automation-suite
2023.4
false
Importante :
A tradução automática foi aplicada parcialmente neste conteúdo. A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.
UiPath logo, featuring letters U and I in white

Guia do administrador do Automation Suite

Última atualização 18 de dez de 2024

Configurando SSO: SAML 2.0

Você pode habilitar o SSO usando qualquer provedor de identidade que suporte o protocolo de autenticação SAML 2.0.

Visão geral

A ativação do SAML SSO é um processo de várias etapas e você deve concluir a seguinte configuração:

  1. Configure seu provedor de identidade para reconhecer a UiPath Platform como um provedor de serviços.
  2. Configure a UiPath Platform como um provedor de serviços para reconhecer e confiar em seu provedor de identidade.
  3. Provisione usuários para sua organização para permitir que eles façam login com SSO usando o protocolo SAML 2.0 do seu provedor de identidade.

Etapa 1. Configure seu provedor de identidade

A UiPath oferece suporte a vários provedores de identidade.

Nesta seção, exemplificamos como encontrar a configuração específica e obter os certificados para cada um dos seguintes provedores de identidade:

  • ADFS

  • Google

  • OKTA

  • PingOne

A. Configurando ADFS

Configure uma máquina para suportar ADFS e certifique-se de ter acesso ao software de Gerenciamento ADFS. Trabalhe com o administrador do sistema, se necessário.

Observação: As etapas abaixo são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a documentação do ADFS.
  1. Abra o gerenciamento ADFS e defina uma nova confiança de terceira parte confiável para o Orchestrator da seguinte maneira:
    1. Clique em Confiança de Parte Confiável.
    2. No painel Ações, clique em Adicionar Confiança de Terceira Parte Confiável. O Assistente de Adicionar Confiança da Parte Confiável é exibido.
    3. Na seção de Boas-vindas, selecione Conhecimento de Declarações.
    4. Na seção Selecionar Dados, escolha a opção Inserir dados da parte confiável manualmente.
    5. Na seção Especificar Nome de Exibição, no campo Nome de exibição, insira o URL da instância do Orchestrator.
    6. A seção Configurar certificado não precisa de nenhuma configuração específica, então deixe como está.
    7. Na seção configurar URL, selecione Habilitar suporte para o protocolo SAML 2.0 Web SSO.
    8. In the Relying party SAML 2.0 SSO service URL field, fill in the Identity base URL of your Automation Suite instance, plus the suffix /Saml2/Acs. For example, https://{yourDomain}/identity_.
    9. In the Relying party trust identifier field, under the Configure Identifiers section, fill in the Identity base URL, for example https://{yourDomain}/identity_.
    10. Na seção Escolher Política de Controle de Acesso, certifique-se de selecionar a política de controle de acesso Permitir todos.
    11. Os itens Pronto para adicionar confiança e Terminar não precisam de nenhuma configuração específica, então deixe-as como estão.
      A parte confiável recém-adicionada é exibida na janela Confiança de Terceira Parte Confiável.
    12. Vá para Ações > Propriedades > Endpoints e certifique-se de que POST esteja selecionado para Associação e que a caixa de seleção Definir o URL confiável como padrão esteja marcada.

      A associação de Endpoint precisa ser Post. Outras associações como redirecionamento não são compatíveis com a UiPath®, pois o ADFS não assina declarações de redirecionamento.

    13. Go to Actions > Properties > Identifiers and make sure the Identity base URL is present, https://{yourDomain}/identity_.
  2. Selecione a confiança de parte confiável e clique em Editar a Política de Emissão de Declaração no painel Ações.

    O assistente de Editar a Política de Emissão de Declaração é exibido.

  3. Clique em Adicionar regra e crie uma nova regra usando o modelo de Enviar Atributos LDAP como Declarações com as seguintes configurações:

    Atribuição de LDAP

    Tipo de reivindicação de saída

    Endereços de e-mail

    Endereço de e-mail

    User-Principal-Name

    ID de nome

  4. Depois que o ADFS estiver configurado, abra o PowerShell como administrador e execute os seguintes comandos:
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      Substitua DISPLAYNAME pelo valor definido na etapa 1.e.
    2. Restart-Service ADFSSRV.

B. Configurando Google

Observação: As etapas abaixo são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do Google.
  1. Faça login no console de administração como administrador, vá para Aplicativos e depois Aplicativos web e móveis.
  2. Clique em Adicionar aplicativo e depois em Adicionar aplicativo SAML personalizado.
  3. Na página Detalhes do aplicativo, preencha um nome para sua instância do Automation Suite.
  4. Na página de detalhes do provedor de identidade do Google , copie e salve o seguinte para mais tarde:
    • URL do SSO
    • ID da entidade
  5. Baixe o certificado, abra-o com um editor de texto, copie e salve o valor para a próxima parte da configuração na Etapa 2. Configure o Automation Suite.
  6. Na página Detalhes do provedor de serviços, digite o seguinte:
    • ACS URL: https://{yourDomain}/identity_/Saml2/Acs
    • Entity ID: https://{yourDomain}/identity_
  7. Na página Mapeamento de atributos, forneça os seguintes mapeamentos:
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

      Observe que essa declaração diferencia maiúsculas de minúsculas.

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. Depois de configurar o aplicativo SAML, vá para Acesso do usuário no aplicativo Automation Suite SAML no console de administração do Google e clique em Ativado para todos .

C. Configurando o Okta

Observação: As etapas abaixo são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do Okta.
  1. Faça login no Console de administração do Okta, vá para Aplicativos > Aplicativos , clique em Criar integração de aplicativos , e selecione SAML 2.0 como o método de login .
  2. Na página Configurações gerais, especifique um nome para sua instância do Automation Suite.
  3. Na página Configurar SAML, preencha a seção Geral.

    Por exemplo:

    • Single sign on URL: The Identity base URL + /Saml2/Acs. For example, https://{yourDomain}/identity_/Saml2/Acs.
    • Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.
    • Audience URI: https://{yourDomain}/identity_
    • Formato de ID de nome: EmailAddress
    • Nome de usuário do aplicativo: E-mail
  4. Preencha a seção de Declarações de Atributo:
    • No campo Nome , tipo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Observe que essa declaração diferencia maiúsculas de minúsculas.
    • A partir da lista Valor, selecione user.email.
  5. Na seção Feedback selecione a opção que se adequa a você.
  6. Clique em Concluir.
  7. Na guia Login, na seção Configurações, clique em Visualizar instruções de configuração.

    Você será redirecionado para uma nova página contendo as instruções necessárias para concluir a próxima parte da configuração na Etapa 2. Configure o Automation Suite:

    • URL de login do provedor de identidade
    • Emissor do Provedor de Identidade
    • Certificado X.509
  8. Para que os usuários possam usar a autenticação Okta, eles devem ser atribuídos ao aplicativo recém-criado:
    1. Na página Aplicativo, selecione o aplicativo recém-criado.
    2. Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e selecione os usuários que receberão as permissões necessárias. Os usuários recém-adicionados serão exibidos na guia Pessoas.

D. Configurando o PingOne

Note: The following steps are a broad description of a sample configuration. For more detailed instructions, see the PingOne documentation .
  1. Add a web application that connects using SAML in PingOne , with the following specifics:
    1. Na página Configurar conexão SAML, selecione Inserir manualmente e preencha o seguinte:
      • ACS URLS: Case-sensitive Identity base URL + /Saml2/Acs . For example, https://{yourDomain}/identity_
      • ID de entidade:https://{yourDomain}/identity_
      • Associação de SLO: Redirecionamento HTTP
      • Duração da validade da declaração : Insira o número de segundos para o período de validade.

    2. Na página Atributos de mapa, mapeie o seguinte atributo:
      Endereço de e-mail = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Observe que essa declaração diferencia maiúsculas de minúsculas.
  2. Em Conexões > Aplicativos, encontre o aplicativo que você acabou de criar e clique no ícone na extremidade direita da caixa para mostrar seus detalhes.
  3. From the Profile tab, copy and save the following values for the next part of setup, described below in Step 2:
    • ID do Cliente

    • URL de página inicial.

  4. Se você não baixou durante a configuração do aplicativo, baixe o certificado de assinatura do PingOne:
    1. Acesse Conexões > Certificados e chaves.
    2. Encontre o aplicativo que você acabou de criar e clique na extremidade direita da caixa para mostrar seus detalhes.
    3. À direita da guia Detalhes, clique Baixar certificado e selecione o .crt .
  5. Open the certificate file in any text editor, copy and save the certificate value for the next part of setup, described below in Step 2.

Step 2. Configure Automation Suite

To enable Automation Suite as a service provider that recognizes your identity provider:
  1. Log in to the host portal as a system administrator.
  2. Certifique-se de que Host esteja selecionado na parte superior do painel esquerdo e clique em Segurança.
  3. Clique em Configurar em SAML SSO e siga as instruções para o provedor de identidade que você usa:
    1. Para configurar SAML para ADFS:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, digite https://{yourDomain}/identity_.
      5. No campo Identity Provider Entity ID, cole o valor obtido ao configurar a autenticação ADFS.

      6. No campo URL do serviço de logon único, cole o valor obtido ao configurar a autenticação ADFS.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. In the Return URL field, type https://{yourDomain}/identity_/externalidentity/saml2redirectcallback.
      9. Defina o parâmetro estratégia de mapeamento de usuário externo para Pelo e-mail do usuário.

      10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .

      11. No campo Signing Certificate, cole o texto do certificado.

    2. Para configurar o SAML para o Google:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, digite https://{yourDomain}/identity_.
      5. No campo ID da entidade do provedor de identidade, cole o valor de ID da entidade obtido ao configurar a autenticação do Google.

      6. No campo URL do serviço de logon único, cole o valor da URL do SSO obtido ao configurar a autenticação do Google.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. In the Return URL field, type https://{yourDomain}/identity_/externalidentity/saml2redirectcallback.
      9. Para Estratégia de mapeamento de usuário externo, selecione Por e-mail do usuário.

      10. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.

      11. No campo Certificado de assinatura, cole o valor de Certificado obtido durante a configuração do Google.

    3. Para configurar SAML para Okta:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, digite https://{yourDomain}/identity_.
      5. No campo Identity Provider Entity ID, cole o valor do Emissor do provedor de identidade obtido durante a configuração do Okta.

      6. No campo URL do serviço de login único, cole o valor da URL de login do provedor de identidade obtido durante a configuração do Okta.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. In the Return URL field, type https://{yourDomain}/identity_/externalidentity/saml2redirectcallback.
      9. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.

      10. No campo Certificado de assinatura, cole o valor X.509 de Certificado obtido durante a configuração do Okta.

    4. Para configurar SAML para o PingOne:
      1. Selecione a caixa de seleção Habilitado.

      2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.

      3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.

      4. No campo Service Provider Entity ID, cole sua URL do Automation Suite no formato https://{yourDomain}/identity_.
      5. No campo ID da entidade do provedor de identidade, cole o valor de ID do Emissor obtido durante a configuração do PingOne.

      6. Defina o parâmetro da URL do serviço de login único no valor da URL de login único obtido durante a configuração do PingOne.

      7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.

      8. In the Return URL field, type https://{yourDomain}/identity_/externalidentity/saml2redirectcallback.
      9. Para a estratégia de mapeamento de usuário externo, selecione por e-mail de usuário.

      10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .

      11. No campo Signing Certificate, cole o valor obtido durante a configuração do PingOne.

  4. Clique em Salvar para salvar as alterações e retornar à página anterior.
  5. Clique na alternância à esquerda do SAML SSO para habilitar a integração.
  6. Restart the 'identity-service-api-*' pod. This is required after making any changes to external providers.
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando:
      kubectl -n uipath rollout reiniciar implantação identity-service-api

Etapa 3. Configurações opcionais

A configuração a seguir é opcional e só será necessária se você quiser usar um ou ambos os recursos de segurança avançados.

Etapa 3.1.Mapeamento personalizado

ADFS, Google e Okta, todos usam o endereço de e-mail como um atributo SAML. Essa seção trata do mapeamento SAML personalizado com base no nome de usuário ou de uma chave de provedor externo.

Importante: A configuração de atributos de mapeamento personalizados afeta todo o sistema, o que significa que eles se aplicam a todos os provedores de identidade existentes. Como resultado, nenhum outro provedor (Azure, Windows) pode funcionar enquanto um novo mapeamento estiver definido.

The following parameters need to be set in the SAML SSO configuration in the Security page at the host level.

  • Estratégia de mapeamento de usuário externo - define a estratégia de mapeamento. As seguintes opções estão disponíveis:

    • By user email - Seu endereço de e-mail é definido como o atributo. Esse é o valor padrão.
    • By username - Seu nome de usuário é definido como o atributo.
    • By external provider key – Uma chave de provedor externa é definida como o atributo.
  • Nome da declaração do identificador de usuário externo - define a declaração a ser usada como um identificador para o mapeamento. Isso é necessário apenas se você definir seu nome de usuário como o atributo.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.