automation-cloud
latest
false
Importante :
A tradução automática foi aplicada parcialmente neste conteúdo. A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.
UiPath logo, featuring letters U and I in white

Guia de administração do Automation Cloud

Última atualização 11 de jun de 2025

Configurando a integração SAML

Essa funcionalidade está disponível no plano de licenciamento Enterprise.

By using SAML configuration in Automation Cloud we enhance both security and efficiency in authentication. Our system uses SAML to enable Single Sign-On (SSO) via secure access tokens, allowing the UiPath platform to connect with any Identity Provider (IdP) that uses the SAML 2.0 standard.

Além disso, nossa configuração SAML inclui recursos de Logout Único (SLO), que habilitam logouts simultâneos em todos os seus aplicativos unificados sob seu IdP.

A Integração SAML foi projetada de forma que possa ser implementada gradualmente, sem causar interrupção aos usuários existentes.

Observação:

Alternando da integração nativa do Azure Active Directory para a integração SAML

Se você estiver usando o AAD para a autenticação, recomendamos usar nossa integração nativa do AAD, pois é mais rica em recursos.

Se você decidir alternar para a integração SAML, deverá substituir manualmente a atribuição de função feita por meio de grupos de diretório pela atribuição de função direta às contas de diretório para que não seja necessário recriar completamente seu esquema de acesso.

Restrições conhecidas

  • As declarações SAML criptografadas do seu provedor de identidade não são compatíveis.

  • Você não pode pesquisar usuários e grupos a partir do seu provedor de identidade. Apenas os usuários do diretório provisionado estão disponíveis para pesquisa.

  • You cannot view directory users at the organization level. Only local users appear at the organization level. Just-in-time provisioning adds directory users, so they do not show up on the Accounts & Groups page in Automation Cloud.

  • A visualização de informações de acesso à API, que permite autorizar solicitações de API usando uma chave de usuário, não está disponível para usuários do diretório que fazem login por meio da integração SAML.

Pré-requisitos

Para configurar a integração SAML, você precisa do seguinte:

  • An Automation Cloud organization with the Enterprise licensing plan.

  • Administrator permissions in both the Automation Cloud organization and your third-party identity provider. If you don't have administrator permissions in your identity provider, you can work with an administrator to complete the setup process.

  • UiPath® Studio e UiPath Assistant versão 2020.10.3 ou posterior, para que você possa configurá-los para usar a implantação recomendada.

Etapa 1. Limpe contas de usuário inativas

Se sua organização recicla endereços de e-mail, é importante remover todas as contas de usuário inativas antes de configurar a integração SAML.

When you enable the integration, local accounts present in Automation Cloud can be linked with the directory account in the external identity provider that uses the same email address. This account linking occurs when the directory account user with the email address signs in for the first time. The identity from your identity provider inherits all roles from the local account, so that the transition is seamless. Because of this, with inactive local accounts present in Automation Cloud, there is a risk that local accounts and directory accounts are mismatched, which can lead to unintended elevation of permissions.

Para remover contas de usuário inativas:

  1. Log in to Automation Cloud as an organization administrator.
  2. Acesse Admin, selecione sua organização e, depois, selecione Contas e grupos. A página Contas e grupos para a organização é aberta na guia Usuários.
  3. Selecione o cabeçalho da coluna para a coluna Ativo pela última vez para reordenar os usuários para que aqueles com a data mais antiga do último login sejam mostrados no topo. A coluna Ativo pela última vez mostra a última data de logon do usuário. Pendente nesta coluna significa que o usuário nunca fez logon.
  4. Selecione o ícone Excluir no final da linha para remover a conta local desse usuário.


  5. In the confirmation dialog, select Delete to confirm deleting the account from Automation Cloud. The user account is removed from the page.
  6. Continue a excluir todas as contas de usuário inativas em sua organização.

Etapa 2. Configure a integração SAML

Now, you must configure both Automation Cloud and your identity provider (IdP) for the integration.

Etapa 2.1. Obtenha detalhes do provedor de serviços SAML

  1. Log in to Automation Cloud as an organization administrator.
  2. Acesse Admin, selecione sua organização e, depois, selecione Segurança. A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.
  3. Em Configuração do diretório para SSO, selecione Configurar SSO. A janela Configuração do SSO é aberta, descrevendo as vantagens e pré-requisitos para a integração.
  4. Das duas opções de SSO, selecione SAML 2.0. A página Configuração do SAML SSO é aberta na guia Configurar provedor de identidade .
  5. Na seção superior da página, você pode encontrar as informações da UiPath necessárias para configurar seu provedor de identidade: URL dos metadados , URL do Serviço de Confirmação do Cliente , ID de entidade. Copie e salve-os para configurar o provedor de identidade.
    Importante: recomendamos enfaticamente usar o URL de metadados da UiPath como parte do seu processo de configuração do provedor de identidade. Isso permite atualizações automáticas sempre que iniciarmos rotações para nossos certificados de assinatura, garantindo uma operação ininterrupta da plataforma.
    'Configurar provedor de identidade'
  6. O ID da entidade contém o ID da organização por padrão. Você pode alterar o formato para usar o identificador global (sem ID da organização) usando a opção Alterar formato de ID da entidade . Em seguida, na janela Alterar formato de ID de entidade , no menu suspenso Formato de ID de entidade, selecione Identificador específico da organização para usar o formato que contém o ID da organização ou Identificador global para usar o formato que não contém o ID da organização. Recomendamos usar o identificador específico da organização, pois ele permite que você registre várias organizações da UiPath em seu provedor de identidade, se você quiser.

Mantenha esta guia do navegador aberta para mais tarde.

Etapa 2.2. Configurar seu provedor de identidade

Você pode se conectar a qualquer provedor de identidade (IdP) de terceiros que use o padrão SAML 2.0. Embora a configuração possa variar dependendo do IdP escolhido, validamos a configuração para usar Okta ou PingOne, que você pode usar como referência para configurar a integração.

Para outros provedores de identidade, recomendamos que siga suas documentações de integração.

Step 2.3. Configure Automation Cloud

To enable Automation Cloud as a service provider that recognizes your identity provider, take the following steps:

  1. Return to the SAML SSO configuration tab in Automation Cloud.
  2. In the second section of the Configure identity provider page, you can view the fields necessary to configure the identity provider in Automation Cloud. In the Metadata URL field, enter the metadata URL of your identity provider. This enables Automation Cloud to regularly fetch and update data from your identity provider, streamlining the SAML configuration process for the long term.
    Importante: recomendamos enfaticamente o uso do URL de metadados durante a configuração do SAML. Isso permite que o UiPath busque e atualize regularmente dados do seu provedor de identidade, simplificando o processo de configuração do SAML a longo prazo.
    Imagem "Configurar provedor de identidade"
  3. Selecione Buscar dados. Quando concluído, os campos URL de login, ID de entidade do provedor de identidade e certificado de assinatura são preenchidos com as informações do IdP.
  4. Mesmo que não seja o método recomendado, você pode optar por inserir manualmente os detalhes do SAML do seu provedor de identidade nos campos URL de logon, ID de entidade do provedor de identidade e Certificados de assinatura .
  5. Para inserir manualmente vários certificados, cole-os no campo Certificado de assinatura na codificação base64, delimitados pelos indicadores de início e fim do certificado, e separados por um caractere de nova linha. Por exemplo, com dois certificados, você deve usar o seguinte formato:
    -----BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE-----
    Imagem "Campos de certificado de assinatura"
  6. Select Next in the bottom right corner to move to the next step. You are taken to the Map attributes & complete tab. Mapping attributes, referred to as "claims", link user details between your identity provider and Automation Cloud. This ensures user data, like an email or username, matches across both systems.
    Imagem "Atributos do mapa e guia completa"
  7. Na etapa Mapear atributos e concluir , selecione a opção Habilitar o identificador exclusivo personalizado para configurar um identificador exclusivo que não seja um e-mail. Isso é útil, por exemplo, se nem todos os usuários tiverem contas de e-mail ou se os seus endereços de e-mail não forem exclusivos.
    Aviso: após você definir um nome para declaração de Identificador exclusivo , alterá-lo pode resultar na perda de usuários reconhecidos anteriormente, pois o sistema pode não ser mais capaz de identificá-los mais. Dessa forma, a interface gráfica restringe a alteração da declaração do identificador exclusivo após ter sido definida. Para alterá-la, você precisa excluir e recriar toda a sua configuração.
    1. It is mandatory to enter the unique identifier of your users in the Unique identifier field. This is the claim Automation Cloud uses to identify users when they sign in.
    2. No campo Nome de exibição , insira a declaração pela qual seus usuários podem ser reconhecidos ao fazer logon.
    3. Torna-se opcional inserir o campo de E-mail para seus usuários.
    4. O campo Domínios de endereço de e-mail permitidos está acinzentado e não disponível para entrada. Isso ocorre porque o sistema não usa mais o email como o identificador exclusivo, tornando esse campo irrelevante.
    5. Optionally, add new mappings, by specifying the respective claim from the identity provider and the corresponding attribute in Automation Cloud.
  8. Por padrão, a opção Habilitar o identificador exclusivo personalizado está desmarcada, o que significa que o endereço de e-mail é usado como o identificador dos usuários. Siga estas etapas:
    1. O campo E- mail torna-se obrigatório e não pode ser alterado.
    2. Preencha a seção Domínios permitidos com os domínios dos quais você quer permitir que os usuários façam login. Insira todos os domínios compatíveis com o provedor de identidade configurado. Separe múltiplos domínios usando vírgulas.
    3. Under Attribute Mapping, fill in the Display Name field with the attribute from your IdP that you want to show in Automation Cloud as the name for users. You can use the First Name and Last Name attributes.
    4. Optionally, add new mappings, by specifying the respective claim from the identity provider and the corresponding attribute in Automation Cloud.
  9. Depois de configurar os atributos, configure os campos Permitir resposta de autenticação não solicitada e tipo de associação SAML .
    1. Permitir resposta de autenticação não solicitada: habilite se quiser poder navegar até a UiPath Platform a partir do painel do IdP.
    2. Tipo de ligação SAML: selecione como a configuração do SAML deve se comunicar, por meio do agente do usuário HTTP. Selecione Redirecionamento HTTP para usar parâmetros de URL ou HTTP POST para usar um formulário HTML com conteúdo codificado em base64.
  10. If your identity provider requires Automation Cloud to sign all SAML authentication requests, select the Sign Authentication Request option. Check with your identity provider to determine if this feature needs to be enabled. Automation Cloud commonly updates its signing keys. If you have activated the Sign Authentication Request feature, make sure your IdP regularly syncs with Automation Cloud by continually downloading the updated keys from Automation Cloud's metadata URL.
  11. Selecione Testar e Salvar para finalizar a configuração da integração.

Etapa 2.4. Verifique se a integração está em execução

Para validar se a integração do SAML SSO está funcionando corretamente:

  1. Abra uma janela do navegador no modo anônimo.
  2. Navigate to your Automation Cloud organization URL.
  3. Verifique o seguinte:
    1. Você é solicitado a fazer login com seu provedor de identidade SAML?
    2. Você consegue fazer login com sucesso?
    3. Se estiver fazendo login com um endereço de e-mail que corresponda a uma conta de usuário existente, você tem as permissões apropriadas?

Etapa 2.5. Configure regras de provisionamento (opcional)

If you use claims in your IdP, you can leverage them as conditions in a provisioning rule so that users are automatically provisioned with the right licenses and roles when they sign in to Automation Cloud. Provisioning rules are evaluated when a user signs in. If the user account meets the conditions for a rule, it is automatically added to the local UiPath group associated with the rule. For example, an administrator can configure a rule to provision users directly into the Automation Users group using these settings: Claim=group, Relationship=is, Value=Automation User.

2.5.1 Configure grupos de provisionamento

In Automation Cloud, adding an account to a group means the account inherits the licenses, roles, and robot configuration defined for the group, if any.

By grouping similar account types (e.g., developers or testers), you can streamline user onboarding process to Automation Cloud. Just make sure that in the IdP you set up similar accounts in the same way.

Dessa forma, você configura o grupo uma vez e replica a configuração adicionando contas ao grupo quando necessário. Se a configuração de um determinado grupo de contas precisar ser alterada, você precisará atualizar o grupo apenas uma vez e as alterações se aplicarão a todas as contas do grupo.

Para configurar um grupo para uma regra de provisionamento:

  1. Create a new local group in Automation Cloud.

    Se desejar, você pode usar um de seus grupos existentes em vez de criar um novo.

  2. (Opcional e requer gerenciamento de licenças de usuários habilitado) Se as contas desse grupo precisarem de licenças de usuários, configure as regras de alocação de licenças para o grupo.

    Se você estiver usando um grupo existente, verifique a alocação de licença para o grupo para certificar-se de que as licenças corretas estão sendo alocadas. Se não, altere as alocações ou considere a criação de um novo grupo.

  3. Atribua funções de tenant e, opcionalmente, conclua a configuração do robô para o grupo. Para instruções, consulte Atribuição de funções a um grupo .

    Se você estiver usando um grupo existente, verifique as funções atribuídas ao grupo para se certificar de que sejam adequadas para o tipo de conta que você adicionará ao grupo. Se não forem, edite as funções atribuídas a este grupo ou considere a criação de um novo grupo.

  4. Adicione o grupo às pastas e atribua funções de pasta, conforme necessário. Para obter instruções, consulte Gerenciamento do acesso a pastas.

Agora você pode usar esse grupo em uma regra de provisionamento.

2.5.2. Criar uma regra de provisionamento para um grupo

Observação:

Certifique-se de que a declaração associada à regra de provisionamento SAML seja enviada para a carga útil SAML configurando-a no aplicativo SAML.

Depois que a integração SAML estiver configurada e depois de definir um grupo:

  1. Acesse Admin, selecione sua organização e, depois, selecione Segurança.

    A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.

  2. Na opção SAML SSO , selecione Exibir regras de provisionamento. A página Regras de provisionamento de SAML SSO é aberta, na qual suas regras existentes são listadas.

  3. No canto superior direito da página, selecione Adicionar regra.

    A página Adicionar nova regra é aberta.

  4. Em Detalhes básicos, preencha o campo Nome da regra e, opcionalmente, preencha o campo Descrição.

  5. Em Condições, selecione Adicionar regra.

    Uma linha de campos para uma nova condição é adicionada. Juntos, eles definem os critérios que uma conta deve atender ao fazer login para ser adicionada a um grupo (escolhido posteriormente).



  6. No campo Claim , digite o nome da declaração, conforme aparece no IdP. O campo diferencia maiúsculas de minúsculas.

  7. Na lista Relacionamento , selecione como a declaração se relaciona com o valor. As seguintes opções estão disponíveis, conforme descrito na tabela:

    Relacionamento

    Requisito de condição

    Exemplo

    está

    correspondência exata, sensível a maiúsculas e minúsculas
    Department is RPA exige que o valor da declaração Department seja RPA.
    A condição não é atendida se o valor for RPADev, por exemplo.

    Essa relação funciona para declarações de múltiplos valores.

    Por exemplo, se os valores administrator e developer forem enviados sob a declaração Group, então Group is administrator seria uma relação válida.

    não está

    qualquer coisa exceto o valor especificado, sensível a maiúsculas e minúsculas
    Para Department is not ctr, qualquer conta é adicionada ao grupo, a menos que Department tenha o valor ctr.
    A condição é satisfeita se o departamento for Ctr ou electr.

    contém

    inclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas
    Department contains RPA requer que o valor para declaração Department inclua RPA.
    A condição é satisfeita se o valor for RPADev, xRPAx, ou NewRPA, por exemplo.

    não contém

    exclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas
    Para Department not contains ctr, qualquer conta é adicionada ao grupo, a menos que o valor de Department inclua ctr.
    Contas para as quais o departamento é ctr ou electr, por exemplo, não são adicionadas ao grupo.

    não diferencia maiúsculas de minúsculas

    correspondência exata, não sensível a maiúsculas e minúsculas
    Department is case insensitive RPA requer que o valor para a declaração Department seja rpa, independente de maiúsculas e minúsculas.
    A condição é satisfeita se o valor for rpa, por exemplo. A condição não é satisfeita se o valor for crpa.

    contém maiúsculas e minúsculas

    inclui, não requer uma correspondência exata, não sensível a maiúsculas e minúsculas
    Department contains case insensitive RPA requer que o valor para a declaração Department inclua RPA, independente de maiúsculas e minúsculas.
    A condição é satisfeita se o valor for rpa, cRPA, ou rpA, por exemplo.
  8. No campo Valor, digite o valor necessário para satisfazer à condição.

  9. Se você quiser adicionar outra condição, selecione Adicionar regra para adicionar uma nova linha de condição.

    Ao adicionar várias condições, todas as condições devem ser satisfeitas para que a regra de provisionamento seja aplicada. Por exemplo, se você definir as regras Department is RPA e Title is Engineer, somente os usuários que estiverem no departamento de RPA e tiverem o título Engenheiro serão adicionados aos grupos especificados. Uma conta para a qual o departamento é RPA, mas o título é QA, não é adicionada aos grupos.

  10. Em Atribuir a grupos, na caixa Adicionar Grupos, comece a digitar o nome de um grupo e selecione um grupo na lista de resultados. Repita o processo para adicionar mais grupos, se necessário.

    Quando as condições forem satisfeitas, as contas serão adicionadas automaticamente a esses grupos quando fizerem login.

  11. Selecione Salvar no canto inferior direito para adicionar a regra.

With a rule in place, whenever a user logs in and their account meets the conditions specified for a rule, their account is added to the provisioning groups attached to the rule, and their account is set up to work in Automation Cloud.

Fragmento de exemplo de carga SAML

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

Mapeamento de atributo SAML

Ao configurar a integração do diretório SAML, os administradores da organização podem definir quais atributos de seu IdP devem ser mapeados para os atributos de usuário do sistema. Depois, quando um usuário fizer login por meio da integração de diretório SAML, o sistema lerá as declarações que são transmitidas para a carga útil do ACS e mapeará o valor para seus atributos de sistema correspondentes.
Observação:

  • Seu IdP deve ser configurado para transmitir essas declarações na carga útil do ACS.

  • Certifique-se de que os nomes de atributos configurados no IdP correspondam às configurações de mapeamento de atributos no portal do administrador da organização.

Por exemplo, se essa for a estrutura do usuário em seu IdP, um administrador da organização pode configurar as seguintes configurações de mapeamento de atributo para ter essas informações preenchidas no objeto de usuário do sistema. 
{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}
Imagem "Mapeamento de atributos SAML"

Quando um usuário nessa organização faz login por meio da integração de diretório SAML, seu objeto de usuário é atualizado para refletir essa configuração. 

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}

Etapa 3. Faça a transição de seus usuários para SAML SSO

Make sure you provide your organization-specific URL for the Automation Cloud organization to all your users.

Observação:

After switching to SAML integration, the Azure AD integration is disabled. Azure AD group assignments no longer apply, so Automation Cloud group membership and the permissions inherited from Azure AD are no longer respected.

To sign in to Automation Cloud with SAML SSO, users can:

  • navegar para o URL específico da sua organização. O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID.
  • navigate to https://cloud.uipath.com, select Continue with SSO on the Login page, then provide their organization-specific URL.

Para fazer login no UiPath Studio e no UiPath Assistant usando o SAML SSO, os usuários devem configurar o Assistant da seguinte forma:

  1. No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
  2. Selecione Sair.
  3. Para o tipo de conexão, selecione URL do Serviço.
  4. No campo URL do serviço, adicione o URL específico da organização.
    O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID. Caso contrário, a conexão falhará informando que o usuário não pertence a nenhuma organização.
  5. Faça login novamente com SAML SSO.

Etapa 4. Configure permissões e robôs

This is only required for new users who have not used Automation Cloud before and therefore did not have a local account set up for them in Automation Cloud when the integration was enabled.

You can add new users to Automation Cloud groups by their email address (as used in the external IdP). Once a user has been assigned to a group or they have signed in, they will be available through search for role assignment across all UiPath services.

Etapa 5. Descontinuar o uso de contas locais (opcional)

Depois que todos os usuários fizerem a transição para o SAML SSO e os novos usuários forem configurados, recomendamos que você remova todas as contas de usuários locais que não sejam contas de administrador. Isso garante que os usuários não possam mais fazer login com suas credenciais de conta local e tenham que fazê-lo via SAML SSO.

Você pode identificar contas de usuários locais com base em seus ícones.

Uma conta local pode ser útil:

  • Para gerenciar problemas de integração com o SAML (por exemplo, atualizar um certificado expirado) ou se alterar as configurações de autenticação (recomenda-se uma conta com a função de administrador da organização).

  • Para processos que dependem de tokens de acesso da API para autorizações de solicitação, pois a funcionalidade Acesso da API (na página Administrador > Tenants ) é inacessível com uma conta SSO SAML. Alternativamente, passe a usar o OAuth para a autorização, que elimina a necessidade das informações de acesso à API.

Esta página foi útil?

Suporte e serviços
Obtenha a ajuda que você precisa
UiPath Academy
Aprendendo RPA - Cursos de automação
Fórum do UiPath
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
Termos de Uso
Política de Privacidade
Política de cookies
© 2005-2025 UiPath. Todos os direitos reservados.