automation-suite

2021.10

false

Wichtig :

Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

Kein Support

Automation Suite-Administratorhandbuch

Letzte Aktualisierung 24. Feb. 2025

Konfigurieren von SSO: SAML 2.0

Sie können SSO mit jedem Identitätsanbieter aktivieren, der das Authentifizierungsprotokoll SAML 2.0 unterstützt.

Überblick

Die Aktivierung von SAML SSO ist ein mehrstufiger Prozess, bei dem Sie die folgende Konfiguration vornehmen müssen:

Konfigurieren Sie Ihren Identitätsanbieter so, dass er die UiPath Platform als Dienstanbieter erkennt.
Konfigurieren Sie die UiPath Platform als Dienstanbieter, um Ihren Identitätsanbieter zu erkennen und ihm zu vertrauen.
Stellen Sie Benutzer in Ihrer Organisation bereit, damit sie sich mit SSO über das SAML 2.0-Protokoll Ihres Identitätsanbieters anmelden können.

Schritt 1. Konfigurieren Ihres Identitätsanbieters

UiPath unterstützt mehrere Identitätsanbieter.

In diesem Abschnitt wird veranschaulicht, wie Sie die spezifische Konfiguration finden und die Zertifikate für jeden der folgenden Identitätsanbieter erhalten:

ADFS
Google
Okta
PingOne

A. Konfigurieren von ADFS

Konfigurieren Sie eine Maschine für ADFS-Unterstützung und stellen Sie sicher, dass Sie auf die ADFS-Verwaltungssoftware zugreifen können. Wenden Sie sich bei Bedarf an Ihren Systemadministrator.

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der ADFS-Dokumentation.

Öffnen Sie die ADFS-Verwaltung und definieren Sie eine neue Vertrauensstellung der vertrauenden Seite für den Orchestrator wie folgt:
1. Klicken Sie auf Vertrauensstellungen der vertrauenden Seite.
2. Klicken Sie im Bereich Aktionen auf Vertrauensstellung der vertrauenden Partei hinzufügen. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Partei wird angezeigt.
3. Wählen Sie im Abschnitt Willkommen die Option Anspruchsbezogen aus.
4. Wählen Sie im Abschnitt Daten auswählen die Option Daten über vertrauende Partei manuell eingeben aus.
5. Fügen Sie im Abschnitt Anzeigename angeben im Feld Anzeigename die URL der Orchestrator-Instanz ein.
6. Der Abschnitt Zertifikat konfigurieren benötigt keine spezifischen Einstellungen, d. h. Sie können ihn so lassen, wie er ist.
7. Wählen Sie im Abschnitt URL konfigurieren die Option Unterstützung für das SAML 2.0 Web SSO-Protokoll aus.
8. Geben Sie im Feld SAML 2.0 SSO Dienst-URL der vertrauenden Seite die URL Ihrer Automation Suite-Instanz sowie das Suffix identity_/Saml2/Acs ein. Beispiel: https://baseURL/identity_/Saml2/Acs.
9. Geben Sie im Feld Bezeichner der Vertrauensstellung der vertrauenden Seite im Abschnitt Bezeichner konfigurieren die URL Ihrer Orchestrator-Instanz sowie das Suffix identity_ ein.
10. Stellen Sie im Abschnitt Zugriffssteuerungsrichtlinie auswählen sicher, dass Sie die Zugriffssteuerungsrichtlinie Allen Benutzern Zugriff gewähren auswählen.
11. Die Optionen „Bereit zum Hinzufügen der Vertrauensstellung“ und „Fertig stellen“ benötigen keine spezifischen Einstellungen, also lassen Sie sie so, wie sie sind.
  Die neu hinzugefügte Vertrauensstellung wird im Fenster Vertrauensstellung der vertrauenden Seite angezeigt.
12. Wechseln Sie zu Aktionen > Eigenschaften > Endpunkte und stellen Sie sicher, dass bei Bindung „POST“ ausgewählt ist und dass das Kontrollkästchen Vertrauenswürdige URL als Standard festlegen aktiviert ist.
  Die Endpunktbindung muss Post sein. Andere Bindungen wie etwa redirect sind nicht mit UiPath kompatibel, da ADFS keine Umleitungsassertionen signiert.
13. Wechseln Sie zu Aktionen > Eigenschaften > Bezeichner und stellen Sie sicher, dass die URL Ihrer Orchestrator-Instanz sowie das Suffix identity_ vorhanden ist.
Wählen Sie die Vertrauensstellung der vertrauenden Seite aus und klicken Sie auf Bearbeiten der Richtlinie zur Anspruchsausstellung im Panel Aktionen.

Der Assistent zum Bearbeiten der Richtlinie zur Anspruchsausstellung wird angezeigt.

Klicken Sie auf Regel hinzufügen (Add rule) und erstellen Sie eine neue Regel mit der Vorlage LDAP-Attribute als Claims senden (Send LDAP Attributes as Claims) mit den folgenden Einstellungen:

LDAP-Attribut	Ausgehender Anspruchstyp
E-Mail-Adressen	E-Mail-Adresse
Benutzerprinzipalname	Namens-ID

Nachdem Sie ADFS konfiguriert haben, öffnen Sie PowerShell als Administrator und führen Sie folgende Befehle aus:
1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
  
  Ersetzen Sie DISPLAYNAME durch den in Schritt 1 festgelegten Wert.
2. Restart-Service ADFSSRV.

B. Konfigurieren von Google

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Google-Dokumentation.

Melden Sie sich als Administrator bei der Administratorkonsole an, wechseln Sie zu Apps und dann zu Web- und mobile Apps.
Wählen Sie App hinzufügen und dann Benutzerdefinierte SAML-App hinzufügen aus.
Geben Sie auf der Seite App-Details einen Namen für Ihre Automation Suite-Instanz ein.
Kopieren Sie auf der Seite „Details zu Google als Identitätsanbieter“ Folgendes und speichern Sie es für später:
- SSO-URL
- Entitäts-ID
Laden Sie das Zertifikatherunter, öffnen Sie es mit einem Texteditor, kopieren und speichern Sie den Wert für den nächsten Teil der Einrichtung in Schritt 2. Konfigurieren der Automation Suite.
Geben Sie auf der Seite Details zum Dienstanbieter Folgendes ein:
- ACS-URL: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
- Entitäts-ID: https://{yourDomain}/{organizationName}/identity_
Geben Sie auf der Seite Attributzuordnung die folgenden Zuordnungen an:
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  Beachten Sie, dass bei diesem Anspruch die Groß-/Kleinschreibung beachtet wird.
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Nachdem Sie die SAML-App konfiguriert haben, wechseln Sie in der SAML-App der Automation Suite zu Benutzerzugriff auf der Google-Administratorkonsole und wählen Sie Für alle aktivieren aus.

C. Konfigurieren von Okta

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Okta-Dokumentation.

Melden Sie sich bei der Okta-Administratorkonsole an, wechseln Sie zu Anwendungen > Anwendungen, wählen Sie App-Integration erstellen aus und wählen Sie SAML 2.0 als Anmeldemethode aus.
Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für Ihre Automation Suite-Instanz an.
Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein aus.
Zum Beispiel:
- URL für einmaliges Anmelden(SSO): Die URL der Identitätsbasis /Saml2/Acs +. Beispiel: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs .
- Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
- Empfänger-URI: https://{yourDomain}/{organizationName}/identity_
- Name ID-Format (Name ID Format): E-Mail-Adresse (EmailAddress)
- Anwendungs-Benutzername: E-Mail-Adresse
Füllen Sie den Abschnitt Attributanweisungen aus:
- Geben Sie in das Feld Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein. Beachten Sie, dass bei diesem Anspruch die Groß-/Kleinschreibung beachtet wird.
- Wählen Sie in der Liste Wert die Option user.email aus.
Wählen Sie im Abschnitt Feedback die gewünschte Option aus.
Wählen Sie Fertig stellen aus.
Wählen Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen die Option Setup-Anweisungen anzeigen aus.
Sie werden zu einer neuen Seite mit den Anweisungen umgeleitet, die zum Abschließen des nächsten Teils der Einrichtung in Schritt 2 erforderlich sind. Konfigurieren der Automation Suite:
- Anmelde-URL des Identitätsanbieters
- Identitätsanbieter-Aussteller
- X.509-Zertifikat
Damit Benutzer die Okta-Authentifizierung verwenden können, muss ihnen die neu erstellte Anwendung zugewiesen werden:
1. Wählen Sie auf der Seite Anwendung (Application) die neu erstellte Anwendung aus.
2. Wählen Sie auf der Registerkarte Zuordnungen die Option Zuweisen > Zu Mitarbeitern zuweisen und anschließend die Benutzer aus, denen die erforderlichen Berechtigungen erteilt werden sollen. Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

D. Konfigurieren von PingOne

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführlichere Anweisungen finden Sie in der PingOne-Dokumentation.

Fügen Sie eine Webanwendung hinzu, die sich mit SAML in PingOne verbindet, und zwar mit den folgenden Angaben:
1. Wählen Sie auf der Seite SAML-Verbindung konfigurieren die Option Manuell eingeben aus und geben Sie Folgendes ein:
  - ACS-URLS: URL (Groß-/Kleinschreibung beachten) für Ihre Automation Suite-Instanz + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs).
  - Entitäts-ID: https://baseURL/identity_
  - SLO-Bindung: HTTP-Umleitung
  - Assertion-: Geben Sie die Gültigkeitsdauer in Sekunden ein.
2. Ordnen Sie auf der Seite Attribute zuordnen das folgende Attribut zu:
  E-Mail-Adresse = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
Suchen Sie auf der Seite Verbindungen > Anwendungen die Anwendung, die Sie gerade erstellt haben, und klicken Sie auf das Symbol am rechten Ende des Feldes, um ihre Details anzuzeigen.
Kopieren und speichern Sie die folgenden Werte auf der Registerkarte Profil für den nächsten Teil der Einrichtung, der unten in Schritt 2. Konfigurieren der Automation Suite beschrieben wird:
- Client-ID
- URL der Startseite.
Wenn Sie es während der Anwendungseinrichtung nicht heruntergeladen haben, laden Sie das PingOne-Signaturzertifikat herunter:
1. Gehen Sie zu Verbindungen > Zertifikate und Schlüsselpaare.
2. Suchen Sie die Anwendung, die Sie gerade erstellt haben, und klicken Sie auf das rechte Ende des Feldes, um ihre Details anzuzeigen.
3. Klicken Sie rechts auf der Registerkarte Details auf Zertifikat herunterladen und wählen Sie das Format .crt. Format.
Öffnen Sie die Zertifikatsdatei in einem beliebigen Texteditor, kopieren und speichern Sie den Zertifikatswert für den nächsten Teil der Einrichtung, der unten in Schritt 2. Konfigurieren der Automation Suite beschrieben wird.

Schritt 2. Konfigurieren der Automation Suite

So aktivieren Sie die Automation Suite als Dienstanbieter, der Ihren Identitätsanbieter erkennt:

Melden Sie sich als Systemadministrator beim Hostportal der Automation Suite an.
Gehen Sie zum Abschnitt der Seite Benutzer > Authentifizierungseinstellungen.
Klicken Sie im Abschnitt Externe Anbieter auf Konfigurieren für den entsprechenden Identitätsanbieter und befolgen Sie die entsprechenden Anweisungen zum Konfigurieren von SAML:
1. So konfigurieren Sie SAML für ADFS:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Um die Anmeldung mit diesem Anbieter zu erzwingen, aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Geben Sie im Feld ID der Dienstanbieterentität https://baseURL/identity_ ein.
  5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert ein, den Sie beim Konfigurieren der ADFS-Authentifizierung erhalten haben.
  6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert ein, den Sie beim Konfigurieren der ADFS-Authentifizierung erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https:/baseURL/identity_/externalidentity/saml2redirectcallback ein.
  9. Legen Sie den Parameter Zuordnungsstrategie für externen Benutzer auf Nach Benutzer-E-Mail fest.
  10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  11. Fügen Sie den Zertifikatstext in das Feld Signaturzertifikat ein.
2. So konfigurieren Sie SAML für Google:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Um die Anmeldung mit diesem Anbieter zu erzwingen, aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Geben Sie im Feld ID der Dienstanbieterentität https://baseURL/identity_ ein.
  5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert der Entitäts-ID ein, den Sie beim Konfigurieren der Google-Authentifizierung erhalten haben.
  6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert der SSO-URL ein, den Sie beim Konfigurieren der Google-Authentifizierung erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https://baseURL/identity_/externalidentity/saml2redirectcallback ein.
  9. Wählen Sie für Externe Benutzerzuordnungsstrategie dieOption Nach Benutzer-E-Mailaus.
  10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  11. Fügen Sie im Feld Signaturzertifikat den Zertifikatswert ein, den Sie beim Konfigurieren von Google erhalten haben.
3. So konfigurieren Sie SAML für Okta:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Um die Anmeldung mit diesem Anbieter zu erzwingen, aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Geben Sie im Feld ID der Dienstanbieterentität https://baseURL/identity_ ein.
  5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert des Identitätsanbieter-Ausstellers ein, den Sie beim Konfigurieren von Okta erhalten haben.
  6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert der Anmelde-URL des Identitätsanbieters ein, den Sie beim Konfigurieren von Okta erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https://baseURL/identity_/externalidentity/saml2redirectcallback ein.
  9. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  10. Fügen Sie im Feld Signaturzertifikat den X.509-Zertifikatswert ein, den Sie beim Konfigurieren von Okta erhalten haben.
4. So konfigurieren Sie SAML für PingOne:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Um die Anmeldung mit diesem Anbieter zu erzwingen, aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Fügen Sie Ihre Automation Suite-URL im Feld ID der Dienstanbieterentität im Format https://baseURL/identiy_ ein.
  5. Fügen Sie den Wert Aussteller-ID in das Feld ID der Identitätsanbieterentität ein, den Sie beim Konfigurieren von PingOne erhalten haben.
  6. Legen Sie den Parameter URL des Diensts für einmaliges Anmelden auf den Wert der URL für einmaliges Anmelden fest, den Sie beim Konfigurieren von PingOne erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https://baseURL/identity_/externalidentity/saml2redirectcallback ein.
  9. Legen Sie die Zuordnungsstrategie für externen Benutzer auf Nach Benutzer-E-Mail fest.
  10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  11. Fügen Sie den Wert, den Sie beim Konfigurieren von PingOne erhalten haben, in das Feld Signaturzertifikat ein.
Klicken Sie auf Speichern, um die Änderungen an den Einstellungen des externen Identitätsanbieters zu speichern.
Starten Sie den Pod „identity-service-api-*“ neu. Dies ist erforderlich, nachdem Sie Änderungen an den externen Anbietern vorgenommen haben.
1. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
2. Führen Sie den folgenden Befehl aus:
  kubectl -n uipath Rollout Deployment neu starten Identity-Service-API

Schritt 3. Optionale Einstellungen

Die folgende Konfiguration ist optional und ist nur erforderlich, wenn Sie eine oder beide erweiterten Sicherheitsfunktionen verwenden möchten.

Schritt 3.1. Benutzerdefinierte Zuordnung

ADFS, Google und OKTA verwenden Ihre E-Mail-Adresse als SAML-Attribut. Dieser Abschnitt behandelt benutzerdefinierte SAML-Zuordnungen basierend auf dem Benutzernamen oder dem Schlüssel eines externen Anbieters.

Wichtig: Das Konfigurieren benutzerdefinierter Zuordnungsattribute wirkt sich auf das gesamte System aus, d. h. sie gelten für alle vorhandenen Identitätsanbieter. Infolgedessen kann kein anderer Anbieter (Azure, Windows) arbeiten, während eine neue Zuordnung festgelegt wird.

Die folgenden Parameter müssen in den Saml2-Einstellungen im Abschnitt Externe Anbieter der Seite Benutzer > Authentifizierungseinstellungen konfiguriert werden:

Zuordnungsstrategie für externen Benutzer – Definiert die Zuordnungsstrategie. Folgende Optionen stehen zur Verfügung:
- By user email - Ihre E-Mail-Adresse wird als Attribut angegeben. Dies ist der Standardwert.
- By username - Ihr Benutzername wird als Attribut angegeben.
- By external provider key - Ein externer Provider-Schlüssel wird als Attribut angegeben.
Anspruchsbezeichnername des externen Benutzers – Definiert den Anspruch, der als Bezeichner für die Zuordnung verwendet werden soll. Ist nur erforderlich, wenn Sie Ihren Benutzernamen als Attribut festlegen.