Test Cloud-Administratorhandbuch

Bekannte Einschränkungen​

• Verschlüsselte SAML-Assertionen von Ihrem Identitätsanbieter werden nicht unterstützt.
• Sie können nicht nach Benutzern und Gruppen von Ihrem Identitätsanbieter suchen. Nur bereitgestellte Benutzer des Verzeichnisses sind für die Suche verfügbar.
• Sie können Verzeichnisbenutzer nicht auf Organisationsebene anzeigen. Auf Organisationsebene werden nur lokale Benutzer angezeigt. Bei der Just-in-Time-Bereitstellung werden Verzeichnisbenutzer hinzugefügt, sodass sie nicht auf der Seite Konten und Gruppen in UiPath angezeigt werden.

Voraussetzungen​

• Ein Lizenzierungsplan vom Typ Enterprise. Weitere Informationen zu den Lizenzierungstarifen finden Sie unter Rahmenwerk für Unified Pricing-Lizenzierungspläne.
• Administratorberechtigungen sowohl in der UiPath-Organisation als auch bei Ihrem externen Identitätsanbieter. Wenn Sie bei Ihrem Identitätsanbieter nicht über Administratorberechtigungen verfügen, können Sie mit einem Administrator zusammenarbeiten, um den Einrichtungsprozess abzuschließen.
• Version 2020.10.3 oder höher von UiPath® Studio und vom UiPath Assistant, damit Sie sie so einrichten können, dass die empfohlene Bereitstellung verwendet wird .

Schritt 1. Inaktive Benutzerkonten bereinigen​

1. Melden Sie sich bei UiPath als Organisationsadministrator an.

2. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation und dann Konten und Gruppen aus. Die Seite Konten und Gruppen für die Organisation wird auf der Registerkarte Benutzer geöffnet.

3. Wählen Sie den Spaltenheader für die Spalte Zuletzt aktiv aus, um Benutzer so zu sortieren, dass die Benutzer mit dem ältesten Datum der letzten Anmeldung ganz oben angezeigt werden. In der Spalte Zuletzt aktiv wird das Datum der letzten Anmeldung des Benutzers angezeigt. Wenn in dieser Spalte ausstehend, bedeutet dies, dass der Benutzer sich nie angemeldet hat.

4. Wählen Sie das Symbol Löschen am Ende der Zeile aus, um das lokale Konto für diesen Benutzer zu entfernen.

   

5. Wählen Sie im Bestätigungsdialogfeld die Option Löschen aus, um das Löschen des Kontos aus UiPath zu bestätigen. Das Benutzerkonto wird von der Seite entfernt.

6. Löschen Sie weiterhin alle inaktiven Benutzerkonten in Ihrer Organisation.

Schritt 2. Die SAML-Integration konfigurieren​

Schritt 2.1. Informationen zum SAML-Dienstanbieter abrufen​

1. Melden Sie sich bei UiPath als Organisationsadministrator an.

2. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation aus und wählen Sie dann Sicherheit aus. Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.

3. Wählen Sie unter Verzeichniskonfiguration für SSO die Option SSO konfigurieren aus. Das Fenster SSO-Konfiguration wird geöffnet, in dem die Vorteile und Voraussetzungen der Integration beschrieben werden.

4. Wählen Sie aus den beiden SSO-Optionen die Option SAML 2.0 aus. Die Seite SAML-SSO-Konfiguration wird auf der Registerkarte Identitätsanbieter konfigurieren geöffnet.

5. Im oberen Abschnitt der Seite finden Sie die UiPath-Informationen, die zum Konfigurieren Ihres Identitätsanbieters erforderlich sind: Metadaten-URL, Assertion Consumer Service-URL, Entitäts-ID. Kopieren und speichern Sie sie zum Konfigurieren des Identitätsanbieters.

   Wichtig:

   Es wird dringend empfohlen, die UiPath- Metadaten-URL als Teil des Konfigurationsprozesses Ihres Identitätsanbieters zu verwenden. Dies ermöglicht automatische Aktualisierungen, wenn wir Rotationen für unsere Signaturzertifikate initiieren, um einen ununterbrochenen Betrieb der Plattform zu gewährleisten.

   

6. Die Entitäts-ID enthält standardmäßig die Organisations-ID. Sie können das Format ändern, um den globalen Bezeichner (keine Organisations-ID) zu verwenden, indem Sie die Option Format der Entitäts-ID ändern verwenden. Wählen Sie dann im Fenster Format der Entitäts-ID ändern in der Dropdownliste Format der Entitäts-ID die Option Organisationsspezifischer Bezeichner aus, um das Format zu verwenden, das die Organisations-ID enthält, oder Globaler Bezeichner, um das Format zu verwenden, das die Organisations-ID nicht enthält. Wir empfehlen die Verwendung des organisationsspezifischen Bezeichners, da er es Ihnen ermöglicht, mehrere UiPath-Organisationen bei Ihrem Identitätsanbieter zu registrieren, falls Sie das jemals möchten.

Schritt 2.2. Ihren Identitätsanbieter konfigurieren​

Schritt 2.3. Konfigurieren Sie die UiPath Cloud-Plattform​

1. Kehren Sie in der Organisation zur Registerkarte SAML SSO-Konfiguration zurück

2. Im zweiten Abschnitt der Seite Identitätsanbieter konfigurieren können Sie die Felder anzeigen, die zum Konfigurieren des Identitätsanbieters erforderlich sind. Geben Sie im Feld Metadaten-URL die Metadaten-URL Ihres Identitätsanbieters ein. Dadurch kann UiPath regelmäßig Daten von Ihrem Identitätsanbieter abrufen und aktualisieren und den SAML-Konfigurationsprozess langfristig optimieren.

   Wichtig:

   Es wird dringend empfohlen, die Metadaten-URL während der SAML-Konfiguration zu verwenden. Dadurch kann UiPath regelmäßig Daten von Ihrem Identitätsanbieter abrufen und aktualisieren, sodass Sie das Signaturzertifikat des Identitätsanbieters in UiPath beim Rotieren nicht manuell aktualisieren müssen.

   

3. Wählen Sie Daten abrufen aus. Nach Abschluss des Vorgangs werden die Felder Anmelde-URL, ID der Identitätsanbieterentität und Signaturzertifikat mit den IdP-Informationen gefüllt.

4. Obwohl dies nicht die empfohlene Methode ist, können Sie die SAML-Details Ihres Identitätsanbieters manuell in den Feldern Anmelde-URL, ID der Identitätsanbieterentität und Signaturzertifikate eingeben.

5. Um mehrere Zertifikate manuell einzugeben, fügen Sie sie in base64-Codierung in das Feld Signaturzertifikat ein, eingeschlossen in die Indikator für Anfang und Ende des Zertifikats und getrennt durch ein Zeichen für eine neue Zeile. Wenn Sie beispielsweise zwei Zertifikate haben, sollten Sie das folgende Format verwenden:

   assignment

   -----BEGIN CERTIFICATE-----
   <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
   -----END CERTIFICATE-----
   

   

6. Wählen Sie in der unteren rechten Ecke Weiter , um zum nächsten Schritt zu wechseln. Sie werden zur Registerkarte Attribute zuordnen und vollständig weitergeleitet. Durch das Zuordnen von Attributen, die als „Anspruch“ bezeichnet werden, werden Benutzerdetails zwischen Ihrem Identitätsanbieter und UiPath verknüpft. Dadurch wird sichergestellt, dass Benutzerdaten wie eine E-Mail-Adresse oder ein Benutzername in beiden Systemen übereinstimmen.

7. Standardmäßig wird die E-Mail-Adresse als Bezeichner des Benutzers verwendet. Wenn Sie die Option zum Einrichten eines eindeutigen Bezeichners möchten, der keine E-Mail-Adresse ist, wenden Sie sich an den UiPath-Support. Führen Sie andernfalls die folgenden Schritte aus:

   1. Das Feld E-Mail wird zu einem Pflichtfeld und kann nicht geändert werden.
   2. Füllen Sie den Abschnitt Zulässige Domänen mit den Domänen aus, von denen Sie Benutzern die Anmeldung ermöglichen möchten. Geben Sie alle Domänen ein, die vom konfigurierten Identitätsanbieter unterstützt werden. Sie können mehrere Domains durch Kommata voneinander trennen.
      Hinweis:

      Sie können eine maximale Anzahl von 100 Domänen eingeben.

   3. Füllen Sie unter Attributzuordnung das Feld Anzeigename mit dem Attribut Ihres IdP aus, das Sie in Ihrer Organisation als Name für Benutzer anzeigen möchten. Sie können die Attribute „Vorname“ und „Nachname“ verwenden.
   4. Fügen Sie optional neue Zuordnungen hinzu, indem Sie den jeweiligen Anspruch vom Identitätsanbieter und das entsprechende Attribut in Ihrer Organisation angeben.

8. Wenn Sie sich an den UiPath-Support wenden, um einen eindeutigen Bezeichner für einen Benutzer einzurichten, wird die Option Benutzerdefinierten eindeutigen Bezeichner aktivieren angezeigt. Die folgenden Schritte gelten nur, wenn Sie Test Cloud und Test Cloud – Öffentlicher Sektor verwenden. Bei Test Cloud Dedicated kümmert sich das Supportteam um die Aktivierung der benutzerdefinierten eindeutigen Kennung.

   Warnung:

   Bevor Sie einen eindeutigen Bezeichner aktivieren, der keine E-Mail-Adresse ist, überprüfen Sie die folgenden bekannten Auswirkungen:

   • Der Orchestrator benötigt eine eindeutige E-Mail-Adresse für die Zuweisung von Rollen. Benutzern mit unterschiedlichen eindeutigen Bezeichnern, aber derselben E-Mail-Adresse können im Orchestrator keine Rollen zugewiesen werden. Alternativ können Benutzer im Orchestrator Berechtigungen erhalten, wenn sie einen eindeutigen Bezeichner, aber keine E-Mail-Adresse haben.
   • Sie können keine Konten basierend auf E-Mails verknüpfen, wenn der Benutzer über einen eindeutigen Bezeichner verfügt.
   • Benutzer erhalten keine E-Mails von der UiPath-Plattform, wenn ihr E-Mail-Feld leer bleibt.
   • Nachdem Sie einen Unique Identifier -Anspruchsnamen festgelegt haben, kann eine Änderung zum Verlust zuvor erkannter Benutzer führen, da das System sie möglicherweise nicht mehr identifizieren kann. Daher beschränkt die Benutzeroberfläche das Ändern des Unique Identifier- Anspruchs, sobald er festgelegt wurde. Um sie zu ändern, müssen Sie Ihre gesamte Konfiguration löschen und neu erstellen.
   1. Wählen Sie Benutzerdefinierten eindeutigen Bezeichner aktivieren aus, um einen eindeutigen Bezeichner einzurichten, der keine E-Mail-Adresse ist. Dies kann helfen, wenn Ihre Benutzer beispielsweise nicht alle über E-Mail-Konten verfügen oder wenn ihre E-Mail-Adresse nicht eindeutig ist.
   2. Es ist obligatorisch, den eindeutigen Bezeichner Ihrer Benutzer in das Feld Eindeutiger Bezeichner einzugeben. Diese Anforderung verwendet UiPath, um Benutzer bei der Anmeldung zu identifizieren.
   3. Geben Sie im Feld Anzeigename die Anforderung ein, anhand derer Ihre Benutzer bei der Anmeldung erkannt werden können.
   4. Die Eingabe des Felds E-Mail für Ihre Benutzer wird optional.
   5. Das Feld Zulässige E-Mail-Adressdomänen ist ausgegraut und nicht für die Eingabe verfügbar. Dies liegt daran, dass das System die E-Mail-Adresse nicht mehr als eindeutigen Bezeichner verwendet und dieses Feld irrelevant macht.
   6. Fügen Sie optional neue Zuordnungen hinzu, indem Sie die jeweilige Anforderung des Identitätsanbieters und das entsprechende Attribut in UiPath angeben.

9. Nachdem Sie die Attribute eingerichtet haben, konfigurieren Sie die Felder Unangeforderte Authentifizierungsantwort zulassen und SAML-Bindungstyp .

   1. Unangeforderte Authentifizierungsantwort zulassen: Aktivieren Sie diese Option, wenn Sie aus dem IdP-Dashboard zur UiPath-Plattform navigieren möchten.
   2. SAML-Bindungstyp: Wählen Sie aus, wie die SAML-Konfiguration über den HTTP Benutzer-Agent kommunizieren soll.Wählen Sie HTTP-Umleitung aus, um URL-Parameter zu verwenden, oder HTTP-Post, um ein HTML-Formular mit base64-codiertem Inhalt zu verwenden.

10. Wenn Ihr Identitätsanbieter UiPath zum Signieren aller SAML-Authentifizierungsanforderungen verlangt, wählen Sie die Option Authentifizierungsanforderung signieren aus. Erkundigen Sie sich bei Ihrem Identitätsanbieter, ob diese Funktion aktiviert werden muss. UiPath aktualisiert häufig seine Signaturschlüssel. UiPath rotiert beispielsweise das Signaturzertifikat alle zwei Wochen. Wenn Sie die Funktion Authentifizierungsanforderung signieren aktiviert haben, stellen Sie sicher, dass Ihr IdP regelmäßig mit UiPath synchronisiert wird, indem Sie kontinuierlich die aktualisierten Schlüssel von der Metadaten-URL von UiPath herunterladen.

11. Wählen Sie Testen und Speichern aus , um die Integrationskonfiguration fertig zu stellen.

Schritt 2.4. Überprüfen Sie, ob die Integration ausgeführt wird.​

1. Öffnen Sie ein Inkognito-Browserfenster.
2. Navigieren Sie zur URL Ihrer Cloud-Organisation.
3. Überprüfen Sie Folgendes:
   1. Werden Sie aufgefordert, sich mit Ihrem SAML-Identitätsanbieter anzumelden?
   2. Können Sie sich erfolgreich anmelden?
   3. Wenn Sie sich mit einer E-Mail-Adresse anmelden, die mit einem vorhandenen Benutzerkonto übereinstimmt, verfügen Sie dann über die entsprechenden Berechtigungen?

Schritt 2.5. Bereitstellungsregeln konfigurieren (optional)​

2.5.1. Richten Sie Bereitstellungsgruppen ein​

1. Erstellen Sie eine neue lokale Gruppe in Ihrer Organisation. Wenn Sie möchten, können Sie eine Ihrer vorhandenen Gruppen verwenden, anstatt eine neue zu erstellen.
2. (Optional und erfordert aktivierte Benutzerlizenzverwaltung ) Wenn Konten in dieser Gruppe Benutzerlizenzen benötigen, richten Sie Regeln für die Lizenzzuweisung für die Gruppe ein. Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Lizenzzuweisung für die Gruppe, um sicherzustellen, dass die richtigen Lizenzen zugewiesen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die Zuweisungen oder erstellen Sie eine neue Gruppe.
3. Weisen Sie Mandantenrollen zu und vervollständigen Sie optional die Robotereinrichtung für die Gruppe. Anweisungen finden Sie unter Zuweisen von Rollen zu einer Gruppe . Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Rollen, die der Gruppe derzeit zugewiesen sind, um sicherzustellen, dass sie für den Kontotyp geeignet sind, den Sie der Gruppe hinzufügen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die dieser Gruppe zugewiesenen Rollen oder erstellen Sie eine neue Gruppe.
4. Fügen Sie die Gruppe zu Ordnern hinzu und weisen Sie nach Bedarf Ordnerrollen zu. Anweisungen finden Sie unter Verwalten des Ordnerzugriffs.

2.5.2. Erstellen Sie eine Bereitstellungsregel für eine Gruppe​

1. Wechseln Sie zu Administrator, wählen Sie Ihre Organisation aus und wählen Sie dann Sicherheit aus. Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.

2. Wählen Sie unter der Option SAML-SSO die Option Bereitstellungsregeln anzeigen aus. Die Seite SAML SSO-Bereitstellungsregeln wird geöffnet, auf der Ihre vorhandenen Regeln aufgeführt sind.

3. Wählen Sie in der oberen rechten Ecke der Seite Regel hinzufügen aus. Die Seite Neue Regel hinzufügen wird geöffnet.

4. Füllen Sie unter Grundlegende Details das Feld Regelname und optional das Feld Beschreibung aus.

5. Wählen Sie unter Bedingungen die Option Regel hinzufügen aus. Eine Reihe von Feldern für eine neue Bedingung wird hinzugefügt. Gemeinsam definieren sie die Kriterien, die ein Konto bei der Anmeldung erfüllen muss, um einer (später ausgewählten Gruppe) hinzugefügt zu werden.

   

6. Geben Sie im Feld Anspruch den Namen des Anspruchs ein, so wie er im IdP angezeigt wird. Im Feld wird die Groß-/Kleinschreibung beachtet.

7. Wählen Sie auf der Liste Beziehung aus, wie sich der Anspruch auf den Wert bezieht. Die folgenden Optionen sind verfügbar, wie in der Tabelle beschrieben:

   Beziehung	Bedingungsanforderung	Beispiel
   ist	genaue Übereinstimmung, Groß-/Kleinschreibung wird beachtet	Department is RPA setzt voraus, dass der Wert für den Department -Anspruch RPA ist. Die Bedingung wird nicht erfüllt, wenn der Wert z. B. RPADev ist. Diese Beziehung funktioniert für Ansprüche mit mehreren Werten. Wenn beispielsweise die Werte administrator und developer unter Group gesendet werden, dann wäre Group is administrator eine gültige Beziehung.
   ist nicht	alles außer dem angegebenen Wert, Groß-/Kleinschreibung wird beachtet	Bei Department is not ctr wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Wert von Department ist ctr. Die Bedingung ist erfüllt, wenn die Abteilung Ctr oder electr ist.
   enthält	beinhaltet, erfordert keine exakte Übereinstimmung, Groß-/Kleinschreibung wird beachtet	Department contains RPA erfordert, dass der Wert für den Department -Anspruch RPA enthält. Die Bedingung wird erfüllt, wenn der Wert z. B. RPADev, xRPAx oder NewRPA ist.
   enthält nicht	schließt aus, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird beachtet	Bei Department not contains ctr wird der Gruppe jedes Konto hinzugefügt, es sei denn, der Department -Wert enthält ctr. Konten, für die die Abteilung z. B. ctr oder electr ist, werden der Gruppe nicht hinzugefügt.
   Groß-/Kleinschreibung wird nicht berücksichtigt	genaue Übereinstimmung, Groß-/Kleinschreibung wird nicht beachtet	Department is case insensitive RPA erfordert, dass der Wert für den Department -Anspruch rpa ist, in beliebiger Groß-/Kleinschreibung Die Bedingung wird erfüllt, wenn der Wert z. B. rpa ist. Die Bedingung wird nicht erfüllt, wenn der Wert crpa ist.
   enthält Elemente ohne Berücksichtigung von Groß-/Kleinschreibung	beinhaltet, erfordert keine exakte Übereinstimmung, Groß- und Kleinschreibung wird nicht beachtet	Department contains case insensitive RPA erfordert, dass der Wert für den Department -Anspruch in jeder Groß-/Kleinschreibung RPA enthält. Die Bedingung wird erfüllt, wenn der Wert z. B. rpa, cRPA oder rpA ist.

8. Geben Sie in das Feld Wert den Wert ein, der zum Erfüllen der Bedingung erforderlich ist.

9. Wenn Sie eine weitere Bedingung hinzufügen möchten, wählen Sie Regel hinzufügen aus, um eine neue Bedingungszeile hinzuzufügen.

   Wenn Sie mehrere Bedingungen hinzufügen, müssen alle Bedingungen erfüllt sein, damit die Bereitstellungsregel gilt. Wenn Sie zum Beispiel die Regeln Department is RPA und Title is Engineer definieren, werden nur Benutzer, die sowohl in der RPA-Abteilung sind als auch den Titel „Engineer“ tragen, zu den angegebenen Gruppen hinzugefügt. Ein Konto mit der RPA-Abteilung, aber dem Titel „QA“ wird nicht zu den Gruppen hinzugefügt.

10. Beginnen Sie unter Gruppen zuweisen im Feld Gruppen hinzufügen mit der Eingabe des Namens einer Gruppe und wählen Sie dann eine Gruppe aus der Ergebnisliste aus. Wiederholen Sie den Vorgang, um bei Bedarf weitere Gruppen hinzuzufügen. Wenn die Bedingungen erfüllt sind, werden diesen Gruppen automatisch Konten hinzugefügt, wenn sie sich anmelden.

11. Wählen Sie in der unteren rechten Ecke Speichern aus, um die Regel hinzuzufügen.

Beispiel eines SAML-Nutzlastfragments​

<Attribute
   Name="groups">
<AttributeValue
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
<Attribute
   Name="groups">
<AttributeValue
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

SAML-Attributzuordnung​

{
    "displayname": "John Doe",
    "fname": "John",
    "lname": "Doe",
    "jobtitle": "Hardware Engineer",
    "dpt": "Engineering",
    "city": "Phoenix"
}
{
    "displayname": "John Doe",
    "fname": "John",
    "lname": "Doe",
    "jobtitle": "Hardware Engineer",
    "dpt": "Engineering",
    "city": "Phoenix"
}

{
    "Display Name": "John Doe",
    "First Name": "John",
    "Last Name": "Doe",
    "Job Title": "Hardware Engineer",
    "Department": "Engineering",
    "City": "Phoenix"
}
{
    "Display Name": "John Doe",
    "First Name": "John",
    "Last Name": "Doe",
    "Job Title": "Hardware Engineer",
    "Department": "Engineering",
    "City": "Phoenix"
}

Schritt 3. Ihre Benutzer auf SAML-SSO umstellen​

• zu Ihrer organisationsspezifischen URL navigieren. Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. <AccessURL>/orgID.
• zu <AccessURL> navigieren, Mit SSO fortfahren auswählen und dann ihre organisationsspezifische URL angeben.

1. Öffnen Sie im UiPath Assistant Einstellungen und wählen Sie die Registerkarte Orchestrator-Verbindung aus.

2. Wählen Sie Abmelden aus.

3. Wählen Sie für den Verbindungstyp Dienst-URL aus.

4. Fügen Sie im Feld Dienst-URL die organisationsspezifische URL hinzu.

   Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. <AccessURL>/orgID. Andernfalls schlägt die Verbindung mit dem Hinweis fehl, der Benutzer gehöre keiner Organisation an.

5. Melden Sie sich mit SAML-SSO wieder an.

Schritt 4. Berechtigungen und Roboter konfigurieren​

Schritt 5. Lokale Konten nicht mehr verwenden (optional)​

• Zur Verwaltung von SAML-Integrationsproblemen (z. B. Aktualisieren eines abgelaufenen Zertifikats) oder zum Ändern von Authentifizierungseinstellungen wird ein Konto mit der Rolle des Organisationsadministrators empfohlen.