Automation Suite
2023.10
falso
Imagem de fundo do banner
Guia do administrador do Automation Suite
Última atualização 19 de dez de 2023

Configurando SSO: SAML 2.0

Você pode habilitar o SSO usando qualquer provedor de identidade que suporte o protocolo de autenticação SAML 2.0.

Visão geral

A ativação do SAML SSO é um processo de várias etapas e você deve concluir a seguinte configuração:

  1. Configure seu provedor de identidade para reconhecer o Automation Suite como um provedor de serviços.
  2. Configure o Automation Suite como um provedor de serviços para reconhecer e confiar em seu provedor de identidade.
  3. Provisione usuários para sua organização para permitir que eles façam login com SSO usando o protocolo SAML 2.0 do seu provedor de identidade.

Etapa 1. Configure seu provedor de identidade

O Automation Suite oferece suporte a vários provedores de identidade.

Nesta seção, exemplificamos como encontrar a configuração específica e obter os certificados para cada um dos seguintes provedores de identidade:

  • ADFS

  • Google

  • OKTA

  • PingOne

A. Configurando ADFS

Configure uma máquina para suportar ADFS e certifique-se de ter acesso ao software de Gerenciamento ADFS. Trabalhe com o administrador do sistema, se necessário.

Observação: As etapas abaixo são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a documentação do ADFS.
  1. Abra o gerenciamento ADFS e defina uma nova confiança de terceira parte confiável para o Orchestrator da seguinte maneira:
    1. Clique em Confiança de Parte Confiável.
    2. No painel Ações, clique em Adicionar Confiança de Terceira Parte Confiável. O Assistente de Adicionar Confiança da Parte Confiável é exibido.
    3. Na seção de Boas-vindas, selecione Conhecimento de Declarações.
    4. Na seção Selecionar Dados, escolha a opção Inserir dados da parte confiável manualmente.
    5. Na seção Especificar Nome de Exibição, no campo Nome de exibição, insira o URL da instância do Orchestrator.
    6. A seção Configurar certificado não precisa de nenhuma configuração específica, então deixe como está.
    7. Na seção configurar URL, selecione Habilitar suporte para o protocolo SAML 2.0 Web SSO.
    8. No campo Relying party SAML 2.0 SSO service URL, preencha a URL da sua instância do Automation Suite, mais o sufixo identity_/Saml2/Acs. Por exemplo, https://baseURL/identity_/Saml2/Acs.
    9. No campo Relying party trust identifier, na seção Configurar identificadores, preencha a URL da sua instância do Orchestrator, mais o sufixo identity_.
    10. Na seção Escolher Política de Controle de Acesso, certifique-se de selecionar a política de controle de acesso Permitir todos.
    11. Os itens Pronto para adicionar confiança e Terminar não precisam de nenhuma configuração específica, então deixe-as como estão.
      A parte confiável recém-adicionada é exibida na janela Confiança de Terceira Parte Confiável.
    12. Vá para Ações > Propriedades > Endpoints e certifique-se de que POST esteja selecionado para Associação e que a caixa de seleção Definir o URL confiável como padrão esteja marcada.

      A associação de Endpoint precisa ser Post. Outras associações, como redirect não são compatíveis com a UiPath, pois o ADFS não assina asserções de redirecionamento.

    13. Vá para Ações > Propriedades > Identificadores e certifique-se de que a URL da sua instância do Orchestrator e o sufixo identity_ esteja presente.
  2. Selecione a confiança de parte confiável e clique em Editar a Política de Emissão de Declaração no painel Ações.

    O assistente de Editar a Política de Emissão de Declaração é exibido.

  3. Clique em Adicionar regra e crie uma nova regra usando o modelo de Enviar Atributos LDAP como Declarações com as seguintes configurações:

    Atribuição de LDAP

    Tipo de reivindicação de saída

    Endereços de e-mail

    Endereço de e-mail

    User-Principal-Name

    ID de nome

  4. Depois que o ADFS estiver configurado, abra o PowerShell como administrador e execute os seguintes comandos:
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      Substitua DISPLAYNAME pelo valor definido na etapa 1.e.
    2. Restart-Service ADFSSRV.

B. Configurando Google

Observação: As etapas abaixo são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do Google.
  1. Faça login no console de administração como administrador, vá para Aplicativos e depois Aplicativos web e móveis.
  2. Clique em Adicionar aplicativo e depois em Adicionar aplicativo SAML personalizado.
  3. Na página Detalhes do aplicativo, preencha um nome para sua instância do Automation Suite.
  4. Na página de detalhes do provedor de identidade do Google , copie e salve o seguinte para mais tarde:
    • URL do SSO
    • ID da entidade
  5. Baixe o certificado, abra-o com um editor de texto, copie e salve o valor para a próxima parte da configuração na Etapa 2. Configure o Automation Suite.
  6. Na página Detalhes do provedor de serviços, digite o seguinte:
    • URL de ACS: https://baseURL/identity_/Saml2/Acs
    • ID de entidade:https://baseURL/identity_
  7. Na página Mapeamento de atributos, forneça os seguintes mapeamentos:
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. Depois de configurar o aplicativo SAML, vá para Acesso do usuário no aplicativo Automation Suite SAML no console de administração do Google e clique em Ativado para todos .

C. Configurando o Okta

Observação: As etapas abaixo são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do Okta.
  1. Faça login no Console de administração do Okta, vá para Aplicativos > Aplicativos , clique em Criar integração de aplicativos , e selecione SAML 2.0 como o método de login .
  2. Na página Configurações gerais, especifique um nome para sua instância do Automation Suite.
  3. Na página Configurar SAML, preencha a seção Geral.

    Por exemplo:

    • URL de login único: URL do seu Automation Suite + /identity_/Saml2/Acs. Por exemplo, https://baseURL/identity_/Saml2/Acs.
    • Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.
    • URI da audiência: https://baseURL/identity_
    • Formato de ID de nome: EmailAddress
    • Nome de usuário do aplicativo: E-mail
  4. Preencha a seção de Declarações de Atributo:
    • No campo Nome, tipo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    • A partir da lista Valor, selecione user.email.
  5. Na seção Feedback selecione a opção que se adequa a você.
  6. Clique em Concluir.
  7. Na guia Login, na seção Configurações, clique em Visualizar instruções de configuração.

    Você será redirecionado para uma nova página contendo as instruções necessárias para concluir a próxima parte da configuração na Etapa 2. Configure o Automation Suite:

    • URL de login do provedor de identidade
    • Emissor do Provedor de Identidade
    • Certificado X.509
  8. Para que os usuários possam usar a autenticação Okta, eles devem ser atribuídos ao aplicativo recém-criado:
    1. Na página Aplicativo, selecione o aplicativo recém-criado.
    2. Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e selecione os usuários que receberão as permissões necessárias. Os usuários recém-adicionados serão exibidos na guia Pessoas.

D. Configurando o PingOne

Observação: As etapas a seguir são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do PingOne.
  1. Adicione um aplicativo web que se conecte usando SAML no PingOne, com as seguintes especificidades:
    1. Na página Configurar conexão SAML, selecione Inserir manualmente e preencha o seguinte:
      • URLs ACS : URL que diferencia maiúsculas de minúsculas para sua instância do Automation Suite + /identity_/Saml2/Acs( https://baseURL/identity_/Saml2/Acs).
      • ID de entidade:https://baseURL/identity_
      • Associação de SLO: Redirecionamento HTTP
      • Duração da validade da declaração : Insira o número de segundos para o período de validade.

    2. Na página Atributos de mapa, mapeie o seguinte atributo:
      Endereço de e-mail = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Dica: Alternativamente, você pode configurar a conexão SAML do PingOne usando a opção Importar metadados. Os metadados SAML2 do UiPath Identity Server estão disponíveis para download no formato XML em https://baseURL/identity/Saml2.
  2. Em Conexões > Aplicativos, encontre o aplicativo que você acabou de criar e clique no ícone na extremidade direita da caixa para mostrar seus detalhes.
  3. Na guia Perfil , copie e salve os seguintes valores para a próxima parte da configuração, descrita abaixo na Etapa 2. Configure o Automation Suite:
    • ID do Cliente

    • URL de página inicial.

  4. Se você não baixou durante a configuração do aplicativo, baixe o certificado de assinatura do PingOne:
    1. Acesse Conexões > Certificados e chaves.
    2. Encontre o aplicativo que você acabou de criar e clique na extremidade direita da caixa para mostrar seus detalhes.
    3. À direita da guia Detalhes, clique Baixar certificado e selecione o .crt .
  5. Abra o arquivo de certificado em qualquer editor de texto, copie e salve o valor do certificado para a próxima parte da configuração, descrita abaixo na Etapa 2. Configure o Automation Suite.

Etapa 2. Configurando o Automation Suite

Para habilitar o Automation Suite como um provedor de serviços que reconhece seu provedor de identidade:

  1. Faça login no portal do host do Automation Suite como administrador do sistema.
  2. Certifique-se de que Host esteja selecionado na parte superior do painel esquerdo e clique em Segurança.
  3. Clique em Configurar em SAML SSO e siga as instruções para o provedor de identidade que você usa:
    1. Para configurar SAML para ADFS:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, digite https://baseURL/identity_.
      5. No campo Identity Provider Entity ID, cole o valor obtido ao configurar a autenticação ADFS.

      6. No campo URL do serviço de logon único, cole o valor obtido ao configurar a autenticação ADFS.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. No campo Return URL, digite https:/baseURL/identity_/externalidentity/saml2redirectcallback.
      9. Defina o parâmetro estratégia de mapeamento de usuário externo para Pelo e-mail do usuário.

      10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .

      11. No campo Signing Certificate, cole o texto do certificado.

    2. Para configurar o SAML para o Google:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, digite https://baseURL/identity_.
      5. No campo ID da entidade do provedor de identidade, cole o valor de ID da entidade obtido ao configurar a autenticação do Google.

      6. No campo URL do serviço de logon único, cole o valor da URL do SSO obtido ao configurar a autenticação do Google.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. No campo Return URL, digite https://baseURL/identity_/externalidentity/saml2redirectcallback.
      9. Para Estratégia de mapeamento de usuário externo, selecione Por e-mail do usuário.

      10. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.

      11. No campo Certificado de assinatura, cole o valor de Certificado obtido durante a configuração do Google.

    3. Para configurar SAML para Okta:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, digite https://baseURL/identity_.
      5. No campo Identity Provider Entity ID, cole o valor do Emissor do provedor de identidade obtido durante a configuração do Okta.

      6. No campo URL do serviço de login único, cole o valor da URL de login do provedor de identidade obtido durante a configuração do Okta.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. No campo Return URL, digite https://baseURL/identity_/externalidentity/saml2redirectcallback.
      9. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.

      10. No campo Certificado de assinatura, cole o valor X.509 de Certificado obtido durante a configuração do Okta.

    4. Para configurar SAML para o PingOne:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, cole sua URL do Automation Suite no formato https://baseURL/identiy_.
      5. No campo ID da entidade do provedor de identidade, cole o valor de ID do Emissor obtido durante a configuração do PingOne.

      6. Defina o parâmetro da URL do serviço de login único no valor da URL de login único obtido durante a configuração do PingOne.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. No campo Return URL, digite https://baseURL/identity_/externalidentity/saml2redirectcallback.
      9. Para a estratégia de mapeamento de usuário externo, selecione por e-mail de usuário.

      10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .

      11. No campo Signing Certificate, cole o valor obtido durante a configuração do PingOne.

  4. Clique em Salvar para salvar as alterações e retornar à página anterior.
  5. Clique na alternância à esquerda do SAML SSO para habilitar a integração.
  6. Reinicie o pod 'identity-service-api-*'.Isso é necessário depois de fazer qualquer alteração nos Provedores Externos.
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando:
      kubectl -n uipath rollout restart deployment identity-service-api

Etapa 3. Configurações opcionais

A configuração a seguir é opcional e necessária apenas se você quiser usar um ou ambos os recursos de segurança avançados para a instalação do Automation Suite.

Etapa 3.1.Mapeamento personalizado

ADFS, Google e Okta, todos usam o endereço de e-mail como um atributo SAML. Essa seção trata do mapeamento SAML personalizado com base no nome de usuário ou de uma chave de provedor externo.

Importante: A configuração de atributos de mapeamento personalizados afeta todo o sistema, o que significa que eles se aplicam a todos os provedores de identidade existentes. Como resultado, nenhum outro provedor (Azure, Windows) pode funcionar enquanto um novo mapeamento estiver definido.

Os parâmetros a seguir precisam ser definidos na configuração SAML SSO na página Segurança no nível do host.

  • Estratégia de mapeamento de usuário externo - define a estratégia de mapeamento. As seguintes opções estão disponíveis:

    • By user email - Seu endereço de e-mail é definido como o atributo. Esse é o valor padrão.
    • By username - Seu nome de usuário é definido como o atributo.
    • By external provider key – Uma chave de provedor externa é definida como o atributo.
  • Nome da declaração do identificador de usuário externo - define a declaração a ser usada como um identificador para o mapeamento. Isso é necessário apenas se você definir seu nome de usuário como o atributo.

Etapa 3.3. Certificado de Serviço

No protocolo SAML, o certificado de serviço é usado para assinar e/ou criptografar solicitações enviadas do provedor de serviços, por exemplo, Automation Suite.

Para definir o certificado de serviço:

  1. Acesse ArgoCD e faça login como um administrador.
  2. Selecione e acesse o aplicativo uipath.
  3. Clique em DETALHES DO APP no canto superior esquerdo.
  4. Na seção PARÂMETROS, pesquise “ServiceCert”.
  5. Atualize o global.userInputs.certificate.identity.saml.currentServiceCertparâmetro com sua serialização base64 do certificado de serviço.O certificado de serviço requer uma chave privada.
  6. Se o seu certificado de serviço tiver uma senha, atualize também o parâmetro global.userInputs.certificate.identity.saml.currentServiceCertPassword.

    No ArgoCD, o certificado e a senha são codificados em base64.

  7. Se você precisar rotacionar o certificado de serviço, atualize os parâmetros global.userInputs.certificate.identity.saml.futureServiceCert e global.userInputs.certificate.identity.saml.futureServiceCertPassword.
  8. Clique em SINCRONIZAR para aplicar a alteração.

    Aguarde alguns minutos para que o Identity Server reinicie automaticamente.

Was this page helpful?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Logotipo branco da Uipath
Confiança e segurança
© 2005-2024 UiPath. All rights reserved.