Automation Cloud 公共部门管理员指南

上次更新日期 2025年11月11日

管理用于 SAML 身份验证请求的 UiPath 签名证书

在 SAML 协议中，服务提供商 (SP) 可以对身份验证请求进行签名，以确认其来源，并确保请求在传输过程中不会遭到更改。SP 使用私钥（签名证书）对请求进行签名。身份提供程序 (IdP) 使用匹配的公钥（签名证书）来验证签名。

默认情况下，UiPath 使用自己的证书对 SAML 身份验证请求进行签名。UiPath 经常更改此证书。如果您的 IdP 无法从 UiPath 的 SAML 元数据 URL 自动检索更新的证书，则必须在每次证书更改时在 IdP 中手动将其上传。此手动流程会增加出错和服务中断的风险。

为减少此类工作，您可以使用 UiPath 的SAML 证书 API 端点上传自己的签名证书。这使您可以通过自动化管理签名证书。上传新证书后，您还必须在 IdP 中更新匹配的公钥，以维持有效的连接并遵循组织的安全策略。

上传客户证书时，UiPath 会替换 SAML 元数据文档中的默认证书。然后，UiPath 使用您的证书执行所有签名操作。上传证书后，请更新 IdP 中的匹配公钥，以符合组织的 IT 安全与合规性政策

注意事项

在为 SAML 集成上传自己的签名证书之前，请确保考虑以下方面：

您有责任确保在上传的自签名证书过期之前续订这些证书。
在 UiPath 中上传新证书将覆盖 UiPath SAML 元数据文档中的现有证书以及上传到 IdP 中的证书。

先决条件

在为 SAML 集成上传自己的签名证书之前，请确保您满足以下要求：

您必须为您的组织配置 SAML 集成。
您需要访问组织的partitionGlobalId 。
partitionGlobalId是组织 ID。
您必须生成包含 PEM 格式私钥的证书。
PEM 文件必须同时包含证书和私钥。
将公共证书上传到 UiPath 组织后，您必须将其上传到 IdP（例如 PingOne）。
要上传辅助证书，您必须先上传主证书。

步骤

要为现有的 SAML 集成生成自定义签名证书并将其上传到 UiPath 的 Identity Server，请按照以下步骤操作：

生成自签名证书。
例如，使用以下 OpenSSL PowerShell 命令生成有效期为一年的自签名证书：
```
openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 -subj "/CN=example.com"
Get-Content key.pem, cert.pem | Set-Content full-cert.pemopenssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 -subj "/CN=example.com"
Get-Content key.pem, cert.pem | Set-Content full-cert.pem
```
这些命令将创建以下对象：
- key.pem – 私钥
- cert.pem – 证书
- full-cert.pm – 结合使用 PEM 与私钥和证书
使用PUT /https://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/primary API 上传主证书。
注意：该证书将成为您组织的主要签名证书。
响应示例：
```
{
  "partitionGlobalId": "GUID",
  "primaryCertificateId": int,
  "primaryCertificateThumbprint": "string",
  "secondaryCertificateId": null,
  "secondaryCertificateThumbprint": null
}{
  "partitionGlobalId": "GUID",
  "primaryCertificateId": int,
  "primaryCertificateThumbprint": "string",
  "secondaryCertificateId": null,
  "secondaryCertificateThumbprint": null
}
```
（可选）使用PUT /https://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/secondary API 上传辅助证书：
为了最大限度地减少证书轮换期间的中断，SAML 协议允许 IdP 对照服务提供程序的元数据中发布的任何证书验证签名。这使您能够：
- 创建新的签名证书。
- 将其作为验证证书上传到 IdP。
- 将辅助证书切换到主证书。
- 删除旧的主证书。
响应示例
```
{
  "partitionGlobalId": "GUID",
  "primaryCertificateId": int,
  "primaryCertificateThumbprint": "string",
  "secondaryCertificateId": int,
  "secondaryCertificateThumbprint": "string"
}{
  "partitionGlobalId": "GUID",
  "primaryCertificateId": int,
  "primaryCertificateThumbprint": "string",
  "secondaryCertificateId": int,
  "secondaryCertificateThumbprint": "string"
}
```

（可选）使用POST /https://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/switch API 将辅助证书切换为主证书：

切换证书可确保无缝替换或续订证书。

响应示例

{
  "partitionGlobalId": "<Id>",
  "primaryCertificateId": 74268,
  "primaryCertificateThumbprint": "<Id>",
  "secondaryCertificateId": <Id>,
  "secondaryCertificateThumbprint": "<Id>"
}{
  "partitionGlobalId": "<Id>",
  "primaryCertificateId": 74268,
  "primaryCertificateThumbprint": "<Id>",
  "secondaryCertificateId": <Id>,
  "secondaryCertificateThumbprint": "<Id>"
}

（可选）验证当前使用GET /https://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/certificates API 为您的组织配置了哪些证书。
此表达式将返回当前的主证书 ID、辅助证书 ID 以及指纹。

此步骤可帮助您验证证书设置，以确保正确的证书当前处于活动状态。
（可选）使用DELETE /https://govcloud.uipath.us/{organizationName}/identity_/SamlCertificate/{partitionGlobalId}/{certificateId} API 删除证书。
删除旧证书或未使用的证书可降低潜在的安全风险。

注意：如果仍存在辅助证书，则无法删除主证书。