订阅

UiPath Automation Suite

UiPath Automation Suite 指南

配置 SAML 集成

You can connect your Automation Suite organization to any identity provider (IdP) that uses the SAML 2.0 standard. This page describes the overall process by showing a few sample SAML integration configurations.

配置流程概述


SAML 集成经精心设计,您可以逐步实施,而不会影响现有用户。

此页面更详细地描述了流程的主要阶段,其中包括:

  1. 清理非活动用户帐户
  2. 配置 SAML 集成
  3. 转换现有用户以使用 SAML SSO 登录
  4. 为新用户配置权限和机器人
  5. 停止使用本地帐户(可选)

 

已知限制


With the SAML integration, you cannot search all users and groups from your identity provider. Only provisioned directory users are available in search within Automation Suite.

 

先决条件


要设置 SAML 集成,您需要:

  • An Automation Suite organization with an Enterprise or Enterprise Trial license.
  • Administrator permissions in both Automation Suite and your third-party identity provider.
    如果您在身份提供程序中没有管理员权限,则可以与管理员合作完成设置流程。
  • UiPath Studio and UiPath Assistant version 2020.10.3 or later, so that you can set them up to use the recommended deployment.

📘

从 Azure Active Directory 集成切换

如果您当前使用的是 Azure Active Directory 集成进行身份验证,我们建议您继续使用 AAD 集成,因为其功能更丰富。

如果您确实决定不再使用 AAD 集成,则必须将通过目录组完成的角色分配手动替换为对目录帐户的直接角色分配,这样您就不必完全重新创建访问架构。

 

步骤 1. 清理非活动用户帐户


如果您的组织回收电子邮件地址,则在配置 SAML 集成之前请务必删除所有非活动的用户帐户。

When you enable the integration, local accounts present in Automation Suite can be linked with the directory account in the external identity provider that uses the same email address. This account linking occurs when the directory account user with the email address signs in for the first time. The identity from your identity provider inherits any roles that the local account had so that the transition is seamless.
Because of this, with inactive local accounts present in Automation Suite, there is a risk that local accounts and directory accounts are mismatched, which can lead to unintended elevation of permissions.

要删除非活动的用户帐户,请执行以下操作:

  1. Log in to Automation Suite as an administrator.
  2. 转到“管理员” > “帐户和组” > “用户”选项卡。
  3. 单击“上次活跃”列的列标题,以对用户重新排序,以便上次登录日期最早的用户显示在顶部:
122122

The Last active column show the date when the user last logged in to Automation Suite. If you see Pending in this column, as in the above example, that means the user never logged in. You can use this information to help you identify your inactive users.

  1. 单击行末尾的“删除”图标以删除该用户的本地帐户。
11741174
  1. In the confirmation dialog, click Delete to confirm deleting the account from Automation Suite.
    用户帐户将从页面中移除。
  2. 继续删除组织中所有非活动的用户帐户。

 

步骤 2. 配置 SAML 集成


Now you must configure both Automation Suite and your identity provider (IdP) for the integration.

步骤 2.1.获取 SAML 服务提供程序详细信息

  1. Log in to Automation Suite as an administrator.
  2. 转到“管理员” > “安全设置”。
  3. In the External Providers section, click Configure under SAML 2.0.
    下一页提供集成的概述。
  4. 在右下角,单击“下一步”以继续配置。
    In the General details step, under Data to be configured in IdP, we provide the information you need to to configure your identity provider to connect to Automation Suite.
844844
  1. 复制并保存元数据 URL实体 ID断言使用者服务 URL的值。您在下一步中将需要这些信息。

随时开启浏览器标签页以备后用。

步骤 2.2.配置您的身份提供程序

Automation Suite can connect to any third-party identity provider (IdP) that uses the SAML 2.0 standard.

虽然配置可能会因您选择的 IdP 而异,但我们已经验证了以下提供程序的配置,您可以将其用作配置集成的参考:
A. Okta
B. PingOne

对于其他身份提供程序,我们建议您遵循其集成文档。

A. Okta 的示例配置

📘

本节中的说明适用于示例配置。如需此处未涵盖的任何 IdP 设置的更多相关信息,请使用 Okta 文档

  1. 在其他浏览器选项卡中,登录到“Okta 管理控制台”。
  2. 转到“应用程序”>“应用程序”,单击“创建应用程序集成” ,然后选择“SAML 2.0”作为登录方法。
  3. In the General Settings page, specify a name for the app you are integrating with, namely Automation Suite.
  4. 在“配置 SAML”页面上,按照以下内容填写“常规”部分:
    a. Single sign-on URL: Enter the Assertion Consumer Service URL value you got from Automation Suite.
    b. 选中“将此用于收件人 URL 和目标 URL”复选框。
    c. Audience URI: Enter the Entity ID value you got from Automation Suite.
    d. 姓名 ID 格式:选择“电子邮件地址”
    e. 应用程序用户名:选择“电子邮件”
  5. 对于属性语句,请添加以下内容:
    a. Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    b. 将“名称格式”保留为“未指定”。
    c. Set Value to user.email, or the user attribute that contains the user's unique email address
    d. Optionally add other attribute mappings. Automation Suite also supports the First Name, Last Name, Job Title, and Department user attributes. This information is then propagated to Automation Suite, where it can be made available to other services, such as Automation Hub.
  6. 在“反馈”页面上,选择您偏好的选项。
  7. 单击“完成”
  8. 在“登录”选项卡的“设置”部分,在“查看设置说明”下,复制“身份提供程序元数据 URL”值并保存以备后用。
  9. On the Application page for Automation Suite, select the newly created application.
  10. On the Assignments tab, select Assign > Assign to People, and then select the users that you want to allow to use SAML authentication for Automation Suite.
    新添加的用户将显示在“人员”选项卡上。

B. PingOne 的示例配置

📘

本节中的说明适用于示例配置。如需此处未涵盖的任何 IdP 设置的更多相关信息,请使用 PingOne 文档

  1. 在其他浏览器选项卡中,登录到 PingOne 管理控制台。
  2. 转到“连接” > “应用程序”,然后单击加号图标“+”。
  3. 单击“网页应用程序”,对于 SAML,单击“配置”。
  4. On the Create App Profile page, specify a name for your Automation Suite app.
  5. 在“配置 SAML 连接”页面上,选择“手动输入”并提供以下信息:
    • ACS URLs: Enter the Assertion Consumer Service URL value you got from Automation Suite.
    • Entity ID: Enter the Entity ID value you got from Automation Suite.
    • SLO 绑定HTTP 重定向
    • 断言有效期:输入有效期的秒数。
  6. 单击“保存并继续”。
  7. 在“映射属性”页面上,添加电子邮件地址:
    a. 选择“ + 添加属性”。
    b. For Application Attribute, enter http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    c. 将“传出值”设置为“电子邮件地址”或包含用户的唯一电子邮件地址的用户属性。
    d. 选中“必填项”复选框。
    e. Optionally add other attribute mappings. Automation Suite also supports the First Name, Last Name, Job Title, and Department user attributes. This information is then propagated to Automation Suite, where it can be made available to other services, such as Automation Hub.
  8. 单击“保存并关闭”。
  9. Click the toggle for the Automation Suite app to enable the application for user access.
  10. 在“配置”选项卡上,复制并保存“IdP 元数据 URL”值以供之后使用。

Step 2.3. Configure Automation Suite

To enable Automation Suite as a service provider that recognizes your identity provider, complete the steps below:

  1. Return to the SAML configuration tab in Automation Suite.
  2. 在“常规详细信息”步骤的“来自 IdP 的数据”下,使用在配置期间获得的元数据 URL 填写“元数据 URL”字段。
  3. 单击“获取数据”。
    完成后,系统将在“登录 URL”、“身份提供程序实体 ID”和“签名证书”字段填充 IdP 信息。
  4. 单击右下角的“下一步”以转到下一步。
  5. 在“配置设置”的“允许的域”部分中填写您允许用户登录的域。输入由经配置的身份提供程序支持的所有域。
    使用逗号分隔多个域。
  6. 选中此复选框,即表示您了解具有匹配电子邮件地址的帐户将被关联。
  7. 可选择性地填写“属性映射”。
  8. 如果您还想配置高级详细信息,请单击右下角的“下一步”以进入最后一步。
    否则,请单击“测试并保存”以完成集成配置,并跳过本节中的其余步骤。
  9. 在“高级设置”页面上,根据需要配置选项:
    • Allow unsolicited authentication response: Enable if you want to be able to navigate to Automation Suite from the IdP dashboard.
    • SAML 绑定类型HTTP 重定向将配置 SAML 配,以便通过 HTTP 用户代理使用 URL 参数进行通信。
    • 服务证书用法:选择您的偏好选项。
  10. 单击“测试并保存”以完成集成配置。

步骤 2.4.检查集成是否正在运行

要验证 SAML SSO 集成是否正常运行,请执行以下操作:

  1. 打开一个隐身浏览器窗口。
  2. Navigate to your Automation Suite organization-specific URL.
  3. 检查以下内容:
    a. 系统是否会提示您使用 SAML 身份提供程序登录?
    b. 您能否成功登录?
    c.如果您使用与现有用户帐户匹配的电子邮件地址登录,您是否拥有适当的权限?

 

步骤 3. 让您的用户转用 SAML SSO 登录


在您配置权限后,我们建议您要求所有现有用户注销其 UiPath 帐户并使用 SAML SSO 登录。

要使用 SAML SSO 登录 Studio 和 Assistant,用户必须按如下方式配置 Assistant:

  1. 在 Assistant 中,打开“首选项”,然后选择“Orchestrator 连接”选项卡。
  2. 单击“注销”
  3. 对于连接类型,请选择“服务 URL”
  4. 在“服务 URL”字段中,添加特定于组织的 URL。
    The URL must include the organization ID and end in a forward slash, such as https://cloud.uipath.com/orgID/. Otherwise, the connection fails saying that the user does not belong to any organization.
  5. 使用 SAML SSO 重新登录。

 

步骤 4. 配置权限和机器人


This is only required for new users who have not used Automation Suite before and therefore did not have a local account set up for them in Automation Suite when the integration was enabled.

You can add new users to Automation Suite groups by their email address (as used in the external IdP). Once a user has been assigned to a group or they have signed in, they will be available through search for role assignment across all Automation Suite services.

步骤 5. 停止使用本地用户帐户(可选)


在所有用户都已转用 SAML SSO 登录且新用户已设置完成后,我们建议您移除所有非管理员帐户的本地用户帐户。这可确保用户无法再使用其本地帐户凭据登录,而必须使用 SAML SSO 登录。

停止使用本地帐户的注意事项

如果 SAML 集成出现问题(例如更新过期的证书),或者您想切换到其他身份验证选项,建议使用具有管理员角色的本地用户帐户。

 

故障排除


If you are getting the error User login failed. (#216), it may be due to missing email address mapping in the configuration of the SAML identity provider.
The SAML claim must be named http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress and the value must have a valid email address.

4 个月前更新


配置 SAML 集成


You can connect your Automation Suite organization to any identity provider (IdP) that uses the SAML 2.0 standard. This page describes the overall process by showing a few sample SAML integration configurations.

建议的编辑仅限用于 API 参考页面

您只能建议对 Markdown 正文内容进行编辑,而不能建议对 API 规范进行编辑。