automation-suite
2023.10
true
Automation Suite-Administratorhandbuch
Last updated 14. Aug. 2024

Konfigurieren von SSO: SAML 2.0

Sie können SSO mit jedem Identitätsanbieter aktivieren, der das Authentifizierungsprotokoll SAML 2.0 unterstützt.

Überblick

Die Aktivierung von SAML SSO ist ein mehrstufiger Prozess, bei dem Sie die folgende Konfiguration vornehmen müssen:

  1. Konfigurieren Sie Ihren Identitätsanbieter so, dass er Automation Suite als Dienstanbieter erkennt.
  2. Konfigurieren Sie Automation Suite als Dienstanbieter, um Ihren Identitätsanbieter zu erkennen und ihm zu vertrauen.
  3. Stellen Sie Benutzer in Ihrer Organisation bereit, damit sie sich mit SSO über das SAML 2.0-Protokoll Ihres Identitätsanbieters anmelden können.

Schritt 1. Konfigurieren Ihres Identitätsanbieters

Die Automation Suite unterstützt mehrere Identitätsanbieter.

In diesem Abschnitt wird veranschaulicht, wie Sie die spezifische Konfiguration finden und die Zertifikate für jeden der folgenden Identitätsanbieter erhalten:

  • ADFS

  • Google

  • Okta

  • PingOne

A. Konfigurieren von ADFS

Konfigurieren Sie eine Maschine für ADFS-Unterstützung und stellen Sie sicher, dass Sie auf die ADFS-Verwaltungssoftware zugreifen können. Wenden Sie sich bei Bedarf an Ihren Systemadministrator.

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der ADFS-Dokumentation.
  1. Öffnen Sie die ADFS-Verwaltung und definieren Sie eine neue Vertrauensstellung der vertrauenden Seite für den Orchestrator wie folgt:
    1. Klicken Sie auf Vertrauensstellungen der vertrauenden Seite.
    2. Klicken Sie im Bereich Aktionen auf Vertrauensstellung der vertrauenden Partei hinzufügen. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Partei wird angezeigt.
    3. Wählen Sie im Abschnitt Willkommen die Option Anspruchsbezogen aus.
    4. Wählen Sie im Abschnitt Daten auswählen die Option Daten über vertrauende Partei manuell eingeben aus.
    5. Fügen Sie im Abschnitt Anzeigename angeben im Feld Anzeigename die URL der Orchestrator-Instanz ein.
    6. Der Abschnitt Zertifikat konfigurieren benötigt keine spezifischen Einstellungen, d. h. Sie können ihn so lassen, wie er ist.
    7. Wählen Sie im Abschnitt URL konfigurieren die Option Unterstützung für das SAML 2.0 Web SSO-Protokoll aus.
    8. Geben Sie im Feld SAML 2.0 SSO Dienst-URL der vertrauenden Seite die URL Ihrer Automation Suite-Instanz sowie das Suffix identity_/Saml2/Acs ein. Beispiel: https://baseURL/identity_/Saml2/Acs.
    9. Geben Sie im Feld Bezeichner der Vertrauensstellung der vertrauenden Seite im Abschnitt Bezeichner konfigurieren die URL Ihrer Orchestrator-Instanz sowie das Suffix identity_ ein.
    10. Stellen Sie im Abschnitt Zugriffssteuerungsrichtlinie auswählen sicher, dass Sie die Zugriffssteuerungsrichtlinie Allen Benutzern Zugriff gewähren auswählen.
    11. Die Optionen Bereit zum Hinzufügen der Vertrauensstellung und Fertig stellen benötigen keine spezifischen Einstellungen, also lassen Sie sie so, wie sie sind.
      Die neu hinzugefügte Vertrauensstellung wird im Fenster Vertrauensstellung der vertrauenden Seite angezeigt.
    12. Wechseln Sie zu Aktionen > Eigenschaften > Endpunkte und stellen Sie sicher, dass bei Bindung „POST“ ausgewählt ist und dass das Kontrollkästchen Vertrauenswürdige URL als Standard festlegen aktiviert ist.

      Die Endpunktbindung muss Post sein. Andere Bindungen wie etwa redirect sind nicht mit UiPath® kompatibel, da ADFS keine Umleitungsassertionen signiert.

    13. Wechseln Sie zu Aktionen > Eigenschaften > Bezeichner und stellen Sie sicher, dass die URL Ihrer Orchestrator-Instanz sowie das Suffix identity_ vorhanden ist.
  2. Wählen Sie die Vertrauensstellung der vertrauenden Seite aus und klicken Sie auf Bearbeiten der Richtlinie zur Anspruchsausstellung im Panel Aktionen.

    Der Assistent zum Bearbeiten der Richtlinie zur Anspruchsausstellung wird angezeigt.

  3. Klicken Sie auf Regel hinzufügen (Add rule) und erstellen Sie eine neue Regel mit der Vorlage LDAP-Attribute als Claims senden (Send LDAP Attributes as Claims) mit den folgenden Einstellungen:

    LDAP-Attribut

    Ausgehender Anspruchstyp

    E-Mail-Adressen

    E-Mail-Adresse

    Benutzerprinzipalname

    Namens-ID

  4. Nachdem Sie ADFS konfiguriert haben, öffnen Sie PowerShell als Administrator und führen Sie folgende Befehle aus:
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      Ersetzen Sie DISPLAYNAME durch den in Schritt 1 festgelegten Wert.
    2. Restart-Service ADFSSRV.

B. Konfigurieren von Google

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Google-Dokumentation.
  1. Melden Sie sich als Administrator bei der Administratorkonsole an, wechseln Sie zu Apps und dann zu Web- und mobile Apps.
  2. Klicken Sie auf App hinzufügen und dann auf Benutzerdefinierte SAML-App hinzufügen.
  3. Geben Sie auf der Seite App-Details einen Namen für Ihre Automation Suite-Instanz ein.
  4. Kopieren Sie auf der Seite „Details zu Google als Identitätsanbieter“ Folgendes und speichern Sie es für später:
    • SSO-URL
    • Entitäts-ID
  5. Laden Sie das Zertifikatherunter, öffnen Sie es mit einem Texteditor, kopieren und speichern Sie den Wert für den nächsten Teil der Einrichtung in Schritt 2. Konfigurieren der Automation Suite.
  6. Geben Sie auf der Seite Details zum Dienstanbieter Folgendes ein:
    • ACS-URL: https://baseURL/identity_/Saml2/Acs
    • Entitäts-ID: https://baseURL/identity_
  7. Geben Sie auf der Seite Attributzuordnung die folgenden Zuordnungen an:
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. Nachdem Sie die SAML-App konfiguriert haben, wechseln Sie in der SAML-App der Automation Suite zu Benutzerzugriff auf der Google-Administratorkonsole und klicken Sie auf „Ein“ für alle.

C. Konfigurieren von Okta

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Okta-Dokumentation.
  1. Melden Sie sich bei der Okta-Administratorkonsole an, wechseln Sie zu Anwendungen > Anwendungen, klicken Sie auf App-Integration erstellen und wählen Sie SAML 2.0 als Anmeldemethode aus.
  2. Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für Ihre Automation Suite-Instanz an.
  3. Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein aus.

    Zum Beispiel:

    • URL für einmaliges Anmelden (SSO): Ihre Automation Suite-URL + /identity_/Saml2/Acs. Beispiel: https://baseURL/identity_/Saml2/Acs.
    • Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
    • Empfänger-URI: https://baseURL/identity_
    • Name ID-Format (Name ID Format): E-Mail-Adresse (EmailAddress)
    • Anwendungs-Benutzername: E-Mail-Adresse
  4. Füllen Sie den Abschnitt Attributanweisungen aus:
    • Geben Sie in das Feld Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein.
    • Wählen Sie in der Liste Wert die Option user.email aus.
  5. Wählen Sie im Abschnitt Feedback die gewünschte Option aus.
  6. Klicken Sie Beenden an.
  7. Klicken Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen auf Setup-Anweisungen anzeigen.

    Sie werden zu einer neuen Seite mit den Anweisungen umgeleitet, die zum Abschließen des nächsten Teils der Einrichtung in Schritt 2 erforderlich sind. Konfigurieren der Automation Suite:

    • Anmelde-URL des Identitätsanbieters
    • Identitätsanbieter-Aussteller
    • X.509-Zertifikat
  8. Damit Benutzer die Okta-Authentifizierung verwenden können, muss ihnen die neu erstellte Anwendung zugewiesen werden:
    1. Wählen Sie auf der Seite Anwendung (Application) die neu erstellte Anwendung aus.
    2. Wählen Sie auf der Registerkarte Zuordnungen die Option Zuweisen > Zu Mitarbeitern zuweisen und anschließend die Benutzer aus, denen die erforderlichen Berechtigungen erteilt werden sollen. Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

D. Konfigurieren von PingOne

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführlichere Anweisungen finden Sie in der PingOne-Dokumentation.
  1. Fügen Sie eine Webanwendung hinzu, die sich mit SAML in PingOne verbindet, und zwar mit den folgenden Angaben:
    1. Wählen Sie auf der Seite SAML-Verbindung konfigurieren die Option Manuell eingeben aus und geben Sie Folgendes ein:
      • ACS-URLS: URL (Groß-/Kleinschreibung beachten) für Ihre Automation Suite-Instanz + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs).
      • Entitäts-ID: https://baseURL/identity_
      • SLO-Bindung: HTTP-Umleitung
      • Assertion-: Geben Sie die Gültigkeitsdauer in Sekunden ein.

    2. Ordnen Sie auf der Seite Attribute zuordnen das folgende Attribut zu:
      E-Mail-Adresse = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Tipp: Alternativ können Sie die PingOne SAML-Verbindung mit der Option Metadaten importieren konfigurieren. Die SAML2-Metadaten des UiPath Identity Server stehen unter https://baseURL/identity/Saml2 zum Download im XML-Format zur Verfügung.
  2. Suchen Sie auf der Seite Verbindungen > Anwendungen die Anwendung, die Sie gerade erstellt haben, und klicken Sie auf das Symbol am rechten Ende des Feldes, um ihre Details anzuzeigen.
  3. Kopieren und speichern Sie auf der Registerkarte Profil die folgenden Werte für den nächsten Teil des Setups, der unten in Schritt 2 beschrieben wird. Automation Suite konfigurieren:
    • Client-ID

    • URL der Startseite.

  4. Wenn Sie es während der Anwendungseinrichtung nicht heruntergeladen haben, laden Sie das PingOne-Signaturzertifikat herunter:
    1. Gehen Sie zu Verbindungen > Zertifikate und Schlüsselpaare.
    2. Suchen Sie die Anwendung, die Sie gerade erstellt haben, und klicken Sie auf das rechte Ende des Feldes, um ihre Details anzuzeigen.
    3. Klicken Sie rechts auf der Registerkarte Details auf Zertifikat herunterladen und wählen Sie das Format .crt. Format.
  5. Öffnen Sie die Zertifikatsdatei in einem beliebigen Texteditor, kopieren und speichern Sie den Zertifikatswert für den nächsten Teil des Setups, der unten in Schritt 2. Konfigurieren der Automation Suitebeschrieben wird.

Schritt 2. Konfigurieren der Automation Suite

So aktivieren Sie die Automation Suite als Dienstanbieter, der Ihren Identitätsanbieter erkennt:

  1. Melden Sie sich als Systemadministrator beim Hostportal der Automation Suite an.
  2. Stellen Sie sicher, dass Host oben im linken Bereich ausgewählt ist, und klicken Sie dann auf Sicherheit.
  3. Klicken Sie unter SAML-SSO auf Konfigurieren und befolgen Sie die Anweisungen für den von Ihnen verwendeten Identitätsanbieter:
    1. So konfigurieren Sie SAML für ADFS:
      1. Aktivieren Sie das Kontrollkästchen Aktiviert.

      2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.

      3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.

      4. Geben Sie im Feld ID der Dienstanbieterentität https://baseURL/identity_ ein.
      5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert ein, den Sie beim Konfigurieren der ADFS-Authentifizierung erhalten haben.

      6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert ein, den Sie beim Konfigurieren der ADFS-Authentifizierung erhalten haben.

      7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.

      8. Geben Sie im Feld Rückgabe-URL https:/baseURL/identity_/externalidentity/saml2redirectcallback ein.
      9. Legen Sie den Parameter Zuordnungsstrategie für externen Benutzer auf Nach Benutzer-E-Mail fest.

      10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.

      11. Fügen Sie den Zertifikatstext in das Feld Signaturzertifikat ein.

    2. So konfigurieren Sie SAML für Google:
      1. Aktivieren Sie das Kontrollkästchen Aktiviert.

      2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.

      3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.

      4. Geben Sie im Feld ID der Dienstanbieterentität https://baseURL/identity_ ein.
      5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert der Entitäts-ID ein, den Sie beim Konfigurieren der Google-Authentifizierung erhalten haben.

      6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert der SSO-URL ein, den Sie beim Konfigurieren der Google-Authentifizierung erhalten haben.

      7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.

      8. Geben Sie im Feld Rückgabe-URL https://baseURL/identity_/externalidentity/saml2redirectcallback ein.
      9. Wählen Sie für Externe Benutzerzuordnungsstrategie dieOption Nach Benutzer-E-Mailaus.

      10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.

      11. Fügen Sie im Feld Signaturzertifikat den Zertifikatswert ein, den Sie beim Konfigurieren von Google erhalten haben.

    3. So konfigurieren Sie SAML für Okta:
      1. Aktivieren Sie das Kontrollkästchen Aktiviert.

      2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.

      3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.

      4. Geben Sie im Feld ID der Dienstanbieterentität https://baseURL/identity_ ein.
      5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert des Identitätsanbieter-Ausstellers ein, den Sie beim Konfigurieren von Okta erhalten haben.

      6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert der Anmelde-URL des Identitätsanbieters ein, den Sie beim Konfigurieren von Okta erhalten haben.

      7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.

      8. Geben Sie im Feld Rückgabe-URL https://baseURL/identity_/externalidentity/saml2redirectcallback ein.
      9. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.

      10. Fügen Sie im Feld Signaturzertifikat den X.509-Zertifikatswert ein, den Sie beim Konfigurieren von Okta erhalten haben.

    4. So konfigurieren Sie SAML für PingOne:
      1. Aktivieren Sie das Kontrollkästchen Aktiviert.

      2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.

      3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.

      4. Fügen Sie Ihre Automation Suite-URL im Feld ID der Dienstanbieterentität im Format https://baseURL/identiy_ ein.
      5. Fügen Sie den Wert Aussteller-ID in das Feld ID der Identitätsanbieterentität ein, den Sie beim Konfigurieren von PingOne erhalten haben.

      6. Legen Sie den Parameter URL des Diensts für einmaliges Anmelden auf den Wert der URL für einmaliges Anmelden fest, den Sie beim Konfigurieren von PingOne erhalten haben.

      7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.

      8. Geben Sie im Feld Rückgabe-URL https://baseURL/identity_/externalidentity/saml2redirectcallback ein.
      9. Legen Sie die Zuordnungsstrategie für externen Benutzer auf Nach Benutzer-E-Mail fest.

      10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.

      11. Fügen Sie den Wert, den Sie beim Konfigurieren von PingOne erhalten haben, in das Feld Signaturzertifikat ein.

  4. Klicken Sie auf Speichern, um die Änderungen zu speichern und zur vorherigen Seite zurückzukehren.
  5. Klicken Sie auf den Umschalter links neben SAML SSO, um die Integration zu aktivieren.
  6. Starten Sie den Pod „identity-service-api-*“ neu. Dies ist erforderlich, nachdem Sie Änderungen an den externen Anbietern vorgenommen haben.
    1. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
    2. Führen Sie den folgenden Befehl aus:
      kubectl -n uipath Rollout Deployment neu starten Identity-Service-API

Schritt 3. Optionale Einstellungen

Die folgende Konfiguration ist optional und ist nur erforderlich, wenn Sie eine oder beide erweiterten Sicherheitsfunktionen für Ihre Automation Suite-Installation verwenden möchten.

Schritt 3.1. Benutzerdefinierte Zuordnung

ADFS, Google und OKTA verwenden Ihre E-Mail-Adresse als SAML-Attribut. Dieser Abschnitt behandelt benutzerdefinierte SAML-Zuordnungen basierend auf dem Benutzernamen oder dem Schlüssel eines externen Anbieters.

Wichtig: Das Konfigurieren benutzerdefinierter Zuordnungsattribute wirkt sich auf das gesamte System aus, d. h. sie gelten für alle vorhandenen Identitätsanbieter. Infolgedessen kann kein anderer Anbieter (Azure, Windows) arbeiten, während eine neue Zuordnung festgelegt wird.

Die folgenden Parameter müssen in der SAML SSO-Konfiguration auf der Seite „Sicherheit“ auf Hostebene festgelegt werden.

  • Zuordnungsstrategie für externen Benutzer – Definiert die Zuordnungsstrategie. Folgende Optionen stehen zur Verfügung:

    • By user email - Ihre E-Mail-Adresse wird als Attribut angegeben. Dies ist der Standardwert.
    • By username - Ihr Benutzername wird als Attribut angegeben.
    • By external provider key - Ein externer Provider-Schlüssel wird als Attribut angegeben.
  • Anspruchsbezeichnername des externen Benutzers – Definiert den Anspruch, der als Bezeichner für die Zuordnung verwendet werden soll. Ist nur erforderlich, wenn Sie Ihren Benutzernamen als Attribut festlegen.

Schritt 3.3. Dienstzertifikat

Im SAML-Protokoll wird das Dienstzertifikat zum Signieren und/oder Verschlüsseln von Anforderungen verwendet, die vom Dienstanbieter gesendet werden, d. h. von der Automation Suite.

So stellen Sie das Dienstzertifikat ein:

  1. Gehen Sie zu Argo CD und melden Sie sich als Administrator an.
  2. Wählen Sie die uipath-Anwendung aus und öffnen Sie sie.
  3. Klicken Sie in der linken oberen Ecke auf APP DETAILS.
  4. Suchen Sie im Abschnitt PARAMETER nach 'ServiceCert'.
  5. Aktualisieren Sie den Parameter global.userInputs.certificate.identity.saml.currentServiceCert mit Ihrer base64-Serialisierung des Dienstzertifikats. Das Dienstzertifikat erfordert einen privaten Schlüssel.
  6. Wenn Ihr Dienstzertifikat über ein Kennwort verfügt, aktualisieren Sie auch den Parameter global.userInputs.certificate.identity.saml.currentServiceCertPassword.

    In ArgoCD sind sowohl das Zertifikat als auch das Kennwort in base64 codiert.

  7. Wenn Sie das Dienstzertifikat drehen müssen, aktualisieren Sie die Parameter global.userInputs.certificate.identity.saml.futureServiceCert und global.userInputs.certificate.identity.saml.futureServiceCertPassword.
  8. Klicken Sie auf SYNC, um die Änderungen zu übernehmen.

    Warten Sie einige Minuten, bis der Identity Server automatisch neu gestartet wird.

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten