- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 故障排除
- 迁移到 Automation Cloud™
配置 SAML 集成
企业版许可计划可使用此功能。
通过在Automation Cloud中使用 SAML 配置,我们提高了身份验证的安全性和效率。 我们的系统使用 SAML 通过安全访问令牌启用单点登录 (SSO),从而允许 UiPath 平台连接任何使用 SAML 2.0 标准的身份提供程序 (IdP)。
此外,我们的 SAML 配置包括单点注销 (SLO) 功能,可实现在 IdP 下统一的所有应用程序上同时注销。
SAML 集成经精心设计,您可以逐步实施,而不会影响现有用户。
从原生 Azure Active Directory 集成切换到 SAML 集成
如果您使用 AAD 进行身份验证,我们建议使用我们的原生 AAD 集成,因为它的功能更丰富。
如果您确实决定切换到 SAML 集成,则必须将通过目录组完成的角色分配手动替换为对目录帐户的直接角色分配,这样您就不必完全重新创建访问架构。
-
不支持来自身份提供程序的加密 SAML 断言。
-
您无法从身份提供程序中搜索用户和组。 只有已配置的目录用户可用于搜索。
-
您无法看到组织级别的目录用户。 只有本地用户会出现在组织级别。 即时配置会添加目录用户,因此这些用户不会显示在 Automation Cloud 的“ 帐户和组”页面上。
-
通过 SAML 集成登录的目录用户无法查看 API 访问信息(允许您使用用户密钥授权 API 请求)。
要设置 SAML 集成,您需要:
- 一个拥有企业版许可的Automation Cloud组织。
-
Automation Cloud组织和第三方身份提供程序中的管理员权限。 如果您在身份提供程序中没有管理员权限,则可以与管理员合作完成设置流程。
-
推荐使用 UiPath™ Studio 和 UiPath Assistant 2020.10.3 或更高版本,以便您可以将其设置为使用推荐的部署。
如果您的组织回收电子邮件地址,则在配置 SAML 集成之前请务必删除所有非活动的用户帐户。
启用集成时, Automation Cloud中的本地帐户可以与使用相同电子邮件地址的外部身份提供程序中的目录帐户相关联。 当目录帐户用户首次使用该电子邮件地址登录时,会与该帐户关联。 身份提供程序的身份将从本地帐户继承所有角色,以便无缝转换。 因此,如果Automation Cloud中有非活动本地帐户,则这就会存在本地帐户与目录帐户不匹配的风险,这样可能会导致权限意外得到提升。
要删除非活动的用户帐户,请执行以下操作:
现在,您必须为集成配置Automation Cloud和身份提供程序 (IdP)。
- 在页面的顶部,您可以找到配置身份提供程序所需的 UiPath 信息:元数据 URL 、断言使用者服务 URL 、实体 ID 。 复制并保存它们以配置身份提供程序。重要提示:我们强烈建议使用 UiPath元数据 URL作为身份提供程序配置流程的一部分。 每当我们启动签名证书轮换时,这都会启用自动更新,确保平台不间断运行。
随时开启浏览器标签页以备后用。
您可以连接到使用 SAML 2.0 标准的任何第三方身份提供程序 (IdP)。 虽然配置可能因您选择的 IdP 而异,但我们已经验证了使用 Okta 或 PingOne 的配置,您可以将其用作配置集成的参考。
对于其他身份提供程序,我们建议您遵循其集成文档。
要将Automation Cloud启用为识别您身份提供程序的服务提供程序,请按以下步骤操作:
- 在“配置身份提供程序”页面的第二部分中,您可以查看在Automation Cloud中配置身份提供程序的必要字段。 在“元数据 URL ”字段中,输入身份提供程序的元数据 URL。 这使Automation Cloud能够定期从您的身份提供程序获取和更新数据,从长远来看,简化了 SAML 配置流程。重要提示:我们强烈建议在 SAML 配置期间使用元数据 URL 。 这使 UiPath 能够定期从您的身份提供程序获取和更新数据,从长远来看,从而简化了 SAML 配置流程。
- 要手动输入多个证书,请以 Base64 编码将它们粘贴到“签名证书” 字段中,并用开始和结束证书指示符括起,并用换行符分隔。 例如,如果有两个证书,则应使用以下格式:
-----BEGIN CERTIFICATE----- <base64 encoded certificate retrieved from SAML metadata URL or SAML admin> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <base64 encoded certificate retrieved from SAML metadata URL or SAML admin> -----END CERTIFICATE----------BEGIN CERTIFICATE----- <base64 encoded certificate retrieved from SAML metadata URL or SAML admin> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <base64 encoded certificate retrieved from SAML metadata URL or SAML admin> -----END CERTIFICATE----- - 单击右下角的“下一步”以转到下一步。 您将转到映射属性和完成选项卡。 映射属性(称为“声明”),用于在您的身份提供程序和Automation Cloud之间链接用户详细信息。 这可确保用户数据(如电子邮件或用户名)在两个系统中匹配。
要验证 SAML SSO 集成是否正常运行,请执行以下操作:
- 打开一个隐身浏览器窗口。
- 导航到您的Automation Cloud组织 URL。
- 检查以下内容:
- 系统是否会提示您使用 SAML 身份提供程序登录?
- 您能否成功登录?
- 如果您使用与现有用户帐户匹配的电子邮件地址登录,您是否拥有适当的权限?
如果您在 IdP 中使用声明,则可以在配置规则中将其用作条件,以便在用户登录Automation Cloud时自动为其配置正确的许可证和角色。 当用户登录时,系统将评估配置规则。 如果用户帐户符合规则的条件,系统会自动将其添加到与该规则关联的本地 UiPath 组中。 例如,管理员可以使用以下设置配置规则,以将用户直接配置到 Automation Users 组中:声明=组、关系=是、值= Automation User 。
2.5.1 设置配置组
在Automation Cloud中,向组添加帐户意味着该帐户将继承为该组定义的许可证、角色和机器人配置(如有)。
通过对相似的帐户类型(例如, Developer 或测试者)进行分组,您可以简化Automation Cloud的引导流程。 只需确保在 IdP 中以相同的方式设置类似的帐户即可。
这样,您只需设置一次组,然后在需要时通过向组添加帐户来复制设置即可。 如果需要更改特定帐户组的设置,则只需更新一次该组,这些更改便会应用于该组中的所有帐户。
要为配置规则设置组:
-
在 Automation Cloud 中 创建一个新的本地组 。
如有需要,您可以使用其中一个现有组,而不必创建新组。
-
如果您使用的是现有组,请检查该组的许可证分配情况,确保分配的许可证正确无误。如未使用现有组,请更改分配情况,或考虑创建一个新组。
-
为组分配租户角色,也可以完成机器人设置。 有关说明,请参阅向组分配角色。
如果您使用的是现有组,请检查当前分配给该组的角色,确保其符合您将添加到组中的帐户类型的要求。 如未使用现有组,请编辑分配给该组的角色,或考虑创建一个新组。
-
根据需要将组添加到文件夹中并分配文件夹角色。有关说明,请参阅文件夹访问权限。
现在,您可以在配置规则中使用此组。
2.5.2. 为组创建配置规则
通过在 SAML 应用程序中进行配置,确保将与 SAML 配置规则关联的声明发送到 SAML 有效负载。
配置 SAML 集成并设置组后:
-
转到“管理员”,选择您的组织,然后选择“安全”。
组织的“安全设置”页面将在“身份验证设置”选项卡上打开。
-
在“ SAML SSO ”选项下,单击“查看配置规则” 。 系统将打开“ SAML SSO 配置规则”页面,其中列出了现有规则。
-
在页面右上角,单击“添加规则”。
系统将打开“添加新规则”页面。
- 在“基本详细信息”下,填写“规则名称”字段,并填写“说明”字段(可选)。
-
在“条件”下,单击“添加规则”。
系统会为新条件添加一行字段。它们共同定义帐户在登录时必须满足的条件,才能被添加到稍后选择的组中。
- 在“声明”字段中,输入 IdP 中显示的声明名称。 该字段区分大小写。
-
从“关系”列表中,选择声明与值的关系。可选择以下选项:
关系
条件要求
示例
是
精确匹配,区分大小写
Department is RPA要求Department声明的值为RPA。例如,如果值为RPADev,则不满足条件。此关系适用于多值声明。
例如,如果在Group声明下发送值administrator和developer,则Group is administrator将是有效关系。非
除指定值外的任何内容,区分大小写
对于Department is not ctr,任何帐户都将添加到组中,除非Department的值为ctr。如果部门为Ctr或electr,则满足条件。包含
包括,不需要精确匹配,区分大小写
Department contains RPA要求Department声明的值包括RPA。例如,如果值为RPADev、xRPAx或NewRPA,则满足条件。不包含
排除,不需要精确匹配,区分大小写
对于Department not contains ctr,任何帐户都将添加到组中,除非Department值包含ctr。例如,部门为ctr或electr的帐户不会被添加到组中。不区分大小写
精确匹配,不区分大小写
Department is case insensitive RPA要求Department声明的值为rpa(任意大写形式)。例如,如果值为rpa,则满足条件。如果值为crpa,则不满足条件。不区分大小写
包含,不需要精确匹配,不区分大小写
Department contains case insensitive RPA要求Department声明的值包括RPA(任意大写)。例如,如果值为rpa、cRPA或rpA,则满足条件。 - 在“值”字段中,输入满足条件所需的值。
-
如果要添加另一个条件,请单击“添加规则”,添加新的条件行。
添加多个条件时,必须满足所有条件才能应用配置规则。例如,如果您定义了Title is Engineer和Department is RPA规则,则只有同时属于 RPA 部门且具有职位名称为“工程师”的用户才会被添加到指定的组中。部门为 RPA、但职位名称为 QA 的帐户不会被添加到组中。 -
在“分配给组”下的“添加组”框中,开始输入组名,然后从结果列表中选择一个组。如有需要,重复此操作,添加更多组。
若满足条件,帐户会在登录时自动添加到这些组中。
- 单击右下角的“保存”,添加规则。
规则设置好后,每当用户登录并且其帐户满足为规则指定的条件时,系统均会将其帐户添加到附加至规则的配置组中,还会将其帐户设置为在Automation Cloud中使用。
示例 SAML 有效负载片段
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>-
必须将 IdP 配置为在 ACS 负载中传递这些声明。
-
确保 IdP 中配置的属性名称与组织管理员门户中的属性映射设置匹配。
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}当此组织中的用户通过 SAML 目录集成登录时,其用户对象会更新,以反映此设置。
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}确保提供Automation Cloud组织特定于组织的 URL。
切换到 SAML 集成后,Azure AD 集成将被禁用。 Azure AD 组分配不再适用,因此Automation Cloud组成员身份和从 Azure AD 继承的权限不再适用。
要使用 SAML SSO 登录Automation Cloud ,用户可以:
- 导航到特定于组织的 URL。URL 必须包含组织 ID,并以正斜杠结尾,例如
https://cloud.uipath.com/orgID。 - 导航至 https://cloud.uipath.com,在“登录”页面中选择“使用 SSO 登录”,然后提供其特定于组织的 URL。
要使用 SAML SSO 登录 UiPath Studio 和 UiPath Assistant,用户必须按如下方式配置 Assistant:
这仅适用于以前未使用过 Automation Cloud ,且因此在启用集成时未拥有设置好的本地帐户的新用户。
您可以通过电子邮件地址(在外部 IdP 中使用)将新用户添加到Automation Cloud组。 将用户分配到组或登录后,即可通过在所有 UiPath 服务中搜索角色分配来访问组。
在所有用户都已转用 SAML SSO 登录且新用户已设置完成后,我们建议您移除所有非管理员帐户的本地用户帐户。这可确保用户无法再使用其本地帐户凭据登录,而必须使用 SAML SSO 登录。
您可以根据图标识别本地用户帐户。
本地帐户在以下情况下可能很有用:
-
要管理 SAML 集成问题(例如,更新过期的证书)或更改身份验证设置,建议使用具有组织管理员角色的帐户。
-
对于依赖 API 访问令牌进行请求授权的流程,因为使用 SAML SSO 帐户无法访问 API 访问功能(在“管理员” > “租户”页面上)。 或者,也可以切换到使用 OAuth 进行授权,这样就无需提供 API 访问信息。
