Orchestrator
2022.4
falso
Imagem de fundo do banner
Guia do usuário do Orchestrator
Última atualização 19 de abril de 2024

Configurando a integração SAML

Você pode conectar o Orchestrator a qualquer provedor de identidade (IdP) que use o padrão SAML 2.0. Esta página descreve o processo geral mostrando alguns exemplos de configurações de integração do SAML.

Visão geral do processo de configuração

A Integração SAML foi projetada de forma que possa ser implementada gradualmente, sem causar interrupção aos usuários existentes.

As principais fases do processo, descritas com mais detalhes nesta página, são:

  1. Limpar contas de usuário inativas
  2. Configurar a integração SAML
  3. Transição de usuários existentes para login com SAML SSO
  4. Configurar permissões e robôs para novos usuários
  5. Descontinuar o uso de contas locais (opcional)

Restrições conhecidas

Não é possível pesquisar contas do seu provedor de identidade

Com a integração SAML, você não pode pesquisar todos os usuários e grupos do seu provedor de identidade. Apenas os usuários do diretório provisionado estão disponíveis para pesquisa.

URL ACS incorreto na interface gráfica de configuração SAML

A página de configuração do SAML SSO exibe um URL do Assertion Customer Service incorreto.

Solução alternativa: para resolver esse problema, configure o URL do Assertion Customer Service no IDP sem o ID da partição. Por exemplo, o URL original: https://{your-domain}/91483651-d8d6-4673-bd3f-54b0f7dc513a/identity_/Saml2/Acs se tornaria https://{your-domain}/identity_/Saml2/Acs
Observação:

Esta solução alternativa tem duas ressalvas:

  • Os fluxos de login iniciados por IDP não funcionarão como esperado.

  • Este problema foi corrigido na versão 2023.4. Ao atualizar para a 2023.4+, será necessário atualizar a URL do serviço de confirmação do cliente para incluir a ID da partição.

Pré-requisitos

Para configurar a integração SAML, você precisa:

  • Uma organização do Orchestrator com uma licença Enterprise ou avaliação Enterprise.

  • Permissões de administrador no Orchestrator e no seu provedor de identidade terceirizado.

    Se você não tiver permissões de administrador em seu provedor de identidade, poderá trabalhar em conjunto com um administrador para concluir o processo de configuração.

  • UiPath Studio e UiPath Assistant versão 2020.10.3 ou posterior, para que você possa configurá-los para usar a implantação recomendada.

    Observação:

    Se você estiver usando a integração do Azure Active Directory para autenticação, recomendamos permanecer na integração do AAD porque é mais rica em recursos.

    Se você decidir transicionar da integração do AAD, deverá substituir manualmente a atribuição de função feita por meio de grupos de diretório pela atribuição de função direta às contas de diretório para que não seja necessário recriar completamente seu esquema de acesso.

Etapa 1. Limpe contas de usuário inativas

Se sua organização recicla endereços de e-mail, é importante remover todas as contas de usuário inativas antes de configurar a integração SAML.

Ao habilitar a integração, as contas locais presentes no Orchestrator podem ser vinculadas à conta do diretório no provedor de identidade externo que usa o mesmo endereço de e-mail. Essa vinculação de conta ocorre quando o usuário da conta do diretório com o endereço de e-mail faz logon pela primeira vez. A identidade do seu provedor de identidade herda todas as funções que a conta local tinha para que a transição seja perfeita.

Por isso, com contas locais inativas presentes no Orchestrator, existe o risco de que contas locais e contas de diretório sejam incompatíveis, o que pode levar à elevação não intencional de permissões.

Para remover contas de usuário inativas:

  1. Faça login no Orchestrator como administrador.
  2. Vá para Administrador > Contas e Grupos > guia Usuários.
  3. Clique no cabeçalho da coluna e selecione Ativo pela última vez para reordenar os usuários para que aqueles com a data mais antiga do último login sejam mostrados no topo:


    A coluna Ativo pela última vez mostra a data em que o usuário fez logon no Orchestrator pela última vez. Se você visualizar Pendente nesta coluna, como no exemplo acima, isso significa que o usuário nunca fez logon. Você pode usar essas informações para ajudar a identificar seus usuários inativos.

  4. Clique no ícone Excluir no final da linha para remover a conta local desse usuário.


  5. Na caixa de diálogo de confirmação, clique em Excluir para confirmar a exclusão da conta do Orchestrator.

    A conta de usuário é removida da página.

  6. Continue a excluir todas as contas de usuário inativas em sua organização.

Etapa 2. Configure a integração SAML

Agora, você deve configurar o Orchestrator e seu provedor de identidade (IdP) para a integração.

Etapa 2.1. Obtenha detalhes do provedor de serviços SAML

  1. Faça login no Orchestrator como administrador.
  2. Vá para Administrador > Configurações de segurança > Configurações de autenticação.
  3. Selecione Usuários podem fazer login com SAML SSO e clique em Configurar.

    Uma caixa de diálogo de informações é exibida.

  4. Na caixa de diálogo, clique em Continuar.

    A próxima página fornece uma visão geral da integração.

  5. No canto inferior direito, clique em Avançar para prosseguir para a configuração.

    Na etapa Detalhes gerais, em Dados a serem configurados no IdP, fornecemos as informações necessárias para configurar seu provedor de identidade para se conectar ao Orchestrator.



  6. Copie e salve os valores para o ID de entidade e o URL do Serviço de Confirmação do Cliente. Você precisará deles na etapa seguinte.
    Importante: se você também tiver configurado essa integração no nível de host, certifique-se de usar o valor do URL do Serviço de Confirmação do Cliente do nível de organização e não de host.

Mantenha esta guia do navegador aberta para mais tarde.

Etapa 2.2. Configurar seu provedor de identidade

O Orchestrator pode se conectar a qualquer provedor de identidade (IdP) terceiro que use o padrão SAML 2.0.

Embora a configuração possa variar dependendo do IdP escolhido, validamos a configuração para os seguintes provedores:

  • OKTA

  • PingOne.

Você pode usar as instruções de configuração abaixo para configurar integrações com esses provedores.

Para outros provedores de identidade, recomendamos que siga suas documentações de integração.

A. Configuração de amostra para Okta

Nota: As instruções nesta seção são para uma configuração de amostra. Para obter mais informações sobre quaisquer configurações de IdP não abordadas aqui, use a documentação do Okta.
  1. Em uma guia diferente do navegador, faça login no Console de administração do Okta.
  2. Vá para Aplicativos > Aplicativos, clique em Criar Integração de Aplicativo e selecione SAML 2.0 como o método de login.
  3. Na página Configurações gerais, especifique um nome para o aplicativo com o qual você está integrando, ou seja, Orchestrator.
  4. Na página Configurar SAML, preencha a seção Geral da seguinte forma:
    1. URL de logon único: insira o valor do URL do Serviço de Confirmação do Cliente que você obteve do Orchestrator.
    2. Selecione a caixa de seleção Use isso para URL de destinatário e URL de destino.
    3. URI de audiência: insira o valor do ID de entidade que você obteve do Orchestrator.
    4. Formato do ID do nome: selecione EmailAddress
    5. Nome de usuário do aplicativo: selecione Email
  5. Para Declarações de Atributo, adicione o seguinte:
    1. Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. Deixe o Formato do Nome como Não especificado.
    3. Defina Valor como user.email ou o atributo de usuário que contém os endereços de e-mail exclusivos do usuários.
    4. Opcionalmente, adicione outros mapeamentos de atributos. O Orchestrator também oferece suporte aos seguintes atributos de usuário: Nome, Sobrenome, Cargo e Departamento. Essa informação é então propagada para o Orchestrator, onde pode ser disponibilizada para outros serviços, como o Automation Hub.
  6. Na página Feedback, selecione a opção de sua preferência.
  7. Clique em Concluir.
  8. Na guia Login, na seção Configurações, em Exibir instruções de configuração, copie o valor do URL de metadados do provedor de identidade e salve-o para uso posterior.
  9. Na página Aplicativo para o Orchestrator, selecione o aplicativo recém-criado.
  10. Na guia Atribuições, selecione Atribuir > Atribuir a pessoas e, em seguida, selecione os usuários que você deseja permitir que usem a autenticação SAML para o Orchestrator.
Os usuários recém-adicionados serão exibidos na guia Pessoas.

B. Configuração de exemplo para PingOne

Nota: As instruções nesta seção são para uma configuração de amostra. Para obter mais informações sobre quaisquer configurações de IdP não abordadas aqui, use a documentação do PingOne.
  1. Em uma guia diferente do navegador, faça login no Console de administração do PingOne.
  2. Vá para Conexões > Aplicativos e clique no ícone de mais +.
  3. Clique em Aplicativo Web e, para SAML, clique em Configurar.
  4. Na página Criar perfil de aplicativo, especifique um nome para seu aplicativo do Orchestrator.
  5. Na página Configurar conexão SAML, selecione Inserir manualmente e forneça os seguintes detalhes:
    • URLs do ACS: insira o valor do URL do Serviço de Confirmação do Cliente que obteve do Orchestrator.
    • ID de entidade: insira o valor ID de entidade que obteve do Orchestrator.
    • Associação de SLO: Redirecionamento HTTP
    • Duração da validade da declaração : Insira o número de segundos para o período de validade.
  6. Clique em Salvar e Continuar.
  7. Na página Mapear Atributos, adicione o endereço de e-mail:
    1. Selecione + Adicionar atributo.
    2. Para Atributo do Aplicativo, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    3. Defina o Valor de saída como Endereço de e-mail ou o atributo de usuário que contém o endereço de e-mail exclusivo do usuário.
    4. Marque a caixa de seleção Obrigatório.
    5. Opcionalmente, adicione outros mapeamentos de atributos. O Orchestrator também oferece suporte aos seguintes atributos de usuário: Nome, Sobrenome, Cargo e Departamento. Essa informação é então propagada para o Orchestrator, onde pode ser disponibilizada para outros serviços, como o Automation Hub.
  8. Clique em Salvar e Fechar.
  9. Clique no botão de alternância do app do Orchestrator para habilitar o aplicativo para acesso do usuário.
  10. Na guia Configuração, copie e salve o valor do URL de metadados do IdP para uso posterior.

Etapa 2.3. Configurar o Orchestrator

Para habilitar o Orchestrator como um provedor de serviços que reconhece seu provedor de identidade, conclua as etapas abaixo:

  1. Retorne à guia de configuração do SAML no Orchestrator.
  2. Na etapa Detalhes gerais, em Dados do IdP, preencha o campo URL de metadados com o URL de metadados obtido durante a configuração.
  3. Clique em Recuperar dados.

    Quando concluído, os campos URL de login, ID da entidade do provedor de identidade e certificado de assinatura são preenchidos com as informações do IdP.

  4. Clique em Avançar no canto inferior direito para seguir com a próxima etapa.
  5. Nas Configurações de provisionamento, preencha a seção Domínios permitidos com os domínios aos quais você deseja permitir que os usuários acessem. Insira todos os domínios suportados pelo provedor de identidade configurado.

    Separe múltiplos domínios usando vírgulas.

  6. Marque a caixa de seleção para indicar que você entende que as contas com endereços de e-mail correspondentes serão vinculadas.
  7. Opcionalmente, preencha o Mapeamento de Atributos.
  8. Se você também deseja configurar detalhes avançados, clique em Avançar no canto inferior direito para avançar para a etapa final.

    Caso contrário, clique em Testar e Salvar para concluir a configuração da integração e pule as etapas restantes nesta seção.

  9. Na página Configurações avançadas, configure as opções conforme necessário:
    • Permitir resposta de autenticação não solicitada: habilite se quiser poder navegar até o Orchestrator do painel do IdP.
    • Tipo de associação SAML: o redirecionamento HTTP define a configuração SAML para se comunicar usando parâmetros de URL por meio do agente de usuário HTTP.
    • Uso do certificado de serviço: selecione a opção de sua preferência.
  10. Clique em Testar e Salvar para finalizar a configuração da integração.

Etapa 2.4. Verifique se a integração está em execução

Para validar se a integração do SAML SSO está funcionando corretamente:

  1. Abra uma janela do navegador no modo anônimo.
  2. Navegue até o seu URL do Orchestrator.
  3. Verifique o seguinte:
    1. Você é solicitado a fazer login com seu provedor de identidade SAML?
    2. Você consegue fazer login com sucesso?
    3. Se estiver fazendo login com um endereço de e-mail que corresponda a uma conta de usuário existente, você tem as permissões apropriadas?

Etapa 3. Faça a transição de seus usuários para SAML SSO

Depois que as permissões forem configuradas, recomendamos que você peça a todos os usuários existentes que desconectem-se de suas contas da UiPath e façam login novamente usando o SAML SSO.

Para fazer login no Studio e no Assistant usando o SAML SSO, os usuários devem configurar o Assistant da seguinte forma:

  1. No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
  2. Clique em Sair.
  3. Para o tipo de conexão, selecione URL do Serviço.
  4. No campo URL do serviço, adicione o URL específico da organização.
    O URL deve incluir o ID da organização e terminar em uma barra, tal como https://cloud.uipath.com/orgID/. Caso contrário, a conexão falhará informando que o usuário não pertence a nenhuma organização.
  5. Faça login novamente com SAML SSO.

Etapa 4. Configure permissões e robôs

Isso é necessário apenas para novos usuários que não usaram o Orchestrator antes e, portanto, não tinham uma conta local configurada para si no Orchestrator quando a integração foi habilitada.

Você pode adicionar novos usuários aos grupos do Orchestrator usando seu endereço de e-mail (o mesmo usado no IdP externo). Depois que um usuário for atribuído a um grupo ou estiver conectado, ele estará disponível por meio da pesquisa de atribuição de função em todos os serviços do Orchestrator.

Etapa 5. Descontinue o uso de contas de usuários locais (opcional)

Depois que todos os usuários fizerem a transição para o SAML SSO e os novos usuários forem configurados, recomendamos que você remova todas as contas de usuários locais que não sejam contas de administrador. Isso garante que os usuários não possam mais fazer login com suas credenciais de conta local e tenham que fazê-lo via SAML SSO.

Considerações para descontinuar o uso de contas locais

Em caso de problemas com a integração do SAML (como atualizar um certificado expirado), ou se você quiser alternar para uma opção de autenticação diferente, é recomendável uma conta de usuário local com a função de administrador.

Solução de problemas

Se você estiver recebendo o erro User login failed. (#216), pode ser devido ao mapeamento de endereço de e-mail ausente na configuração do provedor de identidade SAML.
A declaração SAML deve ser nomeada http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress e o valor deve ter um endereço de e-mail válido.

Was this page helpful?

Suporte e serviços
Obtenha a ajuda que você precisa
UiPath Academy
Aprendendo RPA - Cursos de automação
Fórum do UiPath
Fórum da comunidade da Uipath
Logotipo branco da Uipath
Confiança e segurança
Termos de Uso
Política de Privacidade
Política de cookies
© 2005-2024 UiPath. All rights reserved.