- Versionshinweise
- Erste Schritte
- Installation
- Hard- und Softwareanforderungen
- Serverinstallation
- Aktualisierung der Lizenz
- Bereitstellen des UiPath Process Mining-Profilers
- Bereitstellen eines Connectors (.mvp)
- Aktualisieren von UiPath Process Mining
- Aktualisieren einer benutzerdefinierten Version einer App oder eines Discovery Accelerators
- Installieren einer Trainingsumgebung
- Konfiguration
- Integrationen
- Authentication
- Working with Apps and Discovery Accelerators
- AppOne-Menüs und -Dashboards
- AppOne-Einrichtung
- Menüs und Dashboards von TemplateOne 1.0.0
- Setup von TemplateOne 1.0.0
- TemplateOne menus and dashboards
- Setup von TemplateOne 2021.4.0
- Purchase-to-Pay Discovery Accelerator-Menüs und -Dashboards
- Einrichtung des Purchase-to-Pay-Discovery-Beschleunigers
- Menüs und Dashboards des Order-to-Cash Discovery Accelerators
- Einrichtung des Order-to-Cash Discovery-Beschleunigers
- Basic Connector for AppOne
- Bereitstellen des einfachen Connectors
- Einführung zu Basic Connector
- Eingabetabellen des Basic Connectors
- Hinzufügen von Tags
- Hinzufügen von Automatisierungsschätzungen
- Hinzufügen von Fälligkeitsdaten
- Hinzufügen von Referenzmodellen
- Einrichten von praktisch umsetzbaren Erkenntnissen
- Festlegen von reduzierbaren Diagrammen
- Verwenden des Ausgabe-Datasets in AppOne
- Output tables of the Basic Connector
- SAP Connectors
- Introduction to SAP Connector
- SAP-Eingabe
- Überprüfen der Daten im SAP Connector
- Hinzufügen von prozessspezifischen Tags zum SAP Connector für AppOne
- Hinzufügen von prozessspezifischen Fälligkeitsdaten zum SAP Connector für AppOne
- Hinzufügen von Automatisierungsschätzungen zum SAP Connector für AppOne
- Hinzufügen von Attributen zum SAP Connector für AppOne
- Hinzufügen von Aktivitäten zum SAP Connector für AppOne
- Hinzufügen von Entitäten zum SAP Connector für AppOne
- SAP Order to Cash Connector für AppOne
- SAP Purchase to Pay Connector für AppOne
- SAP Connector for Purchase to Pay Discovery Accelerator
- SAP Connector für den Order-to-Cash Discovery Accelerator
- Superadmin
- Die Registerkarte Arbeitsbereiche
- Die Registerkarte Entwicklungsdaten
- Die Registerkarte Versionen
- Die Registerkarte Freigegebene Daten
- The Builds tab
- Die Registerkarte Serverdaten
- Die Registerkarte Einstellungen (Settings)
- Die Registerkarte Superadmin-Benutzer
- Die Registerkarte Status
- Die Registerkarte Lizenz
- Erstellen von Releases
- Anzeigen des Verlaufs der Verzweigung
- Creating Apps
- Modules
- Dashboards und Diagramme
- Tabellen und Tabellenelemente
- Anwendungsintegrität
- How to ....
- Arbeiten mit SQL-Connectors
- Introduction to SQL connectors
- Setting up a SQL connector
- CData Sync extractions
- Running a SQL connector
- Editing transformations
- Freigeben eines SQL-Connectors
- Scheduling data extraction
- Structure of transformations
- Using SQL connectors for released apps
- Generating a cache with scripts
- Setting up a local test environment
- Separate development and production environments
- Nützliche Ressourcen
Process Mining-Benutzerhandbuch
Einrichten von einmaliger Anmeldung über SAML für Microsoft Active Directory
Einleitung
Auf dieser Seite wird beschrieben, wie Sie Single Sign-On basierend auf SAML für Microsoft Active Directory einrichten.
Identitätsanbieter
Um einmaliges Anmelden basierend auf SAML zu aktivieren, müssen sowohl UiPath Process Mining als auch ADFS ordnungsgemäß konfiguriert sein, damit sie miteinander kommunizieren können. Siehe auch Konfigurieren von ADFS.
Lesen Sie die offizielle Microsoft-Dokumentation, und konfigurieren Sie die Authentifizierung mithilfe der Antwortelemente wie unten beschrieben.
Antragsteller
nameID: Ein persistenter Bezeichner für den Benutzer (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).
Attributanweisungen („Ansprüche“)
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: Der vollständige Name des Benutzers.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress: Die E-Mail-Adresse des Benutzers.http://schemas.xmlsoap.org/claims/Group: Entweder eine einzelne Gruppen-ID oder ein Array von Gruppen-IDs.Hinweis:Process Mining unterstützt nur von Service Provider initiierte (SP) SSO, bei denen der Identitäts-Provider den Parameter
RelayStateunterstützen muss. Das bedeutet, dass der Benutzer zur Process Mining-Anmeldeseite navigiert, von der er zum Identitätsanbieter umgeleitet wird, um sich anzumelden.
Wenn SAML aktiviert und korrekt konfiguriert ist, wird unten auf der Anmeldeseite eine Schaltfläche angezeigt. Siehe Abbildung unten.
If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.
Konfigurieren von UiPath Process Mining für Single Sign-On
-
Wechseln Sie zur Registerkarte Einstellungen der Seite Superadministrator Ihrer UiPath Process Mining- Installation, um die Servereinstellungen zu konfigurieren . Siehe Abbildung unten.
-
Fügen Sie die erforderlichen SAML-Einstellungen in der
ExternalAuthenticationProviders-Einstellung der Servereinstellungen hinzu. Nachfolgend finden Sie eine Beschreibung der JSON-Schlüssel dessaml-Objekts.
| Schlüssel | Beschreibung | Obligatorisch |
|---|---|---|
| entrypoint | Geben Sie die URL zum Remote-Identitätsanbieter an. | Ja |
| Aussteller | Ermöglicht es Ihnen, die Ausstellerzeichenfolge anzugeben, die an den Identitätsanbieter geliefert werden soll. Der Standardwert ist auf die Process Mining-URL festgelegt. | Nein |
| AuthnContext | Ermöglicht Ihnen, die Authentifizierungsmethode anzugeben, die vom Identitätsanbieter angefordert werden soll. Standardmäßig wird kein Authentifizierungskontext angefordert. | Nein |
| Zertifikat | Ermöglicht Ihnen die Angabe des Signaturzertifikats zur Validierung der Antworten des Identitätsanbieters als einzeiliges PEM-codiertes X.509-Format mit Zeilenumbrüchen, die durch „\)) ersetzt werden. '. | Nein |
| Privater Schlüssel | Ermöglicht Ihnen die Angabe des Schlüssels zum Signieren von Anforderungen, die an den Remote-Identitätsanbieter gesendet werden, als einzeiliges PEM-codiertes X.509-Format, wobei Zeilenumbrüche durch „\)) ersetzt werden. '. | Nein |
| Signaturalgorithmus | Ermöglicht Ihnen, den Signaturalgorithmus anzugeben, der beim Signieren von Anforderungen verwendet wird. Mögliche Werte sind: • sha1; • sha256; • sha512. | Nein |
| BezeichnerFormat | Namens-ID-Format, das vom Identitätsanbieter angefordert werden soll. Der Standardwert ist „urn:oasis:names:tc:SAML:2.0:nameid-format:persistent“. | Nein |
| ValidateInResponseTo | Wenn auf „true“ festgelegt, wird „InResponseTo“ aus eingehenden SAML-Antworten validiert. Der Standardwert ist „true“. | Nein |
| loggingLevel | Ermöglicht Ihnen anzugeben, ob Sie dem Protokoll im Ordner [PLATFORMDIR]/logs/iisnode Informationen zum Anmeldeprozess hinzufügen möchten. Mögliche Werte: • Informationen; • warnen; • Fehler. Hinweis: Es wird empfohlen, diese Option nur zu aktivieren, wenn Sie Probleme mit der Anmeldung haben. | Nein |
Nachfolgend finden Sie ein Beispiel für die Servereinstellungen mit der ExternalAuthenticationProviders -Einstellung mit dem saml -Objekt für eine grundlegende ADFS-Konfiguration.
Nachfolgend finden Sie ein Beispiel für die Servereinstellungen mit der Einstellung ExternalAuthenticationProviders mit dem saml -Objekt für eine ADFS-Konfiguration mit bidirektionaler Zertifikatsüberprüfung.
- Klicken Sie auf SPEICHERN , um die neuen Einstellungen zu speichern.
- Drücken Sie F5, um die Superadmin-Seite zu aktualisieren. Dadurch werden die neuen Einstellungen geladen und es können SAML-Gruppen basierend auf diesen Einstellungen erstellt werden.
Automatische Anmeldung
Stellen Sie sicher, dass Single Sign-On ordnungsgemäß funktioniert, bevor Sie die automatische Anmeldung aktivieren. Das Aktivieren der automatischen Anmeldung, wenn SSO nicht ordnungsgemäß eingerichtet ist, kann dazu führen, dass sich Benutzer, die von der Einstellung für die automatische Anmeldung betroffen sind, nicht mehr anmelden können.
Mit der AutoLogin wird der Benutzer automatisch mit der aktuell aktiven SSO-Methode angemeldet.
Standardmäßig ist AutoLogin auf none festgelegt. Wenn Sie die automatische Anmeldung für Endbenutzer und/oder Superadmin-Benutzer aktivieren möchten, können Sie dies in AutoLogin auf der Registerkarte Superadmin-Einstellungen angeben. Siehe Die Registerkarte „Einstellungen“.
Wenn Sie sich über localhost anmelden, wird die automatische Anmeldung für Superadmin-Benutzer immer deaktiviert.
Fehlersuche und ‑behebung
SAML-Beispielantwort
Beachten Sie insbesondere den Inhalt des Elements saml:AttributeStatement .
Klicken Sie hier , um zu sehen, wie die erwartete Antwort für saml:AttributeStatement aussehen sollte, was bei der Konfiguration des Identitätsanbieters helfen kann.
Protokolldateien
Wenn die Benutzeranmeldung nach dem Einrichten der Kommunikation zwischen dem Identitätsanbieter und Process Mining fehlschlägt, wird empfohlen, die Protokolldateien im Ordner [INSTALLDIR]/logs zu überprüfen.
Unten sehen Sie ein Beispiel für eine Protokollzeile von einem verweigerten Zugriff.
[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].
Die Liste Gültige Gruppen enthält den Satz von Gruppen, die vom Identitätsanbieter für den Benutzer „Jim Smith“ empfangen wurden. „Jim Smith“ ist Mitglied einer Gruppe, „Administratoren“. In Process Mining wird nur die Gruppe mit dem langen Distinguished Name konfiguriert. „Jim Lister“ wird der Zugriff verweigert, da „Administratoren“ nicht in den gültigen Gruppen aufgeführt ist.
Lösung
Sie sollten entweder den Identitätsanbieter so konfigurieren, dass der vollständige eindeutige Name gesendet wird, oder die Gruppe „Administratoren“ in Process Mining so konfigurieren, dass sie nur auf den allgemeinen Namen verweist.
Nächste Schritte
Um die Authentifizierung mit SAML zu verwenden, müssen Sie eine oder mehrere AD-Gruppen erstellen, damit sich Mitglieder anmelden können. Für Superadmin-Benutzer oder App-Entwickler können Sie AD-Gruppen auf der Registerkarte Superadmin-Benutzer erstellen. Siehe Hinzufügen von Superadmin-AD-Gruppen.
Für die Endbenutzerauthentifizierung können AD-Gruppen auf der Seite Endbenutzerverwaltung erstellt werden. Siehe: Hinzufügen von Endbenutzer-AD-Gruppen.