automation-suite
2022.10
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique.
UiPath logo, featuring letters U and I in white
Guide d'administration d'Automation Suite
Last updated 14 août 2024

Configuration de l'intégration SAML

Vous pouvez connecter votre organisation Automation Suite à n'importe quel fournisseur d'identité (IdP) qui utilise la norme SAML 2.0. Cette page décrit le processus global en affichant quelques exemples de configurations d'intégration SAML.

Présentation du processus de configuration

L'intégration SAML est conçue de manière à pouvoir être mise en œuvre progressivement, sans perturber les utilisateurs existants.

Les principales phases du processus, décrites plus en détail sur cette page, sont :

  1. Nettoyer les comptes utilisateur inactifs
  2. Configuration de l'intégration SAML
  3. Transition des utilisateurs existants pour qu'ils se connectent via l'authentification unique (SSO) SAML
  4. Configurer les autorisations et les robots pour les nouveaux utilisateurs
  5. Abandonner l'utilisation des comptes locaux (facultatif)

Limites connues

Impossible de rechercher des comptes à partir de votre fournisseur d'identité

Avec l'intégration SAML, vous ne pouvez pas rechercher tous les utilisateurs et groupes de votre fournisseur d'identité. Seuls les utilisateurs de répertoire enregistrés sont disponibles pour la recherche.

Impossible de voir les utilisateurs de l'annuaire au niveau de l'organisation

Seuls les utilisateurs locaux s'affichent au niveau de l'organisation. L'enregistrement « juste à temps (just-in-time) » ajoute des utilisateurs à l'annuaire, de sorte qu'ils n'apparaissent pas sur la page de gestion Comptes et groupes (Accounts & Groups).

URL ACS incorrecte dans l'IU de configuration SAML

La page Configuration du service d'authentification unique (SSO) SAML (SAML SSO Configuration) affichait une URL du service client relatif aux assertions (Assertion Customer Service URL) incorrectes.

Solution : pour résoudre ce problème, configurez l'URL du service client relatif aux assertions dans l'IDP sans l'ID de partition. Par exemple, l'URL d'origine : https://{your-domain}/91483651-d8d6-4673-bd3f-54b0f7dc513a/identity_/Saml2/Acs deviendrait https://{your-domain}/identity_/ Saml2/Acs

Remarque :

Cette solution de contournement comporte deux mises en garde :

  • Les flux de connexion initiés par l'IDP ne fonctionneront pas comme prévu.

  • Ce problème a été résolu dans la version 2023.4. Lors de la mise à niveau vers 2023.4+, vous devrez modifier l'URL du service client relatif aux assertions (Assertion Customer Service URL) pour inclure l'ID de partition.

Prérequis

Pour configurer l'intégration SAML, vous avez besoin de :

  • Une organisation Automation Suite avec une licence Enterprise ou Enterprise Trial.
  • Autorisations d'administrateur dans Automation Suite et dans votre fournisseur d'identité tiers.

    Si vous ne disposez pas d'autorisations d'administrateur dans votre fournisseur d'identité, faites appel à un administrateur pour terminer le processus de configuration.

  • UiPath Studio® et l’assistant UiPath version 2020.10.3 ou ultérieure, afin que vous puissiez les configurer pour utiliser le déploiement recommandé.

Remarque :

Basculer depuis l'intégration Azure Active Directory

Si vous utilisez actuellement pour l'authentification, nous vous recommandons de rester sur l'intégration AAD car elle est plus riche en fonctionnalités.

Si vous décidez d'abandonner l'intégration AAD, vous devez remplacer manuellement l'attribution de rôle effectuée via des groupes de répertoires par une attribution directe de rôles aux comptes d'annuaire afin de ne pas avoir à recréer complètement votre schéma d'accès.

Étape 1. Nettoyer les comptes d'utilisateurs inactifs

Si votre organisation recycle les adresses e-mail, il est important de supprimer tous les comptes utilisateur inactifs avant de configurer l'intégration SAML.

Lorsque vous activez l'intégration, les comptes locaux présents dans Automation Suite peuvent être liés au compte d'annuaire du fournisseur d'identité externe qui utilise la même adresse e-mail. Cette liaison de compte se produit lorsque l'utilisateur du compte d'annuaire avec l'adresse e-mail se connecte pour la première fois. L'identité de votre fournisseur d'identité hérite de tous les rôles du compte local afin que la transition se fasse en toute transparence.

Pour cette raison, avec des comptes locaux inactifs présents dans Automation Suite, il existe un risque que les comptes locaux et les comptes de répertoire ne correspondent pas, ce qui peut entraîner une élévation involontaire des autorisations.

Pour supprimer les comptes utilisateur inactifs :

  1. Connectez-vous à Automation Suite en tant qu'administrateur de l'organisation.
  2. Accédez à Admin, assurez-vous que l'organisation est sélectionnée en haut du volet gauche, puis cliquez sur Comptes et groupes (Accounts & Groups).
    Remarque : si vous utilisez toujours l'ancienne expérience d'administration, accédez à Admin et sélectionnez Comptes et groupes (Accounts & Groups) sur la gauche.
  3. Sur la page Utilisateurs (Users), cliquez sur l'en-tête de la colonne Dernière activité (Last active) pour réorganiser les utilisateurs afin que ceux dont la date de dernière connexion est la plus ancienne s'affichent en haut :


    La colonne Dernière activité (Last active) affiche la date à laquelle l'utilisateur s'est connecté pour la dernière fois sur Automation Suite. Si vous voyez En attente (Pending) dans cette colonne, comme dans l'exemple ci-dessus, cela signifie que l'utilisateur ne s'est jamais connecté. Vous pouvez utiliser ces informations pour vous aider à identifier vos utilisateurs inactifs.

  4. Cliquez sur l'icône Supprimer (Delete) à la fin de la ligne pour supprimer le compte local de cet utilisateur.


  5. Dans la boîte de dialogue de confirmation, cliquez sur Supprimer (Delete) pour confirmer la suppression du compte d'Automation Cloud.

    Le compte utilisateur est supprimé de la page.

  6. Continuez à supprimer tous les comptes d'utilisateurs inactifs de votre organisation.

Étape 2. Configuration de l'intégration SAML

Vous devez maintenant configurer Automation Suite et votre fournisseur d'identité (IdP) pour l'intégration.

Étape 2.1. Obtenir les détails du fournisseur de services SAML

  1. Connectez-vous à Automation Suite en tant qu'administrateur de l'organisation.
  2. Accédez à Admin, assurez-vous que l'organisation est sélectionnée en haut du volet gauche, puis cliquez sur Sécurité (Security).
    Remarque : si vous utilisez toujours l'ancienne expérience d'administration, accédez à Admin et sélectionnez Paramètres de sécurité (Security Settings) sur la gauche.
  3. Cliquez sur Configurer l'authentification unique (Configure SSO), puis, dans le panneau qui s'ouvre, cliquez sur SAML 2.0 :

    docs image
    Remarque : Dans la section Fournisseurs externes (External Providers), cliquez à la place sur Configurer (Configure) sous SAML 2.0.
    La page suivante donne un aperçu de l'intégration.
  4. Dans le coin inférieur droit, cliquez sur Suivant (Next) pour passer à la configuration.
    Remarque : à l'étape Informations générales (General Details), sous Données à configurer dans IdP (Data to be configured in IdP), nous fournissons les informations dont vous avez besoin pour configurer votre fournisseur d'identité pour vous connecter à Automation Suite.

    docs image
  5. Copiez et enregistrez les valeurs des URL de métadonnées (Metadata URL), de l'identifiant de l'entité (Entity ID) et de l'URL du service client relatif aux assertions (Assertion Consumer Service URL). Vous en aurez besoin lors de l'étape suivante.
    Gardez cet onglet de navigateur ouvert pour une utilisation ultérieure.

Étape 2.2. Configurez votre fournisseur d'identité

Automation Suite peut se connecter à n'importe quel fournisseur d'identité (IdP) tiers qui utilise la norme SAML 2.0.

Bien que la configuration puisse varier en fonction de l'IdP choisi, nous avons validé la configuration pour les fournisseurs suivants, que vous pouvez utiliser comme référence pour configurer l'intégration :

  • Okta

  • PingOne

Pour les autres fournisseurs d'identité, nous vous recommandons de suivre leur documentation d'intégration.

Exemple de configuration pour Okta

Les instructions de cette section concernent un exemple de configuration. Pour plus d'informations sur les paramètres IdP non présentés ici, veuillez consulter la documentation Okta (Okta documentation).
  1. Dans un autre onglet du navigateur, connectez-vous à la console d'administration Okta.
  2. Accédez à Applications > Applications, cliquez sur Créer une intégration d'application (Create App Integration) et sélectionnez SAML 2.0 comme méthode de connexion.
  3. À la page Paramètres généraux (General Settings), spécifiez un nom pour l'application à laquelle vous vous intégrez, à savoir Automation Suite.
  4. Sur la page Configurer SAML (Configure SAML), renseignez la section Général (General) comme suit :
    • URL d'authentification unique (Single sign-on URL) : Saisissez la valeur de l'URL du service client relatif aux assertions obtenue via Automation Suite.

    • Sélectionnez la case Utiliser ceci comme URL du destinataire et URL de destination (Use this for Recipient URL and Destination URL).

    • URI d'audience (Audience URI) : Saisissez la valeur de l'identifiant de l'entité (Entity ID) obtenue via Automation Cloud.

    • Format d'ID du nom : sélectionnez EmailAddress

    • Nom d'utilisateur de l'application : sélectionnez l'adresse e-mail

  5. Pour les Déclarations d'attribut (Attribute Statements), ajoutez ce qui suit :
    • Nom : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Laissez le Format du nom (Name Format) comme Non spécifié (Unspecified).

    • Définissez la Valeur (Value) sur user.email, ou l'attribut utilisateur qui contient l'adresse e-mail unique de l'utilisateur
    • Ajoutez éventuellement d'autres mappages des attributs. Automation Suite prend également en charge les attributs utilisateur tels que les Prénom, Nom, Intitulé de poste et Service. Ces informations sont ensuite propagées à Automation Suite, où elles peuvent être mises à la disposition d'autres services, tels que Automation Hub.

  6. Sur la page Commentaires (Feedback), sélectionnez l'option que vous préférez.
  7. Cliquez sur Terminer.
  8. Dans l'onglet Connexion (Sign On), dans la section Paramètres (Settings), sous Afficher les instructions de configuration (View Setup Instructions), copiez la valeur de l'URL des métadonnées du fournisseur d'identité (Identity Provider metadata URL) et enregistrez-la.
  9. Sur la page Application d'Automation Cloud, sélectionnez l'application récemment créée.
  10. Dans l'onglet Affectations (Assignments), sélectionnez Affecter (Assign) > Affecter aux personnes (Assign to People), puis sélectionnez les utilisateurs que vous souhaitez autoriser à utiliser l'authentification SAML pour Automation Suite. Les utilisateurs récemment ajoutés s'affichent dans l'onglet Personnes (People).

Exemple de configuration pour PingOne

Les instructions de cette section concernent un exemple de configuration. Pour plus d'informations sur les paramètres IdP non présentés ici, veuillez consulter la documentation PingOne (PingOne documentation).
  1. Dans un autre onglet du navigateur, connectez-vous à la console d'administration Okta.
  2. Accédez à Applications > Applications, cliquez sur Créer une intégration d'application (Create App Integration) et sélectionnez SAML 2.0 comme méthode de connexion.
  3. À la page Paramètres généraux (General Settings), spécifiez un nom pour l'application à laquelle vous vous intégrez, à savoir Automation Suite.
  4. Sur la page Configurer SAML (Configure SAML), renseignez la section Général (General) comme suit :
    • URL d'authentification unique (Single sign-on URL) : Saisissez la valeur de l'URL du service client relatif aux assertions obtenue via Automation Suite.
    • Sélectionnez la case Utiliser ceci comme URL du destinataire et URL de destination (Use this for Recipient URL and Destination URL).
    • URI d'audience (Audience URI) : Saisissez la valeur de l'identifiant de l'entité (Entity ID) obtenue via Automation Cloud.
    • Format d'ID du nom (Name ID Format) : sélectionnez EmailAddress.
    • Nom d'utilisateur de l'application : sélectionnez l'adresse e-mail
  5. Pour les Déclarations d'attribut (Attribute Statements), ajoutez ce qui suit :
    • Nom : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Laissez le Format du nom (Name Format) comme Non spécifié (Unspecified).
    • Définissez la Valeur (Value) sur user.email, ou sur l'attribut utilisateur qui contient l'adresse e-mail unique de l'utilisateur.
    • Ajoutez éventuellement d'autres mappages des attributs. Automation Suite prend également en charge les attributs utilisateur tels que les Prénom, Nom, Intitulé de poste et Service. Ces informations sont ensuite propagées à Automation Suite, où elles peuvent être mises à la disposition d'autres services, tels que Automation Hub.
  6. Sur la page Commentaires (Feedback), sélectionnez l'option que vous préférez.
  7. Cliquez sur Terminer.
  8. Dans l'onglet Connexion (Sign On), dans la section Paramètres (Settings), sous Afficher les instructions de configuration (View Setup Instructions), copiez la valeur de l'URL des métadonnées du fournisseur d'identité (Identity Provider metadata URL) et enregistrez-la.
  9. Sur la page Application d'Automation Cloud, sélectionnez l'application récemment créée.
  10. Dans l'onglet Affectations (Assignments), sélectionnez Affecter (Assign) > Affecter aux personnes (Assign to People), puis sélectionnez les utilisateurs que vous souhaitez autoriser à utiliser l'authentification SAML pour Automation Suite. Les utilisateurs récemment ajoutés s'affichent dans l'onglet Personnes (People).

Étape 2.3. Configurer Automation Suite

Pour activer Automation Suite en tant que fournisseur de services qui reconnaît votre fournisseur d'identité, procédez comme suit :

  1. Revenez à l'onglet de configuration SAML dans Automation Suite.
  2. À l'étape Informations générales (General details), sous Données de l'IdP (Data from IdP), renseignez le champ URL des métadonnées (Metadata URL) avec l'URL des métadonnées obtenue lors de la configuration.
  3. Cliquez sur Récupérer les données (Fetch data).
    Remarque :

    Une fois l'opération terminée, les champs URL de connexion (Sign-on URL), Identifiant de l'entité du fournisseur d'identité (Identity Provider Entity ID) et Certificat de signature (Signing certificate) sont renseignés avec les informations de l'IdP.

  4. Cliquez sur Suivant (Next) dans le coin inférieur droit pour passer à l'étape suivante.
  5. Dans les Paramètres d'enregistrement (Provisioning settings), remplissez la section Domaines autorisés (Allowed Domains) avec les domaines à partir desquels vous souhaitez autoriser les utilisateurs à se connecter. Saisissez tous les domaines pris en charge par le fournisseur d'identité configuré.

    Séparez les différents domaines à l'aide de virgules.

  6. Cochez la case pour indiquer que vous comprenez que les comptes avec des adresses e-mail correspondantes seront associés.
  7. Remplissez éventuellement Mappage des attributs (Attribute Mapping).
  8. Si vous souhaitez également configurer les détails avancés, cliquez sur Suivant (Next) dans le coin inférieur droit pour passer à l'étape finale.

    Sinon, cliquez sur Tester et enregistrer (Test and Save) pour terminer la configuration de l'intégration et ignorer les étapes restantes de cette section.

  9. Sur la page Paramètres avancés (Advanced Settings), configurez les options selon vos besoins :
    • Autoriser la réponse d'authentification non sollicitée : Activez si vous souhaitez pouvoir accéder à Automation Suite à partir du tableau de bord de l'IdP.
    • Type de liaison SAML : la redirection HTTP (HTTP redirect) configure la configuration SAML pour communiquer à l'aide de paramètres d'URL via l'agent utilisateur HTTP.
    • Utilisation du certificat de service : sélectionnez l'option que vous préférez.
  10. Cliquez sur Tester et enregistrer (Test and Save) pour terminer la configuration de l'intégration.

Étape 2.4. Vérifiez que l'intégration est en cours d'exécution

Pour valider que l'intégration avec authentification unique (SSO) SAML fonctionne correctement, vérifiez qu'elle est en cours d'exécution :

  1. Ouvrez une fenêtre de navigateur incognito.
  2. Accédez à l'URL spécifique à votre organisation Automation Suite.
  3. Vérifiez les points suivants :
    • Êtes-vous invité à vous connecter avec votre fournisseur d'identité SAML ?

    • Parvenez-vous à vous connecter ?

    • Si vous vous connectez avec une adresse e-mail qui correspond à un compte utilisateur existant, disposez-vous des autorisations appropriées ?

Étape 2.5. Configurer les règles d'enregistrement (facultatif)

Les administrateurs peuvent configurer des règles d'enregistrement « juste à temps » (just-in-time) qui ajoutent automatiquement des utilisateurs à un groupe UiPath existant à l'aide des paires nom/valeur d'attribut fournies par l'IdP via la connexion. En tirant parti des groupes, les utilisateurs reçoivent automatiquement les licences et les rôles appropriés lorsqu'ils se connectent.

Les règles d’enregistrement « juste à temps (just-in-time) » sont évaluées lorsqu’un utilisateur se connecte. Si le compte utilisateur remplit les conditions d’une règle, il est automatiquement ajouté au groupe local associé à la règle.

Par exemple, un administrateur peut configurer une règle pour enregistrer les utilisateurs directement dans le groupe Automation Users à l'aide de ces paramètres : Revendication (Claim)=group, Relation (Relationship)=is, Valeur (Value)=Automation User.
docs image

Phase 1. Configurer des groupes d'enregistrement

L'ajout d'un compte à un groupe signifie que le compte hérite des licences, des rôles et de la configuration du robot défini pour le groupe, le cas échéant.

Ainsi, si vous configurez un groupe en pensant à un type d'utilisateur particulier (par exemple, vos employés qui créent les automatisations ou vos employés qui testent les automatisations), vous pouvez intégrer un nouvel employé de ce type en définissant simplement leur compte dans l'IdP de la même manière que les autres comptes similaires.

De cette façon, vous configurez le groupe une fois, puis répliquez la configuration en ajoutant des comptes au groupe si nécessaire. De plus, si la configuration d'un groupe d'utilisateurs en particulier doit être modifiée, il vous suffit de mettre à jour le groupe une seule fois et les modifications s'appliquent à tous les comptes du groupe.

Pour configurer un groupe pour une règle d'enregistrement :

  1. Si vous le souhaitez, vous pouvez utiliser un de vos groupes existants au lieu d'en créer un nouveau.

  2. (Facultatif et nécessite la gestion des licences utilisateur) Si les utilisateurs de ce groupe ont besoin de licences utilisateur, configurez des règles d'attribution de licence pour le groupe.

    Si vous utilisez un groupe existant, vérifiez l'attribution des licences pour le groupe afin de vous assurer que les bonnes licences sont attribuées. Si ce n'est pas le cas, modifiez les attributions ou créez un nouveau groupe.

  3. Attribuez les rôles des locataires et complétez éventuellement la configuration du robot pour le groupe. Voir Attribuer des rôles à un groupe (Assigning roles to a group)

    Si vous utilisez un groupe existant, vérifiez les rôles actuellement attribués au groupe pour vous assurer qu'ils sont adaptés au type d'utilisateurs que vous ajouterez au groupe. Si ce n'est pas le cas, modifiez les rôles attribués à ce groupe ou créez un nouveau groupe.

  4. Ajoutez le groupe aux dossiers et attribuez des rôles de dossier, si nécessaire. Voir Gestion de l'accès aux dossiers.

Vous pouvez maintenant utiliser ce groupe dans une règle d'enregistrement.

Phase 2. Créer une règle d'enregistrement pour un groupe

Remarque :

Assurez-vous que la revendication associée à la règle d'enregistrement SAML est envoyée à la charge utile SAML en la configurant dans l'application SAML.

Une fois l'intégration SAML configurée et après avoir configuré un groupe :

  1. Accédez à Admin > Paramètres de sécurité (Security Settings) > Paramètres d'authentification (Authentification Settings).
  2. Sous l'option SAML SSO, cliquez sur Afficher les règles d'enregistrement (View Provisioning Rule) :



    La page Règles d'enregistrement SAML SSO (SAML SSO Provisioning Rules) s'ouvre, où vos règles existantes sont répertoriées.

  3. Dans l'angle supérieur droit de la page, cliquez sur Ajouter une règle (Add rule).

    La page Ajouter une nouvelle règle (Add new rule) s'ouvre.

  4. Sous Détails de base (Basic details), renseignez le champ Nom de la règle (Rule Name) et éventuellement le champ Description.
  5. Sous Conditions, cliquez sur Ajouter une règle (Add rule).

    Une ligne de champs pour une nouvelle condition est ajoutée. Ensemble, ils définissent les critères qu'un compte doit remplir lors de la connexion pour être ajouté à un groupe (choisi ultérieurement).



  6. Dans le champ Revendication (Claim), saisissez le nom de la revendication, tel qu'il apparaît dans l'IdP.
  7. Dans la liste Relation (Relationship), sélectionnez la relation entre la revendication et la valeur. Les options suivantes sont disponibles :

    Relation

    Conditions requises

    Exemple

    est

    correspondance exacte, sensible à la casse

    Department is RPA exige que la valeur de la revendication Department soit RPA.
    Par exemple, la condition n'est pas remplie si la valeur est RPADev.

    Cette relation fonctionne pour les réclamations à plusieurs valeurs.

    Par exemple, si les valeurs administrator et developer sont envoyées sous la revendication Group, alors Group is administrator constituerait une relation valide.

    n'est pas

    tout sauf la valeur spécifiée, sensible à la casse

    Pour Department is not ctr, tout compte est ajouté au groupe sauf si Department a la valeur ctr.
    La condition est remplie si le service est Ctr ou electr.

    contient

    inclut, ne nécessite pas de correspondance exacte, sensible à la casse

    Department contains RPA exige que la valeur de la revendication Department inclue RPA.
    La condition est remplie si par exemple la valeur est RPADev, xRPAx ou NewRPA.

    ne contient pas

    exclut, ne nécessite pas de correspondance exacte, sensible à la casse

    Pour Department not contains ctr, tout compte est ajouté au groupe sauf si la valeur de Department inclut ctr.
    Les comptes dont le service est par exemple ctr ou electr, ne sont pas ajoutés au groupe.

    insensible à la casse

    correspondance exacte, non sensible à la casse

    Department is case insensitive RPA exige que la valeur de la revendication Department inclue rpa, dans n'importe quelle casse.
    Par exemple, la condition est remplie si la valeur est rpa. Par exemple, la condition n'est pas remplie si la valeur est crpa.

    contient insensible à la casse

    inclut, ne nécessite pas de correspondance exacte, non sensible à la casse

    Department contains case insensitive RPA exige que la valeur de la revendication Department inclue RPA, dans n'importe quelle casse.
    La condition est remplie si par exemple la valeur est rpa, cRPA ou rpA.
  8. Dans le champ Valeur (Value), saisissez la valeur nécessaire pour remplir la condition.
  9. Si vous souhaitez ajouter une autre condition, cliquez sur Ajouter une règle (Add rule) pour ajouter une nouvelle ligne de condition.

    Lorsque vous ajoutez plusieurs conditions, toutes les conditions doivent être remplies pour que la règle d'enregistrement s'applique. Par exemple, si vous définissez les règles Department is RPA et Title is Engineer, seuls les utilisateurs appartenant à la fois au service RPA et portant l'intitulé Ingénieur sont ajoutés aux groupes spécifiés. Un compte dont le service est RPA, mais dont l'intitulé est AQ n'est pas ajouté aux groupes.
  10. Sous Attribuer à des groupes (Assign to groups), dans la case Ajouter des groupes (Add Groups), commencez à saisir le nom d'un groupe, puis sélectionnez un groupe dans la liste des résultats. Répétez l'opération pour ajouter d'autres groupes, si nécessaire.

    Lorsque les conditions sont remplies, les comptes sont automatiquement ajoutés à ces groupes lorsqu'ils se connectent.

  11. Cliquez sur Enregistrer (Save) dans le coin inférieur droit pour ajouter la règle.

Lorsqu'une règle est en place, chaque fois qu'un utilisateur se connecte et que son compte remplit les conditions spécifiées pour une règle, son compte est ajouté aux groupes d'enregistrement attachés à la règle et son compte est configuré pour fonctionner.

Étape 3. Transition des utilisateurs vers le SSO SAML

Une fois les autorisations configurées, nous vous recommandons de demander à tous vos utilisateurs existants de se déconnecter de leur compte UiPath et de se connecter via l'authentification unique (SSO) SAML.

Pour se connecter à Studio et à l'Assistant via l'authentification unique (SSO) SAML, les utilisateurs doivent configurer l'Assistant comme suit :

  1. Dans l'Assistant, ouvrez Préférences (Preferences) et sélectionnez l'onglet Connexion Orchestrator (Orchestrator Connection).
  2. Cliquez sur Se déconnecter (Sign Out).
  3. Pour le type de connexion, sélectionnez URL du service (Service URL).
  4. Dans le champ URL du service (Service URL), ajoutez l'URL spécifique à l'organisation.
    L'URL doit inclure l'ID de l'organisation et se terminer par une barre oblique, comme par exemple https://cloud.uipath.com/orgID/. Sinon, la connexion échoue en disant que l'utilisateur n'appartient à aucune organisation.
  5. Reconnectez-vous via le SSO SAML.

Étape. 4. Configuration des autorisations et des robots

Cela n'est requis que pour les nouveaux utilisateurs qui n'ont jamais utilisé Automation Suite et qui n'avaient donc pas de compte local configuré pour eux dans Automation Suite lorsque l'intégration a été activée.

Vous pouvez ajouter de nouveaux utilisateurs aux groupes Automation Suite en fonction de leur adresse e-mail (telle qu'elle est utilisée dans l'IdP externe). Une fois qu'un utilisateur a été affecté à un groupe ou qu'il s'est connecté, il sera disponible via la recherche d'affectation de rôle dans tous les services Automation Suite.

Étape 5. Abandon de l'utilisation des comptes utilisateur locaux (facultatif)

une fois que tous les utilisateurs sont passés à l'authentification unique (SSO) SAML et que les nouveaux utilisateurs sont configurés, nous vous recommandons de supprimer tous les comptes d'utilisateurs locaux qui ne sont pas des comptes d'administrateur. Cela garantit que les utilisateurs ne peuvent plus se connecter avec leurs informations d'identification de compte local et qu'ils doivent se connecter via l'authentification unique (SSO) SAML.

En cas de problèmes avec l'intégration SAML (comme la mise à jour d'un certificat expiré) ou si vous souhaitez passer à une option d'authentification différente, un compte d'utilisateur local avec le rôle d'Administrator est recommandé.

Résolution des problèmes

Si vous obtenez l'erreur User login failed. (#216), cela peut être dû à un mappage d'adresse e-mail manquant dans la configuration du fournisseur d'identité SAML.
La revendication SAML doit être nommée http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress (sensible à la casse) et la valeur doit avoir une adresse e-mail valide.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.