- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Allowing or restricting basic authentication
- Configuration de l'authentification unique avec Microsoft Entra ID
- Configuration d'Okta comme fournisseur d'identité
- Configurer PingOne comme fournisseur d'identité
- Gestion du certificat de signature UiPath pour les demandes d’authentification SAML
- Exigences de complexité du mot de passe des utilisateurs locaux
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Migrer de Test Suite vers Test Cloud
- Migration de licence
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Test dans votre organisation
- Résolution des problèmes
- Migrer vers Test Cloud
Guide de l'administrateur de Test Cloud
Dans le protocole SAML, le fournisseur de services (SP) peut signer les requêtes d’authentification pour confirmer leur origine et s’assurer qu’elles ne sont pas modifiées lors de la transmission. Le SP utilise une clé privée (certificat de signature) pour signer la requête. Le fournisseur d’identité (IdP) utilise la clé publique correspondante (certificat de signature) pour valider la signature.
Par défaut, UiPath signe les demandes d'authentification SAML à l'aide de son propre certificat. UiPath change fréquemment ce certificat. Si votre IdP ne peut pas récupérer automatiquement le certificat mis à jour à partir de l'URL des métadonnées SAML d'UiPath, vous devez télécharger manuellement le nouveau certificat dans votre IdP chaque fois qu'il change. Ce processus manuel augmente le risque d’erreurs et d’interruption du service.
Pour réduire cet effort, vous pouvez utiliser les points de terminaison de l'API de certificat SAML d'UiPath pour télécharger votre propre certificat de signature. Cela vous permet de gérer le certificat de signature via l'automatisation. Après avoir téléchargé un nouveau certificat, vous devez également mettre à jour la clé publique correspondante dans votre IdP pour maintenir une connexion valide et suivre les politiques de sécurité de votre organisation.
Lorsque vous téléchargez un certificat client, UiPath remplace le certificat par défaut dans le document de métadonnées SAML. UiPath utilise ensuite votre certificat pour toutes les actions de signature. Après avoir téléchargé le certificat, mettez à jour la clé publique correspondante dans votre IdP pour suivre les politiques de sécurité et de conformité informatiques de votre organisation
Considérations
Avant de télécharger votre propre certificat de signature pour l'intégration SAML, assurez-vous de prendre en compte les aspects suivants :
- Vous devez vous assurer de renouveler vos certificats auto-signés téléchargés avant leur expiration.
- Le téléchargement d’un nouveau certificat dans UiPath remplacera le certificat existant dans le document de métadonnées SAML UiPath, ainsi que celui téléchargé dans votre IdP.
Prérequis
Avant de télécharger votre propre certificat de signature pour l'intégration SAML, assurez-vous de répondre aux exigences suivantes :
-
Vous devez configurer une intégration SAML pour votre organisation.
-
Vous devez accéder au
partitionGlobalIdde votre organisation.partitionGlobalIdest l'ID de l'organisation. -
Vous devez générer un certificat incluant une clé privée au format PEM.
-
Le fichier PEM doit inclure à la fois le certificat et la clé privée.
-
Vous devez télécharger le certificat public sur votre IdP (par exemple, PingOne) après l'avoir téléchargé sur votre organisation UiPath.
-
Pour télécharger un certificat secondaire, vous devez d'abord télécharger un certificat principal.
Étapes
Pour générer un certificat de signature personnalisé et le télécharger sur le serveur d'identité d'UiPath, pour vos intégrations SAML existantes, suivez ces étapes :
-
Générez un certificat auto-signé. Par exemple, utilisez les commandes Powershell OpenSSL suivantes pour générer un certificat auto-signé valide pendant un an :
openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 -subj "/CN=example.com" Get-Content key.pem, cert.pem | Set-Content full-cert.pemopenssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 -subj "/CN=example.com" Get-Content key.pem, cert.pem | Set-Content full-cert.pemCes commandes créent les objets suivants :
key.pem– Clé privéecert.pem: Certificatfull-cert.pm: PEM combiné avec clé privée et certificat
-
Chargez votre certificat principal à l’aide de l’API
PUTà l’une des URL suivantes :https://cloud.uipath.com/{organizationName}/identity_/SamlCertificate/primaryhttps://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/primaryhttps://<customURL>.dedicated.uipath.com/{organizationName}/identity_/SamlCertificate/primary
Remarque :Le certificat devient le certificat de signature principal de votre organisation.
Exemple de réponse :
{ "partitionGlobalId": "GUID", "primaryCertificateId": int, "primaryCertificateThumbprint": "string", "secondaryCertificateId": null, "secondaryCertificateThumbprint": null }{ "partitionGlobalId": "GUID", "primaryCertificateId": int, "primaryCertificateThumbprint": "string", "secondaryCertificateId": null, "secondaryCertificateThumbprint": null } -
(Facultatif) Téléchargez un certificat secondaire à l'aide de l'API
PUTvers l'une des URL suivantes :https://cloud.uipath.com/{organizationName}/identity_/SamlCertificate/secondaryhttps://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/secondaryhttps://<customURL>.dedicated.uipath.com/{organizationName}/identity_/SamlCertificate/secondary
Pour minimiser les perturbations lors de la rotation des certificats, le protocole SAML permet à l’IdP de valider la signature par rapport à tout certificat publié dans les métadonnées du fournisseur de services. Cela vous permet de :
- Créez un nouveau certificat de signature.
- Téléchargez-le vers votre IdP en tant que certificat de vérification.
- Basculez le certificat secondaire vers principal.
- Supprimez l’ancien certificat principal.
Exemple de réponse :
{ "partitionGlobalId": "GUID", "primaryCertificateId": int, "primaryCertificateThumbprint": "string", "secondaryCertificateId": int, "secondaryCertificateThumbprint": "string" }{ "partitionGlobalId": "GUID", "primaryCertificateId": int, "primaryCertificateThumbprint": "string", "secondaryCertificateId": int, "secondaryCertificateThumbprint": "string" } -
(Facultatif) Basculez le certificat secondaire vers le certificat principal à l'aide de l'API
POSTsur l'une des URL suivantes :https://cloud.uipath.com/{organizationName}/identity_/SamlCertificate/switchhttps://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/switchhttps://<customURL>.dedicated.uipath.com/{organizationName}/identity_/SamlCertificate/switch
Le changement de certificats garantit un remplacement ou un renouvellement fluide des certificats.
Exemple de réponse :
{ "partitionGlobalId": "<Id>", "primaryCertificateId": 74268, "primaryCertificateThumbprint": "<Id>", "secondaryCertificateId": <Id>, "secondaryCertificateThumbprint": "<Id>" }{ "partitionGlobalId": "<Id>", "primaryCertificateId": 74268, "primaryCertificateThumbprint": "<Id>", "secondaryCertificateId": <Id>, "secondaryCertificateThumbprint": "<Id>" } -
(Facultatif) Vérifiez quels certificats sont actuellement configurés pour votre organisation à l'aide de l'API
GETà l'une des URL suivantes :https://cloud.uipath.com/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/certificateshttps://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/certificateshttps://<customURL>.dedicated.uipath.com/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/certificates
Cela renvoie les ID et les empreintes de certificat principal et secondaire actuels. Cette étape vous aide à vérifier la configuration de votre certificat pour vous assurer que le bon certificat est actuellement actif.
-
(Facultatif) Supprimer un certificat à l'aide de l'API
DELETEsur l'une des URL suivantes :https://cloud.uipath.com/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/{certificateId}https://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/{certificateId}https://<customURL>.dedicated.uipath.com/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/{certificateId}
La suppression des anciens certificats ou inutilisés réduit les risques de sécurité potentiels.
Remarque :Vous ne pouvez pas supprimer le certificat principal si un certificat secondaire est toujours présent.