- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Aktivieren Ihrer Enterprise-Lizenz
- Upgrades und Downgrades von Lizenzen
- Anfordern einer Diensttestversion
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Fehlersuche und ‑behebung
- Migrieren zur Automation Cloud™
Konfigurieren der SAML-Integration
Diese Funktion ist mit dem Enterprise-Lizenzierungsplan verfügbar.
Die SAML-Konfiguration in UiPath ist ein integraler Prozess, der die Sicherheit und Effizienz der Authentifizierung verbessert. Unser System nutzt SAML und erleichtert SSO durch sichere Zugriffstoken. Insbesondere kann die UiPath-Plattform eine Verbindung mit jedem Identitätsanbieter (IdP) herstellen, der den SAML 2.0 Standard verwendet.
Nach der Einrichtung können Benutzer sicheren und unterbrechungsfreien Zugriff auf mehrere Anwendungen und Prozesse genießen, wodurch wiederholte Anmeldeunterbrechungen reduziert werden. Darüber hinaus umfasst unsere SAML -Konfiguration die Funktion der gleichzeitigen Abmeldung von allen Ihren Anwendungen, die unter Ihrem Identitätsanbieter (IdP) zusammengefasst sind.
Die native Integration des Azure Active Directory wird aufgrund ihrer erweiterten Funktionen empfohlen. Wenn Sie jedoch zu SAML wechseln, müssen Sie die Rollenzuweisung über Verzeichnisgruppen manuell durch eine direkte Rollenzuweisung zu den Verzeichniskonten ersetzen, um Ihr Zugriffsschema beizubehalten, ohne es von Grund auf neu erstellen zu müssen.
Die SAML-Integration ist so konzipiert, dass sie schrittweise und ohne Unterbrechung für bestehende Benutzer implementiert werden kann.
Die Hauptphasen des Prozesses, die auf dieser Seite ausführlicher beschrieben werden, sind:
- Bereinigen von inaktiven Benutzerkonten
- Konfigurieren der SAML-Integration
- Übergang von bestehenden Benutzern zur Anmeldung mit SAML-SSO
- Berechtigungen und Roboter für neue Benutzer konfigurieren
- Verwendung von lokalen Konten einstellen (optional)
-
Konten Ihres Identitätsanbieters können nicht durchsucht werden: Mit der SAML-Integration können Sie nicht alle Benutzer und Gruppen Ihres Identitätsanbieters durchsuchen. Nur bereitgestellte Benutzer des Verzeichnisses sind für die Suche verfügbar.
-
Verzeichnisbenutzer auf Organisationsebene können nicht angezeigt werden: Auf Organisationsebene werden nur lokale Benutzer angezeigt. Bei der Just-in-Time-Bereitstellung werden Verzeichnisbenutzer hinzugefügt, sodass sie nicht auf der Verwaltungsseite Konten und Gruppen angezeigt werden.
-
API- Zugriffsinformationen können nicht angezeigt werden: Das Anzeigen von API-Zugriffsinformationen, mit denen Sie API-Anforderungen mit einem Benutzerschlüssel autorisieren können, ist für Verzeichnisbenutzer, die sich über die SAML-Integration anmelden, nicht verfügbar.
Um die SAML-Integration einzurichten, benötigen Sie:
- Eine Organisation mit dem Enterprise-Lizenzierungsplan.
-
Administratorberechtigungen sowohl in der UiPath-Organisation als auch bei Ihrem externen Identitätsanbieter.
Wenn Sie bei Ihrem Identitätsanbieter nicht über Administratorberechtigungen verfügen, können Sie mit einem Administrator zusammenarbeiten, um den Einrichtungsprozess abzuschließen.
-
Version 2020.10.3 oder höher von UiPath® Studio und vom UiPath Assistant, damit Sie sie so einrichten können, dass die empfohlene Bereitstellung verwendet wird.
Wenn Ihre Organisation E-Mail-Adressen wiederverwendet, ist es wichtig, dass Sie alle inaktiven Benutzerkonten entfernen, bevor Sie die SAML-Integration konfigurieren.
Wenn Sie die Integration aktivieren, können lokale Konten auf der UiPath Platform mit dem Verzeichniskonto im externen Identitätsanbieter verknüpft werden, das dieselbe E-Mail-Adresse verwendet. Diese Kontoverknüpfung erfolgt, wenn sich der Verzeichniskontobenutzer mit der E-Mail-Adresse zum ersten Mal anmeldet. Die Identität von Ihrem Identitätsanbieter erbt alle Rollen vom lokalen Konto, so dass der Übergang nahtlos erfolgt.
Dadurch besteht bei inaktiven lokalen Konten auf der UiPath-Plattform das Risiko, dass lokale Konten und Verzeichniskonten nicht übereinstimmen, was zu einer unbeabsichtigten Erhöhung der Berechtigungen führen kann.
So entfernen Sie inaktive Benutzerkonten:
Jetzt müssen Sie sowohl die UiPath Platform als auch Ihren Identitätsanbieter (IdP) für die Integration konfigurieren.
Lassen Sie diese Registerkarte im Browser für später geöffnet.
Sie können sich mit jedem externen Identitätsanbieter (IdP) verbinden, der den SAML 2.0 Standard verwendet. Obwohl die Konfiguration je nach Ihrem gewählten IdP variieren kann, haben wir die Konfiguration für Okta oder PingOne validiert, die Sie als Referenz zum Konfigurieren der Integration verwenden können.
Bei anderen Identitätsanbietern empfehlen wir Ihnen, deren Integrationsdokumentation zu befolgen.
Führen Sie die folgenden Schritte aus, um UiPath als Dienstanbieter zu aktivieren, der Ihren Identitätsanbieter erkennt:
So können Sie überprüfen, ob die SAML SSO-Integration ordnungsgemäß funktioniert:
- Öffnen Sie ein Inkognito-Browserfenster.
- Navigieren Sie zur URL Ihrer Organisation.
- Überprüfen Sie Folgendes:
- Werden Sie aufgefordert, sich mit Ihrem SAML-Identitätsanbieter anzumelden?
- Können Sie sich erfolgreich anmelden?
- Wenn Sie sich mit einer E-Mail-Adresse anmelden, die mit einem vorhandenen Benutzerkonto übereinstimmt, verfügen Sie dann über die entsprechenden Berechtigungen?
Wenn Sie Ansprüche in Ihrem IdP verwenden, können Sie diese als Bedingungen in einer Bereitstellungsregel nutzen, so dass Benutzer automatisch mit den richtigen Lizenzen und Rollen ausgestattet werden, wenn sie sich bei der UiPath Platform anmelden. Bereitstellungsregeln werden überprüft, wenn sich ein Benutzer anmeldet. Wenn das Benutzerkonto die Bedingungen für eine Regel erfüllt, wird es automatisch der lokalen UiPath-Gruppe hinzugefügt, die der Regel zugeordnet ist.
Phase 1. Bereitstellungsgruppen einrichten
Auf der UiPath Platform bedeutet das Hinzufügen eines Kontos zu einer Gruppe, dass das Konto die für die Gruppe definierten Lizenzen, Rollen und Roboterkonfigurationen erbt, sofern vorhanden.
Durch die Gruppierung ähnlicher Kontotypen (z. B. Entwickler oder Tester) können Sie den Onboarding-Prozess für Benutzer zur UiPath-Plattform optimieren. Stellen Sie nur sicher, dass Sie beim IdP ähnliche Konten auf die gleiche Weise einrichten.
Auf diese Weise richten Sie die Gruppe einmal ein und wiederholen dann die Einrichtung, indem Sie der Gruppe bei Bedarf Konten hinzufügen. Wenn sich die Einrichtung für eine bestimmte Gruppe von Konten ändern muss, müssen Sie die Gruppe nur einmal aktualisieren und die Änderungen gelten für alle Konten in der Gruppe.
So richten Sie eine Gruppe für eine Bereitstellungsregel ein:
-
Erstellen Sie eine neue lokale Gruppe in der UiPath Platform.
Wenn Sie möchten, können Sie eine Ihrer vorhandenen Gruppen verwenden, anstatt eine neue zu erstellen.
-
(Optional und erfordert eine Benutzerlizenzverwaltung ) Wenn Konten in dieser Gruppe Benutzerlizenzen benötigen, richten Sie Regeln für die Lizenzzuweisung für die Gruppe ein.
Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Lizenzzuweisung für die Gruppe, um sicherzustellen, dass die richtigen Lizenzen zugewiesen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die Zuweisungen oder erstellen Sie eine neue Gruppe.
-
Weisen Sie Mandantenrollen zu und vervollständigen Sie optional die Robotereinrichtung für die Gruppe. Anweisungen finden Sie unter Zuweisen von Rollen zu einer Gruppe .
Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Rollen , die der Gruppe derzeit zugewiesen sind, um sicherzustellen, dass sie für den Kontotyp geeignet sind, den Sie der Gruppe hinzufügen werden. Wenn dies nicht der Fall ist, bearbeiten Sie die Rollen, die dieser Gruppe zugewiesen sind, oder erstellen Sie eine neue Gruppe.
-
Fügen Sie die Gruppe Ordnern hinzu und weisen Sie nach Bedarf Ordnerrollen zu. Anweisungen finden Sie unter Verwalten des Ordnerzugriffs.
Jetzt können Sie diese Gruppe in einer Bereitstellungsregel verwenden.
Phase 2. Eine Bereitstellungsregel für eine Gruppe erstellen
Stellen Sie sicher, dass der mit der SAML-Bereitstellungsregel verbundene Anspruch an die SAML-Nutzlast gesendet wird, indem Sie sie in der SAML-Anwendung konfigurieren.
Nachdem die SAML-Integration konfiguriert und nachdem Sie eine Gruppe eingerichtet haben:
-
Wechseln Sie zu Administrator, wählen Sie Ihre Organisation aus und wählen Sie dann Sicherheit aus.
Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.
-
Klicken Sie unter der Option SAML-SSO auf Bereitstellungsregeln anzeigen:
Die Seite SAML SSO-Bereitstellungsregeln wird geöffnet, auf der Ihre vorhandenen Regeln aufgeführt sind.
-
Klicken Sie in der oberen rechten Ecke der Seite auf Regel hinzufügen.
Die Seite Neue Regel hinzufügen wird geöffnet.
- Füllen Sie unter Grundlegende Details das Feld Regelname und optional das Feld Beschreibung aus.
-
Klicken Sie unter Bedingungen auf Regel hinzufügen.
Eine Reihe von Feldern für eine neue Bedingung wird hinzugefügt. Gemeinsam definieren sie die Kriterien, die ein Konto bei der Anmeldung erfüllen muss, um einer (später ausgewählten) Gruppe hinzugefügt zu werden.
- Geben Sie im Feld Anspruch den Namen des Anspruchs ein, so wie er im IdP angezeigt wird. Der/die/das
berücksichtigt Groß- und Kleinschreibung.
-
Wählen Sie auf der Liste Beziehung aus, wie sich der Anspruch auf den Wert bezieht. Die folgenden Optionen sind verfügbar:
Beziehung
Bedingungsanforderung
Beispiel
ist
genaue Übereinstimmung, Groß-/Kleinschreibung wird beachtet
Department is RPA
setzt voraus, dass der Wert für denDepartment
-AnspruchRPA
ist.Die Bedingung wird nicht erfüllt, wenn der Wert z. B.RPADev
ist.Diese Beziehung funktioniert für Ansprüche mit mehreren Werten.
Wenn beispielsweise die Werteadministrator
unddeveloper
unterGroup
gesendet werden, dann wäreGroup is administrator
eine gültige Beziehung.ist nicht
alles außer dem angegebenen Wert, Groß-/Kleinschreibung wird beachtet
BeiDepartment is not ctr
wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Wert vonDepartment
istctr
.Die Bedingung ist erfüllt, wenn die AbteilungCtr
oderelectr
ist.enthält
beinhaltet, erfordert keine exakte Übereinstimmung, Groß-/Kleinschreibung wird beachtet
Department contains RPA
erfordert, dass der Wert für denDepartment
-AnspruchRPA
enthält.Die Bedingung wird erfüllt, wenn der Wert z. B.RPADev
,xRPAx
oderNewRPA
ist.enthält nicht
schließt aus, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird beachtet
BeiDepartment not contains ctr
wird der Gruppe jedes Konto hinzugefügt, es sei denn, derDepartment
-Wert enthältctr
.Konten, für die die Abteilung z. B.ctr
oderelectr
ist, werden der Gruppe nicht hinzugefügt.Groß-/Kleinschreibung wird nicht berücksichtigt
genaue Übereinstimmung, Groß-/Kleinschreibung wird nicht beachtet
Department is case insensitive RPA
erfordert, dass der Wert für denDepartment
-Anspruchrpa
ist, in beliebiger Groß-/KleinschreibungDie Bedingung wird erfüllt, wenn der Wert z. B.rpa
ist. Die Bedingung wird nicht erfüllt, wenn der Wert z. B.crpa
ist.enthält Elemente ohne Berücksichtigung von Groß-/Kleinschreibung
beinhaltet, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird nicht beachtet
Department contains case insensitive RPA
erfordern, dass der Wert für denDepartment
-Anspruch in jeder Groß-/KleinschreibungRPA
enthält.Die Bedingung wird erfüllt, wenn der Wert z. B.rpa
,cRPA
oderrpA
ist. - Geben Sie in das Feld Wert den Wert ein, der zum Erfüllen der Bedingung erforderlich ist.
-
Wenn Sie eine weitere Bedingung hinzufügen möchten, klicken Sie auf Regel hinzufügen und legen Sie so eine neue Bedingungszeile an.
Wenn Sie mehrere Bedingungen hinzufügen, müssen alle Bedingungen erfüllt sein, damit die Bereitstellungsregel gilt. Wenn Sie zum Beispiel die RegelnDepartment is RPA
undTitle is Engineer
definieren, werden nur Benutzer, die sowohl in der RPA-Abteilung sind als auch den Titel „Engineer“ tragen, zu den angegebenen Gruppen hinzugefügt. Ein Konto mit der RPA-Abteilung, aber dem Titel „QA“ wird nicht zu den Gruppen hinzugefügt. -
Beginnen Sie unter Gruppen zuweisen im Feld Gruppen hinzufügen mit der Eingabe des Namens einer Gruppe und wählen Sie dann eine Gruppe aus der Ergebnisliste aus. Wiederholen Sie den Vorgang, um bei Bedarf weitere Gruppen hinzuzufügen.
Wenn die Bedingungen erfüllt sind, werden diesen Gruppen automatisch Konten hinzugefügt, wenn sie sich anmelden.
- Klicken Sie in der unteren rechten Ecke auf Speichern, um die Regel hinzuzufügen.
Wenn eine Regel vorhanden ist, sich ein Benutzer anmeldet und dessen Konto die Bedingungen für eine Regel erfüllt, dann wird sein Konto zu den Bereitstellungsgruppen hinzugefügt, die der Regel zugeordnet sind. Außerdem wird das Konto für die Arbeit auf der UiPath Platform eingerichtet.
Beispiel eines SAML-Nutzlastfragments
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
-
Ihr IdP muss so konfiguriert sein, dass diese Ansprüche in der ACS-Nutzlast übergeben werden.
-
Stellen Sie sicher, dass die im IdP konfigurierten Attributnamen mit den Attributzuordnungseinstellungen im Organisationsadministratorportal übereinstimmen.
Wenn das beispielsweise die Benutzerstruktur in Ihrem IdP ist, kann ein Organisationsadministrator die folgenden Attributzuordnungseinstellungen einrichten, damit diese Informationen im Systembenutzerobjekt ausgefüllt werden.
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
Wenn sich ein Benutzer in dieser Organisation über die SAML-Verzeichnisintegration anmeldet, wird das Benutzerobjekt aktualisiert, um diese Einstellung widerzuspiegeln.
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
Stellen Sie sicher, dass Sie allen Benutzern Ihre organisationsspezifische URL für die UiPath-Organisation zur Verfügung stellen.
Nach dem Wechsel zur SAML-Integration ist die Azure AD-Integration deaktiviert. Die Gruppenzuweisungen von Azure AD gelten nicht mehr, so dass die UiPath-Gruppenmitgliedschaft und die von Azure AD geerbten Berechtigungen nicht mehr berücksichtigt werden.
Um sich mit SAML-SSO bei der UiPath Platform anzumelden, können Benutzer:
- zu Ihrer organisationsspezifischen URL navigieren. Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B.
https://cloud.uipath.com/orgID
. - zu https://cloud.uipath.com navigieren, Mit SSO fortfahren auswählen und dann ihre organisationsspezifische URL angeben.
Um sich bei UiPath Studio und UiPath Assistant mit SAML SSO anzumelden, müssen Benutzer den Assistant wie folgt konfigurieren:
Dies ist nur für neue Benutzer erforderlich, die die UiPath-Plattform noch nicht verwendet haben und für die daher kein lokales Konto in UiPath eingerichtet wurde, als die Integration aktiviert wurde.
Sie können neue Benutzer über deren E-Mail-Adresse (wie im externen IdP verwendet) zu UiPath-Gruppen hinzufügen. Sobald ein Benutzer einer Gruppe zugewiesen wurde oder er sich angemeldet hat, steht er über die Suche für die Rollenzuweisung in allen UiPath-Diensten zur Verfügung.
Nachdem alle Benutzer auf SAML-SSO übertragen wurden und die neuen Benutzer eingerichtet sind, empfehlen wir Ihnen, alle lokalen Benutzerkonten, die keine Administratorkonten sind, zu entfernen. Dadurch wird sichergestellt, dass sich Benutzer nicht mehr mit ihren lokalen Kontoanmeldeinformationen anmelden können und sich mit SAML-SSO anmelden müssen.
Sie können lokale Benutzerkonten anhand ihrer Symbole erkennen.
Ein lokales Konto kann in den folgenden Szenarien nützlich sein:
-
Zur Verwaltung von SAML-Integrationsproblemen (z. B. Aktualisieren eines abgelaufenen Zertifikats) oder zum Ändern von Authentifizierungseinstellungen wird ein Konto mit der Rolle des Organisationsadministrators empfohlen.
-
Bei Prozessen, die von API-Zugriffstoken für Anforderungsberechtigungen abhängen, da die Funktion API-Zugriff (auf der Seite Administrator > Mandanten ) mit einem SAML SSO-Konto nicht zugänglich ist. Alternativ können Sie zur Autorisierung zu OAuth wechseln, wodurch die API-Zugriffsinformationen nicht mehr erforderlich sind.
- Übersicht über den Konfigurationsprozess
- Bekannte Einschränkungen
- Voraussetzungen
- Schritt 1. Inaktive Benutzerkonten bereinigen
- Schritt 2. Die SAML-Integration konfigurieren
- Schritt 2.1. Informationen zum SAML-Dienstanbieter abrufen
- Schritt 2.2. Ihren Identitätsanbieter konfigurieren
- Schritt 2.3. Konfigurieren Sie Ihre Organisation
- Schritt 2.4. Überprüfen Sie, ob die Integration ausgeführt wird.
- Schritt 2.5. Bereitstellungsregeln konfigurieren (optional)
- SAML-Attributzuordnung
- Schritt 3. Ihre Benutzer auf SAML-SSO umstellen
- Schritt 4. Berechtigungen und Roboter konfigurieren
- Schritt 5. Lokale Konten nicht mehr verwenden (optional)