automation-suite

2023.4

false

Importante :

A tradução automática foi aplicada parcialmente neste conteúdo. A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.

Guia do administrador do Automation Suite

Última atualização 10 de fev de 2025

Configurando SSO: SAML 2.0

Você pode habilitar o SSO usando qualquer provedor de identidade que suporte o protocolo de autenticação SAML 2.0.

Visão geral

A ativação do SAML SSO é um processo de várias etapas e você deve concluir a seguinte configuração:

Configure seu provedor de identidade para reconhecer a UiPath Platform como um provedor de serviços.
Configure a UiPath Platform como um provedor de serviços para reconhecer e confiar em seu provedor de identidade.
Provisione usuários para sua organização para permitir que eles façam login com SSO usando o protocolo SAML 2.0 do seu provedor de identidade.

Etapa 1. Configure seu provedor de identidade

A UiPath oferece suporte a vários provedores de identidade.

Nesta seção, exemplificamos como encontrar a configuração específica e obter os certificados para cada um dos seguintes provedores de identidade:

ADFS
Google
OKTA
PingOne

A. Configurando ADFS

Configure uma máquina para suportar ADFS e certifique-se de ter acesso ao software de Gerenciamento ADFS. Trabalhe com o administrador do sistema, se necessário.

Observação: As etapas a seguir são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a documentação do ADFS.

Abra o gerenciamento ADFS e defina uma nova confiança de terceira parte confiável para o Orchestrator da seguinte maneira:
1. Selecione Confiança de Parte Confiável.
2. No painel Ações , selecione Adicionar Confiança de Terceira Parte Confiável. O Assistente de Instalação de Confiança de Terceira Parte Confiável é exibido.
3. Na seção de Boas-vindas, selecione Conhecimento de Declarações.
4. Na seção Selecionar Dados, escolha a opção Inserir dados da parte confiável manualmente.
5. Na seção Especificar Nome de Exibição, no campo Nome de exibição, insira o URL da instância do Orchestrator.
6. A seção Configurar certificado não precisa de nenhuma configuração específica, então deixe como está.
7. Na seção configurar URL, selecione Habilitar suporte para o protocolo SAML 2.0 Web SSO.
8. No campo Relying party SAML 2.0 SSO service URL, preencha a URL base do Identity da sua instância do Automation Suite, mais o /Saml2/Acs sufixo. Por exemplo, https://{yourDomain}/{organizationName}/identity_.
9. No campo Relying party trust identifier, na seção Configurar identificadores, preencha o URL base do Identity, por https://{yourDomain}/{organizationName}/identity_ exemplo.
10. Na seção Escolher Política de Controle de Acesso, certifique-se de selecionar a política de controle de acesso Permitir todos.
11. Os itens Pronto para adicionar confiança e Terminar não precisam de nenhuma configuração específica, então deixe-as como estão.
  A parte confiável recém-adicionada é exibida na janela Confiança de Terceira Parte Confiável.
12. Vá para Ações > Propriedades > Endpoints e certifique-se de que POST esteja selecionado para Associação e que a caixa de seleção Definir o URL confiável como padrão esteja marcada.
  
  A associação de Endpoint precisa ser Post. Outras associações como redirecionamento não são compatíveis com a UiPath®, pois o ADFS não assina declarações de redirecionamento.
13. Vá para Ações > Propriedades > Identificadores e certifique-se de que o URL base do Identity esteja presente,. https://{yourDomain}/{organizationName}/identity_
Selecione a confiança de parte confiável e selecione Editar a Política de Emissão de Declaração no painel Ações .

O assistente de Editar a Política de Emissão de Declaração é exibido.

Selecione Adicionar regra e crie uma nova regra usando o modelo de Enviar Atributos LDAP como Declarações com as seguintes configurações:

Atribuição de LDAP	Tipo de reivindicação de saída
Endereços de e-mail	Endereço de e-mail
User-Principal-Name	ID de nome

Depois que o ADFS estiver configurado, abra o PowerShell como administrador e execute os seguintes comandos:
1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
  
  Substitua DISPLAYNAME pelo valor definido na etapa 1.e.
2. Restart-Service ADFSSRV.

B. Configurando Google

Observação: As etapas a seguir são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do Google.

Faça login no console de administração como administrador, vá para Aplicativos e depois Aplicativos web e móveis.
Selecione Adicionar aplicativo e depois Adicionar aplicativo SAML personalizado.
Na página Detalhes do aplicativo, preencha um nome para sua instância do Automation Suite.
Na página de detalhes do provedor de identidade do Google , copie e salve o seguinte para mais tarde:
- URL do SSO
- ID da entidade
Baixe o certificado, abra-o com um editor de texto, copie e salve o valor para a próxima parte da configuração na Etapa 2. Configure o Automation Suite.
Na página Detalhes do provedor de serviços, digite o seguinte:
- URL ACS: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
- ID de entidade: https://{yourDomain}/{organizationName}/identity_
Na página Mapeamento de atributos, forneça os seguintes mapeamentos:
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  Observe que essa declaração diferencia maiúsculas de minúsculas.
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Depois de configurar o aplicativo SAML, vá para Acesso do usuário no aplicativo Automation Suite SAML no console de administração do Google e selecione Ativado para todos.

C. Configurando o Okta

Observação: As etapas a seguir são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do Okta.

Faça login no Console de administração do Okta, vá para Aplicativos > Aplicativos, selecione Criar integração de aplicativos e selecione SAML 2.0 como o método de login.
Na página Configurações gerais, especifique um nome para sua instância do Automation Suite.
Na página Configurar SAML, preencha a seção Geral.
Por exemplo:
- URL de login único: o URL base do Identity /Saml2/Acs +. Por exemplo, https://{yourDomain}/{organizationName}/identity_/Saml2/Acs .
- Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.
- URI da audiência: https://{yourDomain}/{organizationName}/identity_
- Formato de ID de nome: EmailAddress
- Nome de usuário do aplicativo: E-mail
Preencha a seção de Declarações de Atributo:
- No campo Nome , tipo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Observe que essa declaração diferencia maiúsculas de minúsculas.
- A partir da lista Valor, selecione user.email.
Na seção Feedback selecione a opção que se adequa a você.
Selecione Finalizar.
Na guia Logon , na seção Configurações , selecione Exibir instruções de configuração.
Você será redirecionado para uma nova página contendo as instruções necessárias para concluir a próxima parte da configuração na Etapa 2. Configure o Automation Suite:
- URL de login do provedor de identidade
- Emissor do Provedor de Identidade
- Certificado X.509
Para que os usuários possam usar a autenticação Okta, eles devem ser atribuídos ao aplicativo recém-criado:
1. Na página Aplicativo, selecione o aplicativo recém-criado.
2. Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e selecione os usuários que receberão as permissões necessárias. Os usuários recém-adicionados serão exibidos na guia Pessoas.

D. Configurando o PingOne

Observação: As etapas a seguir são uma descrição ampla de uma configuração de amostra. Para instruções mais detalhadas, consulte a Documentação do PingOne .

Adicione um aplicativo web que se conecte usando SAML no PingOne, com as seguintes especificidades:
1. Na página Configurar conexão SAML, selecione Inserir manualmente e preencha o seguinte:
  - URLs ACS: URL base da identidade que diferencia maiúsculas de minúsculas + /Saml2/Acs . Por exemplo, https://{yourDomain}/{organizationName}/identity_
  - ID de entidade:https://{yourDomain}/{organizationName}/identity_
  - Associação de SLO: Redirecionamento HTTP
  - Duração da validade da declaração : Insira o número de segundos para o período de validade.
2. Na página Atributos de mapa, mapeie o seguinte atributo:
  Endereço de e-mail = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Observe que essa declaração diferencia maiúsculas de minúsculas.
Em Conexões > Aplicativos , encontre o aplicativo que você acabou de criar e selecione o ícone na extremidade direita da caixa para mostrar seus detalhes.
Na guia Perfil , copie e salve os seguintes valores para a próxima parte da configuração, descrita na Etapa 2:
- ID do Cliente
- URL de página inicial.
Se você não baixou durante a configuração do aplicativo, baixe o certificado de assinatura do PingOne:
1. Acesse Conexões > Certificados e chaves.
2. Encontre o aplicativo que você acabou de criar e selecione na extremidade direita da caixa para mostrar seus detalhes.
3. À direita da guia Detalhes , selecione Baixar certificado e selecione o arquivo .crt .exe.
Abra o arquivo de certificado em qualquer editor de texto, copie e salve o valor do certificado para a próxima parte da configuração, descrita mais detalhadamente na Etapa 2.

Etapa 2. Configurar `Automation Suite`

Para habilitar Automation Suite como um provedor de serviços que reconhece seu provedor de identidade:

Faça login no host portal como administrador do sistema.
Certifique-se de que o Host esteja selecionado no topo do painel esquerdo e selecione Segurança.
Selecione Configurar em SAML SSO e siga as instruções para o provedor de identidade que você usa:
1. Para configurar SAML para ADFS:
  1. Selecione a caixa de seleção Habilitado.
  2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.
  3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
  4. No campo Service Provider Entity ID, digite https://{yourDomain}/{organizationName}/identity_.
  5. No campo Identity Provider Entity ID, cole o valor obtido ao configurar a autenticação ADFS.
  6. No campo URL do serviço de logon único, cole o valor obtido ao configurar a autenticação ADFS.
  7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
  8. No campo Return URL, https://{yourDomain}/{organizationName}/identity_digite /externalidentity/saml2redirectcallback .
  9. Defina o parâmetro estratégia de mapeamento de usuário externo para Pelo e-mail do usuário.
  10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .
  11. No campo Signing Certificate, cole o texto do certificado.
2. Para configurar o SAML para o Google:
  1. Selecione a caixa de seleção Habilitado.
  2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.
  3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
  4. No campo Service Provider Entity ID, digite https://{yourDomain}/{organizationName}/identity_.
  5. No campo ID da entidade do provedor de identidade, cole o valor de ID da entidade obtido ao configurar a autenticação do Google.
  6. No campo URL do serviço de logon único, cole o valor da URL do SSO obtido ao configurar a autenticação do Google.
  7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
  8. No campo Return URL, https://{yourDomain}/{organizationName}/identity_digite /externalidentity/saml2redirectcallback .
  9. Para Estratégia de mapeamento de usuário externo, selecione Por e-mail do usuário.
  10. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.
  11. No campo Certificado de assinatura, cole o valor de Certificado obtido durante a configuração do Google.
3. Para configurar SAML para Okta:
  1. Selecione a caixa de seleção Habilitado.
  2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.
  3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
  4. No campo Service Provider Entity ID, digite https://{yourDomain}/{organizationName}/identity_.
  5. No campo Identity Provider Entity ID, cole o valor do Emissor do provedor de identidade obtido durante a configuração do Okta.
  6. No campo URL do serviço de login único, cole o valor da URL de login do provedor de identidade obtido durante a configuração do Okta.
  7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
  8. No campo Return URL, https://{yourDomain}/{organizationName}/identity_digite /externalidentity/saml2redirectcallback .
  9. Para o Tipo de associação SAML, selecione Redirecionamento HTTP.
  10. No campo Certificado de assinatura, cole o valor X.509 de Certificado obtido durante a configuração do Okta.
4. Para configurar SAML para o PingOne:
  1. Selecione a caixa de seleção Habilitado.
  2. Marque a caixa de seleção Forçar login automático usando esse provedor se quiser permitir login somente com contas do Active Directory.
  3. No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
  4. No campo Service Provider Entity ID, cole sua URL do Automation Suite no formato https://{yourDomain}/{organizationName}/identity_.
  5. No campo ID da entidade do provedor de identidade, cole o valor de ID do Emissor obtido durante a configuração do PingOne.
  6. Defina o parâmetro da URL do serviço de login único no valor da URL de login único obtido durante a configuração do PingOne.
  7. Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
  8. No campo Return URL, https://{yourDomain}/{organizationName}/identity_digite /externalidentity/saml2redirectcallback .
  9. Para a estratégia de mapeamento de usuário externo, selecione por e-mail de usuário.
  10. Para o Tipo de associação SAML , selecione Redirecionamento HTTP .
  11. No campo Signing Certificate, cole o valor obtido durante a configuração do PingOne.
Selecione Salvar para salvar as alterações e retornar para a página anterior.
Selecione a alternância à esquerda do SAML SSO para habilitar a integração.
Reinicie o pod "identity-service-api-*". Isso é necessário depois de fazer qualquer alteração nos Provedores Externos.
1. Conecte-se ao servidor primário usando SSH.
2. Execute o seguinte comando:
  
  kubectl -n uipath rollout reiniciar implantação identity-service-api

Etapa 3. Configurações opcionais

A configuração a seguir é opcional e só será necessária se você quiser usar um ou ambos os recursos de segurança avançados.

Etapa 3.1.Mapeamento personalizado

ADFS, Google e Okta, todos usam o endereço de e-mail como um atributo SAML. Essa seção trata do mapeamento SAML personalizado com base no nome de usuário ou de uma chave de provedor externo.

Importante: A configuração de atributos de mapeamento personalizados afeta todo o sistema, o que significa que eles se aplicam a todos os provedores de identidade existentes. Como resultado, nenhum outro provedor (Azure, Windows) pode funcionar enquanto um novo mapeamento estiver definido.

Os seguintes parâmetros precisam ser definidos na configuração SAML SSO na página Segurança no nível do host.

Estratégia de mapeamento de usuário externo - define a estratégia de mapeamento. As seguintes opções estão disponíveis:
- By user email - Seu endereço de e-mail é definido como o atributo. Esse é o valor padrão.
- By username - Seu nome de usuário é definido como o atributo.
- By external provider key – Uma chave de provedor externa é definida como o atributo.
Nome da declaração do identificador de usuário externo - define a declaração a ser usada como um identificador para o mapeamento. Isso é necessário apenas se você definir seu nome de usuário como o atributo.