- Introdução
- Segurança de dados e conformidade
- Organizações
- Autenticação e segurança
- Licenciamento
- Ativar sua licença Enterprise
- Fazendo o upgrade e downgrade de licenças
- Solicitando uma Avaliação de Serviço
- Atribuição de Licenças a Tenants
- Atribuição de licenças aos usuários
- Desalocando licenças de usuário
- Monitoring license allocation
- Atribuição excessiva de licenças
- Notificações de licenciamento
- Gerenciamento de Licenças de Usuário
- Tenants e serviços
- Contas e funções
- AI Trust Layer
- Aplicativos Externos
- Notificações
- Geração de logs
- Solução de problemas
- Migração para a Automation Cloud™
Configurando a integração SAML
Essa funcionalidade está disponível no plano de licenciamento Enterprise.
Ao usar a configuração SAML na Automation Cloud , aprimoramos a segurança e a eficiência na autenticação. Nosso sistema usa SAML para habilitar o Logon Único (SSO) por meio de tokens de acesso seguros, permitindo que a UiPath Platform se conecte com qualquer Provedor de Identidade (IdP) que use o padrão SAML 2.0.
Além disso, nossa configuração SAML inclui recursos de Logout Único (SLO), que habilitam logouts simultâneos em todos os seus aplicativos unificados sob seu IdP.
A Integração SAML foi projetada de forma que possa ser implementada gradualmente, sem causar interrupção aos usuários existentes.
Alternando da integração nativa do Azure Active Directory para a integração SAML
Se você estiver usando o AAD para a autenticação, recomendamos usar nossa integração nativa do AAD, pois é mais rica em recursos.
Se você decidir alternar para a integração SAML, deverá substituir manualmente a atribuição de função feita por meio de grupos de diretório pela atribuição de função direta às contas de diretório para que não seja necessário recriar completamente seu esquema de acesso.
-
As declarações SAML criptografadas do seu provedor de identidade não são compatíveis.
-
Você não pode pesquisar usuários e grupos a partir do seu provedor de identidade. Apenas os usuários do diretório provisionado estão disponíveis para pesquisa.
-
Você não pode ver os usuários do diretório no nível da organização. Apenas usuários locais aparecem no nível da organização. O provisionamento Just-in-time adiciona usuários de diretório para que não apareçam na página Contas e Grupos no Automation Cloud.
-
A visualização de informações de acesso à API, que permite autorizar solicitações de API usando uma chave de usuário, não está disponível para usuários do diretório que fazem login por meio da integração SAML.
Para configurar a integração SAML, você precisa:
- Uma organização do Automation Cloud com o plano de licenciamento Enterprise.
-
Permissões de administrador na organização da Automation Cloud e no seu provedor de identidade de terceiros. Se você não tiver permissões de administrador em seu provedor de identidade, poderá trabalhar em conjunto com um administrador para concluir o processo de configuração.
-
UiPath® Studio e UiPath Assistant versão 2020.10.3 ou posterior, para que você possa configurá-los para usar a implantação recomendada.
Se sua organização recicla endereços de e-mail, é importante remover todas as contas de usuário inativas antes de configurar a integração SAML.
Ao habilitar a integração, as contas locais presentes na Automation Cloud podem ser vinculadas à conta do diretório no provedor de identidade externo que usa o mesmo endereço de email. Essa vinculação de conta ocorre quando o usuário da conta do diretório com o endereço de e-mail faz logon pela primeira vez. A identidade do seu provedor de identidade herda todas as funções da conta local, para que a transição seja perfeita. Por isso, com contas locais inativas presentes na Automation Cloud, existe o risco de que contas locais e contas de diretório sejam incompatíveis, o que pode levar à elevação não intencional de permissões.
Para remover contas de usuário inativas:
Agora, você deve configurar a Automation Cloud e seu provedor de identidade (IdP) para a integração.
Mantenha esta guia do navegador aberta para mais tarde.
Você pode se conectar a qualquer provedor de identidade (IdP) de terceiros que use o padrão SAML 2.0. Embora a configuração possa variar dependendo do IdP escolhido, validamos a configuração para usar Okta ou PingOne, que você pode usar como referência para configurar a integração.
Para outros provedores de identidade, recomendamos que siga suas documentações de integração.
Para habilitar o Automation Cloud como um provedor de serviços que reconhece seu provedor de identidade, siga as etapas abaixo:
Para validar se a integração do SAML SSO está funcionando corretamente:
- Abra uma janela do navegador no modo anônimo.
- Navegue até o URL da sua organização do Automation Cloud .
- Verifique o seguinte:
- Você é solicitado a fazer login com seu provedor de identidade SAML?
- Você consegue fazer login com sucesso?
- Se estiver fazendo login com um endereço de e-mail que corresponda a uma conta de usuário existente, você tem as permissões apropriadas?
Se você usar declarações em seu IdP, poderá aproveitá-las como condições em uma regra de provisionamento para que os usuários sejam automaticamente provisionados com as licenças e funções corretas quando entrarem na Automation Cloud. As regras de provisionamento são avaliadas quando um usuário faz login. Se a conta de usuário atender às condições de uma regra, ela será adicionada automaticamente ao grupo local do UiPath associado à regra. Por exemplo, um administrador pode configurar uma regra para provisionar usuários diretamente no grupo Usuários de automação usando estas configurações: Reclame=grupo, Relacionamento=é, Valor=Automation User.
2.5.1 Configure grupos de provisionamento
Na Automation Cloud, adicionar uma conta a um grupo significa que a conta herda as licenças, funções e configuração de robô definida para o grupo, se houver.
Ao agrupar tipos de contas semelhantes (por exemplo, desenvolvedores ou testadores), você pode simplificar o processo de integração do usuário na Automation Cloud. Apenas certifique-se de que, no IdP, você configure contas semelhantes da mesma maneira.
Dessa forma, você configura o grupo uma vez e replica a configuração adicionando contas ao grupo quando necessário. Se a configuração de um determinado grupo de contas precisar ser alterada, você precisará atualizar o grupo apenas uma vez e as alterações se aplicarão a todas as contas do grupo.
Para configurar um grupo para uma regra de provisionamento:
-
Crie um novo grupo local na Automation Cloud.
Se desejar, você pode usar um de seus grupos existentes em vez de criar um novo.
-
(Opcional e requer gerenciamento de licenças de usuários habilitado) Se as contas desse grupo precisarem de licenças de usuários, configure as regras de alocação de licenças para o grupo.
Se você estiver usando um grupo existente, verifique a alocação de licença para o grupo para certificar-se de que as licenças corretas estão sendo alocadas. Se não, altere as alocações ou considere a criação de um novo grupo.
-
Atribua funções de tenant e, opcionalmente, conclua a configuração do robô para o grupo. Para instruções, consulte Atribuição de funções a um grupo .
Se você estiver usando um grupo existente, verifique as funções atribuídas ao grupo para se certificar de que sejam adequadas para o tipo de conta que você adicionará ao grupo. Se não forem, edite as funções atribuídas a este grupo ou considere a criação de um novo grupo.
-
Adicione o grupo às pastas e atribua funções de pasta, conforme necessário. Para instruções, consulte Gerenciamento do acesso a pastas.
Agora você pode usar esse grupo em uma regra de provisionamento.
2.5.2. Criar uma regra de provisionamento para um grupo
Certifique-se de que a declaração associada à regra de provisionamento SAML seja enviada para a carga útil SAML configurando-a no aplicativo SAML.
Depois que a integração SAML estiver configurada e depois de definir um grupo:
-
Acesse Admin, selecione sua organização e, depois, selecione Segurança.
A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.
-
Na opção SAML SSO , clique em Exibir regras de provisionamento. A página Regras de provisionamento de SAML SSO é aberta, na qual suas regras existentes são listadas.
-
No canto superior direito da página, clique em Adicionar regra.
A página Adicionar nova regra é aberta.
- Em Detalhes básicos, preencha o campo Nome da regra e, opcionalmente, preencha o campo Descrição.
-
Em Condições, clique em Adicionar regra.
Uma linha de campos para uma nova condição é adicionada. Juntos, eles definem os critérios que uma conta deve atender ao fazer login para ser adicionada a um grupo (escolhido posteriormente).
- No campo Claim , digite o nome da declaração, conforme aparece no IdP. O campo diferencia maiúsculas de minúsculas.
-
Na lista Relacionamento, selecione como a declaração se relaciona com o valor. As seguintes opções estão disponíveis:
Relacionamento
Requisito de condição
Exemplo
está
correspondência exata, sensível a maiúsculas e minúsculas
Department is RPA
exige que o valor da declaraçãoDepartment
sejaRPA
.A condição não é atendida se o valor forRPADev
, por exemplo.Essa relação funciona para declarações de múltiplos valores.
Por exemplo, se os valoresadministrator
edeveloper
forem enviados sob a declaraçãoGroup
, entãoGroup is administrator
seria uma relação válida.não está
qualquer coisa exceto o valor especificado, sensível a maiúsculas e minúsculas
ParaDepartment is not ctr
, qualquer conta é adicionada ao grupo, a menos queDepartment
tenha o valorctr
.A condição é satisfeita se o departamento forCtr
ouelectr
.contém
inclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas
Department contains RPA
requer que o valor para declaraçãoDepartment
incluaRPA
.A condição é satisfeita se o valor forRPADev
,xRPAx
, ouNewRPA
, por exemplo.não contém
exclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas
ParaDepartment not contains ctr
, qualquer conta é adicionada ao grupo, a menos que o valor deDepartment
incluactr
.Contas para as quais o departamento éctr
ouelectr
, por exemplo, não são adicionadas ao grupo.não diferencia maiúsculas de minúsculas
correspondência exata, não sensível a maiúsculas e minúsculas
Department is case insensitive RPA
requer que o valor para a declaraçãoDepartment
sejarpa
, independente de maiúsculas e minúsculas.A condição é satisfeita se o valor forrpa
, por exemplo. A condição não é satisfeita se o valor forcrpa
.contém maiúsculas e minúsculas
inclui, não requer uma correspondência exata, não sensível a maiúsculas e minúsculas
Department contains case insensitive RPA
requer que o valor para a declaraçãoDepartment
incluaRPA
, independente de maiúsculas e minúsculas.A condição é satisfeita se o valor forrpa
,cRPA
, ourpA
, por exemplo. - No campo Valor, digite o valor necessário para satisfazer à condição.
-
Se você quiser adicionar outra condição, clique em Adicionar regra para adicionar uma nova linha de condição.
Ao adicionar várias condições, todas as condições devem ser satisfeitas para que a regra de provisionamento seja aplicada. Por exemplo, se você definir as regrasDepartment is RPA
eTitle is Engineer
, somente os usuários que estiverem no departamento de RPA e tiverem o título Engenheiro serão adicionados aos grupos especificados. Uma conta para a qual o departamento é RPA, mas o título é QA, não é adicionada aos grupos. -
Em Atribuir a grupos, na caixa Adicionar Grupos, comece a digitar o nome de um grupo e selecione um grupo na lista de resultados. Repita o processo para adicionar mais grupos, se necessário.
Quando as condições forem satisfeitas, as contas serão adicionadas automaticamente a esses grupos quando fizerem login.
- Clique em Salvar no canto inferior direito para adicionar a regra.
Com uma regra em vigor, sempre que um usuário fizer login e sua conta atender às condições especificadas para uma regra, a sua conta será adicionada aos grupos de provisionamento anexados à regra, e a sua conta será configurada para funcionar no Automation Cloud.
Fragmento de exemplo de carga SAML
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
-
Seu IdP deve ser configurado para transmitir essas declarações na carga útil do ACS.
-
Certifique-se de que os nomes de atributos configurados no IdP correspondam às configurações de mapeamento de atributos no portal do administrador da organização.
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
Quando um usuário nessa organização faz login por meio da integração de diretório SAML, seu objeto de usuário é atualizado para refletir essa configuração.
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
Certifique-se de fornecer o URL específico da sua organização para a organização do Automation Cloud para todos os seus usuários.
Depois de transicionar para a integração SAML, a integração do Azure AD é desabilitada. As atribuições de grupo do Azure AD não se aplicam mais, portanto, a associação ao grupo da Automation Cloud e as permissões herdadas do Azure AD não são mais respeitadas.
Para fazer login na Automation Cloud com o SAML SSO, os usuários podem:
- navegar para o URL específico da sua organização. O URL deve incluir o ID da organização e terminar em uma barra, tal como
https://cloud.uipath.com/orgID
. - navegar para https://cloud.uipath.com. selecionar Continuar com SSO na página de login e fornecer o URL específico da organização.
Para fazer login no UiPath Studio e no UiPath Assistant usando o SAML SSO, os usuários devem configurar o Assistant da seguinte forma:
Isso é necessário apenas para novos usuários que não usaram a Automation Cloud antes e, portanto, não tinham uma conta local configurada para eles na Automation Cloud quando a integração foi habilitada.
Você pode adicionar novos usuários a grupos da Automation Cloud por seu endereço de e-mail (conforme usado no IdP externo). Depois que um usuário for atribuído a um grupo ou estiver conectado, ele estará disponível por meio da pesquisa de atribuição de função em todos os serviços da UiPath.
Depois que todos os usuários fizerem a transição para o SAML SSO e os novos usuários forem configurados, recomendamos que você remova todas as contas de usuários locais que não sejam contas de administrador. Isso garante que os usuários não possam mais fazer login com suas credenciais de conta local e tenham que fazê-lo via SAML SSO.
Você pode identificar contas de usuários locais com base em seus ícones.
Uma conta local pode ser útil:
-
Para gerenciar problemas de integração com o SAML (por exemplo, atualizar um certificado expirado) ou se alterar as configurações de autenticação (recomenda-se uma conta com a função de administrador da organização).
-
Para processos que dependem de tokens de acesso da API para autorizações de solicitação, pois a funcionalidade Acesso da API (na página Administrador > Tenants ) é inacessível com uma conta SSO SAML. Alternativamente, passe a usar o OAuth para a autorização, que elimina a necessidade das informações de acesso à API.
- Restrições conhecidas
- Pré-requisitos
- Etapa 1. Limpe contas de usuário inativas
- Etapa 2. Configure a integração SAML
- Etapa 2.1. Obtenha detalhes do provedor de serviços SAML
- Etapa 2.2. Configurar seu provedor de identidade
- Etapa 2.3. Configure a Automation Cloud
- Etapa 2.4. Verifique se a integração está em execução
- Etapa 2.5. Configure regras de provisionamento (opcional)
- Mapeamento de atributo SAML
- Etapa 3. Faça a transição de seus usuários para SAML SSO
- Etapa 4. Configure permissões e robôs
- Etapa 5. Descontinuar o uso de contas locais (opcional)