配置 SSO：SAML 2.0

您可以使用支持 SAML 2.0 身份验证协议的任何身份提供程序启用 SSO。

概述

启用 SAML SSO 是一个多步骤流程，您必须完成以下配置：

配置身份提供程序以将 Automation Suite 识别为服务提供程序。
将 Automation Suite 配置为服务提供程序，以识别并信任您的身份提供程序。
将用户配置到您的组织，以允许他们使用来自您的身份提供程序的 SAML 2.0 协议通过 SSO 登录。

步骤 1. 配置您的身份提供程序

Automation Suite 支持多个身份提供程序。

在本节中，我们举例说明如何查找以下每个身份提供程序的特定配置并获取证书：

ADFS
Google
奥克塔
PingOne

A. 配置 ADFS

配置计算机以支持 ADFS，并确保您有权访问 ADFS 管理软件。如果需要，请咨询系统管理员。

注意：以下步骤是示例配置的简要说明。有关更详细的说明，请参阅 ADFS 文档。

打开 ADFS 管理并定义新的 Orchestrator 依赖方信任，如下所示：
1. 单击“依赖方信任”。
2. 在“操作”面板中，单击“添加信赖方信任”。系统将显示“添加信赖方信任向导”。
3. 在“欢迎”部分中，选择“声明感知”。
4. 在“选择数据”部分中，选择“手动输入有关信赖方的数据”选项。
5. 在“指定显示名称”部分的“显示名称”字段中，输入 Orchestrator 实例的 URL。
6. “配置证书”部分不需要任何特定设置，因此可以将其保持原样。
7. 在“配置 URL”部分中，选择“启用对 SAML 2.0 Web SSO 协议的支持”。
8. 在“信赖方 SAML 2.0 SSO 服务 URL”字段中，填写 Automation Suite 实例的 URL 并加上后缀 identity_/Saml2/Acs。例如 https://baseURL/identity_/Saml2/Acs。
9. 在“配置标识符”部分下的“信赖方信任标识符”字段中，填写 Orchestrator 实例的 URL 并加上后缀 identity_。
10. 在“选择访问控制策略”部分中，确保选择“允许所有人”访问控制策略。
11. “准备添加信任”和“完成”不需要任何特定设置，因此保持原样。
  新添加的信赖方信任将显示在“信赖方信任”窗口上。
12. 转到“操作”>“属性”>“端点”，并确保为“绑定”选择“POST”并选中“将受信任的 URL 设置为默认值”复选框。
  
  端点绑定必须为 Post。其他绑定（例如重定向）与 UiPath 不兼容，因为 ADFS 不对重定向断言进行签名。
13. 转到“操作”>“属性”>“标识符”，并确保存在 Orchestrator 实例的 URL 并加上后缀 identity_。
选择信赖方信任，然后从“操作”面板中单击“编辑声明颁发策略”。

系统将显示“编辑声明颁发策略”向导。

单击“添加规则”，并使用“以声明方式发送 LDAP 特性”模板和以下设置来创建新规则：

LDAP 属性	传出声明类型
电子邮件地址	电子邮件地址
用户主体名称	名称 ID

配置 ADFS 后，以管理员身份打开 PowerShell，并运行以下命令：
1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
  
  将 DISPLAYNAME 替换为在步骤 1.e 中设置的值。
2. Restart-Service ADFSSRV。

B. 配置 Google

注意：以下步骤是示例配置的简要说明。有关更详细的说明，请参阅 Google 文档。

以管理员身份登录到管理控制台，转到 Apps，然后转到网页和移动应用程序。
单击“添加应用程序”，然后单击“添加自定义 SAML 应用程序”。
在“应用程序详细信息”页面中，填写 Automation Suite 实例的名称。
在“Google 身份提供程序详细信息”页面上，复制并保存以下内容以备后用：
- SSO URL
- 实体 ID
下载证书，使用文本编辑器将其打开，复制并保存 步骤 2. 配置 Automation Suite中设置的下一部分的值。
在“服务提供程序详细信息”页面中，输入以下内容：
- “ACS URL”：https://baseURL/identity_/Saml2/Acs
- “实体 ID”：https://baseURL/identity_
在“属性映射”页面中，提供以下映射：
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
配置 SAML 应用程序后，在 Google 管理员控制台中转到 Automation Suite SAML 应用程序上的“用户访问权限”，然后单击“为所有人启用”。

C. 配置 Okta

注意：以下步骤是示例配置的简要说明。有关更详细的说明，请参阅 Okta 文档。

登录 Okta 管理员控制台，转到“应用程序”>“应用程序”，单击“创建应用程序集成”，然后选择“SAML 2.0”作为登录方法。
在“常规设置”页面中，指定 Automation Suite 实例的名称。
在“配置 SAML”页面上，填写“常规”部分。
例如：
- “单点登录 URL”：您的 Automation Suite URL + /identity_/Saml2/Acs。例如 https://baseURL/identity_/Saml2/Acs。
- 选中“将此用于收件人 URL 和目标 URL”复选框。
- “受众 URI”：https://baseURL/identity_
- “名称 ID 格式”：电子邮件地址
- “应用程序用户名”：电子邮件地址
填写“属性语句”部分：
- 在“名称”字段中，键入 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。
- 从“值”列表中，选择“user.email”。
在“反馈”部分中，选择适合您的选项。
单击“完成”。
在“登录”选项卡的“设置”部分中，单击“查看设置说明”。
您将被重定向到一个新页面，其中包含完成 步骤 2 中的下一部分设置所需的说明。配置 Automation Suite：
- 身份提供程序登录 URL
- 身份提供程序颁发者
- X.509 证书
为了使用户能够使用 Okta 身份验证，必须为他们分配新创建的应用程序：
1. 在“应用程序”页面上，选择新创建的应用程序。
2. 在“分配”选项卡上，选择“分配”>“分配给人员”，然后选择要向其授予必要权限的用户。新添加的用户将显示在“人员”选项卡上。

D. 配置 PingOne

注意：以下步骤是示例配置的简要说明。有关更详细的说明，请参阅 PingOne 文档。

在 PingOne 中添加使用 SAML 进行连接的网页应用程序，其详细信息如下：
1. 在“配置 SAML 连接”页面上，选择“手动输入”并填写以下内容：
  - “ACS URL”：区分大小写的 Automation Suite 实例 URL + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs)。
  - “实体 ID”：https://baseURL/identity_
  - SLO 绑定：HTTP 重定向
  - 断言有效期：输入有效期的秒数。
2. 在“映射属性”页面上，映射以下属性：
  电子邮件地址 = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。
提示：或者，您可以使用“导入元数据”选项配置 PingOne SAML 连接。UiPath 身份服务器的 SAML2 元数据可在 https://baseURL/identity/Saml2 以 XML 格式下载。
在“连接”>“应用程序”页面上，找到您刚才创建的应用程序，然后单击方框右端的图标以显示其详细信息。
在“ 配置文件 ” 选项卡中，复制并保存以下值，以用于下一部分设置，如 步骤 2. 配置 Automation Suite中所述：
- 客户端 ID
- 主页 URL。
如果您在应用程序设置期间未下载，请下载 PingOne 签名证书：
1. 转到“连接”>“证书和密钥对”。
2. 找到您刚才创建的应用程序，然后单击方框右端的图标以显示其详细信息。
3. 在“详细信息”选项卡右侧，单击“下载证书”，然后选择“.crt”可用信息。
在任意文本编辑器中打开证书文件，复制并保存证书值，以用于下一部分设置，如 步骤 2. 配置 Automation Suite中所述。

步骤 2. 配置 Automation Suite

若要启用 Automation Suite 作为识别您的身份提供程序的服务提供程序：

以系统管理员身份登录 Automation Suite 主机门户。
确保在左窗格顶部选择“主机”，然后单击“安全”。

注意：如果您使用的是旧版管理员体验，请从左侧的选项中选择“安全设置”。
单击“SAML SSO”下的“配置”，然后按照所使用的身份提供程序的说明进行操作：
1. 要为 ADFS 配置 SAML，请执行以下操作：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，键入 https://baseURL/identity_。
  5. 在“身份提供程序实体 ID”字段中，粘贴配置 ADFS 身份验证时获得的值。
  6. 在“单点登录服务 URL”字段中，粘贴配置 ADFS 身份验证时获得的值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https:/baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 将外部用户映射策略参数设置为按用户电子邮件。
  10. 对于 SAML 绑定类型，选择 HTTP 重定向。
  11. 在“证书签名”字段中，粘贴证书文本。
2. 要为 Google配置 SAML，请执行以下操作：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，键入 https://baseURL/identity_。
  5. 在“身份提供程序实体 ID”字段中，粘贴配置 Google 身份验证时获得的“实体 ID”值。
  6. 在“单点登录服务 URL”字段中，粘贴配置 Google 身份验证时获得的“SSO URL”值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https://baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 对于“ 外部用户映射策略”，选择 “按用户电子邮件”。
  10. 对于“SAML 绑定类型”，选择“HTTP 重定向”。
  11. 在“证书签名”字段中，粘贴配置 Google 时获得的“证书”值。
3. 要为 Okta配置 SAML，请执行以下操作：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，键入 https://baseURL/identity_。
  5. 在“身份提供程序实体 ID”字段中，粘贴在配置 Okta 时获得的“身份提供程序颁发者”值。
  6. 在“单点登录服务 URL”字段中，粘贴配置 Okta 时获得的“身份提供程序登录 URL”值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https://baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 对于“SAML 绑定类型”，选择“HTTP 重定向”。
  10. 在“签名证书”字段中，粘贴配置 Okta 时获得的“X.509 证书”值。
4. 要为 PingOne 配置 SAML，请执行以下操作：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，以 https://baseURL/identiy_ 格式粘贴 Automation Suite URL。
  5. 在“身份提供程序实体 ID”字段中，粘贴配置 PingOne 时获得的“颁发者 ID”值。
  6. 将“单点登录服务 URL”参数设置为配置 PingOne 时获得的“单点登录 URL”值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https://baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 对于“外部用户映射策略”，选择“通过用户电子邮件”。
  10. 对于 SAML 绑定类型，选择 HTTP 重定向。
  11. 在“证书签名”字段中，粘贴配置 PingOne 时获得的值。
5. 要在旧版管理员体验中配置每个项目，请执行以下操作：
  ADFS：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，键入 https://baseURL/identity_。
  5. 在“身份提供程序实体 ID”字段中，粘贴配置 ADFS 身份验证时获得的值。
  6. 在“单点登录服务 URL”字段中，粘贴配置 ADFS 身份验证时获得的值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https:/baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 将外部用户映射策略参数设置为按用户电子邮件。
  10. 对于 SAML 绑定类型，选择 HTTP 重定向。
  11. 在“证书签名”字段中，粘贴证书文本。
  Google：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，键入 https://baseURL/identity_。
  5. 在“身份提供程序实体 ID”字段中，粘贴配置 Google 身份验证时获得的“实体 ID”值。
  6. 在“单点登录服务 URL”字段中，粘贴配置 Google 身份验证时获得的“SSO URL”值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https://baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 对于“ 外部用户映射策略”，选择 “按用户电子邮件”。
  10. 对于“SAML 绑定类型”，选择“HTTP 重定向”。
  11. 在“证书签名”字段中，粘贴配置 Google 时获得的“证书”值。
  Okta：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，键入 https://baseURL/identity_。
  5. 在“身份提供程序实体 ID”字段中，粘贴在配置 Okta 时获得的“身份提供程序颁发者”值。
  6. 在“单点登录服务 URL”字段中，粘贴配置 Okta 时获得的“身份提供程序登录 URL”值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https://baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 对于“SAML 绑定类型”，选择“HTTP 重定向”。
  10. 在“签名证书”字段中，粘贴配置 Okta 时获得的“X.509 证书”值。
  PingOne：
  1. 选择“已启用”复选框。
  2. 如果您只想允许使用 Active Directory 帐户登录，请选中“使用此提供程序强制自动登录”复选框。
  3. 在“ 显示名称” 字段中，键入要在“ 登录 ” 页面上的此登录选项下显示的文本。
  4. 在“服务提供程序实体 ID”字段中，以 https://baseURL/identiy_ 格式粘贴 Automation Suite URL。
  5. 在“身份提供程序实体 ID”字段中，粘贴配置 PingOne 时获得的“颁发者 ID”值。
  6. 将“单点登录服务 URL”参数设置为配置 PingOne 时获得的“单点登录 URL”值。
  7. 选择“允许主动执行的身份验证响应”复选框。
  8. 在“返回 URL”字段中，键入 https://baseURL/identity_/externalidentity/saml2redirectcallback。
  9. 对于“外部用户映射策略”，选择“通过用户电子邮件”。
  10. 对于 SAML 绑定类型，选择 HTTP 重定向。
  11. 在“证书签名”字段中，粘贴配置 PingOne 时获得的值。
单击“保存”以保存更改并返回到上一页面。
单击 SAML SSO 左侧的切换按钮以启用集成。

注意：如果您仍在使用旧版管理员体验，请跳过此步骤。
重新启动“identity-service-api-*”Pod。对外部提供程序进行任何更改后，您必需进行此步骤。
1. 通过 SSH 连接到主服务器。
2. 运行以下命令：
  
  kubectl -n uipath rollout restart deployment identity-service-api

步骤 3. 可选设置

以下配置是可选的，仅当要为 Automation Suite 安装使用一个或两个高级安全功能时才需要。

步骤 3.1 自定义映射

ADFS、Google 和 OKTA，它们都将电子邮件地址用作 SAML 属性。本节根据用户名或外部提供程序密钥处理自定义 SAML 映射。

重要提示：配置自定义映射属性会影响整个系统，这意味着它们适用于所有现有的身份提供程序。因此，在设置新映射时，没有其他提供程序（Azure、Windows）可以工作。

需要在主机级别的“安全”页面的 SAML SSO 配置中设置以下参数。

注意：如果您仍在使用旧版管理员体验，则这些选项是“安全设置”页面“外部提供程序”部分中 SAML 2.0 设置的一部分。

外部用户映射策略 - 定义映射策略。提供以下选项：
- By user email - 您的电子邮件地址被设置为属性。这是默认值。
- By username - 您的用户名被设置为属性。
- By external provider key - 将外部提供程序密钥设置为属性。
外部用户标识符声明名称 - 定义要用作映射标识符的声明。仅当您将用户名设置为属性时才需要。

步骤 3.3. 服务证书

在 SAML 协议中，服务证书用于对服务提供程序发送的请求进行签名和/或加密，即Automation Suite。

要设置服务证书：

转到 ArgoCD 并以管理员身份登录。
选择并转到 uipath 应用程序。
单击左上角的“应用程序详细信息”。
在“参数”部分，搜索“ServiceCert”。
使用服务证书的 Base64 序列化更新 global.userInputs.certificate.identity.saml.currentServiceCert 参数。服务证书需要私钥。
如果您的服务证书有密码，请同时更新 global.userInputs.certificate.identity.saml.currentServiceCertPassword 参数。

在 ArgoCD 中，证书和密码都以 Base64 进行编码。
如果您需要轮换服务证书，请更新 global.userInputs.certificate.identity.saml.futureServiceCert 和 global.userInputs.certificate.identity.saml.futureServiceCertPassword 参数。
单击“同步”以应用更改。

等待几分钟，以便 Identity Server 自动重新启动。