Process Mining
2021.10
False
Imagen de fondo del banner
Process Mining
Última actualización 2 de abr. de 2024

Configurar el inicio de sesión único a través de SAML para Microsoft Active Directory

Introducción

Esta página describe cómo configurar el inicio de sesión único basado en SAML para Microsoft Active Directory.

Proveedor de identidad

Para habilitar el inicio de sesión único basado en SAML, tanto UiPath Process Mining como ADFS deben estar configurados correctamente para que puedan comunicarse entre sí. Consulta también Configuración de ADFS.

Consulta la documentación oficial de Microsoft y asegúrate de configurar la autenticación utilizando los elementos de respuesta como se describe a continuación.

Asunto

  • nameID: un identificador persistente para el usuario (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).

Instrucciones de atributos ("reclamaciones")

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: el nombre completo del usuario.
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress: la dirección de correo electrónico del usuario.
  • http://schemas.xmlsoap.org/claims/Group: un identificador único o una matriz de identificadores de grupo.
Nota: Process Mining solo admite SSO iniciado por el proveedor de servicios (iniciado por el SP) para el que el proveedor de identidad debe admitir el parámetro RelayState . Esto significa que el usuario navega a la página de inicio de sesión de Process Mining, desde la cual se redirigirá al proveedor de identidades para iniciar sesión.

Si SAML está habilitado y configurado correctamente, se muestra un botón en la parte inferior de la página de inicio de sesión. Consulta la siguiente ilustración.



If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.

Configurar UiPath Process Mining para el inicio de sesión único

  1. Ve a la pestaña Configuración de la página de Superadministrador de tu instalación de UiPath Process Mining para configurar los ajustes del servidor. Consulta la siguiente ilustración.


  2. Añade los ajustes de SAML necesarios en la configuración ExternalAuthenticationProviders de los Ajustes del servidor. A continuación, se describen las teclas JSON del objeto saml.

    Clave

    Descripción

    Obligatorio

    entrypoint

    Especifique la URL del proveedor de identidades remoto.

    Emisor

    Te permite especificar la cadena de emisor que se proporcionará al proveedor de identidad. El valor predeterminado se establece en la URL de Process Mining.

    No

    authnContext

    Te permite especificar el método de autenticación para solicitar al proveedor de identidad. De forma predeterminada no se solicita ningún contexto de autenticación.

    No

    cert

    Le permite especificar el certificado de firma para validar las respuestas del proveedor de identidad, como formato X.509 codificado en PEM de una sola línea con nuevas líneas reemplazadas por '\))

    '.

    No

    Clave privada

    Le permite especificar la clave para firmar las solicitudes enviadas al proveedor de identidad remoto, como un formato X.509 codificado en PEM de una sola línea con saltos de línea reemplazados por '\))

    '.

    No

    Algoritmo de firma

    Le permite especificar el algoritmo de firma utilizado al firmar solicitudes. Los posibles valores son:

    • sha1;

    • sha256;

    ? Sha512.

    No

    formatoDeIdentificador

    Formato del identificador de nombre que se solicitará al proveedor de identidad. El valor predeterminado es "urn: oasis: nombres: tc: SAML: 2.0: nameid-formato: persistente".

    No

    validateInResponseTo

    Cuando se establece en "verdadero", valida "InResponseTo" de las respuestas SAML entrantes. El valor predeterminado es "verdadero".

    No

    loggingLevel
    Te permite especificar si quieres añadir información sobre el proceso de inicio de sesión al registro de la carpeta [PLATFORMDIR]/logs/iisnode . Valores posibles:

    • información;

    • avisar;

    • error.

    Nota: se recomienda habilitar esto solo cuando tenga problemas para iniciar sesión.

    No

A continuación se muestra un ejemplo de la Configuración del servidor con la configuración ExternalAuthenticationProviders con el objeto saml para una configuración básica de ADFS.
docs image
A continuación se muestra un ejemplo de la Configuración del servidor con la configuración ExternalAuthenticationProviders con el objeto saml para una configuración ADFS con comprobación de certificado bidireccional.
docs image

3. Haga clic en GUARDAR para guardar la nueva configuración.

4. Presiona F5 para actualizar la página Superadministrador. Esto carga los nuevos ajustes y permite crear grupos de SAML en función de estos ajustes.

Inicio de sesión automático

Importante: Asegúrate que el inicio de sesión único funcione correctamente antes de habilitar el inicio de sesión automático. Activar el inicio de sesión automático cuando el SSO no está configurado correctamente puede hacer que los usuarios afectados por la configuración del inicio de sesión automático no puedan iniciar sesión.
Con la configuración del servidor AutoLogin , el usuario iniciará sesión automáticamente utilizando el método SSO activo actual.
De forma predeterminada, AutoLogin está establecido en none. Si quieres habilitar el inicio de sesión automático para los usuarios finales y / o superadministradores, puedes especificarlo en la AutoLogin pestaña Configuración de superadministrador. Consulta La pestaña Configuración.
Nota: al iniciar sesión a través de localhost, el inicio de sesión automático siempre estará deshabilitado para los usuarios de superadministrador.

Solución de problemas

Ejemplo de respuesta SAML

Tenga en cuenta especialmente el contenido del elemento `saml: AttributeStatement`.

Haz clic aquí para ver cómo debería ser la respuesta esperada para `saml:AttributeStatement`, que puede ayudar a configurar el proveedor de identidades.

Archivos de registro

Cuando el inicio de sesión del usuario falla después de configurar la comunicación entre el proveedor de identidades y Process Mining, se recomienda comprobar los archivos de registro en la carpeta [INSTALLDIR]/logs .

A continuación se muestra un ejemplo de logline de un acceso denegado.

[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].

La lista de grupos válidos contiene el conjunto de grupos recibidos del proveedor de identidad para el usuario 'Jim jones'. 'JimJones' es miembro de un grupo, "Administradores". En Process Mining solo se configura el grupo con el nombre distinguido largo. Se le niega el acceso a "Jim Jones" porque los "administradores" no aparecen en los grupos válidos.

Solución

Debe configurar el proveedor de identidades para enviar el nombre distinguido completo o configurar el grupo "Administradores" en Process Mining para que solo haga referencia al nombre común.

Próximos pasos

Para utilizar la autenticación utilizando SAML, debes crear uno o más grupos AD para permitir a los miembros iniciar sesión. Para usuarios Superadministrador o desarrolladores de aplicaciones puedes crear grupos AD en la pestaña Usuarios de superadministrador. Consulta Añadir grupos AD de superadministrador.

Para la autenticación de usuario final, los grupos AD pueden crearse en la página Administración de usuario final. Consulta Añadir grupos AD de usuario final.

Was this page helpful?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Logotipo blanco de UiPath
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2024 UiPath. All rights reserved.