- Notas de versão
- Introdução
- Instalação
- Requisitos de hardware e software
- Instalação do servidor
- Atualizando a Licença
- Implantando o Profiler do UiPath Process Mining
- Implantando um conector (.mvp)
- Atualizando o UiPath Process Mining
- Atualizando uma versão personalizada de um aplicativo ou acelerador de descoberta
- Instalando um Ambiente de Treinamento
- Configuração
- Integrações
- Autenticação
- Working with Apps and Discovery Accelerators
- Menus e painéis do AppOne
- Configuração do AppOne
- Menus e painéis do TemplateOne 1.0.0
- Configuração do TemplateOne 1.0.0
- TemplateOne menus and dashboards
- Configuração do TemplateOne 2021.4.0
- Menus e painéis do Acelerador de Descoberta Purchase to Pay
- Configuração do acelerador Discovery de compra para pagamento
- Menus e painéis do Acelerador de Descoberta Order a Cash
- Order to Cash Discovery Accelerator Setup
- Basic Connector for AppOne
- Implantar o Conector Básico
- Introduction to Basic Connector
- Tabelas de entrada do Conector Básico
- Adicionando tags
- Adição de estimativas de automação
- Adicionando Datas de conclusão
- Adicionando modelos de referência
- Setting up Actionable Insights
- Configuração de gráficos recolhíveis
- Usando o conjunto de dados de saída no AppOne
- Output tables of the Basic Connector
- SAP Connectors
- Introduction to SAP Connector
- Entrada do SAP
- Verificando os dados no SAP Connector
- Adicionando tags específicas do processo ao SAP Connector para o AppOne
- Adição de datas de vencimento específicas do processo ao SAP Connector para o AppOne
- Adicionando estimativas de automação ao SAP Connector para o AppOne
- Adicionando atributos ao SAP Connector para o AppOne
- Adicionando atividades ao SAP Connector para o AppOne
- Adicionando entidades ao SAP Connector para o AppOne
- SAP Order to Cash Connector para AppOne
- SAP Purchase to Pay Connector para AppOne
- SAP Connector for Purchase to Pay Discovery Accelerator
- SAP Connector for Order-to-Cash Discovery Accelerator
- Superadmin
- Painéis e gráficos
- Tabelas e itens de tabela
- Integridade do aplicativo
- How to ....
- Como trabalhar com conectores SQL
- Introduction to SQL connectors
- Setting up a SQL connector
- CData Sync extractions
- Running a SQL connector
- Editing transformations
- Lançamento de um conector SQL
- Scheduling data extraction
- Estrutura das transformações
- Using SQL connectors for released apps
- Generating a cache with scripts
- Setting up a local test environment
- Separate development and production environments
- Recursos úteis
Guia do usuário do Process Mining
Configure o logon único por meio do SAML para o Microsoft Active Directory
Introdução
Esta página descreve como configurar o logon único com base em SAML para Microsoft Active Directory.
provedor de identidade
Para habilitar o logon único baseado em SAML, tanto o UiPath Process Mining quanto o ADFS devem ser configurados corretamente para que possam se comunicar entre si. Consulte também Configuração do ADFS.
Consulte a documentação oficial da Microsoft e certifique-se de configurar a autenticação usando os elementos de resposta conforme descrito abaixo.
Assunto
nameID: Um identificador persistente para o usuário (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).
Declarações de atributos ("reivindicações")
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: o nome completo do usuário.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress: o endereço de e-mail do usuário.http://schemas.xmlsoap.org/claims/Group: um único identificador de grupo ou uma matriz de identificadores de grupo.Observação:O Process Mining é compatível apenas com o SSO iniciado pelo Provedor de Serviços (SP-initiated) para o qual o Provedor de Identidades é obrigado a oferecer suporte ao parâmetro
RelayState. Isso significa que o usuário navega até a página de login do Process Mining, da qual o usuário será redirecionado para o Provedor de Identidade para fazer login.
Se o SAML estiver ativado e configurado corretamente, um botão será exibido na parte inferior da página de login. Veja a ilustração abaixo.
If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.
Configuração do UiPath Process Mining para o Logon único
-
Vá para a guia Configurações da página Superadmin de sua instalação do UiPath Process Mining para definir as Configurações do servidor. Veja a ilustração abaixo.
-
Adicione as configurações necessárias do SAML na configuração
ExternalAuthenticationProvidersdas Configurações do servidor. Abaixo encontra-se uma descrição das chaves JSON do objetosaml.
| Chave | Description | Obrigatório |
|---|---|---|
| entrypoint | Especifique a URL para o provedor de identidade remoto. | Sim |
| Emissor | Permite especificar a string do emissor a ser fornecida ao Provedor de Identidade. O valor padrão é definido para a URL do Process Mining. | Não |
| contexto de autenticação | Permite especificar o método de autenticação a ser solicitado do provedor de identidade. Por padrão, nenhum contexto de autenticação é solicitado. | Não |
| certificado | Permite especificar o certificado de assinatura para validar as respostas do provedor de identidade, como um formato X.509 codificado por PEM de linha única com novas linhas substituídas por '\)) '. | Não |
| Chave privada | Permite especificar a chave para assinar solicitações enviadas ao provedor de identidade remoto, como um formato X.509 codificado por PEM de linha única com novas linhas substituídas por '\)) '. | Não |
| Algoritmo da Assinatura | Permite especificar o algoritmo de assinatura usado ao assinar solicitações. Os valores possíveis são: • sha1; • sha256; • sha512. | Não |
| identificadorFormato | Formato do identificador de nome a ser solicitado do provedor de identidade. O padrão é "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent". | Não |
| validarInResponseTo | Quando definido como "true", valida "InResponseTo" das respostas SAML recebidas. O padrão é "verdadeiro". | Não |
| loggingLevel | Permite especificar se deseja adicionar informações sobre o processo de login ao log na pasta [PLATFORMDIR]/logs/iisnode . Valores possíveis: • informações; • avisar; • erro. Observação: é recomendável habilitar isso apenas quando você tiver problemas para fazer login. | Não |
Abaixo está um exemplo das configurações do servidor com a configuração ExternalAuthenticationProviders com o objeto saml para uma configuração básica do ADFS.
Abaixo está um exemplo das configurações do servidor com a configuração ExternalAuthenticationProviders com o objeto saml para uma configuração ADFS com verificação de certificado bidirecional.
- Clique em SALVAR para salvar as novas configurações.
- Pressione F5 para atualizar a página Superadmin. Isso carrega as novas configurações e habilita a criação de grupos do SAML com base nessas configurações.
Login automático
Certifique-se de que o Logon único funcione corretamente antes de habilitar o Logon automático. Habilitar o Logon automático quando o SSO não estiver configurado corretamente pode impossibilitar o login de usuários afetados pelo Logon automático.
Com a configuração do servidor AutoLogin , o usuário será conectado automaticamente usando o método SSO ativo atual.
Por padrão, AutoLogin é definido como none. Se você quiser habilitar o login automático para usuários finais e/ou usuários Superadmin, você pode especificar isso no AutoLogin na aba Configurações de Superadmin . Consulte a aba Configurações.
When logging in via localhost, auto-login will always be disabled for Superadmin users.
Solução de problemas
Exemplo de resposta SAML
Observe especialmente o conteúdo do elemento saml:AttributeStatement .
Clique aqui para ver como deve ser a resposta esperada para o saml:AttributeStatement, que pode ajudar na configuração do Provedor de Identidade.
Arquivos de Log
Quando o login do usuário falha após configurar a comunicação entre o Provedor de Identidade e o Process Mining, é recomendável verificar os arquivos de log na pasta [INSTALLDIR]/logs .
Abaixo está um exemplo de logline de um acesso negado.
[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].
A lista de grupos válidos contém o conjunto de grupos recebidos do Provedor de Identidade para o usuário 'Jim João'. "Jim João" é membro de um grupo, "Admins". No Process Mining, apenas o grupo com o Nome Diferenciado longo é configurado. O acesso foi negado a "Jim João" porque "Admins" não está listado nos Grupos válidos.
Solução
Você deve configurar o Provedor de Identidade para enviar o nome distinto completo ou configurar o grupo “Admins” no Process Mining para referenciar apenas o nome comum.
Próximas Etapas
Para usar a autenticação usando o SAML, você deve criar um ou mais grupos do AD para permitir que os membros façam login. Para usuários Superadmin ou desenvolvedores de aplicativos, você pode criar grupos do AD na guia Usuários Superadmin . Consulte Adição de grupos do AD do Superadmin.
Para autenticação dos usuários finais, pode-se criar grupos do AD na página Administração de usuários finais . Consulte Adição de grupos do AD de usuários finais.