orchestrator
2022.4
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique.
UiPath logo, featuring letters U and I in white
Guide de l'utilisateur d'Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 9 oct. 2024

Configuration de l'intégration SAML

Vous pouvez connecter Orchestrator à n'importe quel fournisseur d'identité (IdP) qui utilise la norme SAML 2.0. Cette page décrit le processus global en montrant quelques exemples de configurations d'intégration SAML.

Présentation du processus de configuration

L'intégration SAML est conçue de manière à pouvoir être mise en œuvre progressivement, sans perturber les utilisateurs existants.

Les principales phases du processus, décrites plus en détail sur cette page, sont :

  1. Nettoyer les comptes utilisateur inactifs
  2. Configuration de l'intégration SAML
  3. Transition des utilisateurs existants pour qu'ils se connectent via l'authentification unique (SSO) SAML
  4. Configurer les autorisations et les robots pour les nouveaux utilisateurs
  5. Abandonner l'utilisation des comptes locaux (facultatif)

Limites connues

Impossible de rechercher des comptes à partir de votre fournisseur d'identité

Avec l'intégration SAML, vous ne pouvez pas rechercher tous les utilisateurs et groupes de votre fournisseur d'identité. Seuls les utilisateurs de répertoire enregistrés sont disponibles pour la recherche.

URL ACS incorrecte dans l'IU de configuration SAML

La page Configuration du service d'authentification unique (SSO) SAML (SAML SSO Configuration) affichait une URL du service client relatif aux assertions (Assertion Customer Service URL) incorrectes.

Solution : pour résoudre ce problème, configurez l’URL du service client relatif aux assertions dans l’IDP sans l’ID de partition. Par exemple, l’URL d’origine : https://{your-domain}/91483651-d8d6-4673-bd3f-54b0f7dc513a/identity_/Saml2/Acs deviendrait https://{your-domain}/identity_/Saml2/Acs
Remarque :

Cette solution de contournement comporte deux mises en garde :

  • Les flux de connexion initiés par l'IDP ne fonctionneront pas comme prévu.

  • Ce problème a été résolu dans la version 2023.4. Lors de la mise à niveau vers 2023.4+, vous devrez modifier l'URL du service client relatif aux assertions (Assertion Customer Service URL) pour inclure l'ID de partition.

Prérequis

Pour configurer l'intégration SAML, vous avez besoin de :

  • Une organisation Orchestrator avec une licence Enterprise ou Enterprise Trial.

  • Autorisations d'Administrator dans Orchestrator et votre fournisseur d'identité tiers.

    Si vous ne disposez pas d'autorisations d'administrateur dans votre fournisseur d'identité, faites appel à un administrateur pour terminer le processus de configuration.

  • UiPath Studio® et l’assistant UiPath version 2020.10.3 ou ultérieure, afin que vous puissiez les configurer pour utiliser le déploiement recommandé.

    Remarque :

    Si vous utilisez actuellement l'intégration Azure Active Directory pour l'authentification, nous vous recommandons de conserver l'intégration AAD car elle propose plus de fonctionnalités.

    Si vous décidez d'abandonner l'intégration AAD, vous devez remplacer manuellement l'attribution de rôle effectuée via des groupes de répertoires par une attribution directe de rôles aux comptes d'annuaire afin de ne pas avoir à recréer complètement votre schéma d'accès.

Étape 1. Nettoyer les comptes d'utilisateurs inactifs

Si votre organisation recycle les adresses e-mail, il est important de supprimer tous les comptes utilisateur inactifs avant de configurer l'intégration SAML.

Lorsque vous activez l'intégration, les comptes locaux présents dans Orchestrator peuvent être liés au compte d'annuaire du fournisseur d'identité externe qui utilise la même adresse e-mail. Cette liaison de compte se produit lorsque l'utilisateur du compte d'annuaire avec l'adresse e-mail se connecte pour la première fois. L'identité de votre fournisseur d'identité hérite de tous les rôles que le compte local avait afin que la transition soit transparente.

Pour cette raison, avec des comptes locaux inactifs présents dans Orchestrator, il existe un risque que les comptes locaux et les comptes d'annuaire ne correspondent pas, ce qui peut entraîner une élévation involontaire des autorisations.

Pour supprimer les comptes utilisateur inactifs :

  1. Connectez-vous à Orchestrator en tant qu'administrateur.
  2. Accédez à Admin > Comptes et groupes (Accounts & Groups) > onglet Utilisateurs(Users).
  3. Cliquez sur l'en-tête de colonne de la colonne Dernière active (Last active) pour réorganiser les utilisateurs afin que ceux dont la date de dernière connexion est la plus ancienne s'affichent en haut :


    La colonne Dernière activité (Last active) affiche la date à laquelle l'utilisateur s'est connecté pour la dernière fois à Orchestrator. Si vous voyez En attente (Pending) dans cette colonne, comme dans l'exemple ci-dessus, cela signifie que l'utilisateur ne s'est jamais connecté. Vous pouvez utiliser ces informations pour vous aider à identifier vos utilisateurs inactifs.

  4. Cliquez sur l'icône Supprimer (Delete) à la fin de la ligne pour supprimer le compte local de cet utilisateur.


  5. Dans la boîte de dialogue de confirmation, cliquez sur Supprimer (Delete) pour confirmer la suppression du compte d'Orchestrator.

    Le compte utilisateur est supprimé de la page.

  6. Continuez à supprimer tous les comptes d'utilisateurs inactifs de votre organisation.

Étape 2. Configuration de l'intégration SAML

Vous devez maintenant configurer Orchestrator et votre fournisseur d'identité (IdP) pour l'intégration.

Étape 2.1. Obtenir les détails du fournisseur de services SAML

  1. Connectez-vous à Orchestrator en tant qu'administrateur.
  2. Accédez à Admin > Paramètres de sécurité (Security Settings) > Paramètres d'authentification (Authentification Settings).
  3. Sélectionnez Les utilisateurs peuvent se connecter avec l'authentification unique (SSO) SAML (Users can sign in with SAML SSO), puis cliquez sur Configurer (Configure).

    Une boîte de dialogue d'informations s'ouvre.

  4. Dans la boîte de dialogue, cliquez sur Continuer (Continue).

    La page suivante donne un aperçu de l'intégration.

  5. Dans le coin inférieur droit, cliquez sur Suivant (Next) pour passer à la configuration.

    À l'étape Informations générales (General Details), sous Données à configurer dans IdP (Data to be configured in IdP), nous fournissons les informations dont vous avez besoin pour configurer votre fournisseur d'identité pour vous connecter à Orchestrator.



  6. Copiez et enregistrez les valeurs de l'Identifiant de l'entité (Entity ID) et de l'URL du service client relatif aux assertions (Assertion Consumer Service URL). Vous en aurez besoin lors de l'étape suivante.
    Attention : Si vous avez également configuré cette intégration au niveau de l'hôte, assurez-vous que vous utilisez la valeur de l'URL du service client relatif aux assertions (Assertion Consumer Service URL) au niveau de l'organisation, et non celle de l'hôte.

Gardez cet onglet de navigateur ouvert pour une utilisation ultérieure.

Étape 2.2. Configurez votre fournisseur d'identité

Orchestrator peut se connecter à n'importe quel fournisseur d'identité (IdP) tiers qui utilise la norme SAML 2.0.

Bien que la configuration puisse varier en fonction du fournisseur d'identité que vous avez choisi, nous avons validé la configuration pour les fournisseurs suivants :

  • Okta

  • PingOne.

Vous pouvez utiliser les instructions de configuration ci-dessous pour configurer des intégrations avec ces fournisseurs.

Pour les autres fournisseurs d'identité, nous vous recommandons de suivre leur documentation d'intégration.

A. Exemple de configuration pour Okta

Remarque : Les instructions de cette section concernent un exemple de configuration. Pour plus d'informations sur les paramètres IdP non présentés ici, veuillez utiliser la documentation Okta .
  1. Dans un autre onglet du navigateur, connectez-vous à la console d'administration Okta.
  2. Accédez à Applications > Applications, cliquez sur Créer une intégration d'application (Create App Integration) et sélectionnez SAML 2.0 comme méthode de connexion.
  3. Sur la page Paramètres généraux (General Settings), spécifiez un nom pour l'application avec laquelle vous effectuez l'intégration, à savoir Orchestrator.
  4. Sur la page Configurer SAML (Configure SAML), renseignez la section Général (General) comme suit :
    1. URL d'authentification unique (Single sign-on URL) : Saisissez la valeur de URL du service client relatif aux assertions (Assertion Consumer Service URL) que vous avez obtenue auprès d'Orchestrator.
    2. Sélectionnez la case Utiliser ceci comme URL du destinataire et URL de destination (Use this for Recipient URL and Destination URL).
    3. URI d'audience (Audience URI) : Saisissez la valeur de l'Identifiant de l'entité (Entity ID) que vous avez obtenue d'Orchestrator.
    4. Format d'ID du nom : sélectionnez EmailAddress
    5. Nom d'utilisateur de l'application : sélectionnez l'adresse e-mail
  5. Pour les Déclarations d'attribut (Attribute Statements), ajoutez ce qui suit :
    1. Nom : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. Laissez le Format du nom (Name Format) comme Non spécifié (Unspecified).
    3. Définissez la Valeur (Value) sur user.email, ou l'attribut utilisateur qui contient l'adresse e-mail unique de l'utilisateur
    4. Ajoutez éventuellement d'autres mappages des attributs. Orchestrator prend également en charge les attributs utilisateur Prénom (First Name), Nom (Last Name), Intitulé de poste (Job Title) et Service (Department). Ces informations sont ensuite propagées à Orchestrator, où elles peuvent être mises à la disposition d'autres services, tels qu'Automation Hub.
  6. Sur la page Commentaires (Feedback), sélectionnez l'option que vous préférez.
  7. Cliquez sur Terminer.
  8. Dans l'onglet Connexion (Sign On), dans la section Paramètres (Settings), sous Afficher les instructions de configuration (View Setup Instructions), copiez la valeur de l'URL des métadonnées du fournisseur d'identité (Identity Provider metadata URL) et enregistrez-la.
  9. Sur la page Application d'Orchestrator, sélectionnez l'application récemment créée.
  10. Dans l'onglet Affectations (Assignments), sélectionnez Affecter (Assign) > Affecter aux personnes (Assign to People), puis sélectionnez les utilisateurs que vous souhaitez autoriser à utiliser l'authentification SAML pour Orchestrator.
Les utilisateurs récemment ajoutés s'affichent dans l'onglet Personnes (People).

B. Exemple de configuration pour PingOne

Remarque : les instructions de cette section concernent un exemple de configuration. Pour plus d'informations sur les paramètres IdP non présentés ici, veuillez utiliser la documentation PingOne .
  1. Dans un autre onglet du navigateur, connectez-vous à la console d'administration Ping One.
  2. Accédez à Connexions (Connections) > Applications et cliquez sur l'icône plus +.
  3. Cliquez sur Application Web (Web App) et pour SAML, cliquez sur Configurer (Configure).
  4. Sur la page Créer un profil d'application (Create App Profile), spécifiez un nom pour votre application Orchestrator.
  5. Sur la page Configurer la connexion SAML (Configure SAML Connection), sélectionnez Saisir manuellement (Manually Enter) et fournissez les informations suivantes :
    • URL ACS (ACS URLs) : saisissez la valeur de l'URL du service client relatif aux assertions (Assertion Consumer Service URL) que vous avez obtenue auprès d'Orchestrator.
    • Identifiant de l'entité (Entity ID) : saisissez la valeur de l'Identifiant de l'entité (Entity ID) que vous avez obtenue auprès d'Orchestrator.
    • liaison SLO (SLO binding) : redirection HTTP (HTTP Redirect)
    • Durée de la validité de l'assertion (Assertion Validity Duration) : Entrez le nombre de secondes pour la période de validité.
  6. Cliquez sur Enregistrer et continuer (Save and Continue.
  7. Sur la page Attributs de carte (Map Attributes), ajoutez l'adresse e-mail :
    1. Sélectionnez + Ajouter un attribut (Add Attribute).
    2. Pour Attribut d'application (Application Attribute), saisissez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    3. Définissez la Valeur sortante (Outgoing Value) sur Adresse e-mail (Email Address) ou sur l'attribut utilisateur qui contient l'adresse e-mail unique de l'utilisateur.
    4. Cochez la case Obligatoire (Required).
    5. Ajoutez éventuellement d'autres mappages des attributs. Orchestrator prend également en charge les attributs utilisateur Prénom (First Name), Nom (Last Name), Intitulé de poste (Job Title) et Service (Department). Ces informations sont ensuite propagées à Orchestrator, où elles peuvent être mises à la disposition d'autres services, tels qu'Automation Hub.
  8. Cliquez sur Enregistrer et fermer (Save and Close).
  9. Cliquez sur la bascule de l'application Orchestrator pour activer l'application pour l'accès utilisateur.
  10. Dans l'onglet Configuration, copiez et enregistrez la valeur de l'URL des métadonnées de l'IdP pour une utilisation ultérieure.

Étape 2.3. Configurer Orchestrator

Pour activer Orchestrator en tant que fournisseur de services qui reconnaît votre fournisseur d'identité, procédez comme suit :

  1. Revenez à l'onglet de configuration SAML dans Orchestrator.
  2. À l'étape Informations générales (General details), sous Données de l'IdP (Data from IdP), renseignez le champ URL des métadonnées (Metadata URL) avec l'URL des métadonnées obtenue lors de la configuration.
  3. Cliquez sur Récupérer les données (Fetch data).

    Une fois l'opération terminée, les champs URL de connexion (Sign-on URL), Identifiant de l'entité du fournisseur d'identité (Identity Provider Entity ID) et Certificat de signature (Signing certificate) sont renseignés avec les informations de l'IdP.

  4. Cliquez sur Suivant (Next) dans le coin inférieur droit pour passer à l'étape suivante.
  5. Dans les Paramètres d'enregistrement (Provisioning settings), remplissez la section Domaines autorisés (Allowed Domains) avec les domaines à partir desquels vous souhaitez autoriser les utilisateurs à se connecter. Saisissez tous les domaines pris en charge par le fournisseur d'identité configuré.

    Séparez les différents domaines à l'aide de virgules.

  6. Cochez la case pour indiquer que vous comprenez que les comptes avec des adresses e-mail correspondantes seront associés.
  7. Remplissez éventuellement Mappage des attributs (Attribute Mapping).
  8. Si vous souhaitez également configurer les détails avancés, cliquez sur Suivant (Next) dans le coin inférieur droit pour passer à l'étape finale.

    Sinon, cliquez sur Tester et enregistrer (Test and Save) pour terminer la configuration de l'intégration et ignorer les étapes restantes de cette section.

  9. Sur la page Paramètres avancés (Advanced Settings), configurez les options selon vos besoins :
    • Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response) : activez si vous souhaitez pouvoir accéder à Orchestrator à partir du tableau de bord de l'IdP.
    • Type de liaison SAML : la redirection HTTP (HTTP redirect) configure la configuration SAML pour communiquer à l'aide de paramètres d'URL via l'agent utilisateur HTTP.
    • Utilisation du certificat de service : sélectionnez l'option que vous préférez.
  10. Cliquez sur Tester et enregistrer (Test and Save) pour terminer la configuration de l'intégration.

Étape 2.4. Vérifiez que l'intégration est en cours d'exécution

Pour vérifier que l'intégration avec authentification unique (SSO) SAML fonctionne correctement :

  1. Ouvrez une fenêtre privée dans le navigateur.
  2. Accédez à votre URL Orchestrator.
  3. Vérifiez les points suivants :
    1. Êtes-vous invité à vous connecter avec votre fournisseur d'identité SAML ?
    2. Parvenez-vous à vous connecter ?
    3. Si vous vous connectez avec une adresse e-mail qui correspond à un compte utilisateur existant, disposez-vous des autorisations appropriées ?

Étape 3. Transition des utilisateurs vers le SSO SAML

Une fois les autorisations configurées, nous vous recommandons de demander à tous vos utilisateurs existants de se déconnecter de leur compte UiPath et de se connecter via l'authentification unique (SSO) SAML.

Pour se connecter à Studio et à l'Assistant via l'authentification unique (SSO) SAML, les utilisateurs doivent configurer l'Assistant comme suit :

  1. Dans l'Assistant, ouvrez Préférences (Preferences) et sélectionnez l'onglet Connexion Orchestrator (Orchestrator Connection).
  2. Cliquez sur Se déconnecter (Sign Out).
  3. Pour le type de connexion, sélectionnez URL du service (Service URL).
  4. Dans le champ URL du service (Service URL), ajoutez l'URL spécifique à l'organisation.
    L'URL doit inclure l'ID de l'organisation et se terminer par une barre oblique, comme par exemple https://cloud.uipath.com/orgID/. Sinon, la connexion échoue en disant que l'utilisateur n'appartient à aucune organisation.
  5. Reconnectez-vous via le SSO SAML.

Étape. 4. Configuration des autorisations et des robots

Ceci n'est requis que pour les nouveaux utilisateurs qui n'ont jamais utilisé Orchestrator auparavant et qui n'avaient donc pas de compte local configuré pour eux dans Orchestrator lorsque l'intégration a été activée.

Vous pouvez ajouter de nouveaux utilisateurs aux groupes Orchestrator par leur adresse e-mail (telle qu'utilisée dans l'IdP externe). Une fois qu'un utilisateur a été affecté à un groupe ou qu'il s'est connecté, il sera disponible via la recherche d'attribution de rôle dans tous les services Orchestrator.

Étape 5. Abandon de l'utilisation des comptes utilisateur locaux (facultatif)

une fois que tous les utilisateurs sont passés à l'authentification unique (SSO) SAML et que les nouveaux utilisateurs sont configurés, nous vous recommandons de supprimer tous les comptes d'utilisateurs locaux qui ne sont pas des comptes d'administrateur. Cela garantit que les utilisateurs ne peuvent plus se connecter avec leurs informations d'identification de compte local et qu'ils doivent se connecter via l'authentification unique (SSO) SAML.

Considérations relatives à l'abandon de l'utilisation des comptes locaux

En cas de problèmes avec l'intégration SAML (comme la mise à jour d'un certificat expiré) ou si vous souhaitez passer à une option d'authentification différente, un compte d'utilisateur local avec le rôle d'Administrator est recommandé.

Résolution des problèmes

Si vous obtenez l'erreur User login failed. (#216), cela peut être dû à un mappage d'adresse e-mail manquant dans la configuration du fournisseur d'identité SAML.
La revendication SAML doit être nommée http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress et la valeur doit avoir une adresse e-mail valide.

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
UiPath Forum
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2024 UiPath Tous droits réservés.