Automation Suite
2023.10
False
Image de fond de la bannière
Guide d'administration d'Automation Suite
Dernière mise à jour 25 mars 2024

Configuration de l'authentification unique : SAML 2.0

Vous pouvez activer SSO à l'aide de n'importe quel fournisseur d'identité prenant en charge le protocole d'authentification SAML 2.0.

Vue d'ensemble (Overview)

L'activation de SAML SSO est un processus en plusieurs étapes et vous devez effectuer la configuration suivante :

  1. Configurez votre fournisseur d'identité pour qu'il reconnaisse Automation Suite en tant que fournisseur de services.
  2. Configurez Automation Suite en tant que fournisseur de services pour reconnaître et approuver votre fournisseur d'identité.
  3. Enregistrez les utilisateurs de votre organisation pour leur permettre de se connecter en SSO à l'aide du protocole SAML 2.0 de votre fournisseur d'identité.

Étape 1. Configurez votre fournisseur d'identité

Automation Suite prend en charge plusieurs fournisseurs d'identité.

Dans cette section, nous expliquons comment trouver la configuration spécifique et obtenir les certificats pour chacun des fournisseurs d'identité suivants :

  • ADFS

  • Google

  • Okta

  • PingOne

A. Configuration d'ADFS

Configurez une machine pour prendre en charge ADFS et assurez-vous d'avoir accès au logiciel de gestion ADFS. Travaillez avec votre administrateur système si nécessaire.

Remarque : Les étapes ci-dessous sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation ADFS.
  1. Ouvrez ADFS Management et définissez une nouvelle approbation de partie de confiance pour Orchestrator, comme suit :
    1. Cliquez sur Approbations de partie de confiance (Relying Party Trusts).
    2. Dans le panneau Actions, cliquez sur Ajouter une approbation de partie de confiance (Add Relying Party Trust). L'Assistant d'ajout d'approbation de partie de confiance (Add Relying Party Trust Wizard) s'affiche.
    3. Dans la section Bienvenue (Welcome), sélectionnez Reconnaissance des réclamations (Claims Aware).
    4. Dans la section Sélectionner des données (Select Data), choisissez l'option Saisir manuellement les données concernant la partie de confiance (Enter data about relying party manually).
    5. Dans la section Spécifier le nom complet (Specify Display Name), dans le champ Nom complet (Display name) insérez l’URL de l’instance Orchestrator.
    6. La section Configurer le certificat (Configure Certificate) n’a pas besoin de paramètres spécifiques, vous pouvez donc la laisser telle quelle.
    7. Dans la section Configurer l'URL (Configure URL), sélectionnez Activer la prise en charge du protocole SAML 2.0 Web SSO (Enable support for the SAML 2.0 Web SSO Protocol).
    8. Dans le champ URL de service SSO de l'approbation de partie SAML 2.0 (Relying party SAML 2.0 SSO service URL), renseignez l'URL de votre instance Automation Suite, plus le suffixe identity_/Saml2/Acs. Par exemple, https://baseURL/identity_/Saml2/Acs.
    9. Dans le champ Identifieur d'approbation de partie de confiance (Relying party trust identifier), sous la section Configurer les identifieurs (Configure Identifiers), renseignez l'URL de votre instance Orchestrator, plus le suffixe identity_.
    10. Dans la section Choisir la stratégie de contrôle d’accès (Choose Access Control Policy), assurez-vous de sélectionner la stratégie de contrôle Autoriser tout le monde (Permit everyone).
    11. Les sections Confiance prête à être ajoutée (Ready to Add Trust) et Terminer (Finish) n’ont pas besoin de paramètres spécifiques, vous pouvez donc les laisser tels quels.
      La partie de confiance nouvellement ajoutée s’affiche sur la fenêtre Approbations des parties de confiance (Relying Party Trusts).
    12. Accédez à Actions (Actions) > Propriétés (Properties) > Point de terminaison (Endpoints) et assurez-vous que POST est sélectionné pour Liaison (Binding) et que la case Définir l'URL de confiance par défaut (Set the trusted URL as default) est cochée.

      La liaison Point de terminaison (Endpoint) doit être définie sur Post. D'autres liaisons telles que la redirection (redirect) ne sont pas compatibles avec UiPath car ADFS ne signe pas les assertions de redirection.

    13. Accédez à Actions > Propriétés (Properties) > Identifiants (Identifiers) et assurez-vous que l'URL de votre instance Orchestrator et le suffixe identity_ sont présents.
  2. Sélectionnez l'approbation de la partie de confiance et cliquez sur Modifier la stratégie d'émission de revendication (Edit Claim Issuance Policy) dans le panneau Actions.

    L'assistant Modifier la politique d'émission de revendication (Edit Claim Issuance Policy) s'affiche.

  3. Cliquez sur Ajouter une règle (Add rule) et créez une règle à l'aide du modèle Envoyer les attributs LDAP en tant que revendications (Send LDAP Attributes as Claims) avec les paramètres suivants :

    Attribut LDAP

    Type de demande sortante

    Adresses e-mail

    Adresse e-mail

    Nom d'utilisateur principal

    Identifiant du nom

  4. Une fois ADFS configuré, ouvrez PowerShell en tant qu'administrateur et exécutez les commandes suivantes :
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      Remplacez DISPLAYNAME par la valeur définie à l'étape 1.e.
    2. Restart-Service ADFSSRV.

B. Configuration de Google

Remarque : Les étapes ci-dessous sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation Google.
  1. Connectez-vous à la console d'administration en tant qu'administrateur, accédez à Apps, puis à Applications Web et mobiles (Web and mobile apps).
  2. Cliquez sur Ajouter une application (Add App), puis sur Ajouter une application SAML personnalisée (Add custom SAML app).
  3. Dans la page Détails de l'application (App Details), indiquez un nom pour votre instance Automation Suite.
  4. Sur la page des détails du fournisseur d'identité Google, copiez et enregistrez les éléments suivants pour plus tard :
    • URL d'authentification unique
    • Identifiant de l’entité
  5. Téléchargez le certificat, ouvrez-le avec un éditeur de texte, copiez et enregistrez la valeur pour la partie suivante de la configuration à l' étape 2. Configurez Automation Suite.
  6. Dans la page Détails du fournisseur de services (Service Provider Details), saisissez les informations suivantes :
    • URL ACS : https://baseURL/identity_/Saml2/Acs
    • ID d'entité : https://baseURL/identity_
  7. Sur la page Mappage d'attributs (Attribute Mapping), fournissez les mappages suivants :
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. Après avoir configuré l'application SAML, accédez à Accès utilisateur (User access) sur l'application SAML Automation Suite dans la console d'administration Google et cliquez sur Activé pour tout le monde (On for everyone).

C. Configuration d'Okta

Remarque : Les étapes ci-dessous sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation Okta.
  1. Connectez-vous à la console d'administration Okta, accédez à Applications > Applications, cliquez sur Créer une intégration d'application (Create App Integration) et sélectionnez SAML 2.0 comme méthode de connexion (Sign-on method).
  2. Dans la page Paramètres généraux (General Settings), spécifiez un nom pour votre instance Automation Suite.
  3. Sur la page Configurer SAML (Configure SAML), renseignez la section Général (General).

    Par exemple :

    • URL d'authentification unique : Votre URL Automation Suite + /identity_/Saml2/Acs. Par exemple, https://baseURL/identity_/Saml2/Acs.
    • Sélectionnez la case Utiliser ceci comme URL du destinataire et URL de destination (Use this for Recipient URL and Destination URL).
    • URI d'audience (Audience URI) : https://baseURL/identity_
    • Format d'ID de nom (Name ID Format) : EmailAddress
    • Nom d'utilisateur de l'application (Application Username) : E-mail (Email)
  4. Remplissez la section Déclarations d'attribut (Attribute Statements) :
    • Dans le champ Nom (Name), saisissez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    • Dans la liste Valeur (Value), sélectionnez user.email.
  5. Dans la section Commentaires (Feedback), sélectionnez l'option appropriée.
  6. Cliquez sur Terminer.
  7. Dans l'onglet Connexion (Sign On), dans la section Paramètres (Settings), cliquez sur Afficher les instructions de configuration (View Setup Instructions).

    Vous êtes redirigé vers une nouvelle page contenant les instructions requises pour terminer la partie suivante de la configuration à l' étape 2. Configurer Automation Suite:

    • URL de connexion du fournisseur d'identité
    • Émetteur du fournisseur d'identité
    • Certificat X.509
  8. Pour que les utilisateurs puissent utiliser l'authentification OKTA, ils doivent se voir affecter l'application récemment créée :
    1. Sur la page Application (Application), sélectionnez l'application récemment créée.
    2. Dans l'onglet Affectations (Assignments), sélectionnez Affecter et Affecter aux personnes (Assign > Assign to People), puis sélectionnez les utilisateurs pour recevoir les autorisations nécessaires. Les utilisateurs récemment ajoutés s'affichent dans l'onglet Personnes (People).

D. Configuration de PingOne

Remarque : Les étapes suivantes sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation PingOne.
  1. Ajoutez une application Web qui se connecte via SAML dans PingOne, avec les spécificités suivantes :
    1. Sur la page Configurer la connexion SAML (Configure SAML Connection), sélectionnez Saisir manuellement (Manually Enter) et remplissez les champs suivants :
      • URL ACS (ACS URLS) : URL sensible à la casse pour votre instance Automation Suite + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs).
      • ID d'entité : https://baseURL/identity_
      • Liaison SLO (SLO binding) : Redirection HTTP

      • Durée de la validité de l'assertion (Assertion Validity Duration) : Entrez le nombre de secondes pour la période de validité.

    2. Sur la page Attributs de carte (Map Attributes), mappez l’attribut suivant :
      Adresse e-mail (Email Address) = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Astuce : Vous pouvez également configurer la connexion SAML PingOne à l'aide de l'option Importer les métadonnées (Import Metadata). Les métadonnées SAML2 du UiPath Identity Server sont disponibles en téléchargement au format XML sur https://baseURL/identity/Saml2.
  2. Sur la page Connexions (Connections) > Applications, recherchez l'application que vous venez de créer et cliquez sur l'icône à l'extrémité droite de la boîte pour afficher ses détails.
  3. Dans l'onglet Profil (Profile), copiez et enregistrez les valeurs suivantes pour la prochaine partie de la configuration, décrite ci-dessous à l'étape 2. Configurer Automation Suite:

    • ID de client

    • URL de la page d'accueil.

  4. Si vous ne l'avez pas téléchargé lors de l'installation de l'application, téléchargez le certificat de signature PingOne :
    1. Accédez à Connexions (Connections) > Certificats et paires de clés (Certificates & Keypairs).
    2. Trouvez l'application que vous venez de créer et cliquez à l'extrémité droite de la boîte pour afficher ses détails.
    3. À droite de l'onglet Détails, cliquez sur Télécharger le certificat (Download Certificate) et sélectionnez le format .crt .docx
  5. Ouvrez le fichier de certificat dans n'importe quel éditeur de texte, copiez et enregistrez la valeur du certificat pour la partie suivante de la configuration, décrite ci-dessous à l ' Étape 2. Configurer Automation Suite.

Étape 2. Configurer Automation Suite

Pour activer Automation Suite en tant que fournisseur de services qui reconnaît votre fournisseur d'identité :

  1. Connectez-vous au portail hôte Automation Suite en tant qu'administrateur système.
  2. Assurez-vous que Hôte (Host) est sélectionné en haut du volet gauche, puis cliquez sur Sécurité (Security).
  3. Cliquez sur Configurer sous SSO SAML et suivez les instructions du fournisseur d'identité que vous utilisez :
    1. Pour configurer SAML pour ADFS :

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://baseURL/identity_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur obtenue lors de la configuration de l'authentification ADFS.

      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur obtenue lors de la configuration de l'authentification ADFS.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https:/baseURL/identity_/externalidentity/saml2redirectcallback.

      9. Définissez le paramètre de stratégie de mappage d'utilisateur externe sur Par e-mail utilisateur (By user e-mail).

      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      11. Dans le champ Certificat de signature (Signing Certificate), collez le texte du certificat.

    2. Pour configurer SAML pour Google:

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://baseURL/identity_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur Entity ID obtenue lors de la configuration de l'authentification Google.

      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur SSO URL obtenue lors de la configuration de l'authentification Google.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https://baseURL/identity_/externalidentity/saml2redirectcallback.

      9. Pour Stratégie de mappage des utilisateurs externes (External user mapping strategy), sélectionnez Par e-mail utilisateur ( By user e-mail).

      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      11. Dans le champ Certificat de signature (Signing Certificate), collez la valeur Certificate obtenue lors de la configuration de Google.

    3. Pour configurer SAML pour Okta:

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://baseURL/identity_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur Émetteur du fournisseur d'identité (Identity Provider Issuer) obtenue lors de la configuration d'Okta.

      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur de l'URL d'authentification du fournisseur d'identité (Identity Provider Sign-On URL) obtenue lors de la configuration d'Okta.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https://baseURL/identity_/externalidentity/saml2redirectcallback.

      9. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      10. Dans le champ Certificat de signature (Signing Certificate), collez la valeur du certificat X.509 (X.509 Certificate) obtenue lors de la configuration d'Okta.

    4. Pour configurer SAML pour PingOne :

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), collez l'URL de votre Automation Suite au format https://baseURL/identiy_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur ID de l'émetteur (Issuer ID) obtenue lors de la configuration de PingOne.

      6. Définissez le paramètre URL du service d'authentification unique (Single Sign-On Service URL) sur la valeur de l'URL d'authentification unique (Single SignOn URL) obtenue lors de la configuration de PingOne.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https://baseURL/identity_/externalidentity/saml2redirectcallback.

      9. Définissez le paramètre de stratégie de mappage d'utilisateur externe sur Par e-mail utilisateur (By user e-mail).

      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      11. Dans le champ Certificat de signature (Signing Certificate), collez la valeur obtenue lors de la configuration de PingOne.

  4. Cliquez sur Enregistrer (Save) pour enregistrer les modifications et revenir à la page précédente.
  5. Cliquez sur le bouton bascule à gauche de SAML SSO pour activer l'intégration.
  6. Redémarrez le pod 'identity-service-api-*'. Ceci est requis après avoir apporté des modifications aux fournisseurs externes.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante :
      kubectl -n uipath rollout restart deployment identity-service-api

Étape 3. Paramètres facultatifs

La configuration suivante est facultative et n'est requise que si vous souhaitez utiliser une ou les deux fonctionnalités de sécurité avancées pour votre installation Automation Suite.

Étape 3.1. Mappage personnalisé

ADFS, Google et OKTA utilisent tous l'adresse e-mail comme attribut SAML. Cette section gère le mappage SAML personnalisé basé sur le nom d'utilisateur ou une clé de fournisseur externe.

Attention : La configuration des attributs de mappage personnalisés a un impact sur l'ensemble du système, ce qui signifie qu'ils s'appliquent à tous les fournisseurs d'identité existants. Par conséquent, aucun autre fournisseur (Azure, Windows) ne peut fonctionner pendant qu'un nouveau mappage est défini.

Les paramètres suivants doivent être définis dans la configuration SSO SAML de la page Sécurité au niveau de l'hôte.

  • Stratégie de mappage utilisateur externe : définit la stratégie de mappage. Les options suivantes sont disponibles :

    • By user email : votre adresse e-mail est définie comme attribut. Il s'agit de la valeur par défaut.
    • By username : votre nom d'utilisateur est défini comme attribut.
    • By external provider key : une clé de fournisseur externe est définie comme attribut.
  • Nom de revendication de l'identificateur utilisateur externe (External user identifier claim name) : définit la revendication à utiliser comme identificateur pour le mappage. Cet élément n'est requis que si vous avez défini le nom d'utilisateur comme attribut.

Étape 3.3. Certificat de service

Dans le protocole SAML, le certificat de service est utilisé pour signer et/ou chiffrer les requêtes envoyées par le fournisseur de services, c'est-à-dire Automation Suite.

Pour définir le certificat de service :

  1. Accédez à ArgoCD et connectez-vous en tant qu'administrateur.
  2. Sélectionnez l'application uipath et accédez-y.
  3. Cliquez sur APP DETAILS dans le coin supérieur gauche.
  4. Dans la section PARAMETERS, recherchez "ServiceCert".
  5. Mettez à jour le paramètre global.userInputs.certificate.identity.saml.currentServiceCert avec votre sérialisation base64 du certificat de service. Le certificat de service nécessite une clé privée.
  6. Si votre certificat de service a un mot de passe, mettez également à jour le paramètre global.userInputs.certificate.identity.saml.currentServiceCertPassword.

    Dans ArgoCD, le certificat et le mot de passe sont encodés en base64.

  7. Si vous devez effectuer une rotation du certificat de service, mettez à jour les paramètres global.userInputs.certificate.identity.saml.futureServiceCert et global.userInputs.certificate.identity.saml.futureServiceCertPassword.
  8. Cliquez sur SYNC pour appliquer la modification.

    Attendez quelques minutes que Identity Server redémarre automatiquement.

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
Forum UiPath
Forum de la communauté UiPath
Logo Uipath blanc
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2024 UiPath. All rights reserved.