automation-cloud
latest
false
Guia de administração do Automation Cloud
Last updated 31 de out de 2024

Configurando a integração SAML

Essa funcionalidade está disponível no plano de licenciamento Enterprise.

A configuração do SAML no UiPath é um processo integral que melhora a segurança e a eficiência da autenticação. Aproveitando o SAML, nosso sistema facilita o SSO por meio de tokens de acesso seguros. Especificamente, a plataforma UiPath pode se conectar a qualquer provedor de identidade (IdP) utilizando o padrão SAML 2.0.

Uma vez configurados, os usuários podem desfrutar de acesso seguro e ininterrupto a vários aplicativos e processos, reduzindo interrupções repetidas de logon. Além disso, nossa configuração SAML inclui recursos de Logout Único (SLO), que habilitam logouts simultâneos em todos os seus aplicativos unificados em seu Provedor de Identidade (IdP).

A integração nativa do Azure Active Directory é recomendada devido às suas funcionalidades avançadas. Se, no entanto, você mudar para o SAML, deverá substituir manualmente a atribuição de função feita por meio de grupos de diretório pela atribuição de função direta às contas de diretório para manter seu esquema de acesso sem precisar recriá-lo do zero.

Visão geral do processo de configuração

A Integração SAML foi projetada de forma que possa ser implementada gradualmente, sem causar interrupção aos usuários existentes.

As principais fases do processo, descritas com mais detalhes nesta página, são:

  1. Limpar contas de usuário inativas
  2. Configurar a integração SAML
  3. Transição de usuários existentes para login com SAML SSO
  4. Configurar permissões e robôs para novos usuários
  5. Descontinuar o uso de contas locais (opcional)

Restrições conhecidas

  • Não é possível pesquisar contas do seu provedor de identidade: com a integração SAML, você não pode pesquisar todos os usuários e grupos do seu provedor de identidade. Apenas os usuários do diretório provisionado estão disponíveis para pesquisa.

  • Não é possível ver os usuários do diretório no nível da organização: apenas usuários locais aparecem no nível da organização. O provisionamento Just-in-time adiciona usuários do diretório para que eles não apareçam na página de gerenciamento de Contas e Grupos.

  • Não é possível visualizar as informações de acesso à API: a visualização de informações de acesso à API, que permite autorizar solicitações de API usando uma chave de usuário, não está disponível para usuários do diretório que fazem login por meio da integração SAML.

Pré-requisitos

Para configurar a integração SAML, você precisa:

  • Uma organização com o plano de licenciamento Enterprise.
  • Permissões de administrador na organização UiPath e em seu provedor de identidade de terceiros.

    Se você não tiver permissões de administrador em seu provedor de identidade, poderá trabalhar em conjunto com um administrador para concluir o processo de configuração.

  • UiPath® Studio e UiPath Assistant versão 2020.10.3 ou posterior, para que você possa configurá-los para usar a implantação recomendada.

Etapa 1. Limpe contas de usuário inativas

Se sua organização recicla endereços de e-mail, é importante remover todas as contas de usuário inativas antes de configurar a integração SAML.

Ao habilitar a integração, as contas locais presentes na UiPath Platform podem ser vinculadas à conta do diretório no provedor de identidade externo que usa o mesmo endereço de email. Essa vinculação de conta ocorre quando o usuário da conta do diretório com o endereço de e-mail faz logon pela primeira vez. A identidade do seu provedor de identidade herda todas as funções da conta local, para que a transição seja perfeita.

Por isso, com contas locais inativas presentes na plataforma da UiPath, existe o risco de que contas locais e contas de diretório sejam incompatíveis, o que pode levar à elevação não intencional de permissões.

Para remover contas de usuário inativas:

  1. Faça login como administrador da organização.
  2. Acesse Admin, selecione sua organização e, depois, selecione Contas e grupos. A página Contas e grupos para a organização é aberta na guia Usuários.
  3. Clique no cabeçalho da coluna e selecione Ativo pela última vez para reordenar os usuários para que aqueles com a data mais antiga do último login sejam mostrados no topo. A coluna Ativo pela última vez mostra a última data de logon do usuário. Pendente nesta coluna significa que o usuário nunca fez logon.
  4. Clique no ícone Excluir no final da linha para remover a conta local desse usuário.


  5. Na caixa de diálogo de confirmação, clique em Excluir para confirmar a exclusão da conta da UiPath Platform. A conta de usuário é removida da página.
  6. Continue a excluir todas as contas de usuário inativas em sua organização.

Etapa 2. Configure a integração SAML

Agora, você deve configurar a plataforma UiPath e seu provedor de identidade (IdP) para a integração.

Etapa 2.1. Obtenha detalhes do provedor de serviços SAML

  1. Faça login como administrador da organização.
  2. Acesse Admin, selecione sua organização e, depois, selecione Segurança. A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.
  3. Em Configuração do diretório para SSO, clique em Configurar SSO. A janela Configuração do SSO é aberta, descrevendo as vantagens e pré-requisitos para a integração.
  4. Das duas opções de SSO, selecione SAML 2.0. A página Configuração do SAML SSO é aberta na guia Configurar provedor de identidade .
  5. Na seção superior da página, você pode encontrar as informações da UiPath necessárias para configurar seu provedor de identidade: URL dos metadados , URL do Serviço de Confirmação do Cliente , ID de entidade. Copie e salve-os para configurar o provedor de identidade.
    Importante: recomendamos enfaticamente usar o URL de metadados da UiPath como parte do seu processo de configuração do provedor de identidade. Isso permite atualizações automáticas sempre que iniciarmos rotações para nossos certificados de assinatura, garantindo uma operação ininterrupta da plataforma.
    docs image
  6. O ID da entidade contém o ID da organização por padrão. Você pode alterar o formato para usar o identificador global (sem ID da organização) usando a opção Alterar formato de ID da entidade . Em seguida, na janela Alterar formato de ID de entidade , no menu suspenso Formato de ID de entidade, selecione Identificador específico da organização para usar o formato que contém o ID da organização ou Identificador global para usar o formato que não contém o ID da organização. Recomendamos usar o identificador específico da organização, pois ele permite que você registre várias organizações da UiPath em seu provedor de identidade, se você quiser.

Mantenha esta guia do navegador aberta para mais tarde.

Etapa 2.2. Configurar seu provedor de identidade

Você pode se conectar a qualquer provedor de identidade (IdP) de terceiros que use o padrão SAML 2.0. Embora a configuração possa variar dependendo do IdP escolhido, validamos a configuração para usar Okta ou PingOne, que você pode usar como referência para configurar a integração.

Para outros provedores de identidade, recomendamos que siga suas documentações de integração.

Etapa 2.3. Configure sua organização

Para habilitar o UiPath como um provedor de serviços que reconhece seu provedor de identidade, siga as etapas abaixo:

  1. Retorne à guia de configuração do SAML SSO na UiPath.
  2. Na segunda seção da página Configurar provedor de identidade , você pode ver os campos necessários para configurar o provedor de identidade no UiPath. No campo URL de metadados , insira a URL de metadados do seu provedor de identidade. Isso permite que o UiPath Platform busque e atualize regularmente dados do seu provedor de identidade, simplificando o processo de configuração do SAML a longo prazo.
    Importante: recomendamos enfaticamente o uso do URL de metadados durante a configuração do SAML. Isso permite que o UiPath busque e atualize regularmente dados do seu provedor de identidade, simplificando o processo de configuração do SAML a longo prazo.
    docs image
  3. Clique em Recuperar dados. Quando concluído, os campos URL de login, ID da entidade do provedor de identidade e certificado de assinatura são preenchidos com as informações do IdP.
  4. Mesmo que não seja o método recomendado, você pode optar por inserir manualmente os detalhes do SAML do seu provedor de identidade nos campos URL de logon, ID de entidade do provedor de identidade e Certificados de assinatura .
  5. Clique em Avançar no canto inferior direito para seguir com a próxima etapa. Você será levado para a guia Atributos de mapa e completo . O mapeamento de atributos em links detalhes do usuário, referidos como "declarações", entre seu provedor de identidade e a UiPath. Isso garante que os dados do usuário, como um e-mail ou nome de usuário, correspondam em ambos os sistemas.
    docs image
  6. Na etapa Mapear atributos e concluir , selecione a opção Habilitar o identificador exclusivo personalizado para configurar um identificador exclusivo que não seja um e-mail. Isso é útil, por exemplo, se nem todos os usuários tiverem contas de e-mail ou se os seus endereços de e-mail não forem exclusivos.
    Aviso: após você definir um nome para declaração de Identificador exclusivo , alterá-lo pode resultar na perda de usuários reconhecidos anteriormente, pois o sistema pode não ser mais capaz de identificá-los mais. Dessa forma, a interface gráfica restringe a alteração da declaração do identificador exclusivo após ter sido definida. Para alterá-la, você precisa excluir e recriar toda a sua configuração.
    1. É obrigatório inserir o identificador exclusivo de seus usuários no campo Identificador exclusivo . Essa é a declaração que o UiPath usa para identificar usuários quando eles fazem logon.
    2. No campo Nome de exibição , insira a declaração pela qual seus usuários podem ser reconhecidos ao fazer logon.
    3. Torna-se opcional inserir o campo de E- mail para seus usuários. Você pode preenchê-lo como achar melhor.
    4. O campo Domínios de endereço de e-mail permitidos está acinzentado e não disponível para entrada. Isso ocorre porque o sistema não usa mais o email como o identificador exclusivo, tornando esse campo irrelevante.
    5. Opcionalmente, adicione novos mapeamentos especificando a declaração respectiva do provedor de identidade e o atributo correspondente no UiPath.
  7. Por padrão, a opção Habilitar o identificador exclusivo personalizado está desmarcada, o que significa que o endereço de e-mail é usado como o identificador dos usuários. Siga estas etapas:
    1. No campo Nome de exibição , insira a declaração pela qual seus usuários podem ser reconhecidos ao fazer logon.
    2. O campo E- mail torna-se obrigatório e não pode ser alterado.
    3. Preencha a seção Domínios permitidos com os domínios dos quais você quer permitir que os usuários façam login. Insira todos os domínios compatíveis com o provedor de identidade configurado. Separe múltiplos domínios usando vírgulas.
    4. Em Mapeamento de atributos, preencha o campo Nome de exibição com o atributo de seu IdP que você deseja mostrar na UiPath Platform como o nome para os usuários. Você pode usar os atributos First Name e Last Name aqui.
    5. Opcionalmente, adicione novos mapeamentos especificando a declaração respectiva do provedor de identidade e o atributo correspondente no UiPath.
  8. Depois de configurar os atributos, configure os campos Permitir resposta de autenticação não solicitada e tipo de associação SAML .
    1. Permitir resposta de autenticação não solicitada: habilite se quiser poder navegar até a UiPath Platform a partir do painel do IdP.
    2. Tipo de ligação SAML: selecione como a configuração do SAML deve se comunicar, por meio do agente do usuário HTTP. Selecione Redirecionamento HTTP para usar parâmetros de URL ou HTTP POST para usar um formulário HTML com conteúdo codificado em base64.
  9. Se seu provedor de identidade exigir que o UiPath assine todas as solicitações de autenticação do SAML, selecione a opção Assinar solicitação de autenticação . Verifique com seu provedor de identidade para determinar se essa funcionalidade precisa ser habilitada. O UiPath comumente atualiza suas chaves de assinatura. Se você tiver ativado o recurso Assinar solicitação de autenticação , certifique-se de que seu IdP sincronize regularmente com o UiPath baixando continuamente as chaves atualizadas do URL de metadados do UiPath.
  10. Clique em Testar e Salvar para finalizar a configuração da integração.

Etapa 2.4. Verifique se a integração está em execução

Para validar se a integração do SAML SSO está funcionando corretamente:

  1. Abra uma janela do navegador no modo anônimo.
  2. Navegue até o URL de sua organização.
  3. Verifique o seguinte:
    1. Você é solicitado a fazer login com seu provedor de identidade SAML?
    2. Você consegue fazer login com sucesso?
    3. Se estiver fazendo login com um endereço de e-mail que corresponda a uma conta de usuário existente, você tem as permissões apropriadas?

Etapa 2.5. Configure regras de provisionamento (opcional)

Se você usar declarações em seu IdP, poderá aproveitá-las como condições em uma regra de provisionamento para que os usuários sejam automaticamente provisionados com as licenças e funções corretas quando entrarem na UiPath Platform. As regras de provisionamento são avaliadas quando um usuário faz login. Se a conta de usuário atender às condições de uma regra, ela será adicionada automaticamente ao grupo local do UiPath associado à regra.

Fase 1. Configure grupos de provisionamento

Na UiPath Platform, adicionar uma conta a um grupo significa que a conta herda as licenças, funções e configuração de robô definida para o grupo, se houver.

Ao agrupar tipos de contas semelhantes (por exemplo, desenvolvedores ou testadores), você pode otimizar o processo de integração do usuário na UiPath Platform. Apenas certifique-se de que, no IdP, você configure contas semelhantes da mesma maneira.

Dessa forma, você configura o grupo uma vez e replica a configuração adicionando contas ao grupo quando necessário. Se a configuração de um determinado grupo de contas precisar ser alterada, você precisará atualizar o grupo apenas uma vez e as alterações se aplicarão a todas as contas do grupo.

Para configurar um grupo para uma regra de provisionamento:

  1. Crie um novo grupo local na UiPath Platform.

    Se desejar, você pode usar um de seus grupos existentes em vez de criar um novo.

  2. (Opcional e requer gerenciamento de licenças de usuários ) Se as contas desse grupo precisarem de licenças de usuários, configure as regras de alocação de licenças para o grupo.

    Se você estiver usando um grupo existente, verifique a alocação de licença para o grupo para certificar-se de que as licenças corretas estão sendo alocadas. Se não, altere as alocações ou considere a criação de um novo grupo.

  3. Atribua funções de tenant e, opcionalmente, conclua a configuração do robô para o grupo. Para instruções, consulte Atribuição de funções a um grupo .

    Se você estiver usando um grupo existente, verifique as funções atribuídas ao grupo para se certificar de que sejam adequadas para o tipo de conta que você adicionará ao grupo. Se não forem, edite as funções atribuídas a este grupo ou considere a criação de um novo grupo.

  4. Adicione o grupo às pastas e atribua funções de pasta, conforme necessário. Para instruções, consulte Gerenciamento do acesso a pastas.

Agora você pode usar esse grupo em uma regra de provisionamento.

Fase 2. Crie uma regra de provisionamento para um grupo

Observação:

Certifique-se de que a declaração associada à regra de provisionamento SAML seja enviada para a carga útil SAML configurando-a no aplicativo SAML.

Depois que a integração SAML estiver configurada e depois de definir um grupo:

  1. Acesse Admin, selecione sua organização e, depois, selecione Segurança.

    A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.

  2. Na opção SAML SSO, clique em Exibir regras de provisionamento:

    A página Regras de provisionamento de SAML SSO é aberta, na qual suas regras existentes são listadas.

  3. No canto superior direito da página, clique em Adicionar regra.

    A página Adicionar nova regra é aberta.

  4. Em Detalhes básicos, preencha o campo Nome da regra e, opcionalmente, preencha o campo Descrição.
  5. Em Condições, clique em Adicionar regra.

    Uma linha de campos para uma nova condição é adicionada. Juntos, eles definem os critérios que uma conta deve atender ao fazer login para ser adicionada a um grupo (escolhido posteriormente).



  6. No campo Claim , digite o nome da declaração, conforme aparece no IdP. O

    diferencia maiúsculas de minúsculas.

  7. Na lista Relacionamento, selecione como a declaração se relaciona com o valor. As seguintes opções estão disponíveis:

    Relacionamento

    Requisito de condição

    Exemplo

    está

    correspondência exata, sensível a maiúsculas e minúsculas

    Department is RPA exige que o valor da declaração Department seja RPA.
    A condição não é atendida se o valor for RPADev, por exemplo.

    Essa relação funciona para declarações de múltiplos valores.

    Por exemplo, se os valores administrator e developer forem enviados sob a declaração Group, então Group is administrator seria uma relação válida.

    não está

    qualquer coisa exceto o valor especificado, sensível a maiúsculas e minúsculas

    Para Department is not ctr, qualquer conta é adicionada ao grupo, a menos que Department tenha o valor ctr.
    A condição é satisfeita se o departamento for Ctr ou electr.

    contém

    inclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas

    Department contains RPA requer que o valor para declaração Department inclua RPA.
    A condição é satisfeita se o valor for RPADev, xRPAx, ou NewRPA, por exemplo.

    não contém

    exclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas

    Para Department not contains ctr, qualquer conta é adicionada ao grupo, a menos que o valor de Department inclua ctr.
    Contas para as quais o departamento é ctr ou electr, por exemplo, não são adicionadas ao grupo.

    não diferencia maiúsculas de minúsculas

    correspondência exata, não sensível a maiúsculas e minúsculas

    Department is case insensitive RPA requer que o valor para a declaração Department seja rpa, independente de maiúsculas e minúsculas.
    A condição é satisfeita se o valor for rpa, por exemplo. A condição não é satisfeita se o valor for crpa.

    contém maiúsculas e minúsculas

    inclui, não requer uma correspondência exata, não sensível a maiúsculas e minúsculas

    Department contains case insensitive RPA requer que o valor para a declaração Department inclua RPA, independente de maiúsculas e minúsculas.
    A condição é satisfeita se o valor for rpa, cRPA, ou rpA, por exemplo.
  8. No campo Valor, digite o valor necessário para satisfazer à condição.
  9. Se você quiser adicionar outra condição, clique em Adicionar regra para adicionar uma nova linha de condição.

    Ao adicionar várias condições, todas as condições devem ser satisfeitas para que a regra de provisionamento seja aplicada. Por exemplo, se você definir as regras Department is RPA e Title is Engineer, somente os usuários que estiverem no departamento de RPA e tiverem o título Engenheiro serão adicionados aos grupos especificados. Uma conta para a qual o departamento é RPA, mas o título é QA, não é adicionada aos grupos.
  10. Em Atribuir a grupos, na caixa Adicionar Grupos, comece a digitar o nome de um grupo e selecione um grupo na lista de resultados. Repita o processo para adicionar mais grupos, se necessário.

    Quando as condições forem satisfeitas, as contas serão adicionadas automaticamente a esses grupos quando fizerem login.

  11. Clique em Salvar no canto inferior direito para adicionar a regra.

Com uma regra em vigor, sempre que um usuário fizer login e sua conta atender às condições especificadas para uma regra, a sua conta será adicionada aos grupos de provisionamento anexados à regra, e a sua conta será configurada para funcionar na UiPath Platform.

Fragmento de exemplo de carga SAML

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

Mapeamento de atributo SAML

Ao configurar a integração do diretório SAML, os administradores da organização têm a capacidade de definir quais atributos de seu IdP devem ser mapeados para os atributos de usuário do sistema. Depois, quando um usuário fizer login por meio da integração de diretório SAML, o sistema lerá as declarações que são transmitidas para a carga útil do ACS e mapeará o valor para seus atributos de sistema correspondentes.
Observação:
  • Seu IdP deve ser configurado para transmitir essas declarações na carga útil do ACS.

  • Certifique-se de que os nomes de atributos configurados no IdP correspondam às configurações de mapeamento de atributos no portal do administrador da organização.

Por exemplo, se essa for a estrutura do usuário em seu IdP, um administrador da organização pode configurar as seguintes configurações de mapeamento de atributo para ter essas informações preenchidas no objeto de usuário do sistema.

{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}

Quando um usuário nessa organização faz login por meio da integração de diretório SAML, seu objeto de usuário é atualizado para refletir essa configuração.

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}

Etapa 3. Faça a transição de seus usuários para SAML SSO

Certifique-se de fornecer o URL específico da sua organização para a organização UiPath a todos os seus usuários.

Observação:
Depois de transicionar para a integração SAML, a integração do Azure AD é desabilitada. As atribuições de grupo do Azure AD não se aplicam mais, portanto, a associação ao grupo da UiPath e as permissões herdadas do Azure AD não são mais respeitadas.

Para fazer login na UiPath Platform com o SAML SSO, os usuários podem:

  • navegar para o URL específico da sua organização. O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID.
  • navegar para https://cloud.uipath.com. selecionar Continuar com SSO na página de login e fornecer o URL específico da organização.

Para fazer login no UiPath Studio e no UiPath Assistant usando o SAML SSO, os usuários devem configurar o Assistant da seguinte forma:

  1. No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
  2. Clique em Sair.
  3. Para o tipo de conexão, selecione URL do Serviço.
  4. No campo URL do serviço, adicione o URL específico da organização.
    O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID. Caso contrário, a conexão falhará informando que o usuário não pertence a nenhuma organização.
  5. Faça login novamente com SAML SSO.

Etapa 4. Configure permissões e robôs

Isso é necessário apenas para novos usuários que não usaram a UiPath Platform antes e, portanto, não tinham uma conta local configurada para eles na UiPath quando a integração foi habilitada.

Você pode adicionar novos usuários a grupos da UiPath usando seu endereço de e-mail (conforme usado no IdP externo). Depois que um usuário for atribuído a um grupo ou estiver conectado, ele estará disponível por meio da pesquisa de atribuição de função em todos os serviços da UiPath.

Etapa 5. Descontinuar o uso de contas locais (opcional)

Depois que todos os usuários fizerem a transição para o SAML SSO e os novos usuários forem configurados, recomendamos que você remova todas as contas de usuários locais que não sejam contas de administrador. Isso garante que os usuários não possam mais fazer login com suas credenciais de conta local e tenham que fazê-lo via SAML SSO.

Você pode identificar contas de usuários locais com base em seus ícones.

Uma conta local pode ser útil nos seguintes cenários:

  • Para gerenciar problemas de integração com o SAML (por exemplo, atualizar um certificado expirado) ou se alterar as configurações de autenticação (recomenda-se uma conta com a função de administrador da organização).

  • Para processos que dependem de tokens de acesso da API para autorizações de solicitação, pois a funcionalidade Acesso da API (na página Administrador > Tenants ) é inacessível com uma conta SSO SAML. Alternativamente, passe a usar o OAuth para a autorização, que elimina a necessidade das informações de acesso à API.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.