automation-suite

2024.10

true

Wichtig :

Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

Automation Suite-Administratorhandbuch

Letzte Aktualisierung 30. Mai 2025

Konfigurieren von SSO: SAML 2.0

Sie können SSO mit jedem Identitätsanbieter aktivieren, der das Authentifizierungsprotokoll SAML 2.0 unterstützt.

Überblick

Die Aktivierung von SAML SSO ist ein mehrstufiger Prozess, bei dem Sie die folgende Konfiguration vornehmen müssen:

Konfigurieren Sie Ihren Identitätsanbieter so, dass er die UiPath Platform als Dienstanbieter erkennt.
Konfigurieren Sie die UiPath Platform als Dienstanbieter, um Ihren Identitätsanbieter zu erkennen und ihm zu vertrauen.
Stellen Sie Benutzer in Ihrer Organisation bereit, damit sie sich mit SSO über das SAML 2.0-Protokoll Ihres Identitätsanbieters anmelden können.

Schritt 1. Konfigurieren Ihres Identitätsanbieters

UiPath unterstützt mehrere Identitätsanbieter.

In diesem Abschnitt wird veranschaulicht, wie Sie die spezifische Konfiguration finden und die Zertifikate für jeden der folgenden Identitätsanbieter erhalten:

ADFS
Google
Okta
PingOne

A. Konfigurieren von ADFS

Konfigurieren Sie eine Maschine für ADFS-Unterstützung und stellen Sie sicher, dass Sie auf die ADFS-Verwaltungssoftware zugreifen können. Wenden Sie sich bei Bedarf an Ihren Systemadministrator.

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der ADFS-Dokumentation.

Öffnen Sie die ADFS-Verwaltung und definieren Sie eine neue Vertrauensstellung der vertrauenden Seite für den Orchestrator wie folgt:
1. Wählen Sie Vertrauensstellung der vertrauenden Seite aus.
2. Wählen Sie im Panel Aktionen die Option Vertrauensstellung der vertrauenden Seite hinzufügen aus. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Seite wird angezeigt.
3. Wählen Sie im Abschnitt Willkommen die Option Anspruchsbezogen aus.
4. Wählen Sie im Abschnitt Daten auswählen die Option Daten über vertrauende Partei manuell eingeben aus.
5. Fügen Sie im Abschnitt Anzeigename angeben im Feld Anzeigename die URL der Orchestrator-Instanz ein.
6. Der Abschnitt Zertifikat konfigurieren benötigt keine spezifischen Einstellungen, d. h. Sie können ihn so lassen, wie er ist.
7. Wählen Sie im Abschnitt URL konfigurieren die Option Unterstützung für das SAML 2.0 Web SSO-Protokoll aus.
8. Geben Sie im Feld SAML 2.0 SSO Dienst-URL der vertrauenden Seite die Identitätsbasis-URL Ihrer Automation Suite-Instanz sowie das Suffix /Saml2/Acs ein. Beispiel: https://{yourDomain}/{organizationName}/identity_.
9. Geben Sie im Feld Bezeichner der Vertrauensstellung der vertrauenden Seite im Abschnitt Bezeichner konfigurieren die Basis-URL der Identität ein, z. B..https://{yourDomain}/{organizationName}/identity_
10. Stellen Sie im Abschnitt Zugriffssteuerungsrichtlinie auswählen sicher, dass Sie die Zugriffssteuerungsrichtlinie Allen Benutzern Zugriff gewähren auswählen.
11. Die Optionen Bereit zum Hinzufügen der Vertrauensstellung und Fertig stellen benötigen keine spezifischen Einstellungen, also lassen Sie sie so, wie sie sind.
  Die neu hinzugefügte Vertrauensstellung wird im Fenster Vertrauensstellung der vertrauenden Seite angezeigt.
12. Wechseln Sie zu Aktionen > Eigenschaften > Endpunkte und stellen Sie sicher, dass bei Bindung „POST“ ausgewählt ist und dass das Kontrollkästchen Vertrauenswürdige URL als Standard festlegen aktiviert ist.
  
  Die Endpunktbindung muss Post sein. Andere Bindungen wie etwa redirect sind nicht mit UiPath® kompatibel, da ADFS keine Umleitungsassertionen signiert.
13. Wechseln Sie zu Aktionen > Eigenschaften > Bezeichner und stellen Sie sicher, dass die Identitätsbasis-URL vorhandenhttps://{yourDomain}/{organizationName}/identity_ ist,.
Wählen Sie die Vertrauensstellung der vertrauenden Seite und im Panel Aktionen die Option Richtlinie zur Anspruchsausstellungsrichtlinie bearbeiten aus.

Der Assistent zum Bearbeiten der Richtlinie zur Anspruchsausstellung wird angezeigt.

Wählen Sie Regel hinzufügen aus und erstellen Sie eine neue Regel mit der Vorlage LDAP-Attribute als Claims senden mit den folgenden Einstellungen, wie in der Tabelle beschrieben:

LDAP-Attribut	Ausgehender Anspruchstyp
E-Mail-Adressen	E-Mail-Adresse
Benutzerprinzipalname	Namens-ID

Nachdem Sie ADFS konfiguriert haben, öffnen Sie PowerShell als Administrator und führen Sie folgende Befehle aus:
1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
  
  Ersetzen Sie DISPLAYNAME durch den in Schritt 1 festgelegten Wert.
2. Restart-Service ADFSSRV.

B. Konfigurieren von Google

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Google-Dokumentation.

Melden Sie sich als Administrator bei der Administratorkonsole an, wechseln Sie zu Apps und dann zu Web- und mobile Apps.
Wählen Sie App hinzufügen und dann Benutzerdefinierte SAML-App hinzufügen aus.
Geben Sie auf der Seite App-Details einen Namen für Ihre Automation Suite-Instanz ein.
Kopieren Sie auf der Seite „Details zu Google als Identitätsanbieter“ Folgendes und speichern Sie es für später:
- SSO-URL
- Entitäts-ID
Laden Sie das Zertifikatherunter, öffnen Sie es mit einem Texteditor, kopieren und speichern Sie den Wert für den nächsten Teil der Einrichtung in Schritt 2. Konfigurieren der Automation Suite.
Geben Sie auf der Seite Details zum Dienstanbieter Folgendes ein:
- ACS-URL: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
- Entitäts-ID: https://{yourDomain}/{organizationName}/identity_
Geben Sie auf der Seite Attributzuordnung die folgenden Zuordnungen an:
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  Beachten Sie, dass bei diesem Anspruch die Groß-/Kleinschreibung beachtet wird.
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Nachdem Sie die SAML-App konfiguriert haben, wechseln Sie in der SAML-App der Automation Suite zu Benutzerzugriff auf der Google-Administratorkonsole und wählen Sie Für alle aktivieren aus.

C. Konfigurieren von Okta

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Okta-Dokumentation.

Melden Sie sich bei der Okta-Administratorkonsole an, wechseln Sie zu Anwendungen > Anwendungen, wählen Sie App-Integration erstellen aus und wählen Sie SAML 2.0 als Anmeldemethode aus.
Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für Ihre Automation Suite-Instanz an.
Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein aus.
Zum Beispiel:
- URL für einmaliges Anmelden(SSO): Die URL der Identitätsbasis /Saml2/Acs +. Beispiel: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs .
- Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
- Empfänger-URI: https://{yourDomain}/{organizationName}/identity_
- Name ID-Format (Name ID Format): E-Mail-Adresse (EmailAddress)
- Anwendungs-Benutzername: E-Mail-Adresse
Füllen Sie den Abschnitt Attributanweisungen aus:
- Geben Sie in das Feld Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein. Beachten Sie, dass bei diesem Anspruch die Groß-/Kleinschreibung beachtet wird.
- Wählen Sie in der Liste Wert die Option user.email aus.
Wählen Sie im Abschnitt Feedback die gewünschte Option aus.
Wählen Sie Fertig stellen aus.
Wählen Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen die Option Setup-Anweisungen anzeigen aus.
Sie werden zu einer neuen Seite mit den Anweisungen umgeleitet, die zum Abschließen des nächsten Teils der Einrichtung in Schritt 2 erforderlich sind. Konfigurieren der Automation Suite:
- Anmelde-URL des Identitätsanbieters
- Identitätsanbieter-Aussteller
- X.509-Zertifikat
Damit Benutzer die Okta-Authentifizierung verwenden können, muss ihnen die neu erstellte Anwendung zugewiesen werden:
1. Wählen Sie auf der Seite Anwendung (Application) die neu erstellte Anwendung aus.
2. Wählen Sie auf der Registerkarte Zuordnungen die Option Zuweisen > Zu Mitarbeitern zuweisen und anschließend die Benutzer aus, denen die erforderlichen Berechtigungen erteilt werden sollen. Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

D. Konfigurieren von PingOne

Hinweis: Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführlichere Anweisungen finden Sie in der PingOne-Dokumentation .

Fügen Sie eine Webanwendung hinzu, die sich mit SAML in PingOne verbindet, und zwar mit den folgenden Angaben:
1. Wählen Sie auf der Seite SAML-Verbindung konfigurieren die Option Manuell eingeben aus und geben Sie Folgendes ein:
  - ACS-URLS: Identitätsbasis-URL (Groß-/Kleinschreibung beachten) + /Saml2/Acs . Beispiel: https://{yourDomain}/{organizationName}/identity_.
  - Entitäts-ID: https://{yourDomain}/{organizationName}/identity_
  - SLO-Bindung: HTTP-Umleitung
  - Assertion-: Geben Sie die Gültigkeitsdauer in Sekunden ein.
2. Ordnen Sie auf der Seite Attribute zuordnen das folgende Attribut zu:
  E-Mail-Adresse = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Beachten Sie, dass bei diesem Anspruch die Groß-/Kleinschreibung beachtet wird.
Suchen Sie auf der Seite Verbindungen > Anwendungen die Anwendung, die Sie gerade erstellt haben, und wählen Sie das Symbol am rechten Ende des Feldes aus, um ihre Details anzuzeigen.
Kopieren und speichern Sie die folgenden Werte auf der Registerkarte Profil für den nächsten Teil der Einrichtung, der in Schritt 2 weiter beschrieben wird:
- Client-ID
- URL der Startseite.
Wenn Sie es während der Anwendungseinrichtung nicht heruntergeladen haben, laden Sie das PingOne-Signaturzertifikat herunter:
1. Gehen Sie zu Verbindungen > Zertifikate und Schlüsselpaare.
2. Suchen Sie die Anwendung, die Sie gerade erstellt haben, und wählen Sie sie am rechten Ende des Feldes aus, um ihre Details anzuzeigen.
3. Wählen Sie rechts auf der Registerkarte Details die Option Zertifikat herunterladen und dann das Format .crt aus.
Öffnen Sie die Zertifikatsdatei in einem beliebigen Texteditor, kopieren und speichern Sie den Zertifikatswert für den nächsten Teil der Einrichtung, der in Schritt 2 weiter beschrieben wird.

Schritt 2. `Automation Suite`konfigurieren

So aktivieren Sie Automation Suite als Dienstanbieter, der Ihren Identitätsanbieter erkennt:

Melden Sie sich bei host portal als Systemadministrator an.
Stellen Sie sicher, dass Host oben im linken Bereich ausgewählt ist, und wählen Sie dann Sicherheit aus.
Wählen Sie Konfigurieren unter SAML SSO aus und befolgen Sie die Anweisungen für den von Ihnen verwendeten Identitätsanbieter:
1. So konfigurieren Sie SAML für ADFS:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Geben Sie im Feld ID der Dienstanbieterentität https://{yourDomain}/{organizationName}/identity_ ein.
  5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert ein, den Sie beim Konfigurieren der ADFS-Authentifizierung erhalten haben.
  6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert ein, den Sie beim Konfigurieren der ADFS-Authentifizierung erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback ein.
  9. Legen Sie den Parameter Zuordnungsstrategie für externen Benutzer auf Nach Benutzer-E-Mail fest.
  10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  11. Fügen Sie den Zertifikatstext in das Feld Signaturzertifikat ein.
2. So konfigurieren Sie SAML für Google:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Geben Sie im Feld ID der Dienstanbieterentität https://{yourDomain}/{organizationName}/identity_ ein.
  5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert der Entitäts-ID ein, den Sie beim Konfigurieren der Google-Authentifizierung erhalten haben.
  6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert der SSO-URL ein, den Sie beim Konfigurieren der Google-Authentifizierung erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback ein.
  9. Wählen Sie für Externe Benutzerzuordnungsstrategie dieOption Nach Benutzer-E-Mailaus.
  10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  11. Fügen Sie im Feld Signaturzertifikat den Zertifikatswert ein, den Sie beim Konfigurieren von Google erhalten haben.
3. So konfigurieren Sie SAML für Okta:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Geben Sie im Feld ID der Dienstanbieterentität https://{yourDomain}/{organizationName}/identity_ ein.
  5. Fügen Sie im Feld ID der Identitätsanbieterentität den Wert des Identitätsanbieter-Ausstellers ein, den Sie beim Konfigurieren von Okta erhalten haben.
  6. Fügen Sie im Feld URL des Diensts für einmaliges Anmelden den Wert der Anmelde-URL des Identitätsanbieters ein, den Sie beim Konfigurieren von Okta erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback ein.
  9. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  10. Fügen Sie im Feld Signaturzertifikat den X.509-Zertifikatswert ein, den Sie beim Konfigurieren von Okta erhalten haben.
4. So konfigurieren Sie SAML für PingOne:
  1. Aktivieren Sie das Kontrollkästchen Aktiviert.
  2. Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten.
  3. Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  4. Fügen Sie Ihre Automation Suite-URL im Feld ID der Dienstanbieterentität im Format https://{yourDomain}/{organizationName}/identity_ ein.
  5. Fügen Sie den Wert Aussteller-ID in das Feld ID der Identitätsanbieterentität ein, den Sie beim Konfigurieren von PingOne erhalten haben.
  6. Legen Sie den Parameter URL des Diensts für einmaliges Anmelden auf den Wert der URL für einmaliges Anmelden fest, den Sie beim Konfigurieren von PingOne erhalten haben.
  7. Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
  8. Geben Sie im Feld Rückgabe-URL https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback ein.
  9. Legen Sie die Zuordnungsstrategie für externen Benutzer auf Nach Benutzer-E-Mail fest.
  10. Wählen Sie für den SAML-Bindungstyp die Option HTTP-Redirect aus.
  11. Fügen Sie den Wert, den Sie beim Konfigurieren von PingOne erhalten haben, in das Feld Signaturzertifikat ein.
Wählen Sie Speichern aus, um die Änderungen zu speichern und zur vorherigen Seite zurückzukehren.
Wählen Sie den Umschalter links neben SAML SSO aus, um die Integration zu aktivieren.
Starten Sie den Pod „identity-service-api-*“ neu. Dies ist erforderlich, nachdem Sie Änderungen an den externen Anbietern vorgenommen haben.
1. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
2. Führen Sie den folgenden Befehl aus:
  
  kubectl -n uipath Rollout Deployment neu starten Identity-Service-API

Schritt 3. Optionale Einstellungen

Die folgende Konfiguration ist optional und ist nur erforderlich, wenn Sie eine oder beide erweiterten Sicherheitsfunktionen verwenden möchten.

Schritt 3.1. Benutzerdefinierte Zuordnung

ADFS, Google und OKTA verwenden Ihre E-Mail-Adresse als SAML-Attribut. Dieser Abschnitt behandelt benutzerdefinierte SAML-Zuordnungen basierend auf dem Benutzernamen oder dem Schlüssel eines externen Anbieters.

Wichtig: Das Konfigurieren benutzerdefinierter Zuordnungsattribute wirkt sich auf das gesamte System aus, d. h. sie gelten für alle vorhandenen Identitätsanbieter. Infolgedessen kann kein anderer Anbieter (Azure, Windows) arbeiten, während eine neue Zuordnung festgelegt wird.

Die folgenden Parameter müssen in der SAML SSO-Konfiguration auf der Seite „Sicherheit“ auf Hostebene festgelegt werden.

Zuordnungsstrategie für externen Benutzer – Definiert die Zuordnungsstrategie. Folgende Optionen stehen zur Verfügung:
- By user email - Ihre E-Mail-Adresse wird als Attribut angegeben. Dies ist der Standardwert.
- By username - Ihr Benutzername wird als Attribut angegeben.
- By external provider key - Ein externer Provider-Schlüssel wird als Attribut angegeben.
Anspruchsbezeichnername des externen Benutzers – Definiert den Anspruch, der als Bezeichner für die Zuordnung verwendet werden soll. Ist nur erforderlich, wenn Sie Ihren Benutzernamen als Attribut festlegen.