- Erste Konfiguration
- Hostadministration
- Organisationsadministration
- Verwalten Ihrer Organisation
- Verwalten Ihrer Organisationslizenz
- Überschreiben von System-E-Mail-Benachrichtigungen
- Einrichten der Azure-AD-Integration
- Konfigurieren der SAML-Integration
- Einschränken des Zugriffs auf eine Reihe von Benutzern
- Sitzungsrichtlinie
- Mandanten und Dienste
- Einrichten des Verschlüsselungsschlüssels pro Mandant
- Verwalten von Tags
- Konten und Rollen
- Lizenzierung
- Benachrichtigungen
Konfigurieren der SAML-Integration
Sie können Ihre Automation Suite-Organisation mit jedem Identitätsanbieter (IdP) verbinden, der den SAML 2.0-Standard verwendet. Auf dieser Seite wird der Gesamtprozess mit einigen Beispielkonfigurationen für die SAML-Integration beschrieben.
Die SAML-Integration ist so konzipiert, dass sie schrittweise und ohne Unterbrechung für bestehende Benutzer implementiert werden kann.
Die Hauptphasen des Prozesses, die auf dieser Seite ausführlicher beschrieben werden, sind:
- Bereinigen von inaktiven Benutzerkonten
- Konfigurieren der SAML-Integration
- Übergang von bestehenden Benutzern zur Anmeldung mit SAML-SSO
- Berechtigungen und Roboter für neue Benutzer konfigurieren
- Verwendung von lokalen Konten einstellen (optional)
Mit der SAML-Integration können Sie nicht alle Benutzer und Gruppen ihres Identitätsanbieters durchsuchen. Nur bereitgestellte Benutzer des Verzeichnisses sind für die Suche verfügbar.
Um die SAML-Integration einzurichten, benötigen Sie:
- Eine Automation Suite-Organisation mit einer Enterprise- oder Enterprise-Testlizenz.
-
Administratorberechtigungen sowohl in der Automation Suite als auch in Ihrem Identitäts-Drittanbieter.
Wenn Sie bei Ihrem Identitätsanbieter nicht über Administratorberechtigungen verfügen, können Sie mit einem Administrator zusammenarbeiten, um den Einrichtungsprozess abzuschließen.
-
Version 2020.10.3 oder höher von UiPath® Studio und vom UiPath Assistant, damit Sie sie so einrichten können, dass die empfohlene Bereitstellung verwendet wird.
Wechseln von der Azure Active Directory-Integration
Wenn Sie derzeit das für die Authentifizierung verwenden, empfehlen wir, bei der AAD-Integration zu bleiben, da diese funktionsreicher ist.
Wenn Sie sich für einen Wechsel von der AAD-Integration entscheiden, müssen Sie die Rollenzuweisung über Verzeichnisgruppen manuell durch eine direkte Rollenzuweisung zu den Verzeichniskonten ersetzen. So müssen Sie Ihr Zugriffsschema nicht komplett neu erstellen.
Wenn Ihre Organisation E-Mail-Adressen wiederverwendet, ist es wichtig, dass Sie alle inaktiven Benutzerkonten entfernen, bevor Sie die SAML-Integration konfigurieren.
Wenn Sie die Integration aktivieren, können lokale Konten in der Automation Suite mit dem Verzeichniskonto im externen Identitätsanbieter verknüpft werden, der dieselbe E-Mail-Adresse verwendet. Diese Kontoverknüpfung erfolgt, wenn sich der Verzeichniskontobenutzer mit der E-Mail-Adresse zum ersten Mal anmeldet. Die Identität von Ihrem Identitätsanbieter übernimmt alle Rollen, die das lokale Konto hatte, sodass der Übergang nahtlos verläuft.
Aus diesem Grund besteht bei inaktiven lokalen Konten in der Automation Suite das Risiko, dass lokale Konten und Verzeichniskonten nicht übereinstimmen, was zu einer unbeabsichtigten Erhöhung von Berechtigungen führen kann.
So entfernen Sie inaktive Benutzerkonten:
Jetzt müssen Sie sowohl die Automation Suite als auch Ihren Identitätsanbieter (IdP) für die Integration konfigurieren.
Die Automation Suite kann sich mit jedem externen Identitätsanbieter (IdP) verbinden, der den SAML 2.0-Standard verwendet.
Obwohl die Konfiguration je nach Ihrem gewählten IdP variieren kann, haben wir die Konfiguration für die folgenden Anbieter validiert, die Sie als Referenz zum Konfigurieren der Integration verwenden können:
-
Okta
-
PingOne
Bei anderen Identitätsanbietern empfehlen wir Ihnen, deren Integrationsdokumentation zu befolgen.
Beispielkonfiguration für Okta
- Melden Sie sich in einer anderen Registerkarte im Browser bei der Okta-Administratorkonsole an.
- Gehen Sie zu „Anwendungen“ > „Anwendungen“, klicken Sie auf App-Integration erstellen und wählen Sie SAML 2.0 als Anmeldemethode aus.
- Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für die App an, mit der Sie die Integration vornehmen, also die Automation Suite.
-
Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein wie folgt aus:
-
URL für einmaliges Anmelden: Geben Sie den Wert der Assertion Consumer Service-URL ein, den Sie von der Automation Suite erhalten haben.
-
Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
-
Empfänger-URI: Geben Sie den Wert der Entitäts-ID ein, den Sie von der Automation Suite erhalten haben.
-
Name ID-Format: E-Mail-Adresse auswählen.
-
Anwendungsbenutzername: E-Mail auswählen
-
-
Fügen Sie bei Attributanweisungen Folgendes hinzu:
-
Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
. Beachten Sie, dass bei diesem Anspruch die Groß-/Kleinschreibung beachtet wird. -
Lassen Sie das Namensformat als Nicht angegeben.
-
Legen Sie den Wert auf
user.email
oder das Benutzerattribut fest, das die eindeutige E-Mail-Adresse des Benutzers enthält. -
Fügen Sie optional weitere Attributzuordnungen hinzu. Die Automation Suite unterstützt auch die Benutzerattribute Vorname, Nachname, Berufsbezeichnung und Abteilung. Diese Informationen werden dann an die Automation Suite weitergegeben, wo sie anderen Diensten wie dem Automation Hub zur Verfügung gestellt werden können.
-
- Wählen Sie auf der Seite Feedback die Option aus, die Sie bevorzugen.
- Klicken Sie Beenden an.
- Kopieren Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen unter Setup-Anweisungen anzeigen den Wert Metadaten-URL des Identitätsanbieters und speichern sie ihn für später.
- Wählen Sie die neu erstellte Anwendung für die Automation Suite auf der Seite Anwendung aus.
- Wählen Sie auf der Registerkarte Zuweisungen die Option „Zuweisen“ > „Personen zuweisen“ aus und wählen Sie dann die Benutzer aus, die die SAML-Authentifizierung für die Automation Suite verwenden möchten. Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.
Beispielkonfiguration für PingOne
- Melden Sie sich in einer anderen Registerkarte im Browser bei der Okta-Administratorkonsole an.
- Gehen Sie zu „Anwendungen“ > „Anwendungen“, klicken Sie auf App-Integration erstellen und wählen Sie SAML 2.0 als Anmeldemethode aus.
- Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für die App an, mit der Sie die Integration vornehmen, also die Automation Suite.
-
Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein wie folgt aus:
- URL für einmaliges Anmelden: Geben Sie den Wert der Assertion Consumer Service-URL ein, den Sie von der Automation Suite erhalten haben.
- Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
- Empfänger-URI: Geben Sie den Wert der Entitäts-ID ein, den Sie von der Automation Suite erhalten haben.
- Format der Namens-ID: EmailAddress auswählen.
- Anwendungsbenutzername: E-Mail auswählen
-
Fügen Sie bei Attributanweisungen Folgendes hinzu:
-
Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
. Beachten Sie, dass bei diesem Anspruch die Groß-/Kleinschreibung beachtet wird. - Lassen Sie das Namensformat als Nicht angegeben.
- Legen Sie den Wert auf
user.email
oder das Benutzerattribut fest, das die eindeutige E-Mail-Adresse des Benutzers enthält. - Fügen Sie optional weitere Attributzuordnungen hinzu. Die Automation Suite unterstützt auch die Benutzerattribute Vorname, Nachname, Berufsbezeichnung und Abteilung. Diese Informationen werden dann an die Automation Suite weitergegeben, wo sie anderen Diensten wie dem Automation Hub zur Verfügung gestellt werden können.
-
Name:
- Wählen Sie auf der Seite Feedback die Option aus, die Sie bevorzugen.
- Klicken Sie Beenden an.
- Kopieren Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen unter Setup-Anweisungen anzeigen den Wert Metadaten-URL des Identitätsanbieters und speichern sie ihn für später.
- Wählen Sie die neu erstellte Anwendung für die Automation Suite auf der Seite Anwendung aus.
- Wählen Sie auf der Registerkarte Zuweisungen die Option „Zuweisen“ > „Personen zuweisen“ aus und wählen Sie dann die Benutzer aus, die die SAML-Authentifizierung für die Automation Suite verwenden möchten. Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.
Um die Automation Suite als Dienstanbieter zu aktivieren, der Ihren Identitätsanbieter erkennt, führen Sie die folgenden Schritte aus:
Um zu überprüfen, ob die SAML-SSO-Integration ordnungsgemäß funktioniert, stellen Sie sicher, dass die Integration ausgeführt wird:
- Öffnen Sie ein Inkognito-Browserfenster.
- Navigieren Sie zu Ihrer organisationsspezifischen URL der Automation Suite.
- Überprüfen Sie Folgendes:
-
Werden Sie aufgefordert, sich mit Ihrem SAML-Identitätsanbieter anzumelden?
-
Können Sie sich erfolgreich anmelden?
-
Wenn Sie sich mit einer E-Mail-Adresse anmelden, die mit einem vorhandenen Benutzerkonto übereinstimmt, verfügen Sie dann über die entsprechenden Berechtigungen?
-
Administratoren können Just-in-Time-Bereitstellungsregeln einrichten, die Benutzer automatisch zu einer vorhandenen UiPath-Gruppe hinzufügen, indem sie die Attributnamen-/Wertpaare verwenden, die vom IdP bei der Anmeldung angegeben wurden. Durch die Nutzung von Gruppen erhalten Benutzer automatisch die richtigen Lizenzen und Rollen, wenn sie sich anmelden.
Just-in-Time-Bereitstellungsregeln werden überprüft, wenn sich ein Benutzer anmeldet. Wenn das Benutzerkonto die Bedingungen für eine Regel erfüllt, wird es automatisch der lokalen Gruppe hinzugefügt, die der Regel zugeordnet ist.
group
, Beziehung=is
, Wert=Automation User
.
Phase 1. Bereitstellungsgruppen einrichten
Das Hinzufügen eines Kontos zu einer Gruppe bedeutet, dass das Konto die für die Gruppe definierten Lizenzen, Rollen und Roboterkonfigurationen erbt, sofern vorhanden.
Wenn Sie also eine Gruppe für einen bestimmten Benutzertyp einrichten (z. B. Ihre Mitarbeiter, die die Automatisierungen erstellen, oder Ihre Mitarbeiter, die die Automatisierungen testen), können Sie einen neuen Mitarbeiter dieses Typs aufnehmen, indem Sie einfach dessen Konto im IdP auf die gleiche Weise wie andere ähnliche Konten einrichten.
Auf diese Weise richten Sie die Gruppe einmal ein und wiederholen dann die Einrichtung, indem Sie der Gruppe bei Bedarf Konten hinzufügen. Wenn sich die Einrichtung für eine bestimmte Gruppe von Benutzern ändern muss, müssen Sie die Gruppe nur einmal aktualisieren und die Änderungen gelten für alle Konten in der Gruppe.
So richten Sie eine Gruppe für eine Bereitstellungsregel ein:
-
Wenn Sie möchten, können Sie eine Ihrer vorhandenen Gruppen verwenden, anstatt eine neue zu erstellen.
-
(Optional und erfordert eine Benutzerlizenzverwaltung) Wenn Benutzer in dieser Gruppe Benutzerlizenzen benötigen, richten Sie Regeln für die Lizenzzuweisung für die Gruppe ein.
Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Lizenzzuweisung für die Gruppe, um sicherzustellen, dass die richtigen Lizenzen zugewiesen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die Zuweisungen oder erstellen Sie eine neue Gruppe.
-
Weisen Sie Mandantenrollen zu und vervollständigen Sie optional die Robotereinrichtung für die Gruppe. Siehe Zuweisen von Rollen zu Gruppen.
Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Rollen, die der Gruppe derzeit zugewiesen sind, um sicherzustellen, dass sie für den Benutzertyp geeignet sind, den Sie der Gruppe hinzufügen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die dieser Gruppe zugewiesenen Rollen oder erstellen Sie eine neue Gruppe.
-
Fügen Sie die Gruppe Ordnern hinzu und weisen Sie nach Bedarf Ordnerrollen zu. Siehe Verwalten des Ordnerzugriffs
Jetzt können Sie diese Gruppe in einer Bereitstellungsregel verwenden.
Phase 2. Eine Bereitstellungsregel für eine Gruppe erstellen
Stellen Sie sicher, dass der mit der SAML-Bereitstellungsregel verbundene Anspruch an die SAML-Nutzlast gesendet wird, indem Sie sie in der SAML-Anwendung konfigurieren.
Nachdem die SAML-Integration konfiguriert und nachdem Sie eine Gruppe eingerichtet haben:
- Wechseln Sie zu Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen.
-
Klicken Sie unter der Option SAML-SSO auf Bereitstellungsregeln anzeigen:
Die Seite SAML SSO-Bereitstellungsregeln wird geöffnet, auf der Ihre vorhandenen Regeln aufgeführt sind.
-
Klicken Sie in der oberen rechten Ecke der Seite auf Regel hinzufügen.
Die Seite Neue Regel hinzufügen wird geöffnet.
- Füllen Sie unter Grundlegende Details das Feld Regelname und optional das Feld Beschreibung aus.
-
Klicken Sie unter Bedingungen auf Regel hinzufügen.
Eine Reihe von Feldern für eine neue Bedingung wird hinzugefügt. Gemeinsam definieren sie die Kriterien, die ein Konto bei der Anmeldung erfüllen muss, um einer (später ausgewählten) Gruppe hinzugefügt zu werden.
- Geben Sie im Feld Anspruch den Namen des Anspruchs ein, so wie er im IdP angezeigt wird.
-
Wählen Sie auf der Liste Beziehung aus, wie sich der Anspruch auf den Wert bezieht. Die folgenden Optionen sind verfügbar:
Beziehung
Bedingungsanforderung
Beispiel
ist
genaue Übereinstimmung, Groß-/Kleinschreibung wird beachtet
Department is RPA
setzt voraus, dass der Wert für denDepartment
-AnspruchRPA
ist.Die Bedingung wird nicht erfüllt, wenn der Wert z. B.RPADev
ist.Diese Beziehung funktioniert für Ansprüche mit mehreren Werten.
Wenn beispielsweise die Werteadministrator
unddeveloper
unterGroup
gesendet werden, dann wäreGroup is administrator
eine gültige Beziehung.ist nicht
alles außer dem angegebenen Wert, Groß-/Kleinschreibung wird beachtet
BeiDepartment is not ctr
wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Wert vonDepartment
istctr
.Die Bedingung ist erfüllt, wenn die AbteilungCtr
oderelectr
ist.enthält
beinhaltet, erfordert keine exakte Übereinstimmung, Groß-/Kleinschreibung wird beachtet
Department contains RPA
erfordert, dass der Wert für denDepartment
-AnspruchRPA
enthält.Die Bedingung wird erfüllt, wenn der Wert z. B.RPADev
,xRPAx
oderNewRPA
ist.enthält nicht
schließt aus, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird beachtet
BeiDepartment not contains ctr
wird der Gruppe jedes Konto hinzugefügt, es sei denn, derDepartment
-Wert enthältctr
.Konten, für die die Abteilung z. B.ctr
oderelectr
ist, werden der Gruppe nicht hinzugefügt.Groß-/Kleinschreibung wird nicht berücksichtigt
genaue Übereinstimmung, Groß-/Kleinschreibung wird nicht beachtet
Department is case insensitive RPA
erfordert, dass der Wert für denDepartment
-Anspruchrpa
ist, in beliebiger Groß-/KleinschreibungDie Bedingung wird erfüllt, wenn der Wert z. B.rpa
ist. Die Bedingung wird nicht erfüllt, wenn der Wert z. B.crpa
ist.enthält Elemente ohne Berücksichtigung von Groß-/Kleinschreibung
beinhaltet, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird nicht beachtet
Department contains case insensitive RPA
erfordern, dass der Wert für denDepartment
-Anspruch in jeder Groß-/KleinschreibungRPA
enthält.Die Bedingung wird erfüllt, wenn der Wert z. B.rpa
,cRPA
oderrpA
ist. - Geben Sie in das Feld Wert den Wert ein, der zum Erfüllen der Bedingung erforderlich ist.
-
Wenn Sie eine weitere Bedingung hinzufügen möchten, klicken Sie auf Regel hinzufügen und legen Sie so eine neue Bedingungszeile an.
Wenn Sie mehrere Bedingungen hinzufügen, müssen alle Bedingungen erfüllt sein, damit die Bereitstellungsregel gilt. Wenn Sie zum Beispiel die RegelnDepartment is RPA
undTitle is Engineer
definieren, werden nur Benutzer, die sowohl in der RPA-Abteilung sind als auch den Titel „Engineer“ tragen, zu den angegebenen Gruppen hinzugefügt. Ein Konto mit der RPA-Abteilung, aber dem Titel „QA“ wird nicht zu den Gruppen hinzugefügt. -
Beginnen Sie unter Gruppen zuweisen im Feld Gruppen hinzufügen mit der Eingabe des Namens einer Gruppe und wählen Sie dann eine Gruppe aus der Ergebnisliste aus. Wiederholen Sie den Vorgang, um bei Bedarf weitere Gruppen hinzuzufügen.
Wenn die Bedingungen erfüllt sind, werden diesen Gruppen automatisch Konten hinzugefügt, wenn sie sich anmelden.
- Klicken Sie in der unteren rechten Ecke auf Speichern, um die Regel hinzuzufügen.
Wenn eine Regel vorhanden ist, sich ein Benutzer anmeldet und dessen Konto die Bedingungen für eine Regel erfüllt, dann wird sein Konto zu den Bereitstellungsgruppen hinzugefügt, die der Regel zugeordnet sind. Darüber hinaus wird sein Konto für die Verwendung eingerichtet.
Nachdem die Berechtigungen konfiguriert wurden, empfehlen wir Ihnen, alle bestehenden Benutzer aufzufordern, sich von ihrem UiPath-Konto abzumelden und über SAML-SSO anzumelden.
Um sich mit SAML-SSO bei Studio und dem Assistant anzumelden, müssen Benutzer den Assistant wie folgt konfigurieren:
Dies ist nur für neue Benutzer erforderlich, die die Automation Suite noch nicht verwendet haben und daher kein lokales Konto für sie in der Automation Suite eingerichtet hatten, als die Integration aktiviert wurde.
Sie können neue Benutzer zu Automation Suite-Gruppen anhand ihrer E-Mail-Adresse hinzufügen (wie sie beim externen IdP verwendet wird). Sobald ein Benutzer einer Gruppe zugewiesen wurde oder sich angemeldet hat, ist er über die Suche nach Rollenzuweisungen in allen Automation Suite-Diensten verfügbar.
Nachdem alle Benutzer auf SAML-SSO übertragen wurden und die neuen Benutzer eingerichtet sind, empfehlen wir Ihnen, alle lokalen Benutzerkonten, die keine Administratorkonten sind, zu entfernen. Dadurch wird sichergestellt, dass sich Benutzer nicht mehr mit ihren lokalen Kontoanmeldeinformationen anmelden können und sich mit SAML-SSO anmelden müssen.
Bei Problemen mit der SAML-Integration (z. B. bei der Aktualisierung eines abgelaufenen Zertifikats) oder beim Wechsel zu einer anderen Authentifizierungsoption wird ein lokales Benutzerkonto mit der Administratorrolle empfohlen.
- Übersicht über den Konfigurationsprozess
- Bekannte Einschränkungen
- Konten von Ihrem Identitätsanbieter können nicht durchsucht werden.
- Verzeichnisbenutzer auf Organisationsebene können nicht angezeigt werden.
- Voraussetzungen
- Schritt 1. Inaktive Benutzerkonten bereinigen
- Schritt 2. Die SAML-Integration konfigurieren
- Schritt 2.1. Informationen zum SAML-Dienstanbieter abrufen
- Schritt 2.2. Ihren Identitätsanbieter konfigurieren
- Schritt 2.3. Automation Suite konfigurieren
- Schritt 2.4. Überprüfen Sie, ob die Integration ausgeführt wird.
- Schritt 2.5. Bereitstellungsregeln konfigurieren (optional)
- Schritt 3. Ihre Benutzer auf SAML-SSO umstellen
- Schritt 4. Berechtigungen und Roboter konfigurieren
- Schritt 5. Lokale Benutzerkonten nicht mehr verwenden (optional)