- Notas relacionadas
- Primeros pasos
- Instalación
- Requisitos de hardware y software
- Instalación del servidor
- Actualizar la licencia
- Implementar el perfilador de UiPath Process Mining
- Implementar un conector (.mvp)
- Actualizar UiPath Process Mining
- Actualizar una versión personalizada de una aplicación o un acelerador de descubrimiento
- Instalar un entorno de pruebas
- Configuración
- Integraciones
- Autenticación
- Working with Apps and Discovery Accelerators
- Menús y paneles de AppOne
- Configuración de AppOne
- Menús y paneles de TemplateOne 1.0.0
- Configuración de TemplateOne 1.0.0
- TemplateOne menus and dashboards
- Configuración de TemplateOne 2021.4.0
- Menús y paneles de Purchase to Pay Discovery Accelerator
- Configuración del acelerador de compra para pagar
- Menús y paneles de Order to Cash Discovery Accelerator
- Orden de cobro de la configuración del Discovery Accelerator
- Basic Connector for AppOne
- Despliegue del Conector básico
- Introduction to Basic Connector
- Tablas de entrada del conector básico
- Añadir etiquetas
- Añadir estimaciones de automatización
- Añadir fechas de vencimiento
- Añadir modelos de referencia
- Setting up Actionable Insights
- Configurar gráficos contraíbles
- Utilizar el conjunto de datos de salida en AppOne
- Output tables of the Basic Connector
- SAP Connectors
- Introduction to SAP Connector
- Entrada de SAP
- Comprobación de los datos en el conector SAP
- Añadir etiquetas específicas del proceso al conector de SAP para AppOne
- Añadir fechas de vencimiento específicas del proceso al conector de SAP para AppOne
- Añadir estimaciones de automatización al conector de SAP para AppOne
- Añadir atributos al Conector SAP para AppOne
- Añadir actividades al Conector SAP para AppOne
- Añadir entidades al Conector SAP para AppOne
- Conector de pedido por cobro de SAP para AppOne
- Conector de SAP Purchase to Pay para AppOne
- Conector SAP para Purchase to Pay Discovery Accelerator
- SAP Connector for Order-to-Cash Discovery Accelerator
- Superadmin
- Paneles y gráficos
- Tablas y elementos de tabla
- Integridad de la aplicación
- How to ....
- Trabajar con conectores SQL
- Introduction to SQL connectors
- Setting up a SQL connector
- CData Sync extractions
- Running a SQL connector
- Editing transformations
- Publicar un conector SQL
- Scheduling data extraction
- Estructura de las transformaciones
- Using SQL connectors for released apps
- Generating a cache with scripts
- Setting up a local test environment
- Separate development and production environments
- Recursos útiles
Guía del usuario de Process Mining
Configurar el inicio de sesión único a través de SAML para Microsoft Active Directory
Introducción
Esta página describe cómo configurar el inicio de sesión único basado en SAML para Microsoft Active Directory.
Proveedor de identidad
Para habilitar el inicio de sesión único basado en SAML, tanto UiPath Process Mining como ADFS deben estar configurados correctamente para que puedan comunicarse entre sí. Consulta también Configurar ADFS.
Consulta la documentación oficial de Microsoft y asegúrate de configurar la autenticación utilizando los elementos de respuesta como se describe a continuación.
Asunto
nameID: un identificador persistente para el usuario (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).
Instrucciones de atributos ("reclamaciones")
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: el nombre completo del usuario.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress: la dirección de correo electrónico del usuario.http://schemas.xmlsoap.org/claims/Group: un identificador único o una matriz de identificadores de grupo.Nota:Process Mining solo admite SSO iniciado por el proveedor de servicios (iniciado por SP) para el que se requiere que el proveedor de identidad admita el parámetro
RelayState. Esto significa que el usuario navega a la página de inicio de sesión de Process Mining, desde la cual se redirigirá al usuario al proveedor de identidades para iniciar sesión.
Si SAML está habilitado y configurado correctamente, se muestra un botón en la parte inferior de la página de inicio de sesión. Consulta la siguiente ilustración.
If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.
Configurar UiPath Process Mining para el inicio de sesión único
-
Ve a la pestaña Configuración de la página Superadministrador de tu instalación de UiPath Process Mining para configurar los ajustes del servidor. Consulta la siguiente ilustración.
-
Añade la configuración de SAML necesaria en la configuración
ExternalAuthenticationProvidersde la Configuración del servidor. A continuación se describen las claves JSON del objetosaml.
| Clave | Descripción | Obligatorio |
|---|---|---|
| entrypoint | Especifique la URL del proveedor de identidades remoto. | Sí |
| Emisor | Te permite especificar la cadena de emisor que se proporcionará al proveedor de identidad. El valor predeterminado se establece en la URL de Process Mining. | No |
| authnContext | Te permite especificar el método de autenticación para solicitar al proveedor de identidad. De forma predeterminada no se solicita ningún contexto de autenticación. | No |
| cert | Le permite especificar el certificado de firma para validar las respuestas del proveedor de identidad, como formato X.509 codificado en PEM de una sola línea con nuevas líneas reemplazadas por '\)) '. | No |
| Clave privada | Le permite especificar la clave para firmar las solicitudes enviadas al proveedor de identidad remoto, como un formato X.509 codificado en PEM de una sola línea con saltos de línea reemplazados por '\)) '. | No |
| Algoritmo de firma | Le permite especificar el algoritmo de firma utilizado al firmar solicitudes. Los posibles valores son: • sha1; • sha256; ? Sha512. | No |
| formatoDeIdentificador | Formato del identificador de nombre que se solicitará al proveedor de identidad. El valor predeterminado es "urn: oasis: nombres: tc: SAML: 2.0: nameid-formato: persistente". | No |
| validateInResponseTo | Cuando se establece en "verdadero", valida "InResponseTo" de las respuestas SAML entrantes. El valor predeterminado es "verdadero". | No |
| loggingLevel | Te permite especificar si quieres añadir información sobre el proceso de inicio de sesión al registro de la carpeta [PLATFORMDIR]/logs/iisnode . Valores posibles: • información; • avisar; • error. Nota: se recomienda habilitar esta opción solo cuando tengas problemas para iniciar sesión. | No |
A continuación se muestra un ejemplo de la Configuración del servidor con la configuración ExternalAuthenticationProviders con el objeto saml para una configuración básica de ADFS.
A continuación se muestra un ejemplo de la Configuración del servidor con la configuración ExternalAuthenticationProviders con el objeto saml para una configuración ADFS con comprobación de certificado bidireccional.
- Haz clic en GUARDAR para guardar la nueva configuración.
- Presiona F5 para actualizar la página Superadministrador . Esto carga los nuevos ajustes y permite crear grupos de SAML en función de estos ajustes.
Inicio de sesión automático
Asegúrese de que el inicio de sesión único funcione correctamente antes de habilitar el inicio de sesión automático. Habilitar el inicio de sesión automático cuando SSO no está configurado correctamente puede hacer que los usuarios afectados por la configuración de inicio de sesión automático no puedan iniciar sesión.
Con la configuración del servidor AutoLogin , el usuario iniciará sesión automáticamente utilizando el método SSO activo actual.
De forma predeterminada, AutoLogin está establecido en none. Si quieres habilitar el inicio de sesión automático para usuarios finales y/o usuarios Superadministrador, puedes especificarlo en AutoLogin en la pestaña Configuración de Superadministrador . Consulta La pestaña Configuración.
When logging in via localhost, auto-login will always be disabled for Superadmin users.
Solución de problemas
Ejemplo de respuesta SAML
Ten en cuenta especialmente el contenido del elemento saml:AttributeStatement .
Haz clic aquí para ver cómo debería ser la respuesta esperada para el saml:AttributeStatement, que puede ayudar a configurar el proveedor de identidades.
Archivos de registro
Cuando el inicio de sesión del usuario falla después de configurar la comunicación entre el proveedor de identidades y Process Mining, se recomienda comprobar los archivos de registro en la carpeta [INSTALLDIR]/logs .
A continuación se muestra un ejemplo de logline de un acceso denegado.
[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].
La lista Grupos válidos contiene el conjunto de grupos recibidos del proveedor de identidades para el usuario 'Jim Jones'. 'Jim Jones' es miembro de un grupo, "Administradores". En Process Mining solo se configura el grupo con el nombre distinguido largo. Se ha denegado el acceso a 'Jim Jones' porque "Administradores" no aparece en la lista de Grupos válidos.
Solución
Debe configurar el proveedor de identidades para enviar el nombre distinguido completo o configurar el grupo "Administradores" en Process Mining para que solo haga referencia al nombre común.
Próximos pasos
Para utilizar la autenticación mediante SAML, debes crear uno o más grupos AD para permitir que los miembros inicien sesión. Para los usuarios Superadministrador o desarrolladores de aplicaciones, puedes crear grupos AD en la pestaña Usuarios Superadministrador . Consulta Añadir grupos AD de superadministrador.
Para la autenticación del usuario final, se pueden crear grupos AD en la página Administración de usuario final . Consulta Añadir grupos AD de usuario final.