automation-cloud
latest
false
UiPath logo, featuring letters U and I in white
Automation Cloud-Administratorhandbuch
Last updated 26. Nov. 2024

Konfigurieren der SAML-Integration

Diese Funktion ist mit dem Enterprise-Lizenzierungsplan verfügbar.

Durch die Verwendung der SAML-Konfiguration in der Automation Cloud verbessern wir sowohl die Sicherheit als auch die Effizienz bei der Authentifizierung. Unser System verwendet SAML, um Single Sign-On (SSO) über sichere Zugriffstoken zu ermöglichen, sodass sich die UiPath Platform mit jedem Identitätsanbieter (IdP) verbinden kann, der den SAML 2.0-Standard verwendet.

Darüber hinaus umfasst unsere SAML-Konfiguration SLO-Funktionen (Single Logout), die gleichzeitige Abmeldungen von allen Ihren Anwendungen ermöglichen, die unter Ihrem IdP vereint sind.

Die SAML-Integration ist so konzipiert, dass sie schrittweise und ohne Unterbrechung für bestehende Benutzer implementiert werden kann.

Hinweis:

Wechsel von der nativen Azure Active Directory-Integration zur SAML-Integration

Wenn Sie AAD für die Authentifizierung verwenden, empfehlen wir die Verwendung unserer nativen AAD-Integration, da sie funktionsreicher ist.

Wenn Sie sich für den Wechsel zur SAML-Integration entscheiden, müssen Sie die Rollenzuweisung über Verzeichnisgruppen manuell durch eine direkte Rollenzuweisung zu den Verzeichniskonten ersetzen. So müssen Sie Ihr Zugriffsschema nicht komplett neu erstellen.

Bekannte Einschränkungen

  • Verschlüsselte SAML-Assertionen von Ihrem Identitätsanbieter werden nicht unterstützt.

  • Sie können nicht nach Benutzern und Gruppen von Ihrem Identitätsanbieter suchen. Nur bereitgestellte Benutzer des Verzeichnisses sind für die Suche verfügbar.

  • Sie können keine Verzeichnisbenutzer auf Organisationsebene sehen. Auf Organisationsebene werden nur lokale Benutzer angezeigt. Bei der Just-in-Time-Bereitstellung werden Verzeichnisbenutzer hinzugefügt, sodass sie nicht auf der Seite Konten und Gruppen in der Automation Cloud angezeigt werden.

  • Das Anzeigen von API-Zugriffsinformationen, mit denen Sie API-Anfragen mit einem Benutzerschlüssel autorisieren können, ist für Verzeichnisbenutzer, die sich über die SAML-Integration anmelden, nicht verfügbar.

Voraussetzungen

Um die SAML-Integration einzurichten, benötigen Sie:

  • Eine Automation Cloud- Organisation mit dem Enterprise-Lizenzierungsplan.
  • Administratorberechtigungen sowohl in der Automation Cloud -Organisation als auch bei Ihrem externen Identitätsanbieter. Wenn Sie bei Ihrem Identitätsanbieter nicht über Administratorberechtigungen verfügen, können Sie mit einem Administrator zusammenarbeiten, um den Einrichtungsprozess abzuschließen.

  • Version 2020.10.3 oder höher von UiPath® Studio und vom UiPath Assistant, damit Sie sie so einrichten können, dass die empfohlene Bereitstellung verwendet wird.

Schritt 1. Inaktive Benutzerkonten bereinigen

Wenn Ihre Organisation E-Mail-Adressen wiederverwendet, ist es wichtig, dass Sie alle inaktiven Benutzerkonten entfernen, bevor Sie die SAML-Integration konfigurieren.

Wenn Sie die Integration aktivieren, können lokale Konten in der Automation Cloud mit dem Verzeichniskonto im externen Identitätsanbieter verknüpft werden, das dieselbe E-Mail-Adresse verwendet. Diese Kontoverknüpfung erfolgt, wenn sich der Verzeichniskontobenutzer mit der E-Mail-Adresse zum ersten Mal anmeldet. Die Identität von Ihrem Identitätsanbieter erbt alle Rollen vom lokalen Konto, so dass der Übergang nahtlos erfolgt. Dadurch besteht bei inaktiven lokalen Konten in der Automation Cloud das Risiko, dass lokale Konten und Verzeichniskonten nicht übereinstimmen, was zu einer unbeabsichtigten Erhöhung der Berechtigungen führen kann.

So entfernen Sie inaktive Benutzerkonten:

  1. Melden Sie sich als Organisationsadministrator bei der Automation Cloud an.
  2. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation und dann Konten und Gruppen aus. Die Seite Konten und Gruppen für die Organisation wird auf der Registerkarte Benutzer geöffnet.
  3. Wählen Sie den Spaltenheader für die Spalte Zuletzt aktiv aus, um die Benutzer neu anzuordnen, sodass die Benutzer mit dem ältesten Datum für die letzte Anmeldung oben angezeigt werden. In der Spalte Zuletzt aktiv wird das Datum der letzten Anmeldung des Benutzers angezeigt. Status „ Ausstehend “ in dieser Spalte bedeutet, dass der Benutzer sich nie angemeldet hat.
  4. Wählen Sie das Symbol Löschen am Ende der Zeile aus, um das lokale Konto für diesen Benutzer zu entfernen.


  5. Klicken Sie im Bestätigungsdialogfeld auf Löschen , um das Löschen des Kontos aus der Automation Cloud zu bestätigen. Das Benutzerkonto wird von der Seite entfernt.
  6. Löschen Sie weiterhin alle inaktiven Benutzerkonten in Ihrer Organisation.

Schritt 2. Die SAML-Integration konfigurieren

Jetzt müssen Sie sowohl die Automation Cloud als auch Ihren Identitätsanbieter (IdP) für die Integration konfigurieren.

Schritt 2.1. Informationen zum SAML-Dienstanbieter abrufen

  1. Melden Sie sich als Organisationsadministrator bei der Automation Cloud an.
  2. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation aus und wählen Sie dann Sicherheit aus. Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.
  3. Klicken Sie unter Verzeichniskonfiguration für SSO auf SSO konfigurieren. Das Fenster SSO-Konfiguration wird geöffnet, in dem die Vorteile und Voraussetzungen für die Integration beschrieben werden.
  4. Wählen Sie aus den beiden SSO-Optionen die Option SAML 2.0 aus. Die Seite SAML SSO-Konfiguration wird auf der Registerkarte Identitätsanbieter konfigurieren geöffnet.
  5. Im oberen Abschnitt der Seite finden Sie die UiPath-Informationen, die zum Konfigurieren Ihres Identitätsanbieters erforderlich sind: Metadaten-URL, Assertion Consumer Service-URL, Entitäts-ID. Kopieren und speichern Sie sie für die Konfiguration des Identitätsanbieters.
    Wichtig: Es wird dringend empfohlen, die UiPath- Metadaten-URL als Teil des Konfigurationsprozesses Ihres Identitätsanbieters zu verwenden. Dies ermöglicht automatische Aktualisierungen, wenn wir Rotationen für unsere Signaturzertifikate initiieren, um einen reibungslosen Betrieb der Plattform sicherzustellen.
    docs image
  6. Die Entitäts-ID enthält standardmäßig die Organisations-ID. Sie können das Format so ändern, dass der globale Bezeichner (keine Organisations-ID) verwendet wird, indem Sie die Option Format der Entitäts-ID ändern verwenden . Wählen Sie dann im Fenster Entitäts-ID-Format ändern in der Dropdownliste Entitäts -ID-Format die Option Organisationsspezifischer Bezeichner aus, um das Format zu verwenden, das die Organisations-ID enthält, oder Globaler Bezeichner , um das Format zu verwenden, das die Organisations-ID nicht enthält. Wir empfehlen die Verwendung des organisationsspezifischen Bezeichners, da er es Ihnen ermöglicht, mehrere UiPath-Organisationen bei Ihrem Identitätsanbieter zu registrieren, wenn Sie dies jemals möchten.

Lassen Sie diese Registerkarte im Browser für später geöffnet.

Schritt 2.2. Ihren Identitätsanbieter konfigurieren

Sie können sich mit jedem externen Identitätsanbieter (IdP) verbinden, der den SAML 2.0 Standard verwendet. Obwohl die Konfiguration je nach Ihrem gewählten IdP variieren kann, haben wir die Konfiguration für Okta oder PingOne validiert, die Sie als Referenz zum Konfigurieren der Integration verwenden können.

Bei anderen Identitätsanbietern empfehlen wir Ihnen, deren Integrationsdokumentation zu befolgen.

Schritt 2.3. Konfigurieren der Automation Cloud

Führen Sie die folgenden Schritte aus, um die Automation Cloud als Dienstanbieter zu aktivieren, der Ihren Identitätsanbieter erkennt:

  1. Kehren Sie in der Automation Cloud zur Registerkarte SAML SSO-Konfiguration zurück.
  2. Im zweiten Abschnitt der Seite Identitätsanbieter konfigurieren sehen Sie die Felder, die zum Konfigurieren des Identitätsanbieters in der Automation Cloud erforderlich sind. Geben Sie im Feld Metadaten-URL die Metadaten-URL Ihres Identitätsanbieters ein. Dadurch kann die Automation Cloud regelmäßig Daten von Ihrem Identitätsanbieter abrufen und aktualisieren, wodurch der SAML-Konfigurationsprozess langfristig optimiert wird.
    Wichtig: Es wird dringend empfohlen, die Metadaten-URL während der SAML-Konfiguration zu verwenden. Dadurch kann UiPath Daten regelmäßig von Ihrem Identitätsanbieter abrufen und aktualisieren, wodurch der SAML-Konfigurationsprozess auf lange Sicht optimiert wird.
    docs image
  3. Klicken Sie auf Daten abrufen. Nach Abschluss des Vorgangs werden die Felder Anmelde-URL, ID der Identitätsanbieterentität und Signaturzertifikat mit den IdP-Informationen gefüllt.
  4. Auch wenn dies nicht die empfohlene Methode ist, können Sie die SAML-Details Ihres Identitätsanbieters manuell in die FelderAnmelde -URL, ID der Identitätsanbieterentität und Signaturzertifikate eingeben.
  5. Um mehrere Zertifikate manuell einzugeben, fügen Sie sie in der Base64-Codierung in das Feld Signaturzertifikat ein, eingeschlossen in die Beginn- und End-Zertifikatsindikatoren und getrennt durch ein Zeichen für eine neue Zeile. Wenn Sie beispielsweise zwei Zertifikate haben, sollten Sie das folgende Format verwenden:
    -----BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE----------BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE-----
    docs image
  6. Klicken Sie in der unteren rechten Ecke auf Weiter , um zum nächsten Schritt zu wechseln. Sie werden zur Registerkarte Attribute zuordnen und Abschließen weitergeleitet. Zuordnungsattribute, die als „Anforderungen“ bezeichnet werden, verknüpfen Benutzerdetails zwischen Ihrem Identitätsanbieter und der Automation Cloud. Dadurch wird sichergestellt, dass Benutzerdaten wie eine E-Mail-Adresse oder ein Benutzername in beiden Systemen übereinstimmen.
    docs image
  7. Wählen Sie im Schritt Attribute zuordnen und abschließen die Option Benutzerdefinierten eindeutigen Bezeichner aktivieren aus, um einen eindeutigen Bezeichner einzurichten, der keine E-Mail-Adresse ist. Dies ist z. B. nützlich, wenn nicht alle Benutzer über E-Mail-Konten verfügen oder wenn ihre E-Mail-Adressen nicht eindeutig sind.
    Warnung: Sobald Sie einen Anspruchsnamen für eindeutige Kennung festgelegt haben, kann eine Änderung zum Verlust zuvor erkannter Benutzer führen, da das System sie möglicherweise nicht mehr identifizieren kann. Daher schränkt die Benutzeroberfläche die Änderung der Anforderung der eindeutigen Kennung ein, sobald sie festgelegt wurde. Um sie zu ändern, müssen Sie Ihre gesamte Konfiguration löschen und neu erstellen.
    1. Die Eingabe des eindeutigen Bezeichners Ihrer Benutzer in das Feld Eindeutiger Bezeichner ist obligatorisch. Dies ist die Anforderung, die die Automation Cloud verwendet, um Benutzer zu identifizieren, wenn sie sich anmelden.
    2. Geben Sie im Feld Anzeigename den Anspruch ein, an dem Ihre Benutzer bei der Anmeldung erkannt werden können.
    3. Es wird optional, das Feld E- Mail für Ihre Benutzer einzugeben. Sie können es nach Belieben ausfüllen.
    4. Das Feld Zulässige E-Mail-Adressdomänen ist ausgegraut und nicht für Eingaben verfügbar. Dies liegt daran, dass das System die E-Mail-Adresse nicht mehr als eindeutigen Bezeichner verwendet, wodurch dieses Feld irrelevant wird.
    5. Fügen Sie optional neue Zuordnungen hinzu, indem Sie den jeweiligen Anspruch des Identitätsanbieters und das entsprechende Attribut in der Automation Cloud angeben.
  8. Standardmäßig ist die Option Benutzerdefinierten eindeutigen Bezeichner aktivieren deaktiviert, d. h. die E-Mail-Adresse wird als Bezeichner des Benutzers verwendet. Befolgen Sie diese folgenden Schritte:
    1. Das Feld E- Mail wird obligatorisch und Sie können es nicht ändern.
    2. Füllen Sie den Abschnitt Zulässige Domänen mit den Domänen aus, von denen Sie Benutzern die Anmeldung ermöglichen möchten. Geben Sie alle Domänen ein, die vom konfigurierten Identitätsanbieter unterstützt werden. Sie können mehrere Domains durch Kommata voneinander trennen.
    3. Füllen Sie unter Attributzuordnung das Feld Anzeigename mit dem Attribut Ihres IdP aus, das Sie in der Automation Cloud als Name für Benutzer anzeigen möchten. Sie können hier die Attribute Vorname und Nachname verwenden.
    4. Fügen Sie optional neue Zuordnungen hinzu, indem Sie den jeweiligen Anspruch des Identitätsanbieters und das entsprechende Attribut in der Automation Cloud angeben.
  9. Nachdem Sie die Attribute eingerichtet haben, konfigurieren Sie die Felder Unangeforderte Authentifizierungsantwort zulassen und SAML-Bindungstyp .
    1. Unangeforderte Authentifizierungsantwort zulassen: Aktivieren Sie diese Option, wenn Sie aus dem IdP-Dashboard zur UiPath Platform navigieren möchten.
    2. SAML-Bindungstyp: Wählen Sie aus, wie die SAML-Konfiguration über den HTTP Benutzer-Agent kommunizieren soll.Wählen Sie HTTP-Umleitung aus, um URL-Parameter zu verwenden, oder HTTP-Post, um ein HTML-Formular mit base64-codiertem Inhalt zu verwenden.
  10. Wenn Ihr Identitätsanbieter verlangt, dass die Automation Cloud alle SAML-Authentifizierungsanforderungen signiert, wählen Sie die Option Authentifizierungsanforderung signieren aus. Erkundigen Sie sich bei Ihrem Identitätsanbieter, ob diese Funktion aktiviert werden muss. Die Automation Cloud aktualisiert häufig ihre Signaturschlüssel. Wenn Sie die Funktion Authentifizierungsanforderung signieren aktiviert haben, stellen Sie sicher, dass Ihr IdP regelmäßig mit der Automation Cloud synchronisiert wird, indem Sie kontinuierlich die aktualisierten Schlüssel von der Metadaten-URL der Automation Cloud herunterladen.
  11. Klicken Sie auf Testen und Speichern, um die Integrationskonfiguration fertig zu stellen.

Schritt 2.4. Überprüfen Sie, ob die Integration ausgeführt wird.

So können Sie überprüfen, ob die SAML SSO-Integration ordnungsgemäß funktioniert:

  1. Öffnen Sie ein Inkognito-Browserfenster.
  2. Navigieren Sie zur URL Ihrer Automation Cloud -Organisation.
  3. Überprüfen Sie Folgendes:
    1. Werden Sie aufgefordert, sich mit Ihrem SAML-Identitätsanbieter anzumelden?
    2. Können Sie sich erfolgreich anmelden?
    3. Wenn Sie sich mit einer E-Mail-Adresse anmelden, die mit einem vorhandenen Benutzerkonto übereinstimmt, verfügen Sie dann über die entsprechenden Berechtigungen?

Schritt 2.5. Bereitstellungsregeln konfigurieren (optional)

Wenn Sie Ansprüche in Ihrem IdP verwenden, können Sie diese als Bedingungen in einer Bereitstellungsregel nutzen, so dass Benutzer automatisch mit den richtigen Lizenzen und Rollen ausgestattet werden, wenn sie sich bei der Automation Cloud anmelden. Bereitstellungsregeln werden überprüft, wenn sich ein Benutzer anmeldet. Wenn das Benutzerkonto die Bedingungen für eine Regel erfüllt, wird es automatisch der lokalen UiPath-Gruppe hinzugefügt, die der Regel zugeordnet ist. Beispielsweise kann ein Administrator eine Regel konfigurieren, um Benutzer mithilfe dieser Einstellungen direkt in der Gruppe „Automation Users“ bereitzustellen: Anspruch=group, Beziehung=is, Wert=Automation User.

2.5.1. Richten Sie Bereitstellungsgruppen ein

In der Automation Cloud bedeutet das Hinzufügen eines Kontos zu einer Gruppe, dass das Konto die für die Gruppe definierten Lizenzen, Rollen und Roboterkonfigurationen erbt, sofern vorhanden.

Durch die Gruppierung ähnlicher Kontotypen (z. B. Entwickler oder Tester) können Sie den Onboarding-Prozess für Benutzer zur Automation Cloud optimieren. Stellen Sie nur sicher, dass Sie beim IdP ähnliche Konten auf die gleiche Weise einrichten.

Auf diese Weise richten Sie die Gruppe einmal ein und wiederholen dann die Einrichtung, indem Sie der Gruppe bei Bedarf Konten hinzufügen. Wenn sich die Einrichtung für eine bestimmte Gruppe von Konten ändern muss, müssen Sie die Gruppe nur einmal aktualisieren und die Änderungen gelten für alle Konten in der Gruppe.

So richten Sie eine Gruppe für eine Bereitstellungsregel ein:

  1. Erstellen Sie eine neue lokale Gruppe in der Automation Cloud.

    Wenn Sie möchten, können Sie eine Ihrer vorhandenen Gruppen verwenden, anstatt eine neue zu erstellen.

  2. (Optional und erfordert aktivierte Benutzerlizenzverwaltung ) Wenn Konten in dieser Gruppe Benutzerlizenzen benötigen, richten Sie Regeln für die Lizenzzuweisung für die Gruppe ein.

    Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Lizenzzuweisung für die Gruppe, um sicherzustellen, dass die richtigen Lizenzen zugewiesen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die Zuweisungen oder erstellen Sie eine neue Gruppe.

  3. Weisen Sie Mandantenrollen zu und vervollständigen Sie optional die Robotereinrichtung für die Gruppe. Anweisungen finden Sie unter Zuweisen von Rollen zu einer Gruppe .

    Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Rollen , die der Gruppe derzeit zugewiesen sind, um sicherzustellen, dass sie für den Kontotyp geeignet sind, den Sie der Gruppe hinzufügen werden. Wenn dies nicht der Fall ist, bearbeiten Sie die Rollen, die dieser Gruppe zugewiesen sind, oder erstellen Sie eine neue Gruppe.

  4. Fügen Sie die Gruppe Ordnern hinzu und weisen Sie nach Bedarf Ordnerrollen zu. Anweisungen finden Sie unter Verwalten des Ordnerzugriffs.

Jetzt können Sie diese Gruppe in einer Bereitstellungsregel verwenden.

2.5.2. Erstellen Sie eine Bereitstellungsregel für eine Gruppe

Hinweis:

Stellen Sie sicher, dass der mit der SAML-Bereitstellungsregel verbundene Anspruch an die SAML-Nutzlast gesendet wird, indem Sie sie in der SAML-Anwendung konfigurieren.

Nachdem die SAML-Integration konfiguriert und nachdem Sie eine Gruppe eingerichtet haben:

  1. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation aus und wählen Sie dann Sicherheit aus.

    Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.

  2. Klicken Sie unter der Option SAML-SSO auf Bereitstellungsregeln anzeigen. Die Seite SAML SSO-Bereitstellungsregeln wird geöffnet, auf der Ihre vorhandenen Regeln aufgeführt sind.

  3. Klicken Sie in der oberen rechten Ecke der Seite auf Regel hinzufügen.

    Die Seite Neue Regel hinzufügen wird geöffnet.

  4. Füllen Sie unter Grundlegende Details das Feld Regelname und optional das Feld Beschreibung aus.
  5. Klicken Sie unter Bedingungen auf Regel hinzufügen.

    Eine Reihe von Feldern für eine neue Bedingung wird hinzugefügt. Gemeinsam definieren sie die Kriterien, die ein Konto bei der Anmeldung erfüllen muss, um einer (später ausgewählten) Gruppe hinzugefügt zu werden.



  6. Geben Sie im Feld Anspruch den Namen des Anspruchs ein, so wie er im IdP angezeigt wird. Im Feld wird die Groß-/Kleinschreibung beachtet.
  7. Wählen Sie auf der Liste Beziehung aus, wie sich der Anspruch auf den Wert bezieht. Die folgenden Optionen sind verfügbar:

    Beziehung

    Bedingungsanforderung

    Beispiel

    ist

    genaue Übereinstimmung, Groß-/Kleinschreibung wird beachtet

    Department is RPA setzt voraus, dass der Wert für den Department-Anspruch RPA ist.
    Die Bedingung wird nicht erfüllt, wenn der Wert z. B. RPADev ist.

    Diese Beziehung funktioniert für Ansprüche mit mehreren Werten.

    Wenn beispielsweise die Werte administrator und developer unter Group gesendet werden, dann wäre Group is administrator eine gültige Beziehung.

    ist nicht

    alles außer dem angegebenen Wert, Groß-/Kleinschreibung wird beachtet

    Bei Department is not ctr wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Wert von Department ist ctr.
    Die Bedingung ist erfüllt, wenn die Abteilung Ctr oder electr ist.

    enthält

    beinhaltet, erfordert keine exakte Übereinstimmung, Groß-/Kleinschreibung wird beachtet

    Department contains RPA erfordert, dass der Wert für den Department-Anspruch RPA enthält.
    Die Bedingung wird erfüllt, wenn der Wert z. B. RPADev, xRPAx oder NewRPA ist.

    enthält nicht

    schließt aus, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird beachtet

    Bei Department not contains ctr wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Department-Wert enthält ctr.
    Konten, für die die Abteilung z. B. ctr oder electr ist, werden der Gruppe nicht hinzugefügt.

    Groß-/Kleinschreibung wird nicht berücksichtigt

    genaue Übereinstimmung, Groß-/Kleinschreibung wird nicht beachtet

    Department is case insensitive RPA erfordert, dass der Wert für den Department-Anspruch rpa ist, in beliebiger Groß-/Kleinschreibung
    Die Bedingung wird erfüllt, wenn der Wert z. B. rpa ist. Die Bedingung wird nicht erfüllt, wenn der Wert z. B. crpa ist.

    enthält Elemente ohne Berücksichtigung von Groß-/Kleinschreibung

    beinhaltet, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird nicht beachtet

    Department contains case insensitive RPA erfordern, dass der Wert für den Department-Anspruch in jeder Groß-/Kleinschreibung RPA enthält.
    Die Bedingung wird erfüllt, wenn der Wert z. B. rpa, cRPA oder rpA ist.
  8. Geben Sie in das Feld Wert den Wert ein, der zum Erfüllen der Bedingung erforderlich ist.
  9. Wenn Sie eine weitere Bedingung hinzufügen möchten, klicken Sie auf Regel hinzufügen und legen Sie so eine neue Bedingungszeile an.

    Wenn Sie mehrere Bedingungen hinzufügen, müssen alle Bedingungen erfüllt sein, damit die Bereitstellungsregel gilt. Wenn Sie zum Beispiel die Regeln Department is RPA und Title is Engineer definieren, werden nur Benutzer, die sowohl in der RPA-Abteilung sind als auch den Titel „Engineer“ tragen, zu den angegebenen Gruppen hinzugefügt. Ein Konto mit der RPA-Abteilung, aber dem Titel „QA“ wird nicht zu den Gruppen hinzugefügt.
  10. Beginnen Sie unter Gruppen zuweisen im Feld Gruppen hinzufügen mit der Eingabe des Namens einer Gruppe und wählen Sie dann eine Gruppe aus der Ergebnisliste aus. Wiederholen Sie den Vorgang, um bei Bedarf weitere Gruppen hinzuzufügen.

    Wenn die Bedingungen erfüllt sind, werden diesen Gruppen automatisch Konten hinzugefügt, wenn sie sich anmelden.

  11. Klicken Sie in der unteren rechten Ecke auf Speichern, um die Regel hinzuzufügen.

Wenn eine Regel vorhanden ist, sich ein Benutzer anmeldet und dessen Konto die Bedingungen für eine Regel erfüllt, dann wird sein Konto zu den Bereitstellungsgruppen hinzugefügt, die der Regel zugeordnet sind. Außerdem wird das Konto für die Arbeit in der Automation Cloud eingerichtet.

Beispiel eines SAML-Nutzlastfragments

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

SAML-Attributzuordnung

Beim Konfigurieren der SAML-Verzeichnisintegration können Organisationsadministratoren definieren, welche Attribute ihres IdP den Systembenutzerattributen zugeordnet werden sollen. Wenn sich ein Benutzer anschließend über die SAML-Verzeichnisintegration anmeldet, liest das System die Ansprüche, die an die ACS-Nutzlast übergeben werden, und ordnet den Wert den entsprechenden Systemattributen zu.
Hinweis:
  • Ihr IdP muss so konfiguriert sein, dass diese Ansprüche in der ACS-Nutzlast übergeben werden.

  • Stellen Sie sicher, dass die im IdP konfigurierten Attributnamen mit den Attributzuordnungseinstellungen im Organisationsadministratorportal übereinstimmen.

Wenn das beispielsweise die Benutzerstruktur in Ihrem IdP ist, kann ein Organisationsadministrator die folgenden Attributzuordnungseinstellungen einrichten, damit diese Informationen im Systembenutzerobjekt ausgefüllt werden.
{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}
docs image

Wenn sich ein Benutzer in dieser Organisation über die SAML-Verzeichnisintegration anmeldet, wird das Benutzerobjekt aktualisiert, um diese Einstellung widerzuspiegeln.

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}

Schritt 3. Ihre Benutzer auf SAML-SSO umstellen

Stellen Sie sicher, dass Sie allen Benutzern Ihre organisationsspezifische URL für die Automation Cloud -Organisation zur Verfügung stellen.

Hinweis:

Nach dem Wechsel zur SAML-Integration ist die Azure AD-Integration deaktiviert. Die Gruppenzuweisungen von Azure AD gelten nicht mehr, so dass die Gruppenmitgliedschaft der Automation Cloud und die von Azure AD geerbten Berechtigungen nicht mehr berücksichtigt werden.

Um sich mit SAML-SSO bei der Automation Cloud anzumelden, können Benutzer:

  • zu Ihrer organisationsspezifischen URL navigieren. Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. https://cloud.uipath.com/orgID.
  • zu https://cloud.uipath.com navigieren, Mit SSO fortfahren auswählen und dann ihre organisationsspezifische URL angeben.

Um sich bei UiPath Studio und UiPath Assistant mit SAML SSO anzumelden, müssen Benutzer den Assistant wie folgt konfigurieren:

  1. Öffnen Sie im UiPath Assistant Einstellungen und wählen Sie die Registerkarte Orchestrator-Verbindung aus.
  2. Klicken Sie auf Abmelden.
  3. Wählen Sie für den Verbindungstyp Dienst-URL aus.
  4. Fügen Sie im Feld Dienst-URL die organisationsspezifische URL hinzu.
    Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. https://cloud.uipath.com/orgID. Andernfalls schlägt die Verbindung mit dem Hinweis fehl, der Benutzer gehöre keiner Organisation an.
  5. Melden Sie sich mit SAML-SSO wieder an.

Schritt 4. Berechtigungen und Roboter konfigurieren

Dies ist nur für neue Benutzer erforderlich, die die Automation Cloud noch nicht verwendet haben und für die daher kein lokales Konto in der Automation Cloud eingerichtet war, als die Integration aktiviert wurde.

Sie können neue Benutzer über deren E-Mail-Adresse (wie im externen IdP verwendet) zu Automation Cloud -Gruppen hinzufügen. Sobald ein Benutzer einer Gruppe zugewiesen wurde oder er sich angemeldet hat, steht er über die Suche für die Rollenzuweisung in allen UiPath-Diensten zur Verfügung.

Schritt 5. Lokale Konten nicht mehr verwenden (optional)

Nachdem alle Benutzer auf SAML-SSO übertragen wurden und die neuen Benutzer eingerichtet sind, empfehlen wir Ihnen, alle lokalen Benutzerkonten, die keine Administratorkonten sind, zu entfernen. Dadurch wird sichergestellt, dass sich Benutzer nicht mehr mit ihren lokalen Kontoanmeldeinformationen anmelden können und sich mit SAML-SSO anmelden müssen.

Sie können lokale Benutzerkonten anhand ihrer Symbole erkennen.

Ein lokales Konto kann nützlich sein:

  • Zur Verwaltung von SAML-Integrationsproblemen (z. B. Aktualisieren eines abgelaufenen Zertifikats) oder zum Ändern von Authentifizierungseinstellungen wird ein Konto mit der Rolle des Organisationsadministrators empfohlen.

  • Bei Prozessen, die von API-Zugriffstoken für Anforderungsberechtigungen abhängen, da die Funktion API-Zugriff (auf der Seite Administrator > Mandanten ) mit einem SAML SSO-Konto nicht zugänglich ist. Alternativ können Sie zur Autorisierung zu OAuth wechseln, wodurch die API-Zugriffsinformationen nicht mehr erforderlich sind.

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten