Automation Suite
2023.10
falso
Imagem de fundo do banner
Guia do administrador do Automation Suite
Última atualização 25 de mar de 2024

Configurando a integração SAML

Você pode conectar a sua organização do Automation Suite a qualquer provedor de identidade (IdP) que use o padrão SAML 2.0. Esta página descreve o processo geral mostrando alguns exemplos de configurações de integração SAML.

Visão geral do processo de configuração

A Integração SAML foi projetada de forma que possa ser implementada gradualmente, sem causar interrupção aos usuários existentes.

As principais fases do processo, descritas com mais detalhes nesta página, são:

  1. Limpar contas de usuário inativas
  2. Configurar a integração SAML
  3. Transição de usuários existentes para login com SAML SSO
  4. Configurar permissões e robôs para novos usuários
  5. Descontinuar o uso de contas locais (opcional)

Restrições conhecidas

Não é possível pesquisar contas do seu provedor de identidade

Com a integração SAML, você não pode pesquisar todos os usuários e grupos do seu provedor de identidade. Apenas os usuários do diretório provisionado estão disponíveis para pesquisa.

Não é possível ver os usuários do diretório no nível da organização

Apenas usuários locais aparecem no nível da organização. O provisionamento Just-in-time adiciona usuários do diretório, para que eles não apareçam na página de gerenciamento Contas e grupos .

Pré-requisitos

Para configurar a integração SAML, você precisa:

  • Uma organização do Automation Suite com uma licença Enterprise ou Enterprise para avaliação.

  • Permissões de administrador no Automation Suite e no seu provedor de identidade terceirizado.

    Se você não tiver permissões de administrador em seu provedor de identidade, poderá trabalhar em conjunto com um administrador para concluir o processo de configuração.

  • UiPath Studio e UiPath Assistant versão 2020.10.3 ou posterior, para que você possa configurá-los para usar a implantação recomendada.

Observação:

Como transicionar da integração do Azure Active Directory

Se você estiver usando o para autenticação, recomendamos permanecer na integração do AAD porque é mais rico em recursos.

Se você decidir transicionar da integração do AAD, deverá substituir manualmente a atribuição de função feita por meio de grupos de diretório pela atribuição de função direta às contas de diretório para que não seja necessário recriar completamente seu esquema de acesso.

Etapa 1. Limpe contas de usuário inativas

Se sua organização recicla endereços de e-mail, é importante remover todas as contas de usuário inativas antes de configurar a integração SAML.

Ao habilitar a integração, as contas locais presentes no Automation Suite podem ser vinculadas à conta do diretório no provedor de identidade externo que usa o mesmo endereço de email. Essa vinculação de conta ocorre quando o usuário da conta do diretório com o endereço de e-mail faz login pela primeira vez. A identidade do seu provedor de identidade herda todas as funções que a conta local tinha para que a transição seja perfeita.

Por isso, se houver contas locais inativas no Automation Suite, existe o risco de que contas locais e contas de diretório sejam incompatíveis, o que pode levar a um aumento não intencional de permissões.

Para remover contas de usuário inativas:

  1. Faça login no Automation Suite como administrador da organização.
  2. Vá para Admin, verifique se a organização está selecionada na parte superior do painel esquerdo e clique em Contas e grupos.
  3. Na página Usuários , clique no cabeçalho da coluna Último ativo para reordenar os usuários para que aqueles com a data mais antiga para o último login sejam mostrados na parte superior:


    A coluna Ativo pela última vez mostra a data em que o usuário fez login pela última vez no Automation Suite. Se você visualizar Pendente nesta coluna, como no exemplo acima, significa que o usuário nunca fez login. Você pode usar essas informações para ajudar a identificar seus usuários inativos.

  4. Clique no ícone Excluir no final da linha para remover a conta local desse usuário.


  5. Na caixa de diálogo de confirmação, clique em Excluir para confirmar a exclusão da conta do Automation Suite.

    A conta de usuário é removida da página.

  6. Continue a excluir todas as contas de usuário inativas em sua organização.

Etapa 2. Configure a integração SAML

Agora, você deve configurar o Automation Suite e seu provedor de identidade (IdP) para a integração.

Etapa 2.1. Obtenha detalhes do provedor de serviços SAML

  1. Faça login no Automation Suite como administrador da organização.
  2. Vá para Admin, verifique se a organização está selecionada na parte superior do painel esquerdo e clique em Segurança.
  3. Clique em Configurar SSOe, no painel que se abre, clique em SAML 2.0:

    docs image
    Observação: Na seçãoProvedores Externos , clique em Configurar em SAML 2.0 .
    A próxima página fornece uma visão geral da integração.
  4. No canto inferior direito, clique em Avançar para prosseguir para a configuração.
    Observação: na etapa Detalhes gerais , em Dados a serem configurados no IdP, fornecemos as informações necessárias para configurar seu provedor de identidade para se conectar ao Automation Suite .

    docs image
  5. Copie e salve os valores de URL de metadados, ID de entidade e URL do Assertion Consumer Service. Você precisará deles na etapa seguinte.
    Mantenha esta guia do navegador aberta para mais tarde.

Etapa 2.2. Configurar seu provedor de identidade

O Automation Suite pode se conectar a qualquer provedor de identidade (IdP) de terceiros que use o padrão SAML 2.0.

Embora a configuração possa variar dependendo do IdP escolhido, validamos a configuração para os seguintes provedores, que você pode usar como referência para configurar a integração:

  • OKTA

  • PingOne

Para outros provedores de identidade, recomendamos que siga suas documentações de integração.

Configuração de exemplo para Okta

As instruções nesta seção são para uma configuração de amostra. Para obter mais informações sobre quaisquer configurações de IdP não abordadas aqui, use a documentação do Okta.
  1. Em uma guia diferente do navegador, faça login no Console de administração do Okta.
  2. Vá para Aplicativos > Aplicativos, clique em Criar Integração de Aplicativo e selecione SAML 2.0 como o método de login.
  3. Na página Configurações gerais, especifique um nome para o aplicativo com o qual você está integrando, ou seja, Automation Suite.
  4. Na página Configurar SAML, preencha a seção Geral da seguinte forma:

    • URL de login único: insira o valor do URL do Assertion Consumer Service que você obteve do Automation Suite.

    • Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.

    • URI do público: insira o valor do ID da entidade que você obteve do Automation Suite.

    • Formato do ID do nome: selecione EmailAddress

    • Nome de usuário do aplicativo: selecione Email

  5. Para Declarações de Atributo, adicione o seguinte:
    • Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Deixe o Formato do Nome como Não especificado.

    • Defina Valor como user.email ou o atributo de usuário que contém os endereços de e-mail exclusivos do usuários

    • Opcionalmente, adicione outros mapeamentos de atributos. O Automation Suite também oferece suporte aos atributos de usuário Nome, Sobrenome, Cargo e Departamento. Essas informações são então propagadas para o Automation Suite, onde podem ser disponibilizadas para outros serviços, como o Automation Hub.

  6. Na página Feedback, selecione a opção de sua preferência.
  7. Clique em Concluir.
  8. Na guia Login, na seção Configurações, em Exibir instruções de configuração, copie o valor do URL de metadados do provedor de identidade e salve-o para uso posterior.
  9. Na página Aplicativo para Automation Suite, selecione o aplicativo recém-criado.
  10. Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e, em seguida, selecione os usuários que você deseja permitir que usem a autenticação SAML para Automation Suite. Os usuários recém-adicionados serão exibidos na guia Pessoas.

Configuração de exemplo para o PingOne

As instruções nesta seção são para uma configuração de amostra. Para obter mais informações sobre quaisquer configurações de IdP não abordadas aqui, use a documentação do PingOne.
  1. Em uma guia diferente do navegador, faça login no Console de administração do Okta.
  2. Vá para Aplicativos > Aplicativos, clique em Criar Integração de Aplicativo e selecione SAML 2.0 como o método de login.
  3. Na página Configurações gerais, especifique um nome para o aplicativo com o qual você está integrando, ou seja, Automation Suite.
  4. Na página Configurar SAML, preencha a seção Geral da seguinte forma:
    • URL de login único: insira o valor do URL do Assertion Consumer Service que você obteve do Automation Suite.
    • Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.
    • URI do público: insira o valor do ID da entidade que você obteve do Automation Suite.
    • Formato do ID do nome: selecione EmailAddress.
    • Nome de usuário do aplicativo: selecione Email
  5. Para Declarações de Atributo, adicione o seguinte:
    • Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Deixe o Formato do Nome como Não especificado.
    • Defina Valor como user.emailou o atributo de usuário que contém o endereço de e-mail exclusivo do usuário.
    • Opcionalmente, adicione outros mapeamentos de atributos. O Automation Suite também oferece suporte aos atributos de usuário Nome, Sobrenome, Cargo e Departamento. Essas informações são então propagadas para o Automation Suite, onde podem ser disponibilizadas para outros serviços, como o Automation Hub.
  6. Na página Feedback, selecione a opção de sua preferência.
  7. Clique em Concluir.
  8. Na guia Login, na seção Configurações, em Exibir instruções de configuração, copie o valor do URL de metadados do provedor de identidade e salve-o para uso posterior.
  9. Na página Aplicativo para Automation Suite, selecione o aplicativo recém-criado.
  10. Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e, em seguida, selecione os usuários que você deseja permitir que usem a autenticação SAML para Automation Suite. Os usuários recém-adicionados serão exibidos na guia Pessoas.

Step 2.3. Configure Automation Suite

Para habilitar o Automation Suite como um provedor de serviços que reconhece seu provedor de identidade, conclua as etapas abaixo:

  1. Retorne à guia de configuração SAML no Automation Suite.
  2. Na etapa Detalhes gerais, em Dados do IdP, preencha o campo URL de metadados com o URL de metadados obtido durante a configuração.
  3. Clique em Recuperar dados.
    Observação: quando concluído, os campos URL delogin,ID da entidade do provedor de identidadee Certificado de assinatura são preenchidos com as informações do IdP.
  4. Para inserir manualmente vários certificados, cole-os no campo Certificado de assinatura, separados por um caractere de nova linha.
    docs image
  5. Clique em Avançar no canto inferior direito para seguir com a próxima etapa.
  6. Nas Configurações de provisionamento, preencha a seção Domínios permitidos com os domínios aos quais você deseja permitir que os usuários acessem. Insira todos os domínios suportados pelo provedor de identidade configurado.
    Separe múltiplos domínios usando vírgulas.
  7. Marque a caixa de seleção para indicar que você entende que as contas com endereços de e-mail correspondentes serão vinculadas.
  8. Na seção Mapeamento de atributos, mapeie os atributos Nome e Sobrenome para o Nome de exibição. Além disso, você pode configurar outros mapeamentos opcionais, conforme a necessidade, para sua integração.
  9. Se você também deseja configurar detalhes avançados, clique em Avançar no canto inferior direito para avançar para a etapa final.
    Caso contrário, clique em Testar e Salvar para concluir a configuração da integração e pule as etapas restantes nesta seção.
  10. Na página Configurações avançadas, configure as opções conforme necessário:
    • Permitir resposta de autenticação não solicitada: habilite se quiser navegar para Automation Suite a partir do painel do IdP.
    • Tipo de associação SAML: o redirecionamento HTTP define a configuração SAML para se comunicar usando parâmetros de URL por meio do agente de usuário HTTP.
    • Uso do certificado de serviço: selecione a opção de sua preferência.
  11. Clique em Testar e Salvar para finalizar a configuração da integração.

Etapa 2.4. Verifique se a integração está em execução

Para validar se a integração do SAML SSO está funcionando corretamente, verifique se a integração está em execução:

  1. Abra uma janela do navegador no modo anônimo.
  2. Navegue até o URL específico da organização do Automation Suite.
  3. Verifique o seguinte:

    • Você é solicitado a fazer login com seu provedor de identidade SAML?

    • Você consegue fazer login com sucesso?

    • Se estiver fazendo login com um endereço de e-mail que corresponda a uma conta de usuário existente, você tem as permissões apropriadas?

Etapa 2.5. Configure regras de provisionamento (opcional)

Os administradores podem configurar regras de provisionamento just-in-time que adicionam automaticamente usuários a um grupo do UiPath existente usando os pares de nome/valor do atributo fornecidos pelo IdP por meio de login. Ao utilizar grupos, os usuários são provisionados automaticamente com as licenças e funções certas quando fazem login.

As regras de provisionamento Just-in-time são avaliadas quando um usuário faz login. Se a conta de usuário atender às condições de uma regra, ela será adicionada automaticamente ao grupo associado à regra.

Por exemplo, um Administrators pode configurar uma regra para provisionar usuários diretamente no grupo de Usuários da Automação usando estas configurações: Declaração=group, Relacionamento=is, Valor=Automation User.
docs image

Fase 1. Configure grupos de provisionamento

Adicionar uma conta a um grupo significa que a conta herda as licenças, funções e configuração do UiPath Robot definidas para o grupo, se houver.

Portanto, se configurar um grupo com um tipo específico de usuário em mente (por exemplo, seus funcionários que criam as automações ou seus funcionários que testam as automações), você pode integrar um novo funcionário desse tipo simplesmente definindo sua conta no IdP da mesma forma que outras contas semelhantes.

Dessa forma, você configura o grupo uma vez e replica a configuração adicionando contas ao grupo quando necessário. Além disso, se a configuração de um determinado grupo de usuários precisar ser alterada, você só precisará atualizar o grupo uma vez e as alterações se aplicarão a todas as contas do grupo.

Para configurar um grupo para uma regra de provisionamento:

  1. Crie um novo grupo local. Consulte Como adicionar grupos.

    Se desejar, você pode usar um de seus grupos existentes em vez de criar um novo.

  2. (Opcional e requer gerenciamento de licença de usuário) Se os usuários deste grupo precisarem de licenças de usuário, configure as regras de alocação de licença para o grupo. Consulte Como atribuir licenças por associação ao grupo.

    Se você estiver usando um grupo existente, verifique a alocação de licença para o grupo para certificar-se de que as licenças corretas estão sendo alocadas. Se não, altere as alocações ou considere a criação de um novo grupo.

  3. Atribua funções de tenant e, opcionalmente, conclua a configuração do robô para o grupo. Consulte Como atribuir funções a um grupo.

    Se você estiver usando um grupo existente, verifique as funções atribuídas ao grupo para certificar-se de que sejam adequadas para o tipo de usuário que você adicionará ao grupo. Se não forem, edite as funções atribuídas a este grupo ou considere a criação de um novo grupo.

  4. Adicione o grupo às pastas e atribua funções de pasta, conforme necessário. Consulte Gerenciando o acesso à pasta.

Agora você pode usar esse grupo em uma regra de provisionamento.

Fase 2. Crie uma regra de provisionamento para um grupo

Observação:

Certifique-se de que a declaração associada à regra de provisionamento SAML seja enviada para a carga útil SAML configurando-a no aplicativo SAML.

Depois que a integração SAML estiver configurada e depois de definir um grupo:

  1. Vá para Administrador > Configurações de segurança > Configurações de autenticação.

  2. Na opção SAML SSO, clique em Exibir regras de provisionamento:



    A página Regras de provisionamento de SAML SSO é aberta, na qual suas regras existentes são listadas.

  3. No canto superior direito da página, clique em Adicionar regra.

    A página Adicionar nova regra é aberta.

  4. Em Detalhes básicos, preencha o campo Nome da regra e, opcionalmente, preencha o campo Descrição.

  5. Em Condições, clique em Adicionar regra.

    Uma linha de campos para uma nova condição é adicionada. Juntos, eles definem os critérios que uma conta deve atender ao fazer login para ser adicionada a um grupo (escolhido posteriormente).



  6. No campo Claim, digite o nome da declaração, conforme aparece no IdP.

  7. Na lista Relacionamento, selecione como a declaração se relaciona com o valor. As seguintes opções estão disponíveis:

    Relacionamento

    Requisito de condição

    Exemplo

    está

    correspondência exata, sensível a maiúsculas e minúsculas
    Department is RPA exige que o valor da declaração Department seja RPA.
    A condição não é atendida se o valor for RPADev, por exemplo.

    Essa relação funciona para declarações de múltiplos valores.

    Por exemplo, se os valores administrator e developer forem enviados sob a declaração Group, então Group is administrator seria uma relação válida.

    não está

    qualquer coisa exceto o valor especificado, sensível a maiúsculas e minúsculas
    Para Department is not ctr, qualquer conta é adicionada ao grupo, a menos que Department tenha o valor ctr.
    A condição é satisfeita se o departamento for Ctr ou electr.

    contém

    inclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas
    Department contains RPA requer que o valor para declaração Department inclua RPA.
    A condição é satisfeita se o valor for RPADev, xRPAx, ou NewRPA, por exemplo.

    não contém

    exclui, não requer uma correspondência exata, sensível a maiúsculas e minúsculas
    Para Department not contains ctr, qualquer conta é adicionada ao grupo, a menos que o valor de Department inclua ctr.
    Contas para as quais o departamento é ctr ou electr, por exemplo, não são adicionadas ao grupo.

    não diferencia maiúsculas de minúsculas

    correspondência exata, não sensível a maiúsculas e minúsculas
    Department is case insensitive RPA requer que o valor para a declaração Department seja rpa, independente de maiúsculas e minúsculas.
    A condição é satisfeita se o valor for rpa, por exemplo. A condição não é satisfeita se o valor for crpa.

    contém maiúsculas e minúsculas

    inclui, não requer uma correspondência exata, não sensível a maiúsculas e minúsculas
    Department contains case insensitive RPA requer que o valor para a declaração Department inclua RPA, independente de maiúsculas e minúsculas.
    A condição é satisfeita se o valor for rpa, cRPA, ou rpA, por exemplo.
  8. No campo Valor, digite o valor necessário para satisfazer à condição.

  9. Se você quiser adicionar outra condição, clique em Adicionar regra para adicionar uma nova linha de condição.

    Ao adicionar várias condições, todas as condições devem ser satisfeitas para que a regra de provisionamento seja aplicada. Por exemplo, se você definir as regras Department is RPA e Title is Engineer, somente os usuários que estiverem no departamento de RPA e tiverem o título Engenheiro serão adicionados aos grupos especificados. Uma conta para a qual o departamento é RPA, mas o título é QA, não é adicionada aos grupos.

  10. Em Atribuir a grupos, na caixa Adicionar Grupos, comece a digitar o nome de um grupo e selecione um grupo na lista de resultados. Repita o processo para adicionar mais grupos, se necessário.

    Quando as condições forem satisfeitas, as contas serão adicionadas automaticamente a esses grupos quando fizerem login.

  11. Clique em Salvar no canto inferior direito para adicionar a regra.

Com uma regra em vigor, sempre que um usuário fizer login e sua conta atender às condições especificadas para uma regra, a sua conta será adicionada aos grupos de provisionamento anexados à regra, e a sua conta será configurada para funcionar.

Mapeamento de atributo SAML

Ao configurar a integração do diretório SAML, os administradores da organização têm a capacidade de definir quais atributos de seu IdP devem ser mapeados para os atributos de usuário do sistema. Depois, quando um usuário fizer login por meio da integração de diretório SAML, o sistema lerá as declarações que são transmitidas para a carga útil do ACS e mapeará o valor para seus atributos de sistema correspondentes.

Por exemplo, se essa for a estrutura do usuário em seu IdP, um administrador da organização pode configurar as seguintes configurações de mapeamento de atributo para ter essas informações preenchidas no objeto de usuário do sistema. 

{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}
docs image

Quando um usuário nesta organização fizer login por meio da integração de diretório SAML, seu objeto de usuário será atualizado para refletir essa configuração. 

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}
Observação:

  • Seu IdP deve ser configurado para transmitir essas declarações na carga útil do ACS.

  • Certifique-se de que os nomes de atributo configurados no IdP correspondam às configurações de mapeamento de atributo no portal do administrador da organização.

Etapa 3. Faça a transição de seus usuários para SAML SSO

Depois que as permissões forem configuradas, recomendamos que você peça a todos os usuários existentes que desconectem-se de suas contas da UiPath e façam login novamente usando o SAML SSO.

Para fazer login no Studio e no Assistant usando o SAML SSO, os usuários devem configurar o Assistant da seguinte forma:

  1. No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
  2. Clique em Sair.
  3. Para o tipo de conexão, selecione URL do Serviço.
  4. No campo URL do serviço, adicione o URL específico da organização.
    O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID/. Caso contrário, a conexão falhará informando que o usuário não pertence a nenhuma organização.
  5. Faça login novamente com SAML SSO.

Etapa 4. Configure permissões e robôs

Isso só é necessário para novos usuários que não ainda não usaram o Automation Suite e, portanto, não tinham uma conta local configurada para eles no Automation Suite quando a integração foi habilitada.

Você pode adicionar novos usuários a grupos do Automation Suite usando o endereço de e-mail deles (conforme usado no IdP externo). Depois que um usuário for atribuído a um grupo ou estiver conectado, ele estará disponível por meio da pesquisa de atribuição de função em todos os serviços da Automation Suite.

Etapa 5. Descontinue o uso de contas de usuários locais (opcional)

Depois que todos os usuários fizerem a transição para o SAML SSO e os novos usuários forem configurados, recomendamos que você remova todas as contas de usuários locais que não sejam contas de administrador. Isso garante que os usuários não possam mais fazer login com suas credenciais de conta local e tenham que fazê-lo via SAML SSO.

Considerações para descontinuar o uso de contas locais

Em caso de problemas com a integração do SAML (como atualizar um certificado expirado), ou se você quiser alternar para uma opção de autenticação diferente, é recomendável uma conta de usuário local com a função de administrador.

Solução de problemas

Se você estiver recebendo o erro User login failed. (#216), pode ser devido ao mapeamento de endereço de e-mail ausente na configuração do provedor de identidade SAML.
A declaração SAML deve ser nomeada http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress e o valor deve ter um endereço de e-mail válido.

Was this page helpful?

Suporte e serviços
Obtenha a ajuda que você precisa
UiPath Academy
Aprendendo RPA - Cursos de automação
Fórum do UiPath
Fórum da comunidade da Uipath
Logotipo branco da Uipath
Confiança e segurança
Termos de Uso
Política de Privacidade
Política de cookies
© 2005-2024 UiPath. All rights reserved.