automation-suite
2024.10
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique. La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.
UiPath logo, featuring letters U and I in white

Guide d'administration d'Automation Suite

Dernière mise à jour 11 nov. 2025

Configuration de l'authentification unique : SAML 2.0

Vous pouvez activer SSO à l'aide de n'importe quel fournisseur d'identité prenant en charge le protocole d'authentification SAML 2.0.

Vue d'ensemble (Overview)

L'activation de SAML SSO est un processus en plusieurs étapes et vous devez effectuer la configuration suivante :

  1. Configurez votre fournisseur d'identité pour qu'il reconnaisse la plate-forme UiPath en tant que fournisseur de services.
  2. Configurez la plate-forme UiPath en tant que fournisseur de services pour reconnaître et approuver votre fournisseur d'identité.
  3. Enregistrez les utilisateurs de votre organisation pour leur permettre de se connecter en SSO à l'aide du protocole SAML 2.0 de votre fournisseur d'identité.

Étape 1. Configurez votre fournisseur d'identité

UiPath prend en charge plusieurs fournisseurs d'identité.

Dans cette section, nous expliquons comment trouver la configuration spécifique et obtenir les certificats pour chacun des fournisseurs d'identité suivants :

  • ADFS

  • Google

  • Okta

  • PingOne

A. Configuration d'ADFS

Configurez une machine pour prendre en charge ADFS et assurez-vous d'avoir accès au logiciel de gestion ADFS. Travaillez avec votre administrateur système si nécessaire.

Remarque : Les étapes suivantes sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation ADFS.
  1. Ouvrez ADFS Management et définissez une nouvelle approbation de partie de confiance pour Orchestrator, comme suit :
    1. Sélectionnez Approbations des parties de confiance (Relying Party Trusts).
    2. Dans le volet Actions , sélectionnez Ajouter une approbation de partie de confiance (Add Relying Party Trust). L' assistant Ajouter une approbation de partie de confiance (Add Relying Party Trust Wizard) s'affiche.
    3. Dans la section Bienvenue (Welcome), sélectionnez Reconnaissance des réclamations (Claims Aware).
    4. Dans la section Sélectionner des données (Select Data), choisissez l'option Saisir manuellement les données concernant la partie de confiance (Enter data about relying party manually).
    5. Dans la section Spécifier le nom complet (Specify Display Name), dans le champ Nom complet (Display name) insérez l’URL de l’instance Orchestrator.
    6. La section Configurer le certificat (Configure Certificate) n’a pas besoin de paramètres spécifiques, vous pouvez donc la laisser telle quelle.
    7. Dans la section Configurer l'URL (Configure URL), sélectionnez Activer la prise en charge du protocole SAML 2.0 Web SSO (Enable support for the SAML 2.0 Web SSO Protocol).
    8. Dans le champ URL de service SSO de l'approbation de partie SAML 2.0 (Relying party SAML 2.0 SSO service URL), renseignez l'URL de base d'identité de votre instance Automation Suite, plus le suffixe./Saml2/Acs Par exemple, https://{yourDomain}/{organizationName}/identity_.
    9. Dans le champ Identifieur d'approbation de partie de confiance (Relying party trust identifier), sous la section Configurer les identifieurs (Configure Identifiers), renseignez l' URL de base de l'identité (Identity base URL), par https://{yourDomain}/{organizationName}/identity_ exemple.
    10. Dans la section Choisir la stratégie de contrôle d’accès (Choose Access Control Policy), assurez-vous de sélectionner la stratégie de contrôle Autoriser tout le monde (Permit everyone).
    11. Les sections Confiance prête à être ajoutée (Ready to Add Trust) et Terminer (Finish) n’ont pas besoin de paramètres spécifiques, vous pouvez donc les laisser tels quels.
      La partie de confiance nouvellement ajoutée s’affiche sur la fenêtre Approbations des parties de confiance (Relying Party Trusts).
    12. Accédez à Actions (Actions) > Propriétés (Properties) > Point de terminaison (Endpoints) et assurez-vous que POST est sélectionné pour Liaison (Binding) et que la case Définir l'URL de confiance par défaut (Set the trusted URL as default) est cochée.

      La liaison Point de terminaison (Endpoint) doit être définie sur Post. D’autres liaisons telles que la redirection (redirect) ne sont pas compatibles avec UiPath® car ADFS ne signe pas les assertions de redirection.

    13. Accédez à Actions > Propriétés (Properties) > Identifiants (Identifiers) et assurez-vous que l'URL de base de l'identité (Identity base URL) esthttps://{yourDomain}/{organizationName}/identity_ présente,.
  2. Sélectionnez l'approbation de la partie de confiance et sélectionnez Modifier la stratégie d'émission de revendication (Edit Claim Issuance Policy) dans le panneau Actions .

    L'assistant Modifier la politique d'émission de revendication (Edit Claim Issuance Policy) s'affiche.

  3. Sélectionnez Ajouter une règle (Add rule) et créez une règle à l'aide du modèle Envoyer les attributs LDAP en tant que revendications (Send LDAP Attributes as Claims) avec les paramètres suivants, comme décrit dans le tableau :

    Attribut LDAP

    Type de demande sortante

    Adresses e-mail

    Adresse e-mail

    Nom d'utilisateur principal

    Identifiant du nom

  4. Une fois ADFS configuré, ouvrez PowerShell en tant qu'administrateur et exécutez les commandes suivantes :
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      Remplacez DISPLAYNAME par la valeur définie à l'étape 1.e.
    2. Restart-Service ADFSSRV.

B. Configuration de Google

Remarque : Les étapes suivantes sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation Google.
  1. Connectez-vous à la console d'administration en tant qu'administrateur, accédez à Apps, puis à Applications Web et mobiles (Web and mobile apps).
  2. Sélectionnez Ajouter une application (Add App) , puis Ajouter une application SAML personnalisée (Add custom SAML app).
  3. Dans la page Détails de l'application (App Details), indiquez un nom pour votre instance Automation Suite.
  4. Sur la page des détails du fournisseur d'identité Google, copiez et enregistrez les éléments suivants pour plus tard :
    • URL d'authentification unique
    • Identifiant de l’entité
  5. Téléchargez le certificat, ouvrez-le avec un éditeur de texte, copiez et enregistrez la valeur pour la partie suivante de la configuration à l' étape 2. Configurez Automation Suite.
  6. Dans la page Détails du fournisseur de services (Service Provider Details), saisissez les informations suivantes :
    • URL ACS : https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
    • ID d'entité : https://{yourDomain}/{organizationName}/identity_
  7. Sur la page Mappage d'attributs (Attribute Mapping), fournissez les mappages suivants :
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

      Notez que cette revendication est sensible à la casse.

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. Après avoir configuré l'application SAML, accédez à Accès utilisateur (User access) sur l'application SAML Automation Suite dans la console d'administration Google et sélectionnez Activé pour tout le monde (On for everyone).

C. Configuration d'Okta

Remarque : Les étapes suivantes sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation Okta.
  1. Connectez-vous à la console d'administration Okta, accédez à Applications > Applications, sélectionnez Créer une intégration d'application, et sélectionnez SAML 2.0 comme méthode de connexion.
  2. Dans la page Paramètres généraux (General Settings), spécifiez un nom pour votre instance Automation Suite.
  3. Sur la page Configurer SAML (Configure SAML), renseignez la section Général (General).

    Par exemple :

    • URL d'authentification unique (Single sign on URL) : URL de base de l'identité /Saml2/Acs +. Par exemple, https://{yourDomain}/{organizationName}/identity_/Saml2/Acs.
    • Sélectionnez la case Utiliser ceci comme URL du destinataire et URL de destination (Use this for Recipient URL and Destination URL).
    • URI d'audience : https://{yourDomain}/{organizationName}/identity_
    • Format d'ID de nom (Name ID Format) : EmailAddress
    • Nom d'utilisateur de l'application (Application Username) : E-mail (Email)
  4. Remplissez la section Déclarations d'attribut (Attribute Statements) :
    • Dans le champ Nom (Name), saisissez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Notez que cette revendication est sensible à la casse.
    • Dans la liste Valeur (Value), sélectionnez user.email.
  5. Dans la section Commentaires (Feedback), sélectionnez l'option appropriée.
  6. Sélectionnez Terminer(Finish).
  7. Dans l'onglet Connexion (Sign On) , dans la section Paramètres (Settings) , sélectionnez Afficher les instructions de configuration (View Setup Instructions).

    Vous êtes redirigé vers une nouvelle page contenant les instructions requises pour terminer la partie suivante de la configuration à l' étape 2. Configurer Automation Suite:

    • URL de connexion du fournisseur d'identité
    • Émetteur du fournisseur d'identité
    • Certificat X.509
  8. Pour que les utilisateurs puissent utiliser l'authentification OKTA, ils doivent se voir affecter l'application récemment créée :
    1. Sur la page Application (Application), sélectionnez l'application récemment créée.
    2. Dans l'onglet Affectations (Assignments), sélectionnez Affecter et Affecter aux personnes (Assign > Assign to People), puis sélectionnez les utilisateurs pour recevoir les autorisations nécessaires. Les utilisateurs récemment ajoutés s'affichent dans l'onglet Personnes (People).

D. Configuration de PingOne

Remarque : Les étapes suivantes sont une description générale d'un exemple de configuration. Pour des instructions plus détaillées, consultez la documentation PingOne .
  1. Ajoutez une application Web qui se connecte via SAML dans PingOne, avec les spécificités suivantes :
    1. Sur la page Configurer la connexion SAML (Configure SAML Connection), sélectionnez Saisir manuellement (Manually Enter) et remplissez les champs suivants :
      • URL ACS : URL de base d'identité sensible à /Saml2/Acs la casse + . Par exemple, https://{yourDomain}/{organizationName}/identity_
      • ID d'entité : https://{yourDomain}/{organizationName}/identity_
      • Liaison SLO (SLO binding) : Redirection HTTP

      • Durée de la validité de l'assertion (Assertion Validity Duration) : Entrez le nombre de secondes pour la période de validité.

    2. Sur la page Attributs de carte (Map Attributes), mappez l’attribut suivant :
      Adresse e-mail ( Email Address ) = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Notez que cette revendication est sensible à la casse.
  2. Sur la page Connexions (Connections) > Applications , recherchez l'application que vous venez de créer et sélectionnez l'icône à l'extrémité droite de la boîte pour afficher ses détails.
  3. Dans l'onglet Profil (Profile) , copiez et enregistrez les valeurs suivantes pour la prochaine partie de la configuration, décrite plus en détail à l'étape 2 :

    • ID de client

    • URL de la page d'accueil.

  4. Si vous ne l'avez pas téléchargé lors de l'installation de l'application, téléchargez le certificat de signature PingOne :
    1. Accédez à Connexions (Connections) > Certificats et paires de clés (Certificates & Keypairs).
    2. Trouvez l'application que vous venez de créer et sélectionnez à l'extrémité droite de la boîte pour afficher ses détails.
    3. À droite de l'onglet Détails , sélectionnez Télécharger le certificat (Download Certificate) et sélectionnez le format .crt .pdf.
  5. Ouvrez le fichier de certificat dans n'importe quel éditeur de texte, copiez et enregistrez la valeur du certificat pour la prochaine partie de la configuration, décrite plus en détail à l' étape 2.

Étape 2. Configurer Automation Suite

Pour activer Automation Suite en tant que fournisseur de services qui reconnaît votre fournisseur d'identité :
  1. Connectez-vous à host portal en tant qu’administrateur système.
  2. Assurez-vous que Hôte (Host) est sélectionné en haut du volet gauche, puis sélectionnez Sécurité (Security).
  3. Sélectionnez Configurer sous SAML SSO et suivez les instructions du fournisseur d'identité que vous utilisez :
    1. Pour configurer SAML pour ADFS :

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://{yourDomain}/{organizationName}/identity_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur obtenue lors de la configuration de l'authentification ADFS.

      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur obtenue lors de la configuration de l'authentification ADFS.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.

      9. Définissez le paramètre de stratégie de mappage d'utilisateur externe sur Par e-mail utilisateur (By user e-mail).

      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      11. Dans le champ Certificat de signature (Signing Certificate), collez le texte du certificat.

    2. Pour configurer SAML pour Google:

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://{yourDomain}/{organizationName}/identity_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur Entity ID obtenue lors de la configuration de l'authentification Google.

      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur SSO URL obtenue lors de la configuration de l'authentification Google.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.

      9. Pour Stratégie de mappage des utilisateurs externes (External user mapping strategy), sélectionnez Par e-mail utilisateur ( By user e-mail).

      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      11. Dans le champ Certificat de signature (Signing Certificate), collez la valeur Certificate obtenue lors de la configuration de Google.

    3. Pour configurer SAML pour Okta:

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://{yourDomain}/{organizationName}/identity_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur Émetteur du fournisseur d'identité (Identity Provider Issuer) obtenue lors de la configuration d'Okta.

      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur de l'URL d'authentification du fournisseur d'identité (Identity Provider Sign-On URL) obtenue lors de la configuration d'Okta.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.

      9. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      10. Dans le champ Certificat de signature (Signing Certificate), collez la valeur du certificat X.509 (X.509 Certificate) obtenue lors de la configuration d'Okta.

    4. Pour configurer SAML pour PingOne :

      1. Cochez la case Activé (Enabled).

      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.

      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .

      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), collez l'URL de votre Automation Suite au format https://{yourDomain}/{organizationName}/identity_.

      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur ID de l'émetteur (Issuer ID) obtenue lors de la configuration de PingOne.

      6. Définissez le paramètre URL du service d'authentification unique (Single Sign-On Service URL) sur la valeur de l'URL d'authentification unique (Single SignOn URL) obtenue lors de la configuration de PingOne.

      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).

      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.

      9. Définissez le paramètre de stratégie de mappage d'utilisateur externe sur Par e-mail utilisateur (By user e-mail).

      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.

      11. Dans le champ Certificat de signature (Signing Certificate), collez la valeur obtenue lors de la configuration de PingOne.

  4. Sélectionnez Enregistrer (Save) pour enregistrer les modifications et revenir à la page précédente.
  5. Sélectionnez la bascule à gauche de SAML SSO pour activer l'intégration.
  6. Redémarrez le pod 'identity-service-api-*'. Ceci est requis après avoir apporté des modifications aux fournisseurs externes.
    1. Connectez-vous au serveur principal via SSH.
    2. Exécutez la commande suivante :
      kubectl -n uipath rollout redémarrer le déploiement identity-service-api

Étape 3. Paramètres facultatifs

La configuration suivante est facultative et n'est requise que si vous souhaitez utiliser une ou les deux fonctionnalités de sécurité avancées.

Étape 3.1. Mappage personnalisé

ADFS, Google et OKTA utilisent tous l'adresse e-mail comme attribut SAML. Cette section gère le mappage SAML personnalisé basé sur le nom d'utilisateur ou une clé de fournisseur externe.

Attention : La configuration des attributs de mappage personnalisés a un impact sur l'ensemble du système, ce qui signifie qu'ils s'appliquent à tous les fournisseurs d'identité existants. Par conséquent, aucun autre fournisseur (Azure, Windows) ne peut fonctionner pendant qu'un nouveau mappage est défini.

Les paramètres suivants doivent être définis dans la configuration SSO SAML de la page Sécurité au niveau de l'hôte.

  • Stratégie de mappage utilisateur externe : définit la stratégie de mappage. Les options suivantes sont disponibles :

    • By user email : votre adresse e-mail est définie comme attribut. Il s'agit de la valeur par défaut.
    • By username : votre nom d'utilisateur est défini comme attribut.
    • By external provider key : une clé de fournisseur externe est définie comme attribut.
  • Nom de revendication de l'identificateur utilisateur externe (External user identifier claim name) : définit la revendication à utiliser comme identificateur pour le mappage. Cet élément n'est requis que si vous avez défini le nom d'utilisateur comme attribut.

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
UiPath Forum
Forum de la communauté UiPath
Uipath Logo
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2026 UiPath Tous droits réservés.