Scripts Identity Server

Publier sur le serveur d'identité

La table suivante décrit tous les paramètres pouvant être utilisés avec le script Publish-IdentityServer.ps1.

Paramètre	Description
`-action`	Obligatoire. Indique le type de scénario que vous souhaitez démarrer. Les options suivantes sont disponibles : `Deploy` - indique qu'il s'agit d'une nouvelle installation. `Update` - indique que vous mettez à jour votre instance du Identity Server.
`-azureAccountApplicationId`	Obligatoire (Mandatory). ID principal du service Azure. Notez que le principal du service utilisé doit se voir attribuer le rôle de contributeur au service d'application de l'étendue de l'abonnement.
`-azureAccountPassword`	Obligatoire. Mot de passe du jeton Azure pour l'ID de principal de service.
`-azureSubscriptionId`	Obligatoire. ID d'abonnement Azure pour l'application App Service qui héberge Orchestrator.
`-azureAccountTenantId`	Obligatoire. ID de locataire Azure.
`-orchestratorUrl`	Obligatoire. L'URL de l'instance Orchestrator.
`-identityServerUrl`	Obligatoire. L'URL de l'Identity Server. Important : L'URL doit contenir l'adresse d'Identity Server + le suffixe `/identity` en minuscules. Exemple : `https://[identity_server]/identity`
`-orchDetails`	Ce paramètre est une table de hachage qui contient les valeurs suivantes : `resourceGroupName` - Obligatoire. Nom du groupe de ressources Azure qui contient l'application App Service d'Orchestrator. `appServiceName` - Obligatoire. Nom de l'application Azure App Service d'Orchestrator. `targetSlot` - Obligatoire. Créneau du service d'application cible fixé par Azure.
`-identityServerDetails`	Ce paramètre est une table de hachage qui contient les valeurs suivantes : `resourceGroupName` - Obligatoire. Nom du groupe de ressources Azure qui contient le service 'application Identity Server. `appServiceName` - Obligatoire. Nom du service d'application Azure d'Identity Server. `targetSlot` - Obligatoire. Créneau du service d'application cible fixé par Azure.
`-package`	Obligatoire (Mandatory). Indiquez le chemin complet ou le chemin relatif de l'archive `UiPath.IdentityServer.Web.zip`.
`-cliPackage`	Obligatoire (Mandatory). Indiquez le chemin complet ou le chemin relatif de l'archive `UiPath.IdentityServer.Migrator.Cli.zip`.
`-productionSlotName`	Facultatif. Il ne peut être utilisé que si l'emplacement de déploiement de l'application App Service du serveur d'identité est différent de l'emplacement par défaut de l'application App Service de production défini par Azure.
`-stopApplicationBeforePublish`	Facultatif. S’il est actif, il arrête l’application avant le déploiement et la démarre une fois le déploiement terminé.
`-unattended`	Facultatif. S'il est actif, le déploiement se poursuit sans confirmation de l'utilisateur.
`-tmpDirectory`	Facultatif. Permet de télécharger et de décompresser les spécifications d’un répertoire lorsque les fichiers nécessaires sont téléchargés et dézippés.
`-noAzureAuthentication`	Facultatif (Optional). Vous permet de publier sur Azure App Service en vous appuyant sur votre propre identité d'utilisateur, sans avoir à créer un principal de service. Si ce paramètre est utilisé, l'ensemble de paramètres `UseServicePrincipal` (qui inclut des éléments tels que l'ID d'application Azure, le mot de passe, l'ID d'abonnement et l'ID de locataire) n'est plus nécessaire.
`-azureUSGovernmentLogin`	Facultatif. Ce paramètre est uniquement utilisé pour les déploiements du gouvernement américain.

Le script Publish-IdentityServer.ps1 est utilisé pour le déploiement initial ou la mise à jour des Identity Server. Le script suppose que l’application web a déjà configuré la chaîne de connexion de la base de données DefaultConnection.

.\Publish-IdentityServer.ps1 `
    -action Deploy `
    -orchestratorUrl "<orchestrator_address>" `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -azureSubscriptionId "<subscription_id>" `
    -azureAccountTenantId "<azure_tenant_id>" `
    -azureAccountApplicationId "<azure_application_id>" `
    -azureAccountPassword "<azure_account_password>" `
    -package "UiPath.IdentityServer.Web.zip" `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -stopApplicationBeforePublish `
    -unattended.\Publish-IdentityServer.ps1 `
    -action Deploy `
    -orchestratorUrl "<orchestrator_address>" `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -azureSubscriptionId "<subscription_id>" `
    -azureAccountTenantId "<azure_tenant_id>" `
    -azureAccountApplicationId "<azure_application_id>" `
    -azureAccountPassword "<azure_account_password>" `
    -package "UiPath.IdentityServer.Web.zip" `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -stopApplicationBeforePublish `
    -unattended

Attention : Après avoir exécuté le script ci-dessus, assurez-vous d'effectuer les étapes supplémentaires énumérées ci-dessous pour réussir le déploiement initial.

Après avoir publié le serveur d'identité, suivez les étapes suivantes :

Rendez-vous sur votre portail Azure.
Sélectionnez le service d'application de votre serveur d'identité.
Dans le menu Certificats (Certificates), accédez à Apporter vos propres certificats (Bring your Own Certificates).
Téléchargez un fichier de certificat de clé privée .pfx avec un mot de passe valide.

Remarque : Ce certificat sert à signer les jetons d’accès et les jetons d’identification.

Sous le menu Configuration, ajoutez les paramètres d’application suivants exactement comme écrit dans la colonne Paramètres de l’application :

Paramètre d’application	Valeur (Value)	Description
`AppSettings__IdentityServerAddress`	https://[identity_server]/identity	L'URL publique du serveur d'identité. Attention : L'URL doit contenir l'adresse d'Identity Server + le suffixe `/identity` en minuscules.
`AppSettings__SigningCredentialSettings__StoreLocation__Location`	CurrentUser	Doit indiquer CurrentUser.
`AppSettings__SigningCredentialSettings__StoreLocation__Name`	XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXologie	Empreinte du certificat que vous avez téléchargé précédemment.
`AppSettings__SigningCredentialSettings__StoreLocation__NameType`	`Thumbprint`	Saisissez `Thumbprint` comme type du champ précédent.
`AppSettings__LoadBalancerSettings__RedisConnectionString`	`XXXXXXXXXXXX:XXXX,password=XXXXXX`	La chaîne de connexion requise pour configurer votre serveur Redis, qui contient l'URL du serveur, le mot de passe et le port. Vous pouvez également activer les connexions chiffrées en SSL entre les nœuds d'Orchestrator et le service Redis.
`AppSettings__LoadBalancerSettings__SlidingExpirationTimeInSeconds`	Nombre de secondes	L'heure d'expiration glissante d'un élément à l'intérieur du cache. Ce délai d'expiration s'applique à la fois au cache Redis et au cache InMemory.
`AppSettings__RedisSettings__UseRedisStoreCache`	`true` / `false`	Définissez sa valeur sur `true` pour permettre à Redis de mettre en cache les données client d’OAuth. Cela permet de prévenir les problèmes de performances lorsque l'on utilise la connexion interactive pour connecter un grand nombre de Robots dans un temps réduit. Ce cache utilise la même chaîne de connexion Redis spécifiée dans les `AppSettings__LoadBalancerSettings`. Remarque : Ceci n’est pas recommandé si vous utilisez la fonctionnalité Applications externes (External Applications) étant donné que ce paramètre met en cache les clients et que les mises à jour des Applications externes ne seront pas reflétées.
`AppSettings__RedisSettings__UseRedisStoreClientCache`	`true` / `false`	Définissez sa valeur sur true pour activer la mise en cache Redis pour les clients propriétaires (applications UiPath) ou les clients tiers (applications externes). Si vous avez un déploiement à grande échelle, il est recommandé d'activer cet indicateur.
`App__Saml2ValidCertificateOnly`	`true` / `false`	Pour les déploiements Orchestrator via une application Web Azure, ce paramètre doit être défini sur `false`. En effet, SAML2 nécessite l'ajout de certificats à son magasin d'approbations, mais les applications Web Azure n'autorisent pas cette action. Définir la valeur sur `false` signifie que la vérification du certificat est ignorée.
`WEBSITE_LOAD_CERTIFICATES`	XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXologie	Valeur d’empreinte du certificat que vous avez téléchargé précédemment.
`WEBSITE_LOAD_USER_PROFILE`	1	Le profil de l'utilisateur.

Enregistrez les modifications.

Pour en savoir plus, recherchez plus de détails dans la documentation Microsoft Azure.

Remplacement du certificat de clé privée

Lorsque vous remplacez un certificat de clé privée par un nouveau, assurez-vous de suivre ces étapes :

Remplacez les valeurs des paramètres AppSettings__SigningCredentialSettings__StoreLocation__Name et WEBSITE_LOAD_CERTIFICATES par l’empreinte du nouveau certificat.
Redémarrez le service d’application Identity.
Redémarrez le service d’application Orchestrator.

Migrer vers le serveur d'identité

Le tableau suivant décrit tous les paramètres pouvant être utilisés avec MigrateTo-IdentityServer.ps1.

Paramètre	Description
`-cliPackage`	Obligatoire (Mandatory). Indiquez le chemin complet ou le chemin relatif de l'archive `UiPath.IdentityServer.Migrator.Cli.zip`.
`-azureDetails`	Ce paramètre est une table de hachage qui contient les valeurs suivantes : `azureAccountApplicationId` - Obligatoire. ID principal du service Azure. Notez que le principal du service utilisé doit se voir attribuer le rôle de contributeur au service d'application de l'étendue de l'abonnement. `azureSubscriptionId` - Obligatoire. ID d'abonnement Azure pour l'application App Service qui héberge Orchestrator. `azureAccountTenantId` - Obligatoire. Identifiants du locataire Azure. `azureAccountPassword` - Obligatoire. Mot de passe du jeton Azure pour l'ID principal du service.
`-orchDetails`	Ce paramètre est une table de hachage qui contient les valeurs suivantes : `resourceGroupName` - Obligatoire. Nom du groupe de ressources Azure qui contient l'application App Service d'Orchestrator. `appServiceName` - Obligatoire. Nom de l'application Azure App Service d'Orchestrator. `targetSlot` - Obligatoire. Créneau du service d'application cible fixé par Azure.
`-identityServerDetails`	Ce paramètre est une table de hachage qui contient les valeurs suivantes : `resourceGroupName` - Obligatoire. Nom du groupe de ressources Azure qui contient le service 'application Identity Server. `appServiceName` - Obligatoire. Nom du service d'application Azure d'Identity Server. `targetSlot` - Obligatoire. Créneau du service d'application cible fixé par Azure.
`-identityServerUrl`	Obligatoire. L'adresse publique du serveur d'identité. Attention : L'URL doit contenir l'adresse d'Identity Server + le suffixe `/identity` en minuscules. Exemple : `https://[identity_server]/identity`
`-orchestratorUrl`	Obligatoire. L'adresse publique de l'Orchestrateur.
`-tmpDirectory`	Facultatif. Permet de télécharger et de décompresser les spécifications d’un répertoire lorsque les fichiers nécessaires sont téléchargés et dézippés.
`-hostAdminPassword`	Obligatoire uniquement pour les nouveaux déploiements, lorsque `-action` est défini sur `Deploy`. Spécifiez un mot de passe personnalisé pour l'administrateur hôte. Veuillez noter que les mots de passe doivent comporter au moins 8 caractères, ainsi qu'au moins un caractère minuscule et au moins un chiffre.
`-isHostPassOneTime`	Facultatif. Permet d'appliquer une réinitialisation du mot de passe à la première connexion de l'administrateur locataire. Si ce paramètre est omis, le mot de passe de l'administrateur locataire n'est pas un mot de passe à usage unique.
`-defaultTenantAdminPassword`	Obligatoire uniquement pour les nouveaux déploiements, lorsque `-action` est défini sur `Deploy`. Spécifiez un mot de passe personnalisé pour l'administrateur locataire par défaut. Veuillez noter que les mots de passe doivent comporter au moins 8 caractères, ainsi qu'au moins un caractère minuscule et au moins un chiffre.
`-isDefaultTenantPassOneTime`	Facultatif. Permet d'appliquer une réinitialisation du mot de passe à la première connexion de l'administrateur locataire par défaut. Si ce paramètre est omis, le mot de passe de l'administrateur des tenant n'est pas un mot de passe à usage unique.
`-noAzureAuthentication`	Facultatif (Optional). Vous permet de publier sur Azure App Service en vous appuyant sur votre propre identité d'utilisateur, sans avoir à créer un principal de service. Si ce paramètre est utilisé, l'ensemble de paramètres `UseServicePrincipal` (qui inclut des éléments tels que l'ID d'application Azure, le mot de passe, l'ID d'abonnement et l'ID de locataire) n'est plus nécessaire.

Le script MigrateTo-IdentityServer.ps1 est utilisé pour migrer les données utilisateur d'Orchestrator vers Identity Server et définir leurs configurations. Il définit l'autorité d'identité d'Orchestrator vers Identity Server et y crée la configuration client pour Orchestrator dans Identity Server.

Le script suppose qu'Orchestrator et le serveur d'identité ont déjà été publiés.

.\MigrateTo-IdentityServer.ps1 `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -azureDetails @{azureSubscriptionId = "<subscription_id>"; azureAccountTenantId = "<azure_tenant_id>"; azureAccountApplicationId = "<azure_application_id>"; azureAccountPassword = "<azure_account_password>" } `
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchestratorUrl "https://<OrchestratorURL>" `
    -hostAdminPassword "12345qwert" `
    -defaultTenantAdminPassword "12345qwert".\MigrateTo-IdentityServer.ps1 `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -azureDetails @{azureSubscriptionId = "<subscription_id>"; azureAccountTenantId = "<azure_tenant_id>"; azureAccountApplicationId = "<azure_application_id>"; azureAccountPassword = "<azure_account_password>" } `
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchestratorUrl "https://<OrchestratorURL>" `
    -hostAdminPassword "12345qwert" `
    -defaultTenantAdminPassword "12345qwert"