Automation Cloud

Mais recente

falso

Guia de administração do Automation Cloud

Última atualização 30 de abr de 2024

Configurando a integração SAML

Essa funcionalidade só estará disponível se você estiver no plano de licenciamento Enterprise.

You can connect Automation Cloud™ to any identity provider (IdP) that uses the SAML 2.0 standard. This page describes the overall process by showing a few sample SAML integration configurations.

Visão geral do processo de configuração

A Integração SAML foi projetada de forma que possa ser implementada gradualmente, sem causar interrupção aos usuários existentes.

As principais fases do processo, descritas com mais detalhes nesta página, são:

Limpar contas de usuário inativas
Configurar a integração SAML
Transição de usuários existentes para login com SAML SSO
Configurar permissões e robôs para novos usuários
Descontinuar o uso de contas locais (opcional)

Restrições conhecidas

Não é possível pesquisar contas do seu provedor de identidade

Com a integração SAML, você não pode pesquisar todos os usuários e grupos do seu provedor de identidade. Apenas os usuários do diretório provisionado estão disponíveis para pesquisa.

Não é possível ver os usuários do diretório no nível da organização

Apenas usuários locais aparecem no nível da organização. O provisionamento Just-in-time adiciona usuários do diretório, para que eles não apareçam na página de gerenciamento Contas e grupos .

Não é possível ver as informações de acesso da API

A visualização de informações de acesso à API, que permite autorizar solicitações de API usando uma chave de usuário, não está disponível para usuários do diretório que fazem login por meio da integração SAML.

Pré-requisitos

Para configurar a integração SAML, você precisa:

Uma organização do Automation Cloud com o plano de licenciamento Enterprise.
Permissões de administrador na Automation Cloud e em seu provedor de identidade de terceiros.

Se você não tiver permissões de administrador em seu provedor de identidade, poderá trabalhar em conjunto com um administrador para concluir o processo de configuração.
UiPath® Studio and UiPath Assistant version 2020.10.3 or later, so that you can set them up to use the recommended deployment.

Observação:

Como transicionar da integração do Azure Active Directory

Se você estiver usando a integração do Azure Active Directory para autenticação, recomendamos permanecer na integração do AAD porque é mais rica em recursos.

Se você decidir transicionar da integração do AAD, deverá substituir manualmente a atribuição de função feita por meio de grupos de diretório pela atribuição de função direta às contas de diretório para que não seja necessário recriar completamente seu esquema de acesso.

Etapa 1. Limpe contas de usuário inativas

Se sua organização recicla endereços de e-mail, é importante remover todas as contas de usuário inativas antes de configurar a integração SAML.

Ao habilitar a integração, as contas locais presentes na Automation Cloud podem ser vinculadas à conta do diretório no provedor de identidade externo que usa o mesmo endereço de email. Essa vinculação de conta ocorre quando o usuário da conta do diretório com o endereço de e-mail faz login pela primeira vez. A identidade do seu provedor de identidade herda todas as funções que a conta local tinha para que a transição seja perfeita.

Por isso, com contas locais inativas presentes na Automation Cloud, existe o risco de que contas locais e contas de diretório sejam incompatíveis, o que pode levar à elevação não intencional de permissões.

Para remover contas de usuário inativas:

Faça login na Automation Cloud como administrador da organização.
Acesse Admin, selecione sua organização e, depois, selecione Contas e grupos.

A página Contas e grupos para a organização é aberta na guia Usuários.
Clique no cabeçalho da coluna e selecione Ativo pela última vez para reordenar os usuários para que aqueles com a data mais antiga do último login sejam mostrados no topo:

A coluna Ativo pela última vez mostra a data em que o usuário fez login pela última vez na Automation Cloud. Se você visualizar Pendente nesta coluna, como no exemplo acima, significa que o usuário nunca fez login. Você pode usar essas informações para ajudar a identificar seus usuários inativos.
Clique no ícone Excluir no final da linha para remover a conta local desse usuário.
Na caixa de diálogo de confirmação, clique em Excluir para confirmar a exclusão da conta da Automation Cloud.

A conta de usuário é removida da página.
Continue a excluir todas as contas de usuário inativas em sua organização.

Etapa 2. Configure a integração SAML

Agora, você deve configurar a Automation Cloud e seu provedor de identidade (IdP) para a integração.

Etapa 2.1. Obtenha detalhes do provedor de serviços SAML

Faça login na Automation Cloud como administrador da organização.
Acesse Admin, selecione sua organização e, depois, selecione Segurança.

A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.
Selecione Usuários podem fazer login com SAML SSO e clique em Configurar.

Uma caixa de diálogo de informações é exibida.
Na caixa de diálogo, clique em Continuar.

A próxima página fornece uma visão geral da integração.
No canto inferior direito, clique em Avançar para prosseguir para a configuração.

Na etapa Detalhes gerais, em Dados a serem configurados no IdP, fornecemos as informações necessárias para configurar seu provedor de identidade para se conectar à Automation Cloud.
Copie e salve os valores de URL de metadados, ID de entidade e URL do Assertion Consumer Service. Você precisará deles na etapa seguinte.

Mantenha esta guia do navegador aberta para mais tarde.

Etapa 2.2. Configurar seu provedor de identidade

A Automation Cloud pode se conectar a qualquer provedor de identidade (IdP) de terceiros que use o padrão SAML 2.0.

Embora a configuração possa variar dependendo do IdP escolhido, validamos a configuração para usar Okta ou PingOnes, que você pode usar como referência para configurar a integração.

Para outros provedores de identidade, recomendamos que siga suas documentações de integração.

A. Configuração de amostra para Okta

Nota: As instruções nesta seção são para uma configuração de amostra. Para obter mais informações sobre quaisquer configurações de IdP não abordadas aqui, use a documentação do Okta.

Em uma guia diferente do navegador, faça login no Console de administração do Okta.
Vá para Aplicativos > Aplicativos, clique em Criar Integração de Aplicativo e selecione SAML 2.0 como o método de login.
Na página Configurações gerais, especifique um nome para o aplicativo com o qual você está integrando, ou seja, Automation Cloud.
Na página Configurar SAML, preencha a seção Geral da seguinte forma:
1. URL de login único: insira o valor do URL do Assertion Consumer Service que você obteve da Automation Cloud.
2. Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.
3. URI do público: insira o valor do ID da entidade que você obteve da Automation Cloud.
4. Formato do ID do nome: selecione EmailAddress
5. Nome de usuário do aplicativo: selecione Email
Para Declarações de Atributo, adicione o seguinte:
1. Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
2. Deixe o Formato do Nome como Não especificado.
3. Defina Valor como user.email ou o atributo de usuário que contém os endereços de e-mail exclusivos do usuários
4. Opcionalmente, adicione outros mapeamentos de atributos. O Automation Cloud também oferece suporte aos atributos de usuário Nome, Sobrenome, Cargo e Departamento. Essas informações são então propagadas para o Automation Cloud, onde podem ser disponibilizadas para outros serviços, como o Automation Hub.
Na página Feedback, selecione a opção de sua preferência.
Clique em Concluir.
Na guia Login, na seção Configurações, em Exibir instruções de configuração, copie o valor do URL de metadados do provedor de identidade e salve-o para uso posterior.
Na página Aplicativo para Automation Cloud, selecione o aplicativo recém-criado.
Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e, em seguida, selecione os usuários que você deseja permitir que usem a autenticação SAML para a Automation Cloud.

Os usuários recém-adicionados serão exibidos na guia Pessoas.

B. Configuração de exemplo para PingOne

Nota: As instruções nesta seção são para uma configuração de amostra. Para obter mais informações sobre quaisquer configurações de IdP não abordadas aqui, use a documentação do PingOne.

Em uma guia diferente do navegador, faça login no Console de administração do PingOne.
Vá para Conexões > Aplicativos e clique no ícone de mais +.
Clique em Aplicativo Web e, para SAML, clique em Configurar.
Na página Criar perfil de aplicativo, especifique um nome para seu aplicativo da Automation Cloud.
Na página Configurar conexão SAML, selecione Inserir manualmente e forneça os seguintes detalhes:
- URLs do ACS: insira o valor do URL do Assertion Consumer Service que você obteve da Automation Cloud.
- ID da entidade: insira o valor da ID da entidade que você obteve da Automation Cloud.
- Associação de SLO: Redirecionamento HTTP
- Duração da validade da declaração : Insira o número de segundos para o período de validade.
Clique em Salvar e Continuar.
Na página Mapear Atributos, adicione o endereço de e-mail:
1. Selecione + Adicionar atributo.
2. Para Atributo do Aplicativo, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
3. Defina o Valor de saída como Endereço de e-mail ou o atributo de usuário que contém o endereço de e-mail exclusivo do usuário.
4. Marque a caixa de seleção Obrigatório.
5. Opcionalmente, adicione outros mapeamentos de atributos. O Automation Cloud também oferece suporte aos atributos de usuário Nome, Sobrenome, Cargo e Departamento. Os atributos diferenciam maiúsculas de minúsculas. Essas informações são então propagadas para a Automation Cloud, onde podem ser disponibilizadas para outros serviços, como o Automation Hub.
Clique em Salvar e Fechar.
Clique no botão de alternância do app Automation Cloud para habilitar o aplicativo para acesso do usuário.
Na guia Configuração, copie e salve o valor do URL de metadados do IdP para uso posterior.

Etapa 2.3. Configure a Automation Cloud

Para habilitar o Automation Cloud como um provedor de serviços que reconhece seu provedor de identidade, siga as etapas abaixo:

Retorne à guia de configuração SAML na Automation Cloud.
Na etapa Detalhes gerais:
1. Em Dados do IdP, preencha o campo URL dos metadados com o URL dos metadados obtido durante a configuração.
2. Clique em Recuperar dados. Quando concluído, os campos URL de login, ID da entidade do provedor de identidade e certificado de assinatura são preenchidos com as informações do IdP.
3. Clique em Avançar no canto inferior direito para seguir com a próxima etapa.
Na etapa Configurações de provisionamento:
1. Preencha a seção Domínios permitidos com os domínios dos quais você quer permitir que os usuários façam login. Insira todos os domínios compatíveis com o provedor de identidade configurado. Separe múltiplos domínios usando vírgulas.
2. Marque a caixa de seleção para indicar que você entende que as contas com endereços de e-mail correspondentes serão vinculadas.
3. Em Mapeamento de atributos, preencha o campo Nome de exibição com o atributo de seu IdP que você deseja mostrar na Automation Cloud como o nome para os usuários. Você pode usar os atributos First Name e Last Name aqui.
4. Ou então, preencha os campos restantes com atributos de seu IdP.
5. Se você também quiser configurar detalhes avançados, clique em Avançar no canto inferior direito para avançar para a etapa final.
  
  Caso contrário, clique em Testar e Salvar para concluir a configuração da integração e pule as etapas restantes nesta seção.
Na página Configurações avançadas, configure as opções conforme necessário:
- Permitir resposta de autenticação não solicitada: habilite se quiser navegar para a Automation Cloud a partir do painel do IdP.
- Tipo de ligação SAML: selecione como a configuração do SAML deve se comunicar, por meio do agente do usuário HTTP. Selecione Redirecionamento HTTP para usar parâmetros de URL ou HTTP POST para usar um formulário HTML com conteúdo codificado em base64.
Clique em Testar e Salvar para finalizar a configuração da integração.

Etapa 2.4. Verifique se a integração está em execução

Para validar se a integração do SAML SSO está funcionando corretamente:

Abra uma janela do navegador no modo anônimo.
Navegue até URL do Automation Cloud.
Verifique o seguinte:
1. Você é solicitado a fazer login com seu provedor de identidade SAML?
2. Você consegue fazer login com sucesso?
3. Se estiver fazendo login com um endereço de e-mail que corresponda a uma conta de usuário existente, você tem as permissões apropriadas?

Etapa 2.5. Configure regras de provisionamento (opcional)

Se você usar declarações em seu IdP, poderá aproveitá-las como condições em uma regra de provisionamento para que os usuários sejam automaticamente provisionados com as licenças e funções corretas quando entrarem na Automation Cloud.

As regras de provisionamento são avaliadas quando um usuário faz login. Se a conta de usuário atender às condições de uma regra, ela será adicionada automaticamente ao grupo associado à regra.

Fase 1. Configure grupos de provisionamento

Na Automation Cloud, adicionar uma conta a um grupo significa que a conta herda as licenças, funções e configuração de robô definida para o grupo, se houver.

Portanto, se você configurar um grupo com um tipo específico de usuário em mente (por exemplo, seus funcionários que criam as automações ou seus funcionários que testam as automações), você pode integrar um novo funcionário desse tipo à Automation Cloud simplesmente definindo sua conta no IdP da mesma forma que outras contas semelhantes.

Dessa forma, você configura o grupo uma vez e replica a configuração adicionando contas ao grupo quando necessário. Além disso, se a configuração de um determinado grupo de usuários precisar ser alterada, você só precisará atualizar o grupo uma vez e as alterações se aplicarão a todas as contas do grupo.

Para configurar um grupo para uma regra de provisionamento:

Crie um novo grupo local na Automation Cloud.

Se desejar, você pode usar um de seus grupos existentes em vez de criar um novo.
(Opcional e requer gerenciamento de licença de usuário) Se os usuários deste grupo precisarem de licenças de usuário, configure as regras de alocação de licença para o grupo.

Se você estiver usando um grupo existente, verifique a alocação de licença para o grupo para certificar-se de que as licenças corretas estão sendo alocadas. Se não, altere as alocações ou considere a criação de um novo grupo.
Atribua funções de tenant e, opcionalmente, conclua a configuração do robô para o grupo. Para instruções, consulte Atribuição de funções a um grupo .

Se você estiver usando um grupo existente, verifique as funções atribuídas ao grupo para se certificar de que sejam adequadas para o tipo de usuário que você adicionará ao grupo. Se não forem, edite as funções atribuídas a este grupo ou considere a criação de um novo grupo.
Adicione o grupo às pastas e atribua funções de pasta, conforme necessário. Para instruções, consulte Gerenciamento do acesso a pastas.

Agora você pode usar esse grupo em uma regra de provisionamento.

Fase 2. Crie uma regra de provisionamento para um grupo

Observação:

Certifique-se de que a declaração associada à regra de provisionamento SAML seja enviada para a carga útil SAML configurando-a no aplicativo SAML.

Depois que a integração SAML estiver configurada e depois de definir um grupo:

Acesse Admin, selecione sua organização e, depois, selecione Segurança.

A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.
Na opção SAML SSO, clique em Exibir regras de provisionamento:

A página Regras de provisionamento de SAML SSO é aberta, na qual suas regras existentes são listadas.
No canto superior direito da página, clique em Adicionar regra.

A página Adicionar nova regra é aberta.
Em Detalhes básicos, preencha o campo Nome da regra e, opcionalmente, preencha o campo Descrição.
Em Condições, clique em Adicionar regra.

Uma linha de campos para uma nova condição é adicionada. Juntos, eles definem os critérios que uma conta deve atender ao fazer login para ser adicionada a um grupo (escolhido posteriormente).
No campo Claim , digite o nome da declaração, conforme aparece no IdP. O
diferencia maiúsculas de minúsculas.

Na lista Relacionamento, selecione como a declaração se relaciona com o valor. As seguintes opções estão disponíveis:

Relacionamento	Requisito de condição	Exemplo
está	correspondência exata, sensível a maiúsculas e minúsculas	`Department is RPA` exige que o valor da declaração `Department` seja `RPA`. A condição não é atendida se o valor for `RPADev`, por exemplo. Essa relação funciona para declarações de múltiplos valores. Por exemplo, se os valores `administrator` e `developer` forem enviados sob a declaração `Group`, então `Group is administrator` seria uma relação válida.
não está	qualquer coisa exceto o valor especificado, sensível a maiúsculas e minúsculas	Para `Department is not ctr`, qualquer conta é adicionada ao grupo, a menos que `Department` tenha o valor `ctr`. A condição é satisfeita se o departamento for `Ctr` ou `electr`.
contém	inclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas	`Department contains RPA` requer que o valor para declaração `Department` inclua `RPA`. A condição é satisfeita se o valor for `RPADev`, `xRPAx`, ou `NewRPA`, por exemplo.
não contém	exclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas	Para `Department not contains ctr`, qualquer conta é adicionada ao grupo, a menos que o valor de `Department` inclua `ctr`. Contas para as quais o departamento é `ctr` ou `electr`, por exemplo, não são adicionadas ao grupo.
não diferencia maiúsculas de minúsculas	correspondência exata, não sensível a maiúsculas e minúsculas	`Department is case insensitive RPA` requer que o valor para a declaração `Department` seja `rpa`, independente de maiúsculas e minúsculas. A condição é satisfeita se o valor for `rpa`, por exemplo. A condição não é satisfeita se o valor for `crpa`.
contém maiúsculas e minúsculas	inclui, não requer uma correspondência exata, não sensível a maiúsculas e minúsculas	`Department contains case insensitive RPA` requer que o valor para a declaração `Department` inclua `RPA`, independente de maiúsculas e minúsculas. A condição é satisfeita se o valor for `rpa`, `cRPA`, ou `rpA`, por exemplo.

No campo Valor, digite o valor necessário para satisfazer à condição.
Se você quiser adicionar outra condição, clique em Adicionar regra para adicionar uma nova linha de condição.

Ao adicionar várias condições, todas as condições devem ser satisfeitas para que a regra de provisionamento seja aplicada. Por exemplo, se você definir as regras Department is RPA e Title is Engineer, somente os usuários que estiverem no departamento de RPA e tiverem o título Engenheiro serão adicionados aos grupos especificados. Uma conta para a qual o departamento é RPA, mas o título é QA, não é adicionada aos grupos.
Em Atribuir a grupos, na caixa Adicionar Grupos, comece a digitar o nome de um grupo e selecione um grupo na lista de resultados. Repita o processo para adicionar mais grupos, se necessário.

Quando as condições forem satisfeitas, as contas serão adicionadas automaticamente a esses grupos quando fizerem login.
Clique em Salvar no canto inferior direito para adicionar a regra.

Com uma regra em vigor, sempre que um usuário fizer login na Automation Cloud e sua conta atender às condições especificadas para uma regra, sua conta será adicionada aos grupos de provisionamento anexados à regra e sua conta será configurada para funcionar na Automation Cloud.

Fragmento de exemplo de carga SAML

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

Mapeamento de atributo SAML

Ao configurar a integração do diretório SAML, os administradores da organização têm a capacidade de definir quais atributos de seu IdP devem ser mapeados para os atributos de usuário do sistema. Depois, quando um usuário fizer login por meio da integração de diretório SAML, o sistema lerá as declarações que são transmitidas para a carga útil do ACS e mapeará o valor para seus atributos de sistema correspondentes.

Por exemplo, se essa for a estrutura do usuário em seu IdP, um administrador da organização pode configurar as seguintes configurações de mapeamento de atributo para ter essas informações preenchidas no objeto de usuário do sistema.

{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}

Quando um usuário nesta organização fizer login por meio da integração de diretório SAML, seu objeto de usuário será atualizado para refletir essa configuração.

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}

Observação:

Seu IdP deve ser configurado para transmitir essas declarações na carga útil do ACS.

Certifique-se de que os nomes de atributo configurados no IdP correspondam às configurações de mapeamento de atributo no portal do administrador da organização.

Etapa 3. Faça a transição de seus usuários para SAML SSO

Certifique-se de fornecer o URL específico da sua organização para a Automation Cloud para todos os seus usuários e siga as instruções abaixo. Somente administradores da organização podem ver o URL da organização em Configurações da organização.

Para fazer login na Automation Cloud com o SAML SSO, os usuários podem:

navegar para o URL específico da sua organização. O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID/.
navegar para https://cloud.uipath.com. selecionar Continuar com SSO na página de login e fornecer o URL específico da organização.

Observação:

Depois de transicionar para a integração SAML, a integração do Azure AD é desabilitada. As atribuições de grupo do Azure AD não se aplicam mais, portanto, a associação ao grupo da Automation Cloud e as permissões herdadas do Azure AD não são mais respeitadas.

Para fazer login no UiPath Studio e no UiPath Assistant usando o SAML SSO, os usuários devem configurar o Assistant da seguinte forma:

No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
Clique em Sair.
Para o tipo de conexão, selecione URL do Serviço.
No campo URL do serviço, adicione o URL específico da organização.

O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID/. Caso contrário, a conexão falhará informando que o usuário não pertence a nenhuma organização.
Faça login novamente com SAML SSO.

Etapa 4. Configure permissões e robôs

Isso é necessário apenas para novos usuários que não usaram a Automation Cloud antes e, portanto, não tinham uma conta local configurada para eles na Automation Cloud quando a integração foi habilitada.

Você pode adicionar novos usuários a grupos da Automation Cloud por seu endereço de e-mail (conforme usado no IdP externo). Depois que um usuário for atribuído a um grupo ou estiver conectado, ele estará disponível por meio da pesquisa de atribuição de função em todos os serviços da Automation Cloud.

Etapa 5. Descontinuar o uso de contas locais (opcional)

Depois que todos os usuários fizerem a transição para o SAML SSO e os novos usuários forem configurados, recomendamos que você remova todas as contas de usuários locais que não sejam contas de administrador. Isso garante que os usuários não possam mais fazer login com suas credenciais de conta local e tenham que fazê-lo via SAML SSO.

Você pode identificar contas de usuários locais com base nos ícones de usuários.

Considerações para descontinuar o uso de contas locais

Como gerenciar configurações de autenticação na Automation Cloud

Em caso de problemas com a integração SAML (como atualizar um certificado expirado) ou se você quiser alternar para uma configuração de autenticação diferente, é recomendável uma conta de usuário local com a função de administrador da organização.

Acesso à API

Se você tiver processos em vigor que dependem das informações obtidas clicando em Acesso à API (página Administrador > Tenants) para fazer solicitações de API para um serviço, você precisa de uma conta UiPath porque o botão não está disponível quando conectado com uma conta SSO SAML. Alternativamente, você pode optar por usar o OAuth para a autorização; neste caso as informações do Acesso de API não são mais necessárias.

Solução de problemas

Se você estiver recebendo o erro User login failed. (#216), pode ser devido ao mapeamento de endereço de e-mail ausente na configuração do provedor de identidade SAML.

A declaração SAML deve ser nomeada http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress e o valor deve ter um endereço de e-mail válido.

Configuração do SSO SAML com o Azure AD

Você pode usar o portal do Azure para habilitar o SSO para um aplicativo empresarial que você adicionou ao seu tenant do Azure AD.

Depois de configurar o SSO, seus usuários podem fazer login usando suas credenciais do Azure AD.

Importante:

If your users are in Azure AD but cannot use the Azure AD integration instructions to configure AAD to your UiPath® organization, configuring AAD as a SAML-based IdP may be an option.

Isso ocorre devido a restrições em relação a dar permissões para ler detalhes do usuário e associações de grupos de todos os usuários do aplicativo UiPath.

Habilitando o SAML SSO para um aplicativo

Faça login no portal do Azure usando uma das funções listadas nos pré-requisitos.
Acesse Azure AD e selecione Aplicativos corporativos.

A página Todos os aplicativos é aberta, listando os aplicativos em seu tenant do Azure AD.

Procure e selecione o aplicativo que você deseja usar. Por exemplo, UiPath.

Observação:
Para criar um aplicativo para o SSO, siga as etapas nesta seção.
Na barra lateral esquerda da seção Gerenciar , selecione Logon único para abrir a página de edição do SSO .
Selecione SAML para abrir a página de configuração de SSO .

Depois que o aplicativo tiver sido configurado, os usuários podem entrar nele usando suas credenciais de tenant do Azure AD.
Na seção Configuração básica do SAML , clique em Editar.
Preencha os campos URL de Entity ID e Assertion Consumer Service (ACS) com base nos valores fornecidos nas definições de configuração SAML no portal da UiPath.
Clique em Salvar.
Observação:
A UiPath requer que as reivindicações http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ou http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn sejam enviadas pelo provedor de identidade do SAML.

Se ambas as reivindicações forem enviadas na carga ACS, a UiPath dará prioridade à declaração http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

Por padrão, o aplicativo no Azure AD é configurado para enviar a reivindicação http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress, com o endereço de email do usuário como o valor para a reivindicação.

Se você estiver alternando ou planejando alternar para a integração de diretórios do Azure AD, observe que:
- O valor passado na declaração priorizada é usado pela UiPath como um identificador exclusivo e é usado para vincular qualquer usuário local existente (usando o endereço de e-mail do usuário local) a esse usuário do diretório no Azure AD.
- Para uma transição suave entre a integração do diretório do Azure AD e do SAML, é recomendável passar ambas as declarações com os valores do usuário apropriados.
  
  Aqui está um exemplo de configuração:
Copie a URL de metadados da federação de aplicativos.
Navegue até o portal de administração da UiPath e vá para a página de configuração SAML .
Cole o URL dos metadados da federação de aplicativos no campo URL dos metadados .
Clique em Buscar dados para que o sistema solicite informações relacionadas ao usuário do provedor de identidade.

Configurando declarações para provisionamento automático para a UiPath

Faça login no portal do Azure usando uma das funções listadas nos pré-requisitos.
Acesse Azure AD e selecione Aplicativos corporativos.

A página Todos os aplicativos é aberta, listando os aplicativos em seu tenant do Azure AD.

Procure e selecione o aplicativo que você deseja usar. Por exemplo, UiPath.

Observação:
Para criar um aplicativo para o SSO, siga as etapas nesta seção.
Na barra lateral esquerda da seção Gerenciar , selecione Logon único para abrir a página de edição do SSO .
Clique em Editar na seção Atributos e Declarações da página Edição de SSO .
Clique em Adicionar uma declaração de grupo para configurar os grupos que você deseja enviar para a UiPath.

Observação:
Para definir configurações avançadas, escolha na lista suspensa Configurações avançadas .
Clique em Salvar.
Para finalizar a configuração, siga as etapas da Etapa 2.5: Configurar regras de provisionamento (opcional) de nossa documentação pública.

Observação:

Se um cliente preferir usar UPN, você pode navegar até a seção Atributos e Declarações e alterar o valor do atributo emailaddress .

Criar aplicativo para o SSO

Faça login no portal do Azure usando uma das funções listadas nos pré-requisitos.
Vá para o Azure AD e selecione Aplicativos empresariais. É aberta a página Todos os aplicativos, que lista os aplicativos em seu tenant do Azure AD.
Clique em Novo aplicativo > Criar seu próprio aplicativo.
Dê um nome a seu aplicativo. Por exemplo, UiPath.
Selecione Integrar qualquer outro aplicativo que você não encontrar na galeria (Não está na galeria).
Clique em Criar.