UiPath Documentation
automation-suite
2023.10
false
Importante :
A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.

Guia do administrador do Automation Suite

Configurando a integração SAML

Ao usar a configuração SAML no Automation Suite, aprimoramos a segurança e a eficiência na autenticação. Nosso sistema usa SAML para habilitar o Logon único (SSO) por meio de tokens de acesso seguro, permitindo que a UiPath Platform se conecte com qualquer Provedor de Identidade (IdP) que use o padrão SAML 2.0.

Além disso, nossa configuração SAML inclui recursos de Logout Único (SLO), que habilitam logouts simultâneos em todos os seus aplicativos unificados sob seu IdP.

A Integração SAML foi projetada de forma que possa ser implementada gradualmente, sem causar interrupção aos usuários existentes.

Observação:

Alternando da integração nativa do Microsoft Entra ID para a integração SAML Se você estiver usando o Microsoft Entra ID para autenticação, recomendamos usar nossa integração nativa do Microsoft Entra ID porque é mais rica em recursos. Se você decidir alternar para a integração SAML, deve substituir manualmente a atribuição de funções feita por meio de grupos de diretórios com atribuição direta de funções às contas de diretório para que você não precise recriar completamente seu esquema de acesso.

Restrições conhecidas

  • As declarações SAML criptografadas do seu provedor de identidade não são compatíveis.
  • Você não pode pesquisar usuários e grupos a partir do seu provedor de identidade. Apenas os usuários do diretório provisionado estão disponíveis para pesquisa.
  • Você não pode visualizar os usuários do diretório no nível da organização. Apenas usuários locais aparecem no nível da organização. O provisionamento just-in-time adiciona usuários de diretório, para que não apareçam na página Contas e grupos no Automation Suite.

Pré-requisitos

Para configurar a integração SAML, você precisa do seguinte:

  • Permissões de administrador na organização do Automation Suite e no seu provedor de identidade terceirizado. Se você não tiver permissões de administrador em seu provedor de identidade, poderá trabalhar em conjunto com um administrador para concluir o processo de configuração.
  • UiPath® Studio e UiPath Assistant versão 2020.10.3 ou posterior, para que você possa configurá-los para usar a implantação recomendada.

Etapa 1. Limpe contas de usuário inativas

Se sua organização recicla endereços de e-mail, é importante remover todas as contas de usuário inativas antes de configurar a integração SAML.

Ao habilitar a integração, as contas locais presentes no Automation Suite podem ser vinculadas à conta do diretório no provedor de identidade externo que usa o mesmo endereço de email. Essa vinculação de conta ocorre quando o usuário da conta do diretório com o endereço de e-mail faz login pela primeira vez. A identidade do seu provedor de identidade herda todas as funções da conta local, para que a transição seja perfeita. Por isso, se houver contas locais inativas no Automation Suite, existe o risco de que contas locais e contas de diretório sejam incompatíveis, o que pode levar a um aumento não intencional de permissões.

Para remover contas de usuário inativas:

  1. Faça login no Automation Suite como administrador da organização.

  2. Acesse Admin, selecione sua organização e, depois, selecione Contas e grupos. A página Contas e grupos para a organização é aberta na guia Usuários.

  3. Selecione o cabeçalho da coluna para a coluna Último ativo para reordenar os usuários para que aqueles com a data mais antiga do último login sejam mostrados no topo. A coluna Ativo pela última vez mostra a data da última logon do usuário. Pendente nesta coluna significa que o usuário nunca fez login.

  4. Selecione o ícone Excluir no final da linha para remover a conta local desse usuário.

  5. Na caixa de diálogo de confirmação, selecione Excluir para confirmar a exclusão da conta do Automation Suite. A conta de usuário é removida da página.

  6. Continue a excluir todas as contas de usuário inativas em sua organização.

Etapa 2. Configure a integração SAML

Agora, você deve configurar o Automation Suite e seu provedor de identidade (IdP) para a integração.

Etapa 2.1. Obtenha detalhes do provedor de serviços SAML

  1. Faça login no Automation Suite como administrador da organização.

  2. Acesse Admin, selecione sua organização e, depois, selecione Segurança. A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.

  3. Em Configuração do diretório para SSO, selecione Configurar SSO. A janela Configuração do SSO é aberta, descrevendo as vantagens e pré-requisitos para a integração.

  4. Das duas opções de SSO, selecione SAML 2.0 para configurar sua integração com seu IdP. É aberta a página Vantagens da integração SAML , que apresenta uma visão geral de alto nível das vantagens de usar a integração e os pré-requisitos.

  5. Selecione Avançar para continuar com a integração. A página SAML SSO é aberta na guia Detalhes gerais .

  6. Na seção superior da página, você pode encontrar as informações da UiPath necessárias para configurar seu provedor de identidade: URL do serviço de confirmação do consumidor, ID de entidade. Copie e salve-os para configurar o provedor de identidade.

  7. O ID de entidade contém o ID da organização por padrão. Você pode alterar o formato para usar o identificador global (sem ID da organização) usando a opção Formato de ID de entidade . Selecione Identificador específico da organização para usar o formato que contém o ID da organização ou Identificador global para usar o formato que não contém o ID da organização. Recomendamos usar o identificador específico da organização, porque ele permite que você inscreva várias organizações da UiPath em seu provedor de identidade, se você quiser fazer isso.

    Mantenha esta guia do navegador aberta para mais tarde.

Etapa 2.2. Configurar seu provedor de identidade

Você pode se conectar a qualquer provedor de identidade (IdP) de terceiros que use o padrão SAML 2.0. Embora a configuração possa variar dependendo do IdP escolhido, validamos a configuração para usar Okta ou PingOne, que você pode usar como referência para configurar a integração.

Para outros provedores de identidade, recomendamos que siga suas documentações de integração.

Step 2.3. Configure Automation Suite

Para habilitar o Automation Suite como um provedor de serviços que reconhece seu provedor de identidade, siga as seguintes etapas:

  1. Retorne à guia de configuração SAML SSO no Automation Suite.

  2. Na segunda seção da página Detalhes gerais , você pode ver os campos necessários para configurar o provedor de identidade no Automation Suite. No campo URL dos metadados , insira o URL dos metadados do seu provedor de identidade. Isso permite que a UiPath Platform busque e atualize regularmente dados do seu provedor de identidade, simplificando o processo de configuração SAML para o longo prazo.

    Importante:

    Recomendamos enfaticamente usar o URL de metadados durante a configuração do SAML. Isso permite que a UiPath busque e atualize regularmente dados do seu provedor de identidade, simplificando o processo de configuração SAML a longo prazo.

  3. Selecione Recuperar dados. Quando concluído, os campos URL de login, ID da entidade do provedor de identidade e certificado de assinatura são preenchidos com as informações do IdP.

  4. Mesmo que não seja o método recomendado, você pode optar por inserir manualmente os detalhes do SAML do seu provedor de identidade nos campos URL de login, ID da entidade do provedor de identidade e certificados de assinatura .

  5. Para inserir manualmente vários certificados, cole-os no campo Certificado de assinatura na codificação base64, entre os indicadores de certificado de início e fim, e separados por um caractere de nova linha. Por exemplo, tendo dois certificados, você deve usar o seguinte formato:

    -----BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
-----END CERTIFICATE-----

  6. Selecione Avançar no canto inferior direito para passar para a próxima etapa. A guia Configurações de provisionamento é aberta. Os atributos de mapeamento, conhecidos como "declarações", vinculam detalhes do usuário entre seu provedor de identidade e o Automation Suite. Isso garante que os dados do usuário, como um e-mail ou nome de usuário, correspondam em ambos os sistemas.

  7. Por padrão, o endereço de e-mail é usado como o identificador dos usuários. Siga estas etapas:

    1. Preencha a seção Domínios permitidos com os domínios dos quais você quer permitir que os usuários façam login. Insira todos os domínios compatíveis com o provedor de identidade configurado. Separe múltiplos domínios usando vírgulas.
    2. Selecione a caixa de seleção para Eu entendo e aceito que os usuários existentes e os usuários do SAML com endereços de email correspondentes tenham suas contas vinculadas para reconhecer que os usuários estão vinculados com base em seus endereços de email.
    3. Em Mapeamento de atributos, preencha o campo Nome de exibição com o atributo de seu IdP que você deseja mostrar no Automation Suite como o nome para os usuários. Você pode usar os atributos First Name e Last Name aqui.
    4. Opcionalmente, adicione novos mapeamentos, especificando a respectiva declaração do provedor de identidade e o atributo correspondente no Automation Suite.

  8. Depois de configurar os atributos, clique em Avançar para configurar detalhes avançados na guia Detalhes avançados .

    1. Allow unsolicited authentication response: Enable if you want to be able to navigate to Automation Suite from the IdP dashboard.
    2. Tipo de ligação SAML: selecione como a configuração do SAML deve se comunicar, por meio do agente do usuário HTTP. Selecione Redirecionamento HTTP para usar parâmetros de URL ou HTTP POST para usar um formulário HTML com conteúdo codificado em base64.
    3. Uso do certificado de serviço: escolha a finalidade do certificado de serviço: Assinatura e criptografia, Criptografia ou Assinatura. O certificado e seu objetivo são publicados no documento de metadados da UiPath SAML.

  9. Clique em Testar e Salvar para finalizar a configuração da integração.

Etapa 2.4. Verifique se a integração está em execução

Para validar se a integração do SAML SSO está funcionando corretamente:

  1. Abra uma janela do navegador no modo anônimo.

  2. Navegue até o URL da sua organização do Automation Suite.

  3. Verifique o seguinte:

    1. Você é solicitado a fazer login com seu provedor de identidade SAML?
    2. Você consegue fazer login com sucesso?
    3. Se estiver fazendo login com um endereço de e-mail que corresponda a uma conta de usuário existente, você tem as permissões apropriadas?

Etapa 2.5. Configure regras de provisionamento (opcional)

Se você usar declarações em seu IdP, poderá aproveitá-las como condições em uma regra de provisionamento para que os usuários sejam automaticamente provisionados com as licenças e funções corretas quando entrarem no Automation Suite. As regras de provisionamento são avaliadas quando um usuário faz login. Se a conta de usuário atender às condições para uma regra, ela será adicionada automaticamente ao grupo da UiPath local associado à regra. Por exemplo, um administrador pode configurar uma regra para provisionar usuários diretamente no grupo de Usuários de Automação usando estas configurações: Claim=grupo, Relacionamento=é, Valor=Automation User.

2.5.1 Configure grupos de provisionamento

No Automation Suite, adicionar uma conta a um grupo significa que a conta herda as licenças, funções e configuração de robô definida para o grupo, se houver.

Ao agrupar tipos de contas semelhantes (por exemplo, de desenvolvedores ou testadores), você pode simplificar o processo de integração do usuário ao Automation Suite. Apenas certifique-se de que no IdP você configurou contas semelhantes da mesma maneira.

Dessa forma, você configura o grupo uma vez e replica a configuração adicionando contas ao grupo quando necessário. Se a configuração de um determinado grupo de contas precisar ser alterada, você precisará atualizar o grupo apenas uma vez e as alterações se aplicarão a todas as contas do grupo.

Para configurar um grupo para uma regra de provisionamento:

  1. no Automation Suite. Se desejar, você pode usar um de seus grupos existentes em vez de criar um novo.
  2. (Opcional e requer gerenciamento de licença de usuário habilitado) Se as contas deste grupo precisarem de licenças de usuário, configure as regras de alocação de licença para o grupo. Se você estiver usando um grupo existente, verifique a alocação de licença para o grupo para certificar-se de que as licenças corretas estão sendo alocadas. Se não, altere as alocações ou considere a criação de um novo grupo.
  3. Atribua funções de tenant e, opcionalmente, conclua a configuração do robô para o grupo. Para instruções, consulte Atribuição de funções a um grupo . Se você estiver usando um grupo existente, verifique as funções atribuídas ao grupo para se certificar de que sejam adequadas para o tipo de conta que você adicionará ao grupo. Se não forem, edite as funções atribuídas a este grupo ou considere a criação de um novo grupo.
  4. Adicione o grupo às pastas e atribua funções de pasta, conforme necessário. Para obter instruções, consulte Gerenciando o acesso à pasta.

Agora você pode usar esse grupo em uma regra de provisionamento.

2.5.2. Criar uma regra de provisionamento para um grupo
Observação:

Certifique-se de que a declaração associada à regra de provisionamento SAML seja enviada para a carga útil SAML configurando-a no aplicativo SAML.

Depois que a integração SAML estiver configurada e depois de definir um grupo:

  1. Acesse Admin, selecione sua organização e, depois, selecione Segurança. A página Configurações de segurança para a organização é aberta na guia Configurações de autenticação.

  2. Na opção SAML SSO , selecione Exibir regras de provisionamento. A página Regras de provisionamento de SAML SSO é aberta, na qual suas regras existentes são listadas.

  3. No canto superior direito da página, selecione Adicionar regra. A página Adicionar nova regra é aberta.

  4. Em Detalhes básicos, preencha o campo Nome da regra e, opcionalmente, preencha o campo Descrição.

  5. Em Condições, selecione Adicionar regra. Uma linha de campos para uma nova condição é adicionada. Juntos, eles definem os critérios que uma conta deve atender ao fazer login para ser adicionada a um grupo (escolhido posteriormente).

  6. No campo Claim , digite o nome da declaração, conforme aparece no IdP. O campo diferencia maiúsculas de minúsculas.

  7. Na lista Relacionamento , selecione como a declaração se relaciona com o valor. As seguintes opções estão disponíveis, conforme descrito na tabela:

    RelacionamentoRequisito de condiçãoExemplo
    estácorrespondência exata, sensível a maiúsculas e minúsculasDepartment is RPA exige que o valor para a declaração Department seja RPA. A condição não é satisfeita se o valor for RPADev, por exemplo. Essa relação funciona para declarações de múltiplos valores. Por exemplo, se os valores administrator e developer forem enviados sob a declaração Group , então Group is administrator seria uma relação válida.
    não estáqualquer coisa exceto o valor especificado, sensível a maiúsculas e minúsculasPara Department is not ctr, qualquer conta é adicionada ao grupo, a menos que Department tenha o valor ctr. A condição é satisfeita se o departamento for Ctr ou electr.
    contéminclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculasDepartment contains RPA requer que o valor para declaração Department inclua RPA. A condição é satisfeita se o valor for RPADev, xRPAx, ou NewRPA, por exemplo.
    não contémexclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculasPara Department not contains ctr, qualquer conta é adicionada ao grupo, a menos que o valor de Department inclua ctr. Contas para as quais o departamento é ctr ou electr, por exemplo, não são adicionadas ao grupo.
    não diferencia maiúsculas de minúsculascorrespondência exata, não sensível a maiúsculas e minúsculasDepartment is case insensitive RPA requer que o valor para a declaração Department seja rpa, independente de maiúsculas e minúsculas. A condição é satisfeita se o valor for rpa, por exemplo. A condição não é satisfeita se o valor for crpa.
    contém maiúsculas e minúsculasinclui, não requer uma correspondência exata, não sensível a maiúsculas e minúsculasDepartment contains case insensitive RPA requer que o valor para a declaração Department inclua RPA, independente de maiúsculas e minúsculas. A condição é satisfeita se o valor for rpa, cRPA, ou rpA, por exemplo.

  8. No campo Valor, digite o valor necessário para satisfazer à condição.

  9. Se você quiser adicionar outra condição, selecione Adicionar regra para adicionar uma nova linha de condição.

    Ao adicionar várias condições, todas as condições devem ser satisfeitas para que a regra de provisionamento seja aplicada. Por exemplo, se você definir as regras Department is RPA e Title is Engineer, somente os usuários que estiverem no departamento de RPA e tiverem o título Engenheiro serão adicionados aos grupos especificados. Uma conta para a qual o departamento é RPA, mas o título é QA, não é adicionada aos grupos.

  10. Em Atribuir a grupos, na caixa Adicionar Grupos, comece a digitar o nome de um grupo e selecione um grupo na lista de resultados. Repita o processo para adicionar mais grupos, se necessário. Quando as condições forem satisfeitas, as contas serão adicionadas automaticamente a esses grupos quando fizerem login.

  11. Selecione Salvar no canto inferior direito para adicionar a regra.

Com uma regra em vigor, sempre que um usuário fizer login e sua conta atender às condições especificadas para uma regra, a sua conta será adicionada aos grupos de provisionamento anexados à regra, e a sua conta será configurada para funcionar no Automation Suite.

Fragmento de exemplo de carga SAML
<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

Mapeamento de atributo SAML

Ao configurar a integração do diretório SAML, os administradores da organização podem definir quais atributos de seu IdP devem ser mapeados para os atributos de usuário do sistema. Depois, quando um usuário fizer login por meio da integração de diretório SAML, o sistema lerá as declarações que são transmitidas para a carga útil do ACS e mapeará o valor para seus atributos de sistema correspondentes.

Observação:
  • Seu IdP deve ser configurado para transmitir essas declarações na carga útil do ACS.
  • Certifique-se de que os nomes de atributos configurados no IdP correspondam às configurações de mapeamento de atributos no portal do administrador da organização.

Por exemplo, se essa for a estrutura do usuário em seu IdP, um administrador da organização pode configurar as seguintes configurações de mapeamento de atributo para ter essas informações preenchidas no objeto de usuário do sistema.

{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}
{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}

Quando um usuário nessa organização faz login por meio da integração de diretório SAML, seu objeto de usuário é atualizado para refletir essa configuração.

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}
{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}

Etapa 3. Faça a transição de seus usuários para SAML SSO

Certifique-se de fornecer o URL específico da sua organização para a organização do Automation Suite para todos os seus usuários.

Observação:

Depois de transicionar para a integração SAML, a integração do Microsoft Entra ID é desabilitada. As atribuições de grupo do Microsoft Entra ID não se aplicam mais, portanto, a associação ao grupo do Automation Suite e as permissões herdadas do Microsoft Entra ID não são mais respeitadas.

Para entrar no Automation Suite com o SAML SSO, os usuários podem:

  • navegar para o URL específico da sua organização. O URL deve incluir o ID da organização e terminar em uma barra, tal como https://{yourDomain}/orgID.
  • navegue até https://{yourDomain}, selecione Continuar com SSO na página de login e forneça o URL específico da organização.

Para fazer login no UiPath Studio e no UiPath Assistant usando o SAML SSO, os usuários devem configurar o Assistant da seguinte forma:

  1. No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
  2. Selecione Sair.
  3. Para o tipo de conexão, selecione URL do Serviço.
  4. No campo URL do serviço, adicione o URL específico da organização.

O URL deve incluir o ID da organização e terminar em uma barra, tal como https://{yourDomain}/orgID. Caso contrário, a conexão falhará informando que o usuário não pertence a nenhuma organização. 5. Faça login novamente com SAML SSO.

Etapa 4. Configure permissões e robôs

Isso só é necessário para novos usuários que não ainda não usaram o Automation Suite e, portanto, não tinham uma conta local configurada para eles no Automation Suite quando a integração foi habilitada.

Você pode adicionar novos usuários a grupos do Automation Suite usando o endereço de e-mail deles (conforme usado no IdP externo). Depois que um usuário for atribuído a um grupo ou estiver conectado, ele estará disponível por meio da pesquisa de atribuição de função em todos os serviços da UiPath.

Etapa 5. Descontinuar o uso de contas locais (opcional)

AVISO:

Certifique-se de que todos os usuários tenham feito login com sua conta SSO pelo menos uma vez antes de remover suas contas locais. A vinculação de conta só ocorre no primeiro login SSO. Se uma conta local for excluída antes de o usuário fazer login via SSO, uma nova identidade de diretório será criada — o usuário perde acesso a seu trabalho anterior, incluindo projetos e soluções. Essa ação não poderá ser revertida.

Depois que todos os usuários fizerem a transição para o SAML SSO e os novos usuários forem configurados, recomendamos que você remova todas as contas de usuários locais que não sejam contas de administrador. Isso garante que os usuários não possam mais fazer login com suas credenciais de conta local e tenham que fazê-lo via SAML SSO.

Você pode identificar contas de usuários locais com base em seus ícones.

Uma conta local pode ser útil:

  • Para gerenciar problemas de integração com o SAML (por exemplo, atualizar um certificado expirado) ou se alterar as configurações de autenticação (recomenda-se uma conta com a função de administrador da organização).

Esta página foi útil?

Conectar

Precisa de ajuda? Suporte

Quer aprender? Academia UiPath

Tem perguntas? Fórum do UiPath

Fique por dentro das novidades