Guia do administrador do Automation Suite

1. Configure seu provedor de identidade para reconhecer a UiPath Platform como um provedor de serviços.
2. Configure a UiPath Platform como um provedor de serviços para reconhecer e confiar em seu provedor de identidade.
3. Provisione usuários para sua organização para permitir que eles façam login com SSO usando o protocolo SAML 2.0 do seu provedor de identidade.

• ADFS
• Google
• OKTA
• PingOne

A. Configurando ADFS​

1. Abra o gerenciamento ADFS e defina uma nova confiança de terceira parte confiável para o Orchestrator da seguinte maneira:

   a. Selecione Confiança de Parte Confiável.

   b. No painel Ações , selecione Adicionar Confiança de Terceira Parte Confiável. O Assistente de Instalação de Confiança de Terceira Parte Confiável é exibido.

   c. Na seção de Boas-vindas, selecione Conhecimento de Declarações.

   d. Na seção Selecionar Dados, escolha a opção Inserir dados da parte confiável manualmente.

   e. Na seção Especificar Nome de Exibição, no campo Nome de exibição, insira o URL da instância do Orchestrator.

   f. A seção Configurar certificado não precisa de nenhuma configuração específica, então deixe como está.

   g. Na seção configurar URL, selecione Habilitar suporte para o protocolo SAML 2.0 Web SSO.

   h. No campo Relying party SAML 2.0 SSO service URL , preencha o URL de base de Identidade da sua instância do Automation Suite, mais o sufixo /Saml2/Acs. Por exemplo, https://{yourDomain}/{organizationName}/identity_.

   I. No campo Identificador de confiança de parte confiável , na seção Configurar identificadores , preencha o URL base de identidade, por exemplo https://{yourDomain}/{organizationName}/identity_.

   j. Na seção Escolher Política de Controle de Acesso, certifique-se de selecionar a política de controle de acesso Permitir todos.

   k. Os itens Pronto para adicionar confiança e Terminar não precisam de nenhuma configuração específica, então deixe-as como estão.

   A parte confiável recém-adicionada é exibida na janela Confiança de Terceira Parte Confiável.

   l. Go to Actions > Properties > Endpoints and make sure that POST is selected for Binding and that the Set the trusted URL as default checkbox is selected.

   A associação de Endpoint precisa ser Post. Outras associações como redirecionamento não são compatíveis com a UiPath®, pois o ADFS não assina declarações de redirecionamento.

   m. Vá para Ações > Propriedades > Identificadores e certifique-se de que o URL de base de Identidade esteja presente, https://{yourDomain}/{organizationName}/identity_.

2. Selecione a entidade confiável e selecione Editar política de emissão de reivindicações no painel Ações.

   O assistente de Editar a Política de Emissão de Declaração é exibido.

3. Selecione Adicionar regra e crie uma nova regra usando o modelo de Enviar Atributos LDAP como Declarações com as seguintes configurações, conforme descrito na tabela:

   Atribuição de LDAP	Tipo de reivindicação de saída
   Endereços de e-mail	Endereço de e-mail
   User-Principal-Name	ID de nome

4. Depois que o ADFS estiver configurado, abra o PowerShell como administrador e execute os seguintes comandos:

   a. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion

   Substitua DISPLAYNAME pelo valor definido na etapa 1.e.

   b. Restart-Service ADFSSRV.

B. Configurando Google​

1. Faça login no console de administração como administrador, vá para Aplicativos e depois Aplicativos web e móveis.

2. Selecione Adicionar aplicativo e, em seguida, Adicionar aplicativo SAML personalizado.

3. Na página Detalhes do aplicativo, preencha um nome para sua instância do Automation Suite.

4. Na página de detalhes do provedor de identidade do Google , copie e salve o seguinte para mais tarde:

   • URL do SSO
   • ID da entidade

5. Faça o download do Certificado, abra-o com um editor de texto, copie e salve o valor para a próxima parte da configuração na Etapa 2. Configurar o Automation Suite.

6. Na página Detalhes do provedor de serviços, digite o seguinte:

   • URL de ACS: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
   • ID de entidade:https://{yourDomain}/{organizationName}/identity_

7. Na página Mapeamento de atributos, forneça os seguintes mapeamentos:

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   Observe que essa declaração diferencia maiúsculas de minúsculas.

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

8. Depois de configurar o aplicativo SAML, vá para Acesso do usuário no aplicativo Automation Suite SAML no console de administração do Google e selecione Ativado para todos.

C. Configurando o Okta​

1. Faça login no Console de administração do Okta, vá para Aplicativos > Aplicativos, selecione Criar integração de aplicativos, e selecione SAML 2.0 como o método de login.
2. Na página Configurações gerais, especifique um nome para sua instância do Automation Suite.
3. Na página Configurar SAML, preencha a seção Geral.

• URL de assinatura única: a URL base de Identidade + /Saml2/Acs. Por exemplo, https://{yourDomain}/{organizationName}/identity_/Saml2/Acs.
• Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.
• URI da audiência: https://{yourDomain}/{organizationName}/identity_
• Formato de ID de nome: EmailAddress
• Nome de usuário do aplicativo: E-mail

4. Preencha a seção de Declarações de Atributo:

   • No campo Nome , digite http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Observe que essa declaração diferencia maiúsculas de minúsculas.
   • A partir da lista Valor, selecione user.email.

5. Na seção Feedback selecione a opção que se adequa a você.

6. Selecione Finalizar.

7. Na guia Logon , na seção Configurações , selecione Exibir instruções de configuração.

• URL de login do provedor de identidade
• Emissor do Provedor de Identidade
• Certificado X.509

8. Para que os usuários possam usar a autenticação Okta, eles devem ser atribuídos ao aplicativo recém-criado:

   a. Na página Aplicativo, selecione o aplicativo recém-criado.

   b. Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e selecione os usuários que receberão as permissões necessárias. Os usuários recém-adicionados serão exibidos na guia Pessoas.

D. Configurando o PingOne​

1. Adicione um aplicativo web que se conecte usando SAML no PingOne, com as seguintes especificidades:

   a. Na página Configurar conexão SAML , selecione Inserir manualmente e preencha o seguinte:

   • URLs ACS: URL base de Identidade que diferencia maiúsculas de minúsculas + /Saml2/Acs. Por exemplo, https://{yourDomain}/{organizationName}/identity_
   • ID de entidade:https://{yourDomain}/{organizationName}/identity_
   • Associação de SLO: Redirecionamento HTTP
   • Duração da validade da declaração : Insira o número de segundos para o período de validade.

   b. Na página Atributos de mapa , mapeie o seguinte atributo:

   • Endereço de e-mail = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Observe que essa declaração diferencia maiúsculas de minúsculas.

2. Em Conexões > Aplicativos , encontre o aplicativo que você acabou de criar e selecione o ícone na extremidade direita da caixa para mostrar seus detalhes.

3. A partir da guia Perfil , copie e salve os seguintes valores para a próxima parte da configuração, descrita mais detalhadamente na Etapa 2:

   • ID do Cliente
   • URL de página inicial.

4. Se você não baixou durante a configuração do aplicativo, baixe o certificado de assinatura do PingOne:

   a. Acesse Conexões > Certificados e chaves.

   b. Encontre o aplicativo que você acabou de criar e selecione na extremidade direita da caixa para mostrar seus detalhes.

   c. À direita da guia Detalhes , selecione Baixar certificado e selecione o .crt .

5. Abra o arquivo de certificado em qualquer editor de texto, copie e salve o valor do certificado para a próxima parte da configuração, descrita mais detalhadamente na Etapa 2.

1. Faça login no host portal como administrador do sistema.

2. Certifique-se de que Host esteja selecionado no topo do painel esquerdo e selecione Segurança.

3. Selecione Configurar em SAML SSO e siga as instruções para o provedor de identidade que você usa:

   1. Para configurar SAML para ADFS:

      1. Selecione a caixa de seleção Habilitado.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
      4. No campo Service Provider Entity ID, digite https://{yourDomain}/{organizationName}/identity_.
      5. No campo Identity Provider Entity ID, cole o valor obtido ao configurar a autenticação ADFS.
      6. No campo URL do serviço de logon único, cole o valor obtido ao configurar a autenticação ADFS.
      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
      8. No campo Return URL, digite https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Defina o parâmetro estratégia de mapeamento de usuário externo para Pelo e-mail do usuário.
      10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .
      11. No campo Signing Certificate, cole o texto do certificado.

   2. Para configurar o SAML para o Google:

      1. Selecione a caixa de seleção Habilitado.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
      4. No campo Service Provider Entity ID, digite https://{yourDomain}/{organizationName}/identity_.
      5. No campo ID da entidade do provedor de identidade, cole o valor de ID da entidade obtido ao configurar a autenticação do Google.
      6. No campo URL do serviço de logon único, cole o valor da URL do SSO obtido ao configurar a autenticação do Google.
      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
      8. No campo Return URL, digite https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Para Estratégia de mapeamento de usuário externo, selecione Por e-mail de usuário.
      10. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.
      11. No campo Certificado de assinatura, cole o valor de Certificado obtido durante a configuração do Google.

   3. Para configurar o SAML para o Okta:

      1. Selecione a caixa de seleção Habilitado.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
      4. No campo Service Provider Entity ID, digite https://{yourDomain}/{organizationName}/identity_.
      5. No campo Identity Provider Entity ID, cole o valor do Emissor do provedor de identidade obtido durante a configuração do Okta.
      6. No campo URL do serviço de login único, cole o valor da URL de login do provedor de identidade obtido durante a configuração do Okta.
      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
      8. No campo Return URL, digite https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.
      10. No campo Certificado de assinatura, cole o valor X.509 de Certificado obtido durante a configuração do Okta.

   4. Para configurar SAML para o PingOne:

      1. Selecione a caixa de seleção Habilitado.
      2. Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts.
      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
      4. No campo Service Provider Entity ID, cole sua URL do Automation Suite no formato https://{yourDomain}/{organizationName}/identity_.
      5. No campo ID da entidade do provedor de identidade, cole o valor de ID do Emissor obtido durante a configuração do PingOne.
      6. Defina o parâmetro da URL do serviço de login único no valor da URL de login único obtido durante a configuração do PingOne.
      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
      8. No campo Return URL, digite https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback.
      9. Para a estratégia de mapeamento de usuário externo, selecione por e-mail de usuário.
      10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .
      11. No campo Signing Certificate, cole o valor obtido durante a configuração do PingOne.

4. Selecione Salvar para salvar as alterações e retornar à página anterior.

5. Selecione a alternância à esquerda do SAML SSO para habilitar a integração.

6. Reinicie o pod "identity-service-api-*". Isso é necessário depois de fazer qualquer alteração nos Provedores Externos.

   1. Conecte-se ao servidor primário usando SSH.

   2. Execute o seguinte comando:

      kubectl -n uipath rollout restart deployment identity-service-api

Etapa 3.1.Mapeamento personalizado​

• Estratégia de mapeamento de usuário externo - define a estratégia de mapeamento. As seguintes opções estão disponíveis:

  • By user email - Seu endereço de e-mail é definido como o atributo. Esse é o valor padrão.
  • By username - Seu nome de usuário é definido como o atributo.
  • By external provider key – Uma chave de provedor externa é definida como o atributo.

• Nome da declaração do identificador de usuário externo - define a declaração a ser usada como um identificador para o mapeamento. Isso é necessário apenas se você definir seu nome de usuário como o atributo.