Process Mining
2021.10
False
Image de fond de la bannière
Process Mining
Dernière mise à jour 2 avr. 2024

Configurer l’authentification unique via SAML pour Microsoft Active Directory

Introduction

Cette page explique comment configurer l'authentification unique basée sur SAML pour Microsoft Active Directory.

Fournisseur d'identité

Pour activer l'authentification unique basée sur SAML, UiPath Process Mining et ADFS doivent être correctement configurés pour qu'ils puissent communiquer entre eux. Voir aussi Configuration d'ADFS.

Reportez-vous à la documentation officielle de Microsoft et assurez-vous de configurer l'authentification à l'aide des éléments de réponse, comme décrit ci-dessous.

Subject

  • nameID: identifiant persistant de l'utilisateur (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).

Déclarations d'attribut ("revendications")

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name : le nom complet de l'utilisateur.
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress : l'adresse e-mail de l'utilisateur.
  • http://schemas.xmlsoap.org/claims/Group : soit un identifiant de groupe unique, soit un tableau d'identifiants de groupe.
Remarque : Process Mining prend uniquement en charge l'authentification unique initiée par le fournisseur de services (initiée par le fournisseur de services) pour laquelle le fournisseur d'identité doit prendre en charge le paramètre RelayState . Cela signifie que l'utilisateur accède à la page de connexion Process Mining, à partir de laquelle il sera redirigé vers le fournisseur d'identité pour se connecter.

Si SAML est activé et correctement configuré, un bouton s'affiche en bas de la page de connexion. Voir l'illustration ci-dessous.



If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.

Configuration d'UiPath Process Mining pour l'authentification unique

  1. Accédez à l' onglet Paramètres de la page Superadmin de votre installation UiPath Process Mining pour configurer les paramètres du serveur. Voir l'illustration ci-dessous.


  2. Ajoutez les paramètres SAML requis dans le paramètre ExternalAuthenticationProviders des Paramètres du serveur. Vous trouverez ci-dessous une description des clés JSON de l'objet saml.

    Clé (Key)

    Description

    Obligatoire

    entrypoint

    Spécifiez l'URL du fournisseur d'identité distant.

    Oui (Yes)

    Émetteur

    Permet de spécifier la chaîne de l'émetteur à fournir au fournisseur d'identité. La valeur par défaut est définie sur l'URL Process Mining.

    Non (No)

    Contexteauthentique

    Permet de spécifier la méthode d'authentification à demander au fournisseur d'identité. Par défaut, aucun contexte d'authentification n'est demandé.

    Non (No)

    certificat

    Permet de spécifier le certificat de signature pour valider les réponses du fournisseur d'identité, sous la forme d'une seule ligne au format X.509 encodé PEM avec des sauts de ligne remplacés par '\))

    '.

    Non (No)

    Clé privée

    Permet de spécifier la clé pour signer les demandes envoyées au fournisseur d'identité distant, sous la forme d'une seule ligne au format X.509 encodé PEM avec des sauts de ligne remplacés par '\))

    '.

    Non (No)

    Algorithme de signature

    Permet de spécifier l'algorithme de signature utilisé lors de la signature des demandes. Les valeurs possibles sont :

    • sha1 ;

    • sha256 ;

    • sha512.

    Non (No)

    Format d'identifiant

    Format d'identifiant de nom à demander au fournisseur d'identité. La valeur par défaut est « urn:oasis:names:tc:SAML:2.0:nameid-format:persistent ».

    Non (No)

    validerDansRéponseVers

    Lorsqu'il est défini sur « true », valide « InResponseTo » à partir des réponses SAML entrantes. La valeur par défaut est « true ».

    Non (No)

    loggingLevel
    Permet de spécifier si vous souhaitez ajouter des informations concernant le processus de connexion au journal dans le dossier [PLATFORMDIR]/logs/iisnode . Valeurs possibles :

    • informations ;

    • avertir ;

    • erreur.

    Remarque : il est recommandé de n'activer cette option que lorsque vous rencontrez des problèmes de connexion.

    Non (No)

Vous trouverez ci-dessous un exemple des paramètres du serveur avec le paramètre ExternalAuthenticationProviders et l'objet saml pour une configuration ADFS de base.
docs image
Vous trouverez ci-dessous un exemple des paramètres du serveur avec le paramètre ExternalAuthenticationProviders et l'objet saml pour une configuration ADFS avec vérification de certificat bidirectionnelle.
docs image

3. Cliquez sur SAVE (SAVE) pour enregistrer les nouveaux paramètres.

4. Appuyez sur F5 pour actualiser la page Superadmin. Cela charge les nouveaux paramètres et permet de créer des groupes SAML en fonction de ces paramètres.

Connexion automatique

Important : assurez-vous que l'authentification unique fonctionne correctement avant d'activer la connexion automatique. L'activation de la connexion automatique lorsque l'authentification unique n'est pas configurée correctement peut empêcher les utilisateurs concernés par le paramètre de connexion automatique de se connecter.
Avec le paramètre de serveur AutoLogin , l'utilisateur sera automatiquement connecté à l'aide de la méthode SSO actuellement active.
Par défaut, AutoLogin est défini sur none. Si vous souhaitez activer la connexion automatique pour les utilisateurs finaux et/ou les utilisateurs Superadmin, vous pouvez le spécifier dans le AutoLogin dans l'onglet Paramètres Superadmin (Superadmin Settings) . Voir L' onglet Paramètres (Settings).
Remarque : lors de la connexion via localhost, la connexion automatique sera toujours désactivée pour les utilisateurs Superadmin.

Résolution des problèmes

Exemple de réponse SAML

Notez en particulier le contenu de l'élément `saml:AttributeStatement`.

Cliquez ici pour voir à quoi devrait ressembler la réponse attendue pour `saml:AttributeStatement`, ce qui peut aider à configurer le fournisseur d'identité.

Fichiers journaux

Lorsque la connexion de l'utilisateur échoue après la configuration de la communication entre le fournisseur d'identité et Process Mining, il est conseillé de vérifier les fichiers journaux dans le dossier [INSTALLDIR]/logs .

Vous trouverez ci-dessous un exemple de ligne de connexion à partir d'un accès refusé.

[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].

La liste Groupes valides contient l'ensemble de groupes reçu du fournisseur d'identité pour l'utilisateur « Jim Jones ». « Jim Jones » est membre du groupe « Admins ». Dans Process Mining, seul le groupe avec le nom unique long est configuré. « Jim Jones » se voit refuser l’accès car « Admins » n’est pas répertorié dans les groupes valides.

Solution

Vous devez soit configurer le fournisseur d'identité pour envoyer le nom distinctif complet, soit configurer le groupe « Admins » dans Process Mining pour qu'il référence uniquement le nom commun.

Prochaines étapes

Pour utiliser l'authentification à l'aide de SAML, vous devez créer un ou plusieurs groupes AD pour permettre aux membres de se connecter. Pour les utilisateurs Superadmin ou les développeurs d'applications, vous pouvez créer des groupes AD dans l'onglet Utilisateurs Superadmin . Voir Ajout de groupes AD Superadmin.

Pour l'authentification de l'utilisateur final, des groupes AD peuvent être créés sur la page Administration de l'utilisateur final (End user administration). Voir Ajout de groupes AD d'utilisateurs finaux (Adding End-user AD Groups).

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
Forum UiPath
Forum de la communauté UiPath
Logo Uipath blanc
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2024 UiPath. All rights reserved.