Process Mining
2021.10
False
Bannerhintergrundbild
Process Mining
Letzte Aktualisierung 2. Apr. 2024

Einrichten von einmaliger Anmeldung über SAML für Microsoft Active Directory

Einleitung

Auf dieser Seite wird beschrieben, wie Sie Single Sign-On basierend auf SAML für Microsoft Active Directory einrichten.

Identitätsanbieter

Um Single Sign-On basierend auf SAML zu aktivieren, müssen sowohl UiPath Process Mining als auch ADFS ordnungsgemäß konfiguriert sein, sodass sie miteinander kommunizieren können. Siehe auch Konfigurieren von ADFS.

Lesen Sie die offizielle Microsoft-Dokumentation, und konfigurieren Sie die Authentifizierung mithilfe der Antwortelemente wie unten beschrieben.

Antragsteller

  • nameID: Ein persistenter Bezeichner für den Benutzer (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).

Attributanweisungen („Ansprüche“)

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name : Der vollständige Name des Benutzers.
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress : Die E-Mail-Adresse des Benutzers.
  • http://schemas.xmlsoap.org/claims/Group : Entweder eine einzelne Gruppen-ID oder ein Array von Gruppen-IDs.
Hinweis: Process Mining unterstützt nur vom Dienstanbieter initiiertes (SP-initiiertes) SSO, für das der Identitätsanbieter den Parameter RelayState unterstützen muss. Das bedeutet, dass der Benutzer zur Process Mining-Anmeldeseite navigiert, von der er zum Identitätsanbieter umgeleitet wird, um sich anzumelden.

Wenn SAML aktiviert und korrekt konfiguriert ist, wird unten auf der Anmeldeseite eine Schaltfläche angezeigt. Siehe Abbildung unten.



If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.

Konfigurieren von UiPath Process Mining für Single Sign-On

  1. Wechseln Sie zur Registerkarte Einstellungen der Seite Superadmin Ihrer UiPath Process Mining- Installation, um die Servereinstellungenzu konfigurieren. Siehe Abbildung unten.


  2. Fügen Sie die erforderlichen SAML-Einstellungen in der ExternalAuthenticationProviders-Einstellung der Servereinstellungen hinzu. Nachfolgend finden Sie eine Beschreibung der JSON-Schlüssel des saml-Objekts.

    Schlüssel

    Beschreibung

    Obligatorisch

    entrypoint

    Geben Sie die URL zum Remote-Identitätsanbieter an.

    Ja

    Aussteller

    Ermöglicht es Ihnen, die Ausstellerzeichenfolge anzugeben, die an den Identitätsanbieter geliefert werden soll. Der Standardwert ist auf die Process Mining-URL festgelegt.

    Nein

    AuthnContext

    Ermöglicht Ihnen, die Authentifizierungsmethode anzugeben, die vom Identitätsanbieter angefordert werden soll. Standardmäßig wird kein Authentifizierungskontext angefordert.

    Nein

    Zertifikat

    Ermöglicht Ihnen die Angabe des Signaturzertifikats zur Validierung der Antworten des Identitätsanbieters als einzeiliges PEM-codiertes X.509-Format mit Zeilenumbrüchen, die durch „\)) ersetzt werden.

    '.

    Nein

    Privater Schlüssel

    Ermöglicht Ihnen die Angabe des Schlüssels zum Signieren von Anforderungen, die an den Remote-Identitätsanbieter gesendet werden, als einzeiliges PEM-codiertes X.509-Format, wobei Zeilenumbrüche durch „\)) ersetzt werden.

    '.

    Nein

    Signaturalgorithmus

    Ermöglicht Ihnen, den Signaturalgorithmus anzugeben, der beim Signieren von Anforderungen verwendet wird. Mögliche Werte sind:

    • sha1;

    • sha256;

    • sha512.

    Nein

    BezeichnerFormat

    Namens-ID-Format, das vom Identitätsanbieter angefordert werden soll. Der Standardwert ist „urn:oasis:names:tc:SAML:2.0:nameid-format:persistent“.

    Nein

    ValidateInResponseTo

    Wenn auf „true“ festgelegt, wird „InResponseTo“ aus eingehenden SAML-Antworten validiert. Der Standardwert ist „true“.

    Nein

    loggingLevel
    Ermöglicht Ihnen anzugeben, ob Sie dem Protokoll im Ordner [PLATFORMDIR]/logs/iisnode Informationen zum Anmeldeprozess hinzufügen möchten. Mögliche Werte:

    • Informationen;

    • warnen;

    • Fehler.

    Hinweis: Es wird empfohlen, dies nur zu aktivieren, wenn Probleme bei der Anmeldung auftreten.

    Nein

Nachfolgend finden Sie ein Beispiel für die Servereinstellungen mit der ExternalAuthenticationProviders -Einstellung mit dem saml -Objekt für eine grundlegende ADFS-Konfiguration.
docs image
Nachfolgend finden Sie ein Beispiel für die Servereinstellungen mit der Einstellung ExternalAuthenticationProviders mit dem saml -Objekt für eine ADFS-Konfiguration mit bidirektionaler Zertifikatsüberprüfung.
docs image

3. Klicken Sie auf SPEICHERN , um die neuen Einstellungen zu speichern.

4. Drücken Sie F5, um die Superadmin-Seite zu aktualisieren. Dadurch werden die neuen Einstellungen geladen und es können SAML-Gruppen basierend auf diesen Einstellungen erstellt werden.

Automatische Anmeldung

Wichtig: Stellen Sie sicher, dass Single Sign-On ordnungsgemäß funktioniert, bevor Sie die automatische Anmeldung aktivieren. Das Aktivieren der automatischen Anmeldung, wenn SSO nicht ordnungsgemäß eingerichtet ist, kann dazu führen, dass sich Benutzer, die von der Einstellung für die automatische Anmeldung betroffen sind, nicht mehr anmelden können.
Mit der AutoLogin wird der Benutzer automatisch mit der aktuell aktiven SSO-Methode angemeldet.
Standardmäßig ist AutoLogin auf nonefestgelegt. Wenn Sie die automatische Anmeldung für Endbenutzer und/oder Superadministratoren aktivieren möchten, können Sie dies im AutoLogin auf der Registerkarte Superadministrator-Einstellungen angeben . Siehe Die Registerkarte „Einstellungen“.
Hinweis: Wenn Sie sich über localhost anmelden, wird die automatische Anmeldung für Superadmin-Benutzer immer deaktiviert.

Fehlersuche und ‑behebung

SAML-Beispielantwort

Beachten Sie insbesondere den Inhalt des Elements „saml:AttributeStatement“.

Klicken Sie hier , um zu sehen, wie die erwartete Antwort für „saml:AttributeStatement“ aussehen sollte, was bei der Konfiguration des Identitätsanbieters hilfreich sein kann.

Protokolldateien

Wenn die Benutzeranmeldung nach dem Einrichten der Kommunikation zwischen dem Identitätsanbieter und Process Mining fehlschlägt, wird empfohlen, die Protokolldateien im Ordner [INSTALLDIR]/logs zu überprüfen.

Unten sehen Sie ein Beispiel für eine Protokollzeile von einem verweigerten Zugriff.

[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].

Die Liste Gültige Gruppen enthält den Satz von Gruppen, die vom Identitätsanbieter für den Benutzer „Jim Jones“ empfangen wurden. „Jim Jones“ ist Mitglied einer Gruppe, „Administratoren“. In Process Mining wird nur die Gruppe mit dem langen Distinguished Name konfiguriert. „Jim Jones“ wird der Zugriff verweigert, da „Administratoren“ nicht in den Gruppen Gültigaufgeführt ist.

Lösung

Sie sollten entweder den Identitätsanbieter so konfigurieren, dass der vollständige eindeutige Name gesendet wird, oder die Gruppe „Administratoren“ in Process Mining so konfigurieren, dass sie nur auf den allgemeinen Namen verweist.

Nächste Schritte

Um die Authentifizierung mit SAML zu verwenden, müssen Sie eine oder mehrere AD-Gruppen erstellen, damit sich Mitglieder anmelden können. Für Superadmin-Benutzer oder App-Entwickler können Sie AD-Gruppen auf der Registerkarte Superadmin-Benutzer erstellen. Siehe Hinzufügen von Superadministrator-AD-Gruppen.

Für die Endbenutzerauthentifizierung können AD-Gruppen auf der Seite Endbenutzerverwaltung erstellt werden. Siehe: Hinzufügen von Endbenutzer-AD-Gruppen.

War diese Seite hilfreich?

Support und Services
Hilfe erhalten
UiPath Academy
RPA lernen – Automatisierungskurse
UiPath-Forum
UiPath Community-Forum
UiPath Logo weiß
Vertrauen und Sicherheit
Nutzungsbedingungen
Datenschutzerklärung
Cookie-Richtlinie
© 2005-2024 UiPath. All rights reserved.