Guía de administración de Test Cloud privado

Configurar SSO: SAML 2.0

link

1. Configura tu proveedor de identidades para que reconozca la plataforma UiPath como proveedor de servicios.
2. Configura la plataforma UiPath como proveedor de servicios para reconocer y confiar en tu proveedor de identidad.
3. Aprovisione a los usuarios de su organización para que puedan iniciar sesión con SSO utilizando el protocolo SAML 2.0 de su proveedor de identidades.

• ADFS
• Google
• OKTA
• PingOne

A. Configurar AD FS​

1. Abre ADFS Management y define un nuevo usuario de confianza para Orchestrator como sigue:

   1. Selecciona Usuarios de confianza.
   2. En el panel Acciones , selecciona Añadir usuario de confianza. Se mostrará el asistente Añadir usuario de confianza .
   3. En la sección de bienvenida, selecciona Para notificaciones.
   4. En la sección Seleccionar datos, selecciona la opción Introducir manualmente los datos del usuario de confianza.
   5. En la sección Especificar nombre de usuario, en el campo Nombre para mostrar, introduce la URL de la instancia de Orchestrator.
   6. La sección Configurar certificado no necesita ningún ajuste específico, por lo que no modifique nada.
   7. En la sección Configurar URL, seleccione la opción Habilitar soporte para el protocolo SAML 2.0 Web SSO.
   8. En el campo URL del servicio SAML 2.0 de la parte dependiente, rellena la URL base de identidad de la instancia de Automation Suite más el sufijo /Saml2/Acs. Por ejemplo, https://{yourDomain}/{organizationName}/identity_.
   9. En el campo Identificador de confianza de la parte dependiente, de la sección Configurar identificadores, escribe la URL base de identidad, por ejemplo https://{yourDomain}/{organizationName}/identity_.
   10. En la sección Elegir política de control de acceso, asegúrese de seleccionar la política de control de acceso Permitir a todos.
   11. Listo para agregar confianza y Finalizar no necesitan ningún ajuste específico, por lo que déjelos sin modificar.

   El nuevo usuario de confianza añadido se muestra en la ventana Usuarios de confianza. 12. Ve a Acciones > Propiedades > Puntos finales y asegúrate de que POST esté seleccionado para Vinculación y que la casilla Establecer la URL de confianza como predeterminada esté seleccionada.

   La vinculación del punto de conexión debe ser Post. Otros enlaces como la redirección no son compatibles con UiPath®, ya que ADFS no firma las afirmaciones de redirección. 13. Ve a Acciones > Propiedades > Identificadores y asegúrate de que tenga la URL base de identidad, https://{yourDomain}/{organizationName}/identity_.

2. Selecciona la parte dependiente de confianza y selecciona Editar política de emisión de reclamaciones en el panel Acciones.

   Se muestra el asistente Editar política de emisión de reclamaciones.

3. Selecciona Añadir regla y crea una nueva regla utilizando la plantilla Enviar atributos LDAP como reclamaciones con la siguiente configuración, como se describe en la tabla:

   Atributo LDAP	Tipo de notificación saliente
   E-Mail-Addresses	Direcciones de correo electrónico
   User-Principal-Name	Id. de nombre

4. Una vez se haya configurado ADFS, abre PowerShell como administrador y ejecuta los siguientes comandos:

   1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion

      Sustituya DISPLAYNAME por el valor establecido en el paso 1.e.

   2. Restart-Service ADFSSRV.

B. Configurar Google​

1. Inicie sesión en la consola de administración como administrador, diríjase a Aplicaciones y, a continuación, a Aplicaciones web y móviles.

2. Selecciona Añadir aplicación y luego Añadir aplicación SAML personalizada.

3. En la página Detalles de la aplicación, introduzca un nombre para la instancia de Automation Suite.

4. En la página Detalles de proveedor de identidades de Google, copie y guarde lo siguiente para más adelante:

   • URL de SSO
   • ID de entidad

5. Descarga el certificado, ábrelo con un editor de texto, copia y guarda el valor para la siguiente parte de la configuración en el paso 2. Configurar Automation Suite.

6. En la página Datos del proveedor de servicios, introduzca lo siguiente:

   • URL ACS: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
   • ID de entidad: https://{yourDomain}/{organizationName}/identity_

7. En la página Mapeo de atributos, proporcione los siguientes mapeos:

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   Ten en cuenta que esta reclamación distingue entre mayúsculas y minúsculas.

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

8. Después de configurar la aplicación SAML, ve a Acceso de usuario en la aplicación SAML de Automation Suite en la consola de administración de Google y selecciona Activado para todos.

C. Configurar Okta​

1. Inicia sesión en la consola de administración de Okta, ve a Aplicaciones > Aplicaciones, selecciona Crear integración de aplicaciones y selecciona SAML 2.0 como método de inicio de sesión.

2. En la página Configuración general, especifique un nombre para la instancia de Automation Suite.

3. En la página Configurar SAML, complete la sección General.

   Por ejemplo:

   • URL de inicio de sesión único: la URL base de Identity + /Saml2/Acs. Por ejemplo, https://{yourDomain}/{organizationName}/identity_/Saml2/Acs.
   • Marque la casilla Usar esto para la URL del destinatario y la URL del destino.
   • Audience URI1: https://{yourDomain}/{organizationName}/identity_
   • Formato de ID del nombre: Correo electrónico
   • Nombre de usuario de la aplicación: Correo electrónico

4. Complete la sección Declaraciones de atributos:

   • En el campo Nombre , escribe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Ten en cuenta que esta reclamación distingue entre mayúsculas y minúsculas.
   • De la lista Valores, seleccione user.email.

5. En la sección Comentarios, seleccione la opción más apropiada para usted.

6. Selecciona Finalizar.

7. En la pestaña Inicio de sesión , en la sección Configuración , selecciona Ver instrucciones de configuración.

   Se te redirigirá a una nueva página que contiene las instrucciones necesarias para completar la siguiente parte de la configuración en el paso 2. Configurar Automation Suite:

   • URL de inicio de sesión del proveedor de identidades
   • Emisor del proveedor de identidades
   • Certificado X.509

8. Para que los usuarios puedan utilizar la autenticación Okta, se les debe asignar la aplicación recién creada:

   1. En la página Aplicación, selecciona la aplicación recién creada.
   2. En la pestaña Asignar, selecciona Asignar > Asignar a la gente y selecciona los usuarios a los que se les debe dar los permisos necesarios. Los usuarios recién añadido se muestran en la pestaña Personas.

D. Configurar PingOne​

1. Añada una aplicación web que se conecte con SAML en PingOne, con las siguientes particularidades:
   1. En la página Configurar conexión SAML, seleccione Introducir manualmente y complete los siguientes datos:
      • URL del ACS: URL base de identidad sensible a mayúsculas y minúsculas + /Saml2/Acs. Por ejemplo, https://{yourDomain}/{organizationName}/identity_
      • ID de entidad: https://{yourDomain}/{organizationName}/identity_
      • Enlace SLO: redirección HTTP
      • Duración de la validación: el número de segundos para el período de validez
   2. En la página Atributos de mapa, asigna el siguiente atributo:

• ID de cliente
• URL de la página de inicio

4. Si no lo hizo durante la configuración de la aplicación, descargue ahora el certificado de firma de PingOne:
   1. Ve a Conexiones > Certificados y pares de claves.
   2. Busca la aplicación que acabas de crear y selecciónala en el extremo derecho del cuadro para mostrar sus detalles.
   3. A la derecha de la pestaña Detalles, selecciona Descargar certificado y el formato .crt.
5. Abre el archivo del certificado en cualquier editor de texto, copia y guarda el valor del certificado para la siguiente parte de la configuración, que se describe más adelante en el paso 2.

1. Inicie sesión en como administrador del sistema.
2. Asegúrate de que Host esté seleccionado en la parte superior del panel izquierdo y luego selecciona Seguridad.
3. Selecciona Configurar en SAML SSO y sigue las instrucciones para el proveedor de identidades que utilices:
   1. Para configurar SAML para ADFS:
      1. Selecciona la casilla de verificación Habilitada.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://{yourDomain}/{organizationName}/identity_.
      5. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue el valor obtenido durante la configuración de la autenticación de ADFS.
      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor obtenido durante la configuración de la autenticación de ADFS.
      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.
      8. En el campo correspondiente a la URL de retorno, introduzca https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Configure el parámetro external user mapping strategy como By user e-mail.
      10. Para el tipo de enlace SAML, seleccione la opción de redirección HTTP.
      11. En el campo Certificado de firma, pegue el texto del certificado.
   2. Para configurar SAML para Google:
      1. Selecciona la casilla de verificación Habilitada.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://{yourDomain}/{organizationName}/identity_.
      5. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue el valor del identificador de entidad obtenido durante la configuración de la autenticación de Google.
      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor de la URL de SSO obtenido durante la configuración de la autenticación de Google.
      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.
      8. En el campo correspondiente a la URL de retorno, introduzca https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Para Estrategia de asignación de usuarios externos, selecciona Por correo electrónico de usuario.
      10. Para el tipo de enlace SAML, selecciona Redireccionamiento HTTP.
      11. En el campo Certificado de firma, pegue el valor del certificado obtenido durante la configuración de Google.
   3. Para configurar SAML para Okta:
      1. Selecciona la casilla de verificación Habilitada.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://{yourDomain}/{organizationName}/identity_.
      5. En el campo correspondiente al identificador de la entidad del proveedor de identidades, pegue el valor del emisor del proveedor de identidades obtenido durante la configuración de Okta.
      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor de la URL de inicio de sesión único del proveedor de identidades obtenido durante la configuración de Okta.
      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.
      8. En el campo correspondiente a la URL de retorno, introduzca https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Para el tipo de enlace SAML, selecciona Redireccionamiento HTTP.
      10. En el campo Certificado de firma, pegue el valor del certificado X.509 obtenido durante la configuración de Okta.
   4. Cómo configurar SAML para PingOne:
      1. Selecciona la casilla de verificación Habilitada.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.
      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue la URL de su instancia de Automation Suite en formato https://{yourDomain}/{organizationName}/identity_.
      5. En el campo del identificador de la entidad del proveedor de identidades, pegue el valor del identificador del emisor obtenido durante la configuración de PingOne.
      6. Configure el parámetro Single Sign-On Service URL con el valor de la URL de inicio de sesión único obtenido durante la configuración de PingOne.
      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.
      8. En el campo correspondiente a la URL de retorno, introduzca https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Como estrategia de asignación de usuarios externos, selecciona Por correo electrónico del usuario.
      10. Para el tipo de enlace SAML, seleccione la opción de redirección HTTP.
      11. En el campo Certificado de firma, pegue el valor del certificado obtenido durante la configuración de PingOne.
4. Selecciona Guardar para guardar los cambios y volver a la página anterior.
5. Selecciona el botón de alternancia a la izquierda de SAML SSO para habilitar la integración.
6. Reinicia el pod 'identity-service-api-*'. Esto es necesario después de realizar cualquier cambio en los proveedores externos.
   1. Conéctate al Servidor principal utilizando SSH.
   2. Ejecuta el siguiente comando:

Paso 3.1. Asignación personalizada​

• Estrategia de asignación de usuarios externos: define la estrategia de asignación. Las siguientes opciones están disponibles:
  • By user email: tu dirección de correo electrónico está configurada como atributo. Este es el valor predeterminado.
  • By username: su nombre de usuario se establece como atributo.
  • By external provider key : una clave de proveedor externo se establece como atributo.
• Nombre de la solicitud del identificador de usuario externo: define el derecho que se utilizará como identificador para la asignación. Solo es necesario si estableces tu nombre de usuario como atributo.