Orchestrator-Anleitung

BEREITSTELLUNG:

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Letzte Aktualisierung 13. Feb. 2025

OKTA-Authentifizierung

Konfigurieren von OKTA auf Erkennung einer neuen Orchestrator-Instanz

Note: The following steps are valid for Okta SAML setup. Please note that the following procedure is a broad description of a sample configuration. For a fully detailed how-to, visit the official Okta documentation.

Anmelden bei OKTA Die folgende Einstellung wird in der Ansicht Classic UI vorgenommen. Sie können die Einstellung im Dropdownmenü rechts oben in der Ecke des Fensters ändern.
On the Application tab, select Create New App. The Create a New Application Integration window is displayed.
Choose SAML 2.0 as sign-on method and select Create.
Geben Sie den Namen der Anwendung für die neue Integration im Fenster Allgemeine Einstellungen (General Settings) ein.
Füllen Sie im Fenster SAML-Einstellungen (SAML Settings) den Abschnitt Allgemein (General) aus wie im folgenden Beispiel veranschaulicht:
- Single Sign On-URL: Die URL der Orchestrator-Instanz + /identity/Saml2/Acs. Beispiel: https://orchestratorURL/identity/Saml2/Acs.
- Aktivieren Sie das Kontrollfeld Dies für Empfänger-URL und Bestimmungs-URL verwenden (Use this for Recipient URL and Destination URL).
- Empfänger-URI: https://orchestratorURL/identity
- Name ID-Format (Name ID Format): E-Mail-Adresse (EmailAddress)
- Anwendungs-Benutzername: E-Mail-Adresse
  
  Hinweis: Stellen Sie beim Ausfüllen der URL der Orchestrator-Instanz sicher, dass sie keinen nachgestellten Schrägstrich enthält. Geben Sie sie immer als https://orchestratorURL/identity und nicht als https://orchestratorURL/identity/ ein.
Select Show Advanced Settings and fill in the Attribute Statements section:
- Setzen Sie das Feld Name (Name) auf http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress und wählen Sie Benutzer-E-Mail-Adresse (user.email) aus dem Dropdownmenü Wert (Value) aus.
Laden Sie das Okta-Zertifikat herunter.
In the Feedback section, select the option that suits you and select Finish.
On the Sign On tab, in the Settings section, select Setup Instructions. You are redirected to a new page containing the instructions required to complete your Orchestrator configuration for SAML 2.0: Identity Provider Sign-On URL, Identity Provider Issuer, X.509 Certificate.

Hinweis: Sollten die Informationen über den Identitäts-Provider aus irgendeinem Grund verloren gehen, können Sie jederzeit Anmelden (Sign On) > Einstellungen (Settings) > Setup-Anweisungen anzeigen (View Setup Instructions) besuchen.

Zuordnen von Mitarbeitern zur Anwendung

Damit der Benutzer die OKTA-Authentifizierung verwenden kann, muss ihm die neu erstellte Anwendung zugewiesen werden:

Anmelden bei OKTA
Wählen Sie auf der Seite Anwendung (Application) die neu erstellte Anwendung aus.
Wählen Sie auf der Registerkarte Zuordnungen die Option Zuweisen > Zu Mitarbeitern zuweisen und anschließend die Benutzer aus, denen die erforderlichen Berechtigungen erteilt werden sollen.
Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

Konfigurieren von Orchestrator/Identity Server zur Verwendung der OKTA-Authentifizierung

Definieren Sie einen Benutzer in Orchestrator und richten Sie auf der Seite Benutzer (Users) eine gültige E-Mail-Adresse ein.
Importieren Sie das Signaturzertifikat.
- Importieren Sie bei Windows-Bereitstellungen das vom Identitätsanbieter bereitgestellte Signaturzertifikat über die Microsoft Management Console in den Windows-Zertifikatspeicher.
- For Azure deployments, upload the certificate provided by the Identity Provider from in the Azure portal. (TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate). Refer to Frequently Encountered Orchestrator Errors to adjust your web app configuration if you are unable to use OKTA authentication and encounter the following error message: An error occurred while loading the external identity provider. Please check the external identity provider configuration.
Melden Sie sich als Systemadministrator beim Verwaltungsportal an.
Gehen Sie zu Sicherheit.
Select Configure under SAML SSO:

Die SAML-SSO-Konfigurationsseite wird geöffnet.
Richten Sie es wie folgt ein:
- Aktivieren Sie optional das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie möchten, dass sich Ihre Benutzer nach der Aktivierung der Integration nur über die SAML-Integration anmelden.
- Legen Sie den Parameter Entitäts-ID des Dienstanbieters auf https://orchestratorURL/identity.
- Set the Identity Provider Entity ID parameter to the value obtained by configuring Okta authentication (refer to step 9).
- Set the Single Sign-On Service URL parameter to the value obtained by configuring Okta authentication (refer to step 9).
- Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
- Legen Sie den Parameter Rückgabe-URL auf https://orchestratorURL/identity/externalidentity/saml2redirectcallback fest. Stellen Sie sicher, dass Sie /identity/externalidentity/saml2redirectcallback am Ende der URL für den Rückgabe-URL-Parameter hinzufügen. Dieser Pfad ist spezifisch für OKTA, da er es Ihnen ermöglicht, eine Orchestrator-Umgebung direkt von OKTA aus zu erreichen.
- Legen Sie den Parameter des SAML-Bindungstyps auf HTTP redirect.
- Wählen Sie im Abschnitt Signaturzertifikat in der Liste Store name die Option Myaus.
- Wählen Sie aus der Liste Speicherort die Option LocalMachine für Windows-Bereitstellungen bzw. CurrentUser für Azure Web App-Bereitstellungen aus.
- Fügen Sie im Feld Fingerabdruck den Fingerabdruck-Wert hinzu, der im Windows-Zertifikatspeicher bereitgestellt wird. Details.
  
  Hinweis:
  Ersetzen Sie alle vorkommenden https://orchestratorURL durch die URL Ihrer Orchestrator-Instanz.
  
  Stellen Sie sicher, dass die URL der Orchestrator-Instanz keinen nachgestellten Schrägstrich enthält. Geben Sie sie immer als https://orchestratorURL/identity und nicht als https://orchestratorURL/identity/ ein.
Wählen Sie Speichern aus, um die Änderungen an den Einstellungen des externen Identitätsanbieters zu speichern.

Die Seite wird geschlossen und Sie kehren zur Seite Sicherheitseinstellungen zurück.
Select the toggle to the left of SAML SSO to enable the integration.
Starten Sie den IIS-Server neu.