Guide d'administration de Test Cloud privé

Configuration de l'authentification unique : SAML 2.0

link

1. Configurez votre fournisseur d'identité pour qu'il reconnaisse la plate-forme UiPath en tant que fournisseur de services.
2. Configurez la plate-forme UiPath en tant que fournisseur de services pour reconnaître et approuver votre fournisseur d'identité.
3. Enregistrez les utilisateurs de votre organisation pour leur permettre de se connecter en SSO à l'aide du protocole SAML 2.0 de votre fournisseur d'identité.

• ADFS
• Google
• Okta
• PingOne

A. Configuration d'ADFS​

1. Ouvrez ADFS Management et définissez une nouvelle approbation de partie de confiance pour Orchestrator, comme suit :

   1. Sélectionnez Approbations de parties de confiance.
   2. Dans le panneau Actions , sélectionnez Ajouter une approbation de partie de confiance. L’ Assistant Ajouter une approbation de partie de confiance s’affiche.
   3. Dans la section Bienvenue (Welcome), sélectionnez Reconnaissance des réclamations (Claims Aware).
   4. Dans la section Sélectionner des données (Select Data), choisissez l'option Saisir manuellement les données concernant la partie de confiance (Enter data about relying party manually).
   5. Dans la section Spécifier le nom complet (Specify Display Name), dans le champ Nom complet (Display name) insérez l’URL de l’instance Orchestrator.
   6. La section Configurer le certificat (Configure Certificate) n’a pas besoin de paramètres spécifiques, vous pouvez donc la laisser telle quelle.
   7. Dans la section Configurer l'URL (Configure URL), sélectionnez Activer la prise en charge du protocole SAML 2.0 Web SSO (Enable support for the SAML 2.0 Web SSO Protocol).
      
   8. Dans le champ URL du service SSO SAML 2.0 de la partie de confiance, remplissez l'URL de base d'identité de votre instance d'Automation Suite, ainsi que le suffixe /Saml2/Acs. Par exemple, https://{yourDomain}/{organizationName}/identity_.
   9. Dans le champ Identifiant de l'approbation de la partie de confiance, sous la section Configurer les identifiants, renseignez l'URL de base de l'identité, par exemple https://{yourDomain}/{organizationName}/identity_.
   10. Dans la section Choisir la stratégie de contrôle d’accès (Choose Access Control Policy), assurez-vous de sélectionner la stratégie de contrôle Autoriser tout le monde (Permit everyone).
   11. Les sections Confiance prête à être ajoutée (Ready to Add Trust) et Terminer (Finish) n’ont pas besoin de paramètres spécifiques, vous pouvez donc les laisser tels quels.

   La partie de confiance nouvellement ajoutée s'affiche dans la fenêtre Approbations des parties de confiance. 12. Accédez à Actions > Propriétés > Points de terminaison et assurez-vous que POST est sélectionné pour Liaison et que la case Définir l'URL approuvée comme URL par défaut est cochée.

   La liaison Point de terminaison doit être Post. D’autres liaisons telles que la redirection ne sont pas compatibles avec UiPath® car ADFS ne signe pas les assertions de redirection. 13. Accédez à Actions > Propriétés > Identifiants et assurez-vous que l'URL de base de l'identité est présente, https://{yourDomain}/{organizationName}/identity_.

2. Sélectionnez l’approbation de la partie de confiance et sélectionnez Modifier la stratégie d’émission de revendication dans le panneau Actions.

   L'assistant Modifier la politique d'émission de revendication (Edit Claim Issuance Policy) s'affiche.

3. Sélectionnez Ajouter une règle et créez une règle à l’aide du modèle Envoyer les attributs LDAP en tant que revendications avec les paramètres suivants, comme décrit dans le tableau :

   Attribut LDAP	Type de demande sortante
   Adresses e-mail	Adresse e-mail
   Nom d'utilisateur principal	Identifiant du nom

4. Une fois ADFS configuré, ouvrez PowerShell en tant qu'administrateur et exécutez les commandes suivantes :

   1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion

      Remplacez DISPLAYNAME par la valeur définie à l'étape 1.e.

   2. Restart-Service ADFSSRV.

B. Configuration de Google​

1. Connectez-vous à la console d'administration en tant qu'administrateur, accédez à Apps, puis à Applications Web et mobiles (Web and mobile apps).

2. Sélectionnez Ajouter une application , puis Ajouter une application SAML personnalisée.

3. Dans la page Détails de l'application (App Details), indiquez un nom pour votre instance Automation Suite.

4. Sur la page des détails du fournisseur d'identité Google, copiez et enregistrez les éléments suivants pour plus tard :

   • URL d'authentification unique
   • Identifiant de l’entité

5. Téléchargez le certificat, ouvrez-le avec un éditeur de texte, copiez et enregistrez la valeur pour la partie suivante de la configuration à l ' étape 2. Configurer Automation Suite.

6. Dans la page Détails du fournisseur de services (Service Provider Details), saisissez les informations suivantes :

   • URL ACS : https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
   • ID d'entité : https://{yourDomain}/{organizationName}/identity_

7. Sur la page Mappage d'attributs (Attribute Mapping), fournissez les mappages suivants :

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   Notez que cette revendication est sensible à la casse.

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

8. Après avoir configuré l'application SAML, accédez à Accès utilisateur sur l'application SAML Automation Suite dans la console d'administration Google et sélectionnez Activé pour tout le monde.

C. Configuration d'Okta​

1. Connectez-vous à la console d'administration Okta, accédez à Applications > Applications, sélectionnez Créer une intégration d'application et sélectionnez SAML 2.0 comme méthode de connexion.

2. Dans la page Paramètres généraux (General Settings), spécifiez un nom pour votre instance Automation Suite.

3. Sur la page Configurer SAML (Configure SAML), renseignez la section Général (General).

   Par exemple :

   • URL d’authentification unique: URL de base d’identité + /Saml2/Acs. Par exemple, https://{yourDomain}/{organizationName}/identity_/Saml2/Acs.
   • Sélectionnez la case Utiliser ceci comme URL du destinataire et URL de destination (Use this for Recipient URL and Destination URL).
   • URI d'audience (Audience URI) : https://{yourDomain}/{organizationName}/identity_
   • Format d'ID de nom (Name ID Format) : EmailAddress
   • Nom d'utilisateur de l'application (Application Username) : E-mail (Email)

4. Remplissez la section Déclarations d'attribut (Attribute Statements) :

   • Dans le champ Nom , saisissez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Notez que cette revendication est sensible à la casse.
   • Dans la liste Valeur (Value), sélectionnez user.email.

5. Dans la section Commentaires (Feedback), sélectionnez l'option appropriée.

6. Sélectionnez Terminer.

7. Dans l’onglet Connexion , dans la section Paramètres , sélectionnez Afficher les instructions de configuration.

   Vous êtes redirigé vers une nouvelle page contenant les instructions requises pour terminer la prochaine partie de la configuration à l ' étape 2. Configurer Automation Suite:

   • URL de connexion du fournisseur d'identité
   • Émetteur du fournisseur d'identité
   • Certificat X.509

8. Pour que les utilisateurs puissent utiliser l'authentification OKTA, ils doivent se voir affecter l'application récemment créée :

   1. Sur la page Application (Application), sélectionnez l'application récemment créée.
   2. Dans l'onglet Affectations (Assignments), sélectionnez Affecter et Affecter aux personnes (Assign > Assign to People), puis sélectionnez les utilisateurs pour recevoir les autorisations nécessaires. Les utilisateurs récemment ajoutés s'affichent dans l'onglet Personnes (People).

D. Configuration de PingOne​

1. Ajoutez une application Web qui se connecte via SAML dans PingOne, avec les spécificités suivantes :
   1. Sur la page Configurer la connexion SAML (Configure SAML Connection), sélectionnez Saisir manuellement (Manually Enter) et remplissez les champs suivants :
      • URL ACS : URL de base d'identité sensible à la casse + /Saml2/Acs . Par exemple : https://{yourDomain}/{organizationName}/identity_
      • ID d'entité : https://{yourDomain}/{organizationName}/identity_
      • Liaison SLO (SLO binding) : Redirection HTTP
      • Durée de la validité de l'assertion (Assertion Validity Duration) : Entrez le nombre de secondes pour la période de validité.
   2. Sur la page Attributs de carte (Map Attributes), mappez l’attribut suivant :

• ID de client
• URL de la page d'accueil.

4. Si vous ne l'avez pas téléchargé lors de l'installation de l'application, téléchargez le certificat de signature PingOne :
   1. Accédez à Connexions (Connections) > Certificats et paires de clés (Certificates & Keypairs).
   2. Trouvez l'application que vous venez de créer et sélectionnez à l'extrémité droite de la boîte pour afficher ses détails.
   3. À droite de l'onglet Détails, sélectionnez Télécharger le certificat et sélectionnez le format .crt.
5. Ouvrez le fichier de certificat dans n'importe quel éditeur de texte, copiez et enregistrez la valeur du certificat pour la prochaine partie de la configuration, décrite plus en détail à l' étape 2.

1. Connectez-vous à en tant qu'administrateur système.
2. Assurez-vous que Hôte est sélectionné en haut du volet gauche, puis sélectionnez Sécurité.
3. Sélectionnez Configurer sous SSO SAML et suivez les instructions du fournisseur d'identité que vous utilisez :
   1. Pour configurer SAML pour ADFS :
      1. Cochez la case Activé (Enabled).
      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.
      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .
      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://{yourDomain}/{organizationName}/identity_.
      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur obtenue lors de la configuration de l'authentification ADFS.
      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur obtenue lors de la configuration de l'authentification ADFS.
      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).
      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Définissez le paramètre de stratégie de mappage d'utilisateur externe sur Par e-mail utilisateur (By user e-mail).
      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.
      11. Dans le champ Certificat de signature (Signing Certificate), collez le texte du certificat.
   2. Pour configurer SAML pour Google:
      1. Cochez la case Activé (Enabled).
      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.
      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .
      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://{yourDomain}/{organizationName}/identity_.
      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur Entity ID obtenue lors de la configuration de l'authentification Google.
      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur SSO URL obtenue lors de la configuration de l'authentification Google.
      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).
      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Pour Stratégie de mappage d'utilisateur externe, sélectionnez Par e-mail utilisateur.
      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.
      11. Dans le champ Certificat de signature (Signing Certificate), collez la valeur Certificate obtenue lors de la configuration de Google.
   3. Pour configurer SAML pour Okta:
      1. Cochez la case Activé (Enabled).
      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.
      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .
      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), saisissez https://{yourDomain}/{organizationName}/identity_.
      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur Émetteur du fournisseur d'identité (Identity Provider Issuer) obtenue lors de la configuration d'Okta.
      6. Dans le champ URL du service d'authentification unique (Single Sign-On Service URL), collez la valeur de l'URL d'authentification du fournisseur d'identité (Identity Provider Sign-On URL) obtenue lors de la configuration d'Okta.
      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).
      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Pour le type de liaison SAML, sélectionnez Redirection HTTP.
      10. Dans le champ Certificat de signature (Signing Certificate), collez la valeur du certificat X.509 (X.509 Certificate) obtenue lors de la configuration d'Okta.
   4. Pour configurer SAML pour PingOne :
      1. Cochez la case Activé (Enabled).
      2. Cochez la case Forcer la connexion automatique à l'aide de ce fournisseur (Force automatic login using this provider) si vous souhaitez autoriser uniquement la connexion avec des comptes Active Directory.
      3. Dans le champ Nom d' affichage (Display Name ), saisissez le texte que vous souhaitez afficher sous cette option de connexion sur la page Connexion .
      4. Dans le champ ID d'entité du fournisseur de services (Service Provider Entity ID), collez l'URL de votre Automation Suite au format https://{yourDomain}/{organizationName}/identity_.
      5. Dans le champ ID d'entité du fournisseur d'identité (Identity Provider Entity ID), collez la valeur ID de l'émetteur (Issuer ID) obtenue lors de la configuration de PingOne.
      6. Définissez le paramètre URL du service d'authentification unique (Single Sign-On Service URL) sur la valeur de l'URL d'authentification unique (Single SignOn URL) obtenue lors de la configuration de PingOne.
      7. Cochez la case Autoriser la réponse d'authentification non sollicitée (Allow unsolicited authentication response).
      8. Dans le champ URL de retour (Return URL), saisissez https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Définissez le paramètre de stratégie de mappage d'utilisateur externe sur Par e-mail utilisateur (By user e-mail).
      10. Pour le type de liaison SAML, sélectionnez Redirection HTTP.
      11. Dans le champ Certificat de signature (Signing Certificate), collez la valeur obtenue lors de la configuration de PingOne.
4. Sélectionnez Enregistrer pour enregistrer les modifications et revenir à la page précédente.
5. Sélectionnez la bascule à gauche de SAML SSO pour activer l'intégration.
6. Redémarrez le pod 'identity-service-api-*'. Ceci est requis après avoir apporté des modifications aux fournisseurs externes.
   1. Connectez-vous au serveur principal via SSH.
   2. Exécutez la commande suivante :

Étape 3.1. Mappage personnalisé​

• Stratégie de mappage utilisateur externe : définit la stratégie de mappage. Les options suivantes sont disponibles :
  • By user email : votre adresse e-mail est définie comme attribut. Il s'agit de la valeur par défaut.
  • By username : votre nom d'utilisateur est défini comme attribut.
  • By external provider key : une clé de fournisseur externe est définie comme attribut.
• Nom de revendication de l'identificateur utilisateur externe (External user identifier claim name) : définit la revendication à utiliser comme identificateur pour le mappage. Cet élément n'est requis que si vous avez défini le nom d'utilisateur comme attribut.