Process Mining
2021.10
falso
Imagem de fundo do banner
Process Mining
Última atualização 2 de abr de 2024

Configure o logon único por meio do SAML para o Microsoft Active Directory

Introdução

Esta página descreve como configurar o logon único com base em SAML para Microsoft Active Directory.

provedor de identidade

Para habilitar o logon único com base em SAML, o UiPath Process Mining e o ADFS devem ser configurados adequadamente para que possam se comunicar entre si. Consulte também Configurando o ADFS.

Consulte a documentação oficial da Microsoft e certifique-se de configurar a autenticação usando os elementos de resposta conforme descrito abaixo.

Assunto

  • nameID: Um identificador persistente para o usuário (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).

Declarações de atributos ("reivindicações")

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: o nome completo do usuário.
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress: o endereço de e-mail do usuário.
  • http://schemas.xmlsoap.org/claims/Group: um único identificador de grupo ou uma matriz de identificadores de grupo.
Observação: Process Mining suporta apenas SSO iniciado pelo provedor de serviços (iniciado por SP) para o qual o provedor de identidade é necessário para oferecer suporte ao parâmetro RelayState . Isso significa que o usuário navega para a página de login do Process Mining, da qual o usuário será redirecionado para o provedor de identidade para fazer login.

Se o SAML estiver ativado e configurado corretamente, um botão será exibido na parte inferior da página de login. Veja a ilustração abaixo.



If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.

Configuração do UiPath Process Mining para o Logon único

  1. Vá para a guia Configurações da página Superadmin de sua instalação do UiPath Process Mining para definir as configurações do servidor. Veja a ilustração abaixo.


  2. Adicione as configurações necessárias do SAML na configuração ExternalAuthenticationProviders das Configurações do servidor. Abaixo encontra-se uma descrição das chaves JSON do objeto saml.

    Chave

    Description

    Obrigatório

    entrypoint

    Especifique a URL para o provedor de identidade remoto.

    Sim

    Emissor

    Permite especificar a string do emissor a ser fornecida ao Provedor de Identidade. O valor padrão é definido para a URL do Process Mining.

    Não

    contexto de autenticação

    Permite especificar o método de autenticação a ser solicitado do provedor de identidade. Por padrão, nenhum contexto de autenticação é solicitado.

    Não

    certificado

    Permite especificar o certificado de assinatura para validar as respostas do provedor de identidade, como um formato X.509 codificado por PEM de linha única com novas linhas substituídas por '\))

    '.

    Não

    Chave privada

    Permite especificar a chave para assinar solicitações enviadas ao provedor de identidade remoto, como um formato X.509 codificado por PEM de linha única com novas linhas substituídas por '\))

    '.

    Não

    Algoritmo da Assinatura

    Permite especificar o algoritmo de assinatura usado ao assinar solicitações. Os valores possíveis são:

    • sha1;

    • sha256;

    • sha512.

    Não

    identificadorFormato

    Formato do identificador de nome a ser solicitado do provedor de identidade. O padrão é "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent".

    Não

    validarInResponseTo

    Quando definido como "true", valida "InResponseTo" das respostas SAML recebidas. O padrão é "verdadeiro".

    Não

    loggingLevel
    Permite especificar se deseja adicionar informações sobre o processo de login ao log na pasta [PLATFORMDIR]/logs/iisnode . Valores possíveis:

    • informações;

    • avisar;

    • erro.

    Observação: é recomendável habilitar isso apenas quando você tiver problemas com o login.

    Não

Abaixo está um exemplo das configurações do servidor com a configuração ExternalAuthenticationProviders com o objeto saml para uma configuração básica do ADFS.
docs image
Abaixo está um exemplo das configurações do servidor com a configuração ExternalAuthenticationProviders com o objeto saml para uma configuração ADFS com verificação de certificado bidirecional.
docs image

3. Clique em SALVAR para salvar as novas configurações.

4. Pressione F5 para atualizar a página Superadmin. Isso carrega as novas configurações e habilita a criação de grupos do SAML com base nessas configurações.

Login automático

Importante: certifique-se de que o Logon único funcione corretamente antes de habilitar o Logon automático. Habilitar o Logon automático quando o SSO não estiver configurado corretamente pode impossibilitar o login de usuários afetados pelo Logon automático.
Com a configuração do servidor AutoLogin , o usuário será conectado automaticamente usando o método SSO ativo atual.
Por padrão, AutoLogin é definido como none. Se você deseja ativar o login automático para usuários finais e/ou usuários Superadmin, pode especificar isso em AutoLogin na guia Configurações do Superadmin . Consulte a guia Configurações.
Nota: Ao efetuar login via localhost, o login automático sempre estará desabilitado para usuários Superadmin.

Solução de problemas

Exemplo de resposta SAML

Observe especialmente o conteúdo do elemento `saml:AttributeStatement`.

Clique aqui para ver como deve ficar a resposta esperada para o `saml:AttributeStatement`, que pode ajudar na configuração do Provedor de Identidade.

Arquivos de Log

Quando o login do usuário falha após configurar a comunicação entre o Provedor de Identidade e o Process Mining, é recomendável verificar os arquivos de log na pasta [INSTALLDIR]/logs .

Abaixo está um exemplo de logline de um acesso negado.

[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].

A lista de grupos válidos contém o conjunto de grupos recebidos do provedor de identidade para o usuário 'Jim Jones'. 'Jim Jones' é membro de um grupo, “Admins”. No Process Mining, apenas o grupo com o nome distinto longo é configurado. 'Jim Jones' tem acesso negado porque “Admins” não está listado nos grupos Válidos.

Solução

Você deve configurar o Provedor de Identidade para enviar o nome distinto completo ou configurar o grupo “Admins” no Process Mining para referenciar apenas o nome comum.

Próximas Etapas

Para usar a autenticação usando o SAML, você deve criar um ou mais grupos do AD para permitir que os membros façam login. Para usuários Superadmin ou desenvolvedores de aplicativos, você pode criar grupos do AD na guia Usuários Superadmin. Consulte Adição de grupos do AD do Superadmin.

Para autenticação dos usuários finais, pode-se criar grupos do AD na página Administração de usuários finais. Consulte Adição de grupos do AD de usuários finais.

Was this page helpful?

Suporte e serviços
Obtenha a ajuda que você precisa
UiPath Academy
Aprendendo RPA - Cursos de automação
Fórum do UiPath
Fórum da comunidade da Uipath
Logotipo branco da Uipath
Confiança e segurança
Termos de Uso
Política de Privacidade
Política de cookies
© 2005-2024 UiPath. All rights reserved.