, die der Gruppe derzeit zugewiesen sind, um sicherzustellen, dass sie für den Benutzertyp geeignet sind, den Sie der Gruppe hinzufügen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die dieser Gruppe zugewiesenen Rollen oder erstellen Sie eine neue Gruppe.

  4. Fügen Sie die Gruppe Ordnern hinzu und weisen Sie nach Bedarf Ordnerrollen zu. Anweisungen finden Sie unter Verwalten des Ordnerzugriffs.

Jetzt können Sie diese Gruppe in einer Bereitstellungsregel verwenden.

Phase 2. Eine Bereitstellungsregel für eine Gruppe erstellen

Hinweis:

Stellen Sie sicher, dass der mit der SAML-Bereitstellungsregel verbundene Anspruch an die SAML-Nutzlast gesendet wird, indem Sie sie in der SAML-Anwendung konfigurieren.

Nachdem die SAML-Integration konfiguriert und nachdem Sie eine Gruppe eingerichtet haben:

  1. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation aus und wählen Sie dann Sicherheit aus.

    Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.

  2. Klicken Sie unter der Option SAML-SSO auf Bereitstellungsregeln anzeigen:

    Die Seite SAML SSO-Bereitstellungsregeln wird geöffnet, auf der Ihre vorhandenen Regeln aufgeführt sind.

  3. Klicken Sie in der oberen rechten Ecke der Seite auf Regel hinzufügen.

    Die Seite Neue Regel hinzufügen wird geöffnet.

  4. Füllen Sie unter Grundlegende Details das Feld Regelname und optional das Feld Beschreibung aus.

  5. Klicken Sie unter Bedingungen auf Regel hinzufügen.

    Eine Reihe von Feldern für eine neue Bedingung wird hinzugefügt. Gemeinsam definieren sie die Kriterien, die ein Konto bei der Anmeldung erfüllen muss, um einer (später ausgewählten) Gruppe hinzugefügt zu werden.



  6. Geben Sie im Feld Anspruch den Namen des Anspruchs ein, so wie er im IdP angezeigt wird. Der/die/das

    berücksichtigt Groß- und Kleinschreibung.

  7. Wählen Sie auf der Liste Beziehung aus, wie sich der Anspruch auf den Wert bezieht. Die folgenden Optionen sind verfügbar:

    Beziehung

    Bedingungsanforderung

    Beispiel

    ist

    genaue Übereinstimmung, Groß-/Kleinschreibung wird beachtet
    Department is RPA setzt voraus, dass der Wert für den Department-Anspruch RPA ist.
    Die Bedingung wird nicht erfüllt, wenn der Wert z. B. RPADev ist.

    Diese Beziehung funktioniert für Ansprüche mit mehreren Werten.

    Wenn beispielsweise die Werte administrator und developer unter Group gesendet werden, dann wäre Group is administrator eine gültige Beziehung.

    ist nicht

    alles außer dem angegebenen Wert, Groß-/Kleinschreibung wird beachtet
    Bei Department is not ctr wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Wert von Department ist ctr.
    Die Bedingung ist erfüllt, wenn die Abteilung Ctr oder electr ist.

    enthält

    beinhaltet, erfordert keine exakte Übereinstimmung, Groß-/Kleinschreibung wird beachtet
    Department contains RPA erfordert, dass der Wert für den Department-Anspruch RPA enthält.
    Die Bedingung wird erfüllt, wenn der Wert z. B. RPADev, xRPAx oder NewRPA ist.

    enthält nicht

    schließt aus, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird beachtet
    Bei Department not contains ctr wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Department-Wert enthält ctr.
    Konten, für die die Abteilung z. B. ctr oder electr ist, werden der Gruppe nicht hinzugefügt.

    Groß-/Kleinschreibung wird nicht berücksichtigt

    genaue Übereinstimmung, Groß-/Kleinschreibung wird nicht beachtet
    Department is case insensitive RPA erfordert, dass der Wert für den Department-Anspruch rpa ist, in beliebiger Groß-/Kleinschreibung
    Die Bedingung wird erfüllt, wenn der Wert z. B. rpa ist. Die Bedingung wird nicht erfüllt, wenn der Wert z. B. crpa ist.

    enthält Elemente ohne Berücksichtigung von Groß-/Kleinschreibung

    beinhaltet, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird nicht beachtet
    Department contains case insensitive RPA erfordern, dass der Wert für den Department-Anspruch in jeder Groß-/Kleinschreibung RPA enthält.
    Die Bedingung wird erfüllt, wenn der Wert z. B. rpa, cRPA oder rpA ist.
  8. Geben Sie in das Feld Wert den Wert ein, der zum Erfüllen der Bedingung erforderlich ist.

  9. Wenn Sie eine weitere Bedingung hinzufügen möchten, klicken Sie auf Regel hinzufügen und legen Sie so eine neue Bedingungszeile an.

    Wenn Sie mehrere Bedingungen hinzufügen, müssen alle Bedingungen erfüllt sein, damit die Bereitstellungsregel gilt. Wenn Sie zum Beispiel die Regeln Department is RPA und Title is Engineer definieren, werden nur Benutzer, die sowohl in der RPA-Abteilung sind als auch den Titel „Engineer“ tragen, zu den angegebenen Gruppen hinzugefügt. Ein Konto mit der RPA-Abteilung, aber dem Titel „QA“ wird nicht zu den Gruppen hinzugefügt.

  10. Beginnen Sie unter Gruppen zuweisen im Feld Gruppen hinzufügen mit der Eingabe des Namens einer Gruppe und wählen Sie dann eine Gruppe aus der Ergebnisliste aus. Wiederholen Sie den Vorgang, um bei Bedarf weitere Gruppen hinzuzufügen.

    Wenn die Bedingungen erfüllt sind, werden diesen Gruppen automatisch Konten hinzugefügt, wenn sie sich anmelden.

  11. Klicken Sie in der unteren rechten Ecke auf Speichern, um die Regel hinzuzufügen.

Wenn eine Regel vorhanden ist und sich ein Benutzer bei der Automation Cloud anmeldet und dessen Konto die Bedingungen für eine Regel erfüllt, dann wird sein Konto zu den Bereitstellungsgruppen hinzugefügt, die der Regel zugeordnet sind. Außerdem wird das Konto für die Arbeit in der Automation Cloud eingerichtet.

Beispiel eines SAML-Nutzlastfragments

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

SAML-Attributzuordnung

Beim Konfigurieren der SAML-Verzeichnisintegration können Organisationsadministratoren definieren, welche Attribute ihres IdP den Systembenutzerattributen zugeordnet werden sollen. Wenn sich ein Benutzer anschließend über die SAML-Verzeichnisintegration anmeldet, liest das System die Ansprüche, die an die ACS-Nutzlast übergeben werden, und ordnet den Wert den entsprechenden Systemattributen zu.

Wenn das beispielsweise die Benutzerstruktur in Ihrem IdP ist, kann ein Organisationsadministrator die folgenden Attributzuordnungseinstellungen einrichten, damit diese Informationen im Systembenutzerobjekt ausgefüllt werden. 

{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}
docs image

Wenn sich ein Benutzer in dieser Organisation über die SAML-Verzeichnisintegration anmeldet, wird sein Benutzerobjekt aktualisiert, um diese Einstellung widerzuspiegeln. 

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}
Hinweis:

  • Ihr IdP muss so konfiguriert sein, dass diese Ansprüche in der ACS-Nutzlast übergeben werden.

  • Stellen Sie sicher, dass die im IdP konfigurierten Attributnamen mit den Attributzuordnungseinstellungen im Administratorportal der Organisation übereinstimmen.

Schritt 3. Ihre Benutzer auf SAML-SSO umstellen

Stellen Sie sicher, dass Sie allen Benutzern Ihre organisationsspezifische URL für die Automation Cloud angeben und befolgen Sie die folgenden Anweisungen. Nur Organisationsadministratoren können die Organisations-URL in den Organisationseinstellungen sehen.

Um sich mit SAML-SSO bei der Automation Cloud anzumelden, können Benutzer:

  • zu Ihrer organisationsspezifischen URL navigieren. Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. https://cloud.uipath.com/orgID/.
  • zu https://cloud.uipath.com navigieren, Mit SSO fortfahren auswählen und dann ihre organisationsspezifische URL angeben.
Hinweis:
Nach dem Wechsel zur SAML-Integration ist die Azure AD-Integration deaktiviert. Die Gruppenzuweisungen von Azure AD gelten nicht mehr, so dass die Gruppenmitgliedschaft der Automation Cloud und die von Azure AD geerbten Berechtigungen nicht mehr berücksichtigt werden.

Um sich bei UiPath Studio und UiPath Assistant mit SAML SSO anzumelden, müssen Benutzer den Assistant wie folgt konfigurieren:

  1. Öffnen Sie im UiPath Assistant Einstellungen und wählen Sie die Registerkarte Orchestrator-Verbindung aus.
  2. Klicken Sie auf Abmelden.
  3. Wählen Sie für den Verbindungstyp Dienst-URL aus.
  4. Fügen Sie im Feld Dienst-URL die organisationsspezifische URL hinzu.
    Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. https://cloud.uipath.com/orgID/. Andernfalls schlägt die Verbindung mit dem Hinweis fehl, der Benutzer gehöre keiner Organisation an.
  5. Melden Sie sich mit SAML-SSO wieder an.

Schritt 4. Berechtigungen und Roboter konfigurieren

Dies ist nur für neue Benutzer erforderlich, die die Automation Cloud noch nicht verwendet haben und für die daher kein lokales Konto in der Automation Cloud eingerichtet war, als die Integration aktiviert wurde.

Sie können neue Benutzer über deren E-Mail-Adresse (wie im externen IdP verwendet) zu Automation Cloud-Gruppen hinzufügen. Sobald ein Benutzer einer Gruppe zugewiesen wurde oder er sich angemeldet hat, steht er über die Suche für die Rollenzuweisung in allen Automation Cloud-Diensten zur Verfügung.

Schritt 5. Lokale Konten nicht mehr verwenden (optional)

Nachdem alle Benutzer auf SAML-SSO übertragen wurden und die neuen Benutzer eingerichtet sind, empfehlen wir Ihnen, alle lokalen Benutzerkonten, die keine Administratorkonten sind, zu entfernen. Dadurch wird sichergestellt, dass sich Benutzer nicht mehr mit ihren lokalen Kontoanmeldeinformationen anmelden können und sich mit SAML-SSO anmelden müssen.

Sie können lokale Benutzerkonten anhand der Benutzersymbole erkennen.

Überlegungen zum Beenden der Verwendung lokaler Konten

Verwalten von Authentifizierungseinstellungen in der Automation Cloud

Bei Problemen mit der SAML-Integration (z. B. bei der Aktualisierung eines abgelaufenen Zertifikats) oder beim Wechsel zu einer anderen Authentifizierungseinstellung wird ein lokales Benutzerkonto mit der Rolle des Organisationsadministrators empfohlen.

API-Zugang

Wenn Sie Prozesse eingerichtet haben, die sich auf die Informationen stützen, die Sie durch Klicken auf API-Zugriff (Seite Administrator > Mandanten) erhalten, um API-Aufrufe an einen Dienst zu tätigen, benötigen Sie ein UiPath-Konto, da die Schaltfläche nicht verfügbar ist, wenn Sie mit einem SAML SSO-Konto angemeldet sind. Alternativ können Sie zur Autorisierung zu OAuth wechseln. In diesem Fall sind die Informationen vom API-Zugriff nicht mehr erforderlich.

Fehlersuche und ‑behebung

Wenn Sie den Fehler User login failed. (#216) erhalten, kann dies auf eine fehlende E-Mail-Adresszuordnung in der Konfiguration des SAML-Identitätsanbieters zurückzuführen sein.
Der SAML-Anspruch muss den Namen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress tragen und der Wert muss eine gültige E-Mail-Adresse enthalten.

Einrichten von SAML-SSO mit Azure AD

Sie können das Azure-Portal verwenden, um SSO für eine Enterprise-Anwendung zu aktivieren, die Sie Ihrem Azure AD-Mandanten hinzugefügt haben.

Nachdem Sie SSO konfiguriert haben, können sich Ihre Benutzer mit ihren Azure AD-Anmeldeinformationen anmelden.

Wichtig:

Wenn Ihre Benutzer Azure AD nutzen, aber die Anweisungen zur Azure AD-Integration nicht verwenden können, um AAD für Ihre UiPath-Organisation zu konfigurieren, kann die Konfiguration von AAD als SAML-basierter IdP eine Option sein.

Dies ist auf Einschränkungen bei der Erteilung von Berechtigungen zum Lesen von Benutzerdetails und Gruppenmitgliedschaft aller UiPath-Anwendungsbenutzer zurückzuführen.

Aktivieren von SAML-SSO für eine Anwendung

  1. Melden Sie sich mit einer der in den Voraussetzungen aufgeführten Rollen beim Azure-Portal an.

  2. Wechseln Sie zu Azure AD und wählen Sie dann Enterprise-Anwendungen aus.

    Die Seite Alle Anwendungen wird geöffnet, auf der die Anwendungen in Ihrem Azure AD-Mandanten aufgeführt sind.

    Suchen Sie nach der Anwendung, die Sie verwenden möchten, und wählen Sie sie aus. Beispiel: UiPath.

    Hinweis:

    Um eine Anwendung für SSO zu erstellen, führen Sie die Schritte in diesem Abschnitt aus.

  3. Wählen Sie in der linken Seitenleiste im Abschnitt Verwalten die Option Einmaliges Anmelden aus , um die Seite zur SSO-Bearbeitung zu öffnen.

  4. Wählen Sie SAML aus, um die SSO-Konfigurationsseite zu öffnen.

    Nachdem die Anwendung konfiguriert wurde, können sich Benutzer mit den Anmeldeinformationen ihres Azure AD-Mandanten bei ihr anmelden.

  5. Klicken Sie im Abschnitt Grundlegende SAML-Konfiguration auf Bearbeiten.

  6. Füllen Sie die Felder Entitäts-ID und ACS-URL (Assertion Consumer Service) basierend auf den Werten aus, die in den SAML-Konfigurationseinstellungen im UiPath-Portal bereitgestellt werden.

    docs image
    docs image

  7. Klicken Sie auf Speichern.

    Hinweis:

    UiPath erfordert, dass entweder die Ansprüche http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressoder http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnvom SAML-Identitätsanbieter gesendet werden.

    Wenn beide Ansprüche in der ACS-Nutzlast gesendet werden, priorisiert UiPath den Anspruch http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress .

    Standardmäßig ist die Anwendung in Azure AD so konfiguriert, dass der Anspruch http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress mit der E-Mail-Adresse des Benutzers als Wert für den Anspruch gesendet wird.

    Wenn Sie von der Azure AD-Verzeichnisintegration wechseln oder einen Wechsel dazu planen, beachten Sie bitte:

    • Der in der priorisierten Anforderung übergebene Wert wird von UiPath als eindeutiger Bezeichner verwendet und dazu verwendet, alle vorhandenen lokalen Benutzer (mit der E-Mail-Adresse des lokalen Benutzers) mit diesem Verzeichnisbenutzer in Azure AD zu verknüpfen.

    • Für einen reibungslosen Wechsel zwischen Azure AD- und SAML-Verzeichnisintegration wird empfohlen, beide Ansprüche mit den entsprechenden Benutzerwerten zu übergeben.

      Hier ist eine Beispielkonfiguration:

      docs image

  8. Kopieren Sie die URL der App-Verbundmetadaten.

  9. Navigieren Sie zum UiPath-Verwaltungsportal und gehen Sie zur Seite SAML-Konfiguration .

  10. Fügen Sie die Metadaten-URL des App-Verbunds in das Feld Metadaten-URL ein.

  11. Klicken Sie auf Daten abrufen , damit das System benutzerbezogene Informationen vom Identitätsanbieter anfordert.

Einrichten von Ansprüchen für die automatische Bereitstellung in UiPath

  1. Melden Sie sich mit einer der in den Voraussetzungen aufgeführten Rollen beim Azure-Portal an.

  2. Wechseln Sie zu Azure AD und wählen Sie dann Enterprise-Anwendungen aus.

    Die Seite Alle Anwendungen wird geöffnet, auf der die Anwendungen in Ihrem Azure AD-Mandanten aufgeführt sind.

    Suchen Sie nach der Anwendung, die Sie verwenden möchten, und wählen Sie sie aus. Beispiel: UiPath.

    Hinweis:

    Um eine Anwendung für SSO zu erstellen, führen Sie die Schritte in diesem Abschnitt aus.

  3. Wählen Sie in der linken Seitenleiste im Abschnitt Verwalten die Option Einmaliges Anmelden aus , um die Seite zur SSO-Bearbeitung zu öffnen.

  4. Klicken Sie auf Bearbeiten im Abschnitt Attribute und Ansprüche auf der Seite zur SSO-Bearbeitung .

    docs image

  5. Klicken Sie auf Gruppenansprüche hinzufügen, um die Gruppen zu konfigurieren, die Sie an UiPath senden möchten.

    Hinweis:

    Um erweiterte Konfigurationen festzulegen, wählen Sie aus der Dropdownliste Erweiterte Einstellungen aus.

  6. Klicken Sie auf Speichern.

  7. Um die Konfiguration abzuschließen, führen Sie die Schritte 2.5 Bereitstellungsregeln konfigurieren (optional) in unserer öffentlichen Dokumentation aus.

Hinweis:

Wenn ein Kunde UPN bevorzugt, können Sie zum Abschnitt Attribute und Ansprüche navigieren und den Wert für das Attribut emailaddress ändern .

Erstellen einer Anwendung für SSO

  1. Melden Sie sich mit einer der in den Voraussetzungen aufgeführten Rollen beim Azure-Portal an.
  2. Wechseln Sie zu Azure AD und wählen Sie dann Unternehmensanwendungen aus. Die Seite Alle Anwendungen wird geöffnet, auf der die Anwendungen in Ihrem Azure AD-Mandanten aufgeführt sind.
  3. Klicken Sie auf Neue Anwendung > Eigene Anwendung erstellen.
  4. Geben Sie Ihrer Anwendung einen Namen. Zum Beispiel UiPath.
  5. Wählen Sie Beliebige andere, nicht im Katalog gefundene Anwendung integrieren aus.
  6. Klicken Sie auf Erstellen.

War diese Seite hilfreich?

Support und Services
Hilfe erhalten
UiPath Academy
RPA lernen – Automatisierungskurse
UiPath-Forum
UiPath Community-Forum
UiPath Logo weiß
Vertrauen und Sicherheit
Nutzungsbedingungen
Datenschutzerklärung
Cookie-Richtlinie
© 2005-2024 UiPath. All rights reserved.