- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- Activation de votre licence Enterprise
- Mise à niveau et rétrogradation des licences
- Demander un essai de service
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes
- Migrer vers Automation Cloud™
Guide d'administration d'Automation Cloud
Configuration de l'intégration SAML
Cette fonctionnalité est disponible avec le plan de licence Entreprise.
En utilisant la configuration SAML dans Automation Cloud , nous améliorons à la fois la sécurité et l'efficacité de l'authentification. Notre système utilise SAML pour activer l'authentification unique (SSO) via des jetons d'accès sécurisés, permettant à la plate-forme UiPath de se connecter à n'importe quel fournisseur d'identité (IdP) qui utilise la norme SAML 2.0.
De plus, notre configuration SAML inclut des fonctionnalités de déconnexion unique (SLO), qui permettent des déconnexions simultanées sur toutes vos applications unifiées sous votre IdP.
L'intégration SAML est conçue de manière à pouvoir être mise en œuvre progressivement, sans perturber les utilisateurs existants.
Passer de l'intégration native d'Azure Active Directory à l'intégration SAML
Si vous utilisez AAD pour l'authentification, nous vous recommandons d'utiliser notre intégration AAD native car elle est plus riche en fonctionnalités.
Si vous décidez de passer à l'intégration SAML, vous devez remplacer manuellement l'attribution de rôles effectuée via des groupes d'annuaire par une attribution directe de rôles aux comptes d'annuaire afin que vous n'ayez pas à recréer complètement votre schéma d'accès.
-
Les assertions SAML chiffrées de votre fournisseur d'identité ne sont pas prises en charge.
-
Vous ne pouvez pas rechercher des utilisateurs et des groupes à partir de votre fournisseur d'identité. Seuls les utilisateurs de répertoire enregistrés sont disponibles pour la recherche.
-
Vous ne pouvez pas voir les utilisateurs de l'annuaire au niveau de l'organisation. Seuls les utilisateurs locaux s'affichent au niveau de l'organisation. L'enregistrement « juste à temps » ajoute des utilisateurs à l'annuaire, de sorte qu'ils n'apparaissent pas sur la page Comptes et groupes ( Accounts & Groups ) dans Automation Cloud.
-
L'affichage des informations d'accès à l'API (API access information), qui vous permet d'autoriser les demandes d'API à l'aide d'une clé utilisateur, n'est pas disponible pour les utilisateurs du répertoire qui se connectent via l'intégration SAML.
Pour configurer l'intégration SAML, vous avez besoin de :
- Une organisation Automation Cloud avec le plan de licence Enterprise.
-
Autorisations d'administrateur dans l'organisation Automation Cloud et votre fournisseur d'identité tiers. Si vous ne disposez pas d'autorisations d'administrateur dans votre fournisseur d'identité, faites appel à un administrateur pour terminer le processus de configuration.
-
UiPath Studio® et l’assistant UiPath version 2020.10.3 ou ultérieure, afin que vous puissiez les configurer pour utiliser le déploiement recommandé.
Si votre organisation recycle les adresses e-mail, il est important de supprimer tous les comptes utilisateur inactifs avant de configurer l'intégration SAML.
Lorsque vous activez l'intégration, les comptes locaux présents dans Automation Cloud peuvent être liés au compte d'annuaire du fournisseur d'identité externe qui utilise la même adresse e-mail. Cette liaison de compte se produit lorsque l'utilisateur du compte d'annuaire avec l'adresse e-mail se connecte pour la première fois. L'identité de votre fournisseur d'identité hérite de tous les rôles du compte local, pour que la transition soit transparente. Pour cette raison, avec des comptes locaux inactifs présents dans Automation Cloud, il existe un risque que les comptes locaux et les comptes d'annuaire ne correspondent pas, ce qui peut entraîner une élévation involontaire des autorisations.
Pour supprimer les comptes utilisateur inactifs :
Vous devez maintenant configurer Automation Cloud et votre fournisseur d'identité (IdP) pour l'intégration.
Gardez cet onglet de navigateur ouvert pour une utilisation ultérieure.
Vous pouvez vous connecter à n'importe quel fournisseur d'identité (IdP) tiers qui utilise la norme SAML 2.0. Bien que la configuration puisse varier en fonction de l'IdP choisi, nous avons validé la configuration pour les Okta suivants, que vous pouvez utiliser comme référence pour configurer l'intégration :
Pour les autres fournisseurs d'identité, nous vous recommandons de suivre leur documentation d'intégration.
Pour activer Automation Cloud en tant que fournisseur de services qui reconnaît votre fournisseur d'identité, procédez comme suit :
Pour vérifier que l'intégration avec authentification unique (SSO) SAML fonctionne correctement :
- Ouvrez une fenêtre privée dans le navigateur.
- Accédez à l'URL de votre organisation Automation Cloud .
- Vérifiez les points suivants :
- Êtes-vous invité à vous connecter avec votre fournisseur d'identité SAML ?
- Parvenez-vous à vous connecter ?
- Si vous vous connectez avec une adresse e-mail qui correspond à un compte utilisateur existant, disposez-vous des autorisations appropriées ?
Si vous utilisez des revendications dans votre IdP, vous pouvez les utiliser comme conditions dans une règle d'enregistrement afin que les utilisateurs reçoivent automatiquement les licences et les rôles appropriés lorsqu'ils se connectent à Automation Cloud. Les règles d'enregistrement sont évaluées lorsqu'un utilisateur se connecte. Si le compte utilisateur remplit les conditions d'une règle, il est automatiquement ajouté au groupe UiPath local associé à la règle. Par exemple, un administrateur peut configurer une règle pour enregistrer les utilisateurs directement dans le groupe Automation Users à l'aide de ces paramètres : Revendication ( Claim ) =groupe, Relation( Relationship) =, Valeur (Value) =Utilisateur d'automatisation (Automation User).
2.5.1 Configurer des groupes d'enregistrement
Dans Automation Cloud, l'ajout d'un compte à un groupe signifie que le compte hérite des licences, des rôles et de la configuration du robot défini pour le groupe, le cas échéant.
En regroupant des types de comptes similaires (par exemple, développeurs ou testeurs), vous pouvez rationaliser le processus d'intégration des utilisateurs vers Automation Cloud. Assurez-vous que dans l'IdP, vous configurez des comptes similaires de la même manière.
De cette façon, vous configurez le groupe une fois, puis répliquez la configuration en ajoutant des comptes au groupe si nécessaire. Si la configuration d'un groupe de comptes en particulier doit être modifiée, il vous suffit de mettre à jour le groupe une seule fois et les modifications s'appliquent à tous les comptes du groupe.
Pour configurer un groupe pour une règle d'enregistrement :
-
Créez un nouveau groupe local dans Automation Cloud.
Si vous le souhaitez, vous pouvez utiliser un de vos groupes existants au lieu d'en créer un nouveau.
-
(Facultatif et nécessite que la gestion des licences utilisateur soit activée) Si les comptes de ce groupe ont besoin de licences utilisateur, configurez des règles d'attribution de licence pour le groupe.
Si vous utilisez un groupe existant, vérifiez l'attribution des licences pour le groupe afin de vous assurer que les bonnes licences sont attribuées. Si ce n'est pas le cas, modifiez les attributions ou créez un nouveau groupe.
-
Attribuez les rôles des locataires et complétez éventuellement la configuration du robot pour le groupe. Pour obtenir des instructions, voir Attribuer des rôles à un groupe .
Si vous utilisez un groupe existant, vérifiez les rôles actuellement attribués au groupe pour vous assurer qu'ils sont adaptés au type de compte que vous ajouterez au groupe. Si ce n'est pas le cas, modifiez les rôles attribués à ce groupe ou créez un nouveau groupe.
-
Ajoutez le groupe aux dossiers et attribuez des rôles de dossier, si nécessaire. Pour obtenir des instructions, consultez la Gestion des certificats.
Vous pouvez maintenant utiliser ce groupe dans une règle d'enregistrement.
2.5.2 Créer une règle d'enregistrement pour un groupe
Assurez-vous que la revendication associée à la règle d'enregistrement SAML est envoyée à la charge utile SAML en la configurant dans l'application SAML.
Une fois l'intégration SAML configurée et après avoir configuré un groupe :
-
Accédez à Admin, sélectionnez votre organisation, puis sélectionnez Sécurité (Security).
La page Paramètres de sécurité (Security Settings) de l'organisation s'affiche dans l'onglet Paramètres d'authentification (Authentication Settings).
-
Sous l'option SAML SSO , cliquez sur Afficher les règles d'enregistrement (View Provisioning Rule). La page Règles d'enregistrement SAML SSO ( SAML SSO Provisioning Rules) s'ouvre, où vos règles existantes sont répertoriées.
-
Dans l'angle supérieur droit de la page, cliquez sur Ajouter une règle (Add rule).
La page Ajouter une nouvelle règle (Add new rule) s'ouvre.
- Sous Détails de base (Basic details), renseignez le champ Nom de la règle (Rule Name) et éventuellement le champ Description.
-
Sous Conditions, cliquez sur Ajouter une règle (Add rule).
Une ligne de champs pour une nouvelle condition est ajoutée. Ensemble, ils définissent les critères qu'un compte doit remplir lors de la connexion pour être ajouté à un groupe (choisi ultérieurement).
- Dans le champ Revendication (Claim), saisissez le nom de la revendication, tel qu'il apparaît dans l'IdP. Le champ est sensible à la casse.
-
Dans la liste Relation (Relationship), sélectionnez la relation entre la revendication et la valeur. Les options suivantes sont disponibles :
Relation
Conditions requises
Exemple
est
correspondance exacte, sensible à la casse
Department is RPA
exige que la valeur de la revendicationDepartment
soitRPA
.Par exemple, la condition n'est pas remplie si la valeur estRPADev
.Cette relation fonctionne pour les réclamations à plusieurs valeurs.
Par exemple, si les valeursadministrator
etdeveloper
sont envoyées sous la revendicationGroup
, alorsGroup is administrator
constituerait une relation valide.n'est pas
tout sauf la valeur spécifiée, sensible à la casse
PourDepartment is not ctr
, tout compte est ajouté au groupe sauf siDepartment
a la valeurctr
.La condition est remplie si le service estCtr
ouelectr
.contient
inclut, ne nécessite pas de correspondance exacte, sensible à la casse
Department contains RPA
exige que la valeur de la revendicationDepartment
inclueRPA
.La condition est remplie si par exemple la valeur estRPADev
,xRPAx
ouNewRPA
.ne contient pas
exclut, ne nécessite pas de correspondance exacte, sensible à la casse
PourDepartment not contains ctr
, tout compte est ajouté au groupe sauf si la valeur deDepartment
inclutctr
.Les comptes dont le service est par exemplectr
ouelectr
, ne sont pas ajoutés au groupe.insensible à la casse
correspondance exacte, non sensible à la casse
Department is case insensitive RPA
exige que la valeur de la revendicationDepartment
incluerpa
, dans n'importe quelle casse.Par exemple, la condition est remplie si la valeur estrpa
. Par exemple, la condition n'est pas remplie si la valeur estcrpa
.contient insensible à la casse
inclut, ne nécessite pas de correspondance exacte, non sensible à la casse
Department contains case insensitive RPA
exige que la valeur de la revendicationDepartment
inclueRPA
, dans n'importe quelle casse.La condition est remplie si par exemple la valeur estrpa
,cRPA
ourpA
. - Dans le champ Valeur (Value), saisissez la valeur nécessaire pour remplir la condition.
-
Si vous souhaitez ajouter une autre condition, cliquez sur Ajouter une règle (Add rule) pour ajouter une nouvelle ligne de condition.
Lorsque vous ajoutez plusieurs conditions, toutes les conditions doivent être remplies pour que la règle d'enregistrement s'applique. Par exemple, si vous définissez les règlesDepartment is RPA
etTitle is Engineer
, seuls les utilisateurs appartenant à la fois au service RPA et portant l'intitulé Ingénieur sont ajoutés aux groupes spécifiés. Un compte dont le service est RPA, mais dont l'intitulé est AQ n'est pas ajouté aux groupes. -
Sous Attribuer à des groupes (Assign to groups), dans la case Ajouter des groupes (Add Groups), commencez à saisir le nom d'un groupe, puis sélectionnez un groupe dans la liste des résultats. Répétez l'opération pour ajouter d'autres groupes, si nécessaire.
Lorsque les conditions sont remplies, les comptes sont automatiquement ajoutés à ces groupes lorsqu'ils se connectent.
- Cliquez sur Enregistrer (Save) dans le coin inférieur droit pour ajouter la règle.
Lorsqu'une règle est en place, chaque fois qu'un utilisateur se connecte et que son compte remplit les conditions spécifiées pour une règle, son compte est ajouté aux groupes d'enregistrement attachés à la règle et son compte est configuré pour fonctionner dans Automation Cloud.
Exemple de fragment de charge utile SAML
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
-
Votre IdP doit être configuré pour transmettre ces revendications dans la charge utile ACS.
-
Assurez-vous que les noms d’attribut configurés dans l’IdP correspondent aux paramètres de mappage d’attributs dans le portail de l’administrateur de l’organisation.
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
Lorsqu’un utilisateur de cette organisation se connecte via l’intégration du répertoire SAML, son objet utilisateur est mis à jour pour refléter ce paramètre.
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
Assurez-vous de fournir l'URL spécifique à votre organisation pour l'organisation Automation Cloud à tous vos utilisateurs.
Après le passage à l'intégration SAML, l'intégration Azure AD est désactivée. Les attributions de groupe Azure AD ne s'appliquent plus, l'appartenance au groupe Automation Cloud et les autorisations héritées d' Azure AD ne sont donc plus respectées.
Pour se connecter à Automation Cloud avec SAML SSO, les utilisateurs peuvent :
- accéder à l'URL spécifique à votre organisation. L'URL doit inclure l'ID de l'organisation et se terminer par une barre oblique, par exemple
https://cloud.uipath.com/orgID
. - accéder à https://cloud.uipath.com, sélectionner Continuer avec SSO (Continue with SSO) sur la page de connexion, puis fournir l'URL spécifique à leur organisation.
Pour se connecter à UiPath Studio et UiPath Assistant via l'authentification unique (SSO) SAML, les utilisateurs doivent configurer l'Assistant comme suit :
Ceci n'est requis que pour les nouveaux utilisateurs qui n'ont jamais utilisé Automation Cloud auparavant et qui n'avaient donc pas de compte local configuré pour eux dans Automation Cloud lorsque l'intégration a été activée.
Vous pouvez ajouter de nouveaux utilisateurs aux groupes Automation Cloud par leur adresse e-mail (telle qu'utilisée dans l'IdP externe). Une fois qu'un utilisateur a été affecté à un groupe ou qu'il s'est connecté, il sera disponible via la recherche d'attribution de rôle dans tous les services UiPath.
une fois que tous les utilisateurs sont passés à l'authentification unique (SSO) SAML et que les nouveaux utilisateurs sont configurés, nous vous recommandons de supprimer tous les comptes d'utilisateurs locaux qui ne sont pas des comptes d'administrateur. Cela garantit que les utilisateurs ne peuvent plus se connecter avec leurs informations d'identification de compte local et qu'ils doivent se connecter via l'authentification unique (SSO) SAML.
Vous pouvez identifier les comptes d'utilisateurs locaux en fonction de leurs icônes.
Un compte local peut être utile :
-
Pour gérer les problèmes d'intégration SAML (par exemple, la mise à jour d'un certificat expiré) ou si les paramètres d'authentification changent, un compte avec le rôle d'administrateur de l'organisation est recommandé.
-
Pour les processus dépendant de jetons d'accès API pour les autorisations de demande, car la fonctionnalité Accès à l'API (API Access) (sur la page Admin > Locataires (Tenants)) est inaccessible avec un compte SAML SSO. Vous pouvez également passer à l'utilisation d'OAuth pour l'autorisation, ce qui élimine le besoin d'informations d'accès à l'API.
- Limites connues
- Prérequis
- Étape 1. Nettoyer les comptes d'utilisateurs inactifs
- Étape 2. Configuration de l'intégration SAML
- Étape 2.1. Obtenir les détails du fournisseur de services SAML
- Étape 2.2. Configurez votre fournisseur d'identité
- Étape 2.3. Configurer Automation Cloud
- Étape 2.4. Vérifiez que l'intégration est en cours d'exécution
- Étape 2.5. Configurer les règles d'enregistrement (facultatif)
- Mappage des attributs SAML
- Étape 3. Transition des utilisateurs vers le SSO SAML
- Étape. 4. Configuration des autorisations et des robots
- Étape 5. Abandon de l'utilisation des comptes locaux (facultatif)