Orchestrator
2022.4
False
Bannerhintergrundbild
Orchestrator-Anleitung
Letzte Aktualisierung 19. April 2024

Konfigurieren der SAML-Integration

Sie können den Orchestrator mit jedem Identitätsanbieter (IdP) verbinden, der den SAML 2.0 Standard verwendet. Auf dieser Seite wird der Gesamtprozess beschrieben, indem einige Beispielkonfigurationen für die SAML-Integration gezeigt werden.

Übersicht über den Konfigurationsprozess

Die SAML-Integration ist so konzipiert, dass sie schrittweise und ohne Unterbrechung für bestehende Benutzer implementiert werden kann.

Die Hauptphasen des Prozesses, die auf dieser Seite ausführlicher beschrieben werden, sind:

  1. Bereinigen von inaktiven Benutzerkonten
  2. Konfigurieren der SAML-Integration
  3. Übergang von bestehenden Benutzern zur Anmeldung mit SAML-SSO
  4. Berechtigungen und Roboter für neue Benutzer konfigurieren
  5. Verwendung von lokalen Konten einstellen (optional)

Bekannte Einschränkungen

Konten von Ihrem Identitätsanbieter können nicht durchsucht werden.

Mit der SAML-Integration können Sie nicht alle Benutzer und Gruppen ihres Identitätsanbieters durchsuchen. Nur bereitgestellte Benutzer des Verzeichnisses sind für die Suche verfügbar.

Falsche ACS-URL in der SAML-Konfigurationsbenutzeroberfläche

Die Seite SAML SSO-Konfiguration zeigt eine falsche Assertion Customer Service-URL an.

Problemumgehung: Um dieses Problem zu beheben, konfigurieren Sie die Assertion Customer Service-URL im IDP ohne die Partitions-ID. Beispielsweise würde die ursprüngliche URL https://{your-domain}/91483651-d8d6-4673-bd3f-54b0f7dc513a/identity_/Saml2/Acs zu https://{your-domain}/identity_/Saml2/Acs werden.
Hinweis:

Diese Abhilfe hat zwei Nachteile:

  • IDP-initiierte Anmeldeabläufe funktionieren nicht wie erwartet.

  • Dieses Problem wurde in 2023.4 behoben. Nach dem Upgrade auf 2023.4+ müssen Sie die Assertion Customer Service-URL ändern, um die Partitions-ID einzuschließen.

Voraussetzungen

Um die SAML-Integration einzurichten, benötigen Sie:

  • Eine Orchestrator-Organisation mit einer Enterprise-Lizenz oder einer Enterprise-Testlizenz.

  • Administratorberechtigungen sowohl im Orchestrator als auch bei Ihrem externen Identitätsanbieter.

    Wenn Sie bei Ihrem Identitätsanbieter nicht über Administratorberechtigungen verfügen, können Sie mit einem Administrator zusammenarbeiten, um den Einrichtungsprozess abzuschließen.

  • Version 2020.10.3 oder höher von UiPath Studio und vom UiPath Assistant, damit Sie sie so einrichten können, dass die empfohlene Bereitstellung verwendet wird.

    Hinweis:

    Wenn Sie derzeit die Azure Active Directory-Integration für die Authentifizierung verwenden, empfehlen wir, bei der AAD-Integration zu bleiben, da sie funktionsreicher ist.

    Wenn Sie sich für einen Wechsel von der AAD-Integration entscheiden, müssen Sie die Rollenzuweisung über Verzeichnisgruppen manuell durch eine direkte Rollenzuweisung zu den Verzeichniskonten ersetzen. So müssen Sie Ihr Zugriffsschema nicht komplett neu erstellen.

Schritt 1. Inaktive Benutzerkonten bereinigen

Wenn Ihre Organisation E-Mail-Adressen wiederverwendet, ist es wichtig, dass Sie alle inaktiven Benutzerkonten entfernen, bevor Sie die SAML-Integration konfigurieren.

Wenn Sie die Integration aktivieren, können lokale Konten im Orchestrator mit dem Verzeichniskonto im externen Identitätsanbieter verknüpft werden, das dieselbe E-Mail-Adresse verwendet. Diese Kontoverknüpfung erfolgt, wenn sich der Verzeichniskontobenutzer mit der E-Mail-Adresse zum ersten Mal anmeldet. Die Identität von Ihrem Identitätsanbieter erbt alle Rollen, die das lokale Konto hatte, so dass der Übergang nahtlos erfolgt.

Dadurch besteht bei inaktiven lokalen Konten im Orchestrator das Risiko, dass lokale Konten und Verzeichniskonten nicht übereinstimmen, was zu einer unbeabsichtigten Erhöhung der Berechtigungen führen kann.

So entfernen Sie inaktive Benutzerkonten:

  1. Melden Sie sich beim Orchestrator als Administrator an.
  2. Wechseln Sie zur Registerkarte Administrator > Konten und Gruppen > Benutzer.
  3. Klicken Sie auf den Spaltenheader der Spalte Zuletzt aktiv, um die Benutzer so zu sortieren, dass die Benutzer mit dem ältesten Datum der letzten Anmeldung ganz oben angezeigt werden:


    In der Spalte Zuletzt aktiv wird das Datum angezeigt, an dem sich der Benutzer zum letzten Mal im Orchestrator angemeldet hat. Wenn Sie in dieser Spalte „Ausstehend“ sehen, wie im obigen Beispiel, bedeutet das, dass der Benutzer sich nie angemeldet hat. Sie können diese Informationen verwenden, um Ihre inaktiven Benutzer zu identifizieren.

  4. Klicken Sie auf das Symbol Löschen am Ende der Zeile, um das lokale Konto für diesen Benutzer zu entfernen.


  5. Klicken Sie im Bestätigungsdialogfeld auf Löschen, um das Löschen des Kontos aus dem Orchestrator zu bestätigen.

    Das Benutzerkonto wird von der Seite entfernt.

  6. Löschen Sie weiterhin alle inaktiven Benutzerkonten in Ihrer Organisation.

Schritt 2. Die SAML-Integration konfigurieren

Jetzt müssen Sie sowohl den Orchestrator als auch Ihren Identitätsanbieter (IdP) für die Integration konfigurieren.

Schritt 2.1. Informationen zum SAML-Dienstanbieter abrufen

  1. Melden Sie sich beim Orchestrator als Administrator an.
  2. Wechseln Sie zu Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen.
  3. Wählen Sie Benutzer, die sich mit SAML-SSO anmelden können aus und klicken Sie dann auf Konfigurieren.

    Ein Informationsdialogfeld wird geöffnet.

  4. Klicken Sie im Dialogfeld auf Fortfahren.

    Die nächste Seite bietet einen Überblick über die Integration.

  5. Klicken Sie in der unteren rechten Ecke auf Weiter, um mit der Konfiguration fortzufahren.

    Im Schritt Allgemeine Details finden Sie unter In IdP zu konfigurierende Daten die erforderlichen Informationen zur Konfiguration Ihres Identitätsanbieters für die Verbindung mit dem Orchestrator.



  6. Kopieren und speichern Sie die Werte für die Werte der Entitäts-ID und der der Assertion Consumer Service-URL. Diese benötigen Sie im nächsten Schritt.
    Wichtig: Wenn Sie diese Integration auch auf Hostebene eingerichtet haben, stellen Sie sicher, dass Sie den URL-Wert des Assertion Consumer Service auf Organisationsebene und nicht den vom Host verwenden.

Lassen Sie diese Registerkarte im Browser für später geöffnet.

Schritt 2.2. Ihren Identitätsanbieter konfigurieren

Der Orchestrator kann sich mit jedem externen Identitätsanbieter (IdP) verbinden, der den SAML 2.0 Standard verwendet.

Obwohl die Konfiguration je nach ausgewähltem IdP variieren kann, haben wir die Konfiguration für die folgenden Anbieter validiert:

  • Okta

  • PingOne.

Sie können die folgenden Konfigurationsanweisungen verwenden, um Integrationen mit diesen Anbietern einzurichten.

Bei anderen Identitätsanbietern empfehlen wir Ihnen, deren Integrationsdokumentation zu befolgen.

A. Beispielkonfiguration für Okta

Hinweis: Die Anweisungen in diesem Abschnitt beziehen sich auf eine Beispielkonfiguration. Weitere Informationen zu IdP-Einstellungen, die hier nicht behandelt werden, finden Sie in der Okta-Dokumentation.
  1. Melden Sie sich in einer anderen Registerkarte im Browser bei der Okta-Administratorkonsole an.
  2. Gehen Sie zu „Anwendungen“ > „Anwendungen“, klicken Sie auf App-Integration erstellen und wählen Sie SAML 2.0 als Anmeldemethode aus.
  3. Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für die App an, mit der Sie die Integration vornehmen, nämlich Orchestrator.
  4. Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein wie folgt aus:
    1. URL für einmaliges Anmelden: Geben Sie den Wert der Assertion Consumer Service-URL ein, den Sie vom Orchestrator erhalten haben.
    2. Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
    3. Empfänger-URI: Geben Sie den Wert der Entitäts-ID ein, den Sie vom Orchestrator erhalten haben.
    4. Name ID-Format: E-Mail-Adresse auswählen.
    5. Anwendungsbenutzername: E-Mail auswählen
  5. Fügen Sie bei Attributanweisungen Folgendes hinzu:
    1. Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. Lassen Sie das Namensformat als Nicht angegeben.
    3. Legen Sie den Wert auf user.email oder das Benutzerattribut fest, das die eindeutige E-Mail-Adresse des Benutzers enthält.
    4. Fügen Sie optional weitere Attributzuordnungen hinzu. Der Orchestrator unterstützt auch die Benutzerattribute Vorname, Nachname, Berufsbezeichnung und Abteilung. Diese Informationen werden dann an den Orchestrator weitergegeben, wo sie anderen Diensten wie dem Automation Hub zur Verfügung gestellt werden können.
  6. Wählen Sie auf der Seite Feedback die Option aus, die Sie bevorzugen.
  7. Klicken Sie Beenden an.
  8. Kopieren Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen unter Setup-Anweisungen anzeigen den Wert Metadaten-URL des Identitätsanbieters und speichern sie ihn für später.
  9. Wählen Sie auf der Seite Anwendung für den Orchestrator die neu erstellte Anwendung aus.
  10. Wählen Sie auf der Registerkarte Zuweisungen die Option „Zuweisen“ > „Personen zuweisen“ aus und wählen Sie dann die Benutzer aus, die die SAML-Authentifizierung für den Orchestrator verwenden möchten.
Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

B. Beispielkonfiguration für PingOne

Hinweis: Die Anweisungen in diesem Abschnitt beziehen sich auf eine Beispielkonfiguration. Weitere Informationen zu IdP-Einstellungen, die hier nicht behandelt werden, finden Sie in der PingOne-Dokumentation.
  1. Melden Sie sich in einer anderen Registerkarte im Browser bei der PingOne-Administratorkonsole an.
  2. Wechseln Sie zu „Verbindungen“ > „Anwendungen“ und klicken Sie auf das Pluszeichen +.
  3. Klicken Sie auf Web App und klicken Sie für SAML auf Konfigurieren.
  4. Geben Sie auf der Seite App-Profil erstellen einen Namen für Ihre Orchestrator-App an.
  5. Wählen Sie auf der Seite SAML-Verbindung konfigurieren die Option Manuell eingeben aus und geben Sie Folgendes ein:
    • ACS-URLs: Geben Sie den Wert der Assertion Consumer Service-URL ein, den Sie vom Orchestrator erhalten haben.
    • Entitäts-URI: Geben Sie den Wert der Entitäts-ID ein, den Sie vom Orchestrator erhalten haben.
    • SLO-Bindung: HTTP-Umleitung
    • Assertion-: Geben Sie die Gültigkeitsdauer in Sekunden ein.
  6. Klicken Sie auf Speichern und fortfahren.
  7. Fügen Sie auf der Seite Attribute zuordnen die E-Mail-Adresse hinzu:
    1. Wählen Sie + Attribut hinzufügen aus.
    2. Geben Sie für Anwendungsattribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein.
    3. Legen Sie den Ausgehenden Wert auf E-Mail-Adresse oder das Benutzerattribut fest, das die eindeutige E-Mail-Adresse des Benutzers enthält.
    4. Aktivieren Sie das Kontrollkästchen Erforderlich.
    5. Fügen Sie optional weitere Attributzuordnungen hinzu. Der Orchestrator unterstützt auch die Benutzerattribute Vorname, Nachname, Berufsbezeichnung und Abteilung. Diese Informationen werden dann an den Orchestrator weitergegeben, wo sie anderen Diensten wie dem Automation Hub zur Verfügung gestellt werden können.
  8. Klicken Sie auf Speichern und schließen.
  9. Klicken Sie auf den Umschalter für die Orchestrator-App, um die Anwendung für den Benutzerzugriff zu aktivieren.
  10. Kopieren und speichern Sie auf der Registerkarte Konfiguration den Wert der IdP-Metadaten-URL zur späteren Verwendung.

Schritt 2.3. Orchestrator konfigurieren

Führen Sie die folgenden Schritte aus, um den Orchestrator als Dienstanbieter zu aktivieren, der Ihren Identitätsanbieter erkennt:

  1. Kehren Sie im Orchestrator zur Registerkarte „SAML-Konfiguration“ zurück.
  2. Füllen Sie im Schritt Allgemeine Details unter Daten aus IdP das Feld Metadaten-URL mit der Metadaten-URL aus, die während der Konfiguration abgerufen wurde.
  3. Klicken Sie auf Daten abrufen.

    Nach Abschluss des Vorgangs werden die Felder Anmelde-URL, ID der Identitätsanbieterentität und Signaturzertifikat mit den IdP-Informationen gefüllt.

  4. Klicken Sie in der unteren rechten Ecke auf Weiter, um zum nächsten Schritt zu wechseln.
  5. Geben Sie in den Bereitstellungseinstellungen den Abschnitt Zulässige Domänen die Domänen an, von denen aus Sie Benutzern die Anmeldung ermöglichen möchten. Geben Sie alle Domänen ein, die vom konfigurierten Identitätsanbieter unterstützt werden.

    Sie können mehrere Domains durch Kommata voneinander trennen.

  6. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie mit der Verknüpfung von Konten mit übereinstimmenden E-Mail-Adressen einverstanden sind.
  7. Geben Sie optional die Attributzuordnung ein.
  8. Wenn Sie auch erweiterte Details konfigurieren möchten, klicken Sie unten rechts auf Weiter, um zum letzten Schritt zu gelangen.

    Klicken Sie andernfalls auf Testen und Speichern, um die Konfiguration der Integration abzuschließen und die verbleibenden Schritte in diesem Abschnitt zu überspringen.

  9. Konfigurieren Sie auf der Seite Erweiterte Einstellungen die Optionen nach Bedarf:
    • Unangeforderte Authentifizierungsantwort zulassen: Aktivieren Sie diese Option, wenn Sie aus dem IdP-Dashboard zum Orchestrator navigieren möchten.
    • SAML-Bindungstyp: Eine HTTP-Umleitung konfiguriert die SAML-Konfiguration für die Kommunikation mit URL-Parametern über den HTTP-Benutzer-Agent.
    • Dienstzertifikatnutzung: Wählen Sie die gewünschte Option aus.
  10. Klicken Sie auf Testen und Speichern, um die Integrationskonfiguration fertig zu stellen.

Schritt 2.4. Überprüfen Sie, ob die Integration ausgeführt wird.

So können Sie überprüfen, ob die SAML SSO-Integration ordnungsgemäß funktioniert:

  1. Öffnen Sie ein Inkognito-Browserfenster.
  2. Navigieren Sie zu Ihrer Orchestrator-URL.
  3. Überprüfen Sie Folgendes:
    1. Werden Sie aufgefordert, sich mit Ihrem SAML-Identitätsanbieter anzumelden?
    2. Können Sie sich erfolgreich anmelden?
    3. Wenn Sie sich mit einer E-Mail-Adresse anmelden, die mit einem vorhandenen Benutzerkonto übereinstimmt, verfügen Sie dann über die entsprechenden Berechtigungen?

Schritt 3. Ihre Benutzer auf SAML-SSO umstellen

Nachdem die Berechtigungen konfiguriert wurden, empfehlen wir Ihnen, alle bestehenden Benutzer aufzufordern, sich von ihrem UiPath-Konto abzumelden und über SAML-SSO anzumelden.

Um sich mit SAML-SSO bei Studio und dem Assistant anzumelden, müssen Benutzer den Assistant wie folgt konfigurieren:

  1. Öffnen Sie im UiPath Assistant Einstellungen und wählen Sie die Registerkarte Orchestrator-Verbindung aus.
  2. Klicken Sie auf Abmelden.
  3. Wählen Sie für den Verbindungstyp Dienst-URL aus.
  4. Fügen Sie im Feld Dienst-URL die organisationsspezifische URL hinzu.
    Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. https://cloud.uipath.com/orgID/. Andernfalls schlägt die Verbindung mit dem Hinweis fehl, der Benutzer gehöre keiner Organisation an.
  5. Melden Sie sich mit SAML-SSO wieder an.

Schritt 4. Berechtigungen und Roboter konfigurieren

Dies ist nur für neue Benutzer erforderlich, die den Orchestrator noch nicht verwendet haben und für die daher kein lokales Konto im Orchestrator eingerichtet wurde, als die Integration aktiviert wurde.

Sie können neue Benutzer über deren E-Mail-Adresse (wie im externen IdP verwendet) zu Orchestrator-Gruppen hinzufügen. Sobald ein Benutzer einer Gruppe zugewiesen wurde oder er sich angemeldet hat, steht er über die Suche für die Rollenzuweisung in allen Orchestrator-Diensten zur Verfügung.

Schritt 5. Lokale Benutzerkonten nicht mehr verwenden (optional)

Nachdem alle Benutzer auf SAML-SSO übertragen wurden und die neuen Benutzer eingerichtet sind, empfehlen wir Ihnen, alle lokalen Benutzerkonten, die keine Administratorkonten sind, zu entfernen. Dadurch wird sichergestellt, dass sich Benutzer nicht mehr mit ihren lokalen Kontoanmeldeinformationen anmelden können und sich mit SAML-SSO anmelden müssen.

Überlegungen zum Beenden der Verwendung lokaler Konten

Bei Problemen mit der SAML-Integration (z. B. bei der Aktualisierung eines abgelaufenen Zertifikats) oder beim Wechsel zu einer anderen Authentifizierungsoption wird ein lokales Benutzerkonto mit der Administratorrolle empfohlen.

Fehlersuche und ‑behebung

Wenn Sie den Fehler User login failed. (#216) erhalten, kann dies auf eine fehlende E-Mail-Adresszuordnung in der Konfiguration des SAML-Identitätsanbieters zurückzuführen sein.
Der SAML-Anspruch muss den Namen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress tragen und der Wert muss eine gültige E-Mail-Adresse enthalten.

War diese Seite hilfreich?

Support und Services
Hilfe erhalten
UiPath Academy
RPA lernen – Automatisierungskurse
UiPath-Forum
UiPath Community-Forum
UiPath Logo weiß
Vertrauen und Sicherheit
Nutzungsbedingungen
Datenschutzerklärung
Cookie-Richtlinie
© 2005-2024 UiPath. All rights reserved.