orchestrator
2023.10
true
Orchestrator 用户指南
Last updated 2024年10月9日
自定义映射
ADFS、Google 和 Okta 都使用您的电子邮件地址作为 SAML 属性。 本节根据您的用户名或外部提供程序密钥处理自定义 SAML 映射。
重要提示:请注意,配置自定义映射属性会影响整个系统,这意味着它们适用于所有现有的身份提供程序。因此,在设置新映射时,没有其他提供程序(Azure、Windows)可以工作。
在这方面,需要在 外部提供程序 页面的 Identity Server 的SAML2设置中配置以下参数(请 在此处 阅读如何访问 Identity Server):
-
外部用户映射策略 - 定义映射策略。提供以下选项:
By user email
- 您的电子邮件地址被设置为属性。这是默认值。By username
- 您的用户名被设置为属性。By external provider key
- 将外部提供程序密钥设置为属性。
- 外部用户标识符声明名称 - 定义要用作映射标识符的声明。仅当您将用户名设置为属性时才需要。
请参阅下面的配置示例,了解使用 OKTA 的每种映射策略。
注意:在 Identity server 中执行并保存任何配置更改后,需要重新启动 IIS 站点。
这是默认的映射策略。 使用电子邮件声明进行用户识别。
要使用用户电子邮件,请在 主机管理门户 中配置 SAML(“用户” >“身份验证设置” >“外部提供程序” >“SAML 2.0”),如下所示:
- 选择“已启用”复选框。
- 将“外部用户映射策略”参数设置为
By user email
。
这使管理员能够为用户标识定义特定的声明。
要使用用户名,请在 主机管理门户 中配置 SAML(“用户” >“身份验证设置” >“外部提供程序” >“SAML 2.0”),如下所示:
- 选择“已启用”复选框。
- 将“外部用户映射策略”参数设置为
By username
。 - 将外部用户标识符声明名称参数设置为先前创建的声明,在我们的示例中为
auid-claim
。
如果已在 Orchestrator 和 Okta 中定义用户,则建议使用此选项。
有权访问 Identity Server 用户数据库的管理员需要运行以下 SQL 命令:
INSERT INTO [identity].[AspNetUserLogins] (UserId,LoginProvider,ProviderKey)
VALUES (<userid>,'http://www.okta.com/exkh4xo7uoXgjukfS0h7','documentation@uipath.com')
INSERT INTO [identity].[AspNetUserLogins] (UserId,LoginProvider,ProviderKey)
VALUES (<userid>,'http://www.okta.com/exkh4xo7uoXgjukfS0h7','documentation@uipath.com')
- 将
LoginProvider
参数设置为 Okta 中使用的实体 ID - 将
ProviderKey
参数设置为用户的电子邮件地址
要使用外部提供程序密钥,请在 主机管理门户 中配置 SAML(“用户” >“身份验证设置” >“外部提供程序” >“SAML 2.0”),如下所示:
- 选择“已启用”复选框。
- 将“外部用户映射策略”参数设置为
By external provider key
。