automation-suite
2023.10
false
重要 :
新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

Automation Suite 管理页指南

上次更新日期 2025年8月22日

配置 SSO:SAML 2.0

您可以使用支持 SAML 2.0 身份验证协议的任何身份提供程序启用 SSO。

概述

启用 SAML SSO 是一个多步骤流程,您必须完成以下配置:

  1. 配置身份提供程序以将 UiPath 平台识别为服务提供程序。
  2. 将 UiPath 平台配置为服务提供程序,以识别并信任您的身份提供程序。
  3. 将用户配置到您的组织,以允许他们使用来自您的身份提供程序的 SAML 2.0 协议通过 SSO 登录。

步骤 1. 配置您的身份提供程序

UiPath 支持多个身份提供程序。

在本节中,我们举例说明如何查找以下每个身份提供程序的特定配置并获取证书:

  • ADFS

  • Google

  • 奥克塔

  • PingOne

A. 配置 ADFS

配置计算机以支持 ADFS,并确保您有权访问 ADFS 管理软件。如果需要,请咨询系统管理员。

注意:以下步骤是示例配置的简要说明。 有关更详细的说明,请参阅ADFS 文档
  1. 打开 ADFS 管理并定义新的 Orchestrator 依赖方信任,如下所示:
    1. 选择“依赖方信任”
    2. “操作”面板中,选择“添加信赖方信任” 。 系统将显示“添加信赖方信任向导”
    3. 在“欢迎”部分中,选择“声明感知”。
    4. 在“选择数据”部分中,选择“手动输入有关信赖方的数据”选项。
    5. 在“指定显示名称”部分的“显示名称”字段中,输入 Orchestrator 实例的 URL。
    6. “配置证书”部分不需要任何特定设置,因此可以将其保持原样。
    7. 在“配置 URL”部分中,选择“启用对 SAML 2.0 Web SSO 协议的支持”。
    8. 在“信赖方 SAML 2.0 SSO 服务 URL”字段中,填写 Automation Suite 实例的身份基本 URL 并加上后缀/Saml2/Acs 。例如 https://{yourDomain}/{organizationName}/identity_
    9. 在“配置标识符”部分下的“信赖方信任标识符”字段中,填写身份基本 URL,例如https://{yourDomain}/{organizationName}/identity_
    10. 在“选择访问控制策略”部分中,确保选择“允许所有人”访问控制策略。
    11. “准备添加信任”和“完成”不需要任何特定设置,因此保持原样。
      新添加的信赖方信任将显示在“信赖方信任”窗口上。
    12. 转到“操作”>“属性”>“端点”,并确保为“绑定”选择“POST”并选中“将受信任的 URL 设置为默认值”复选框。

      端点绑定必须为 Post。其他绑定(例如重定向)与 UiPath™ 不兼容,因为 ADFS 不对重定向断言进行签名。

    13. 转到“操作”>“属性”>“标识符”,并确保存在身份基本 URL,即https://{yourDomain}/{organizationName}/identity_
  2. 选择信赖方信任,然后从“操作” 面板中选择“编辑声明颁发策略”

    系统将显示“编辑声明颁发策略”向导。

  3. 选择“添加规则” ,然后使用“以声明方式发送 LDAP 属性”模板和以下设置来创建新规则,如下表中所述:

    LDAP 属性

    传出声明类型

    电子邮件地址

    电子邮件地址

    用户主体名称

    名称 ID

  4. 配置 ADFS 后,以管理员身份打开 PowerShell,并运行以下命令:
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      DISPLAYNAME 替换为在步骤 1.e 中设置的值。
    2. Restart-Service ADFSSRV

B. 配置 Google

注意:以下步骤是示例配置的简要说明。 有关更详细的说明,请参阅Google 文档
  1. 以管理员身份登录到管理控制台,转到 Apps,然后转到网页和移动应用程序
  2. 选择“添加应用” ,然后选择“添加自定义 SAML 应用”
  3. 在“应用程序详细信息”页面中,填写 Automation Suite 实例的名称。
  4. 在“Google 身份提供程序详细信息”页面上,复制并保存以下内容以备后用:
    • SSO URL
    • 实体 ID
  5. 下载 证书,使用文本编辑器将其打开,复制并保存 步骤 2. 配置 Automation Suite中设置的下一部分的值。
  6. 在“服务提供程序详细信息”页面中,输入以下内容:
    • ACS URL: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
    • 实体 ID:https://{yourDomain}/{organizationName}/identity_
  7. 在“属性映射”页面中,提供以下映射:
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

      请注意,此声明区分大小写。

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. 配置 SAML 应用程序后,转到 Google 管理员控制台中 Automation Suite SAML 应用程序上的“用户访问权限”,然后选择“为所有人启用”

C. 配置 Okta

注意:以下步骤是示例配置的简要说明。 有关更详细的说明,请参阅Okta 文档
  1. 登录 “Okta 管理员控制台”,转到“应用程序” > “应用程序” ,选择“创建应用程序集成” ,然后选择“SAML 2.0”作为“登录方法”
  2. 在“常规设置”页面中,指定 Automation Suite 实例的名称。
  3. 在“配置 SAML”页面上,填写“常规”部分。

    例如:

    • 单点登录 URL:身份基本 URL +/Saml2/Acs 。例如https://{yourDomain}/{organizationName}/identity_ /Saml2/Acs。
    • 选中“将此用于收件人 URL 和目标 URL”复选框。
    • 受众 URI:https://{yourDomain}/{organizationName}/identity_
    • “名称 ID 格式”:电子邮件地址
    • “应用程序用户名”:电子邮件地址
  4. 填写“属性语句”部分:
    • 在“名称”字段中,键入http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 。 请注意,此声明区分大小写。
    • 从“值”列表中,选择“user.email”。
  5. 在“反馈”部分中,选择适合您的选项。
  6. 选择“完成”
  7. “登录”选项卡的“设置”部分中,选择“查看设置说明”

    您将被重定向到一个新页面,其中包含完成 步骤 2 中的下一部分设置所需的说明。配置 Automation Suite

    • 身份提供程序登录 URL
    • 身份提供程序颁发者
    • X.509 证书
  8. 为了使用户能够使用 Okta 身份验证,必须为他们分配新创建的应用程序:
    1. 在“应用程序”页面上,选择新创建的应用程序。
    2. 在“分配”选项卡上,选择“分配”>“分配给人员”,然后选择要向其授予必要权限的用户。新添加的用户将显示在“人员”选项卡上。

D. 配置 PingOne

注意:以下步骤是示例配置的简要说明。 有关更详细的说明,请参阅PingOne 文档
  1. 在 PingOne 中添加使用 SAML 进行连接的网页应用程序,其详细信息如下:
    1. 在“配置 SAML 连接”页面上,选择“手动输入”并填写以下内容:
      • ACS URL:区分大小写的 Identity 基本 URL +/Saml2/Acs 。例如 https://{yourDomain}/{organizationName}/identity_
      • “实体 ID”:https://{yourDomain}/{organizationName}/identity_
      • SLO 绑定:HTTP 重定向

      • 断言有效期:输入有效期的秒数。

    2. 在“映射属性”页面上,映射以下属性:
      电子邮件地址= http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 。 请注意,此声明区分大小写。
  2. “连接” > “应用程序”页面上,找到您刚才创建的应用程序,然后选择方框右端的图标以显示其详细信息。
  3. “配置文件”选项卡中,复制并保存以下值,以用于设置的下一部分,步骤 2 中将进行进一步说明:

    • 客户端 ID

    • 主页 URL

  4. 如果您在应用程序设置期间未下载,请下载 PingOne 签名证书:
    1. 转到“连接”>“证书和密钥对”。
    2. 找到您刚才创建的应用程序,然后选择框右端的以显示其详细信息。
    3. “详细信息”选项卡右侧,选择“下载证书” ,然后选择.crt 格式。
  5. 在任何文本编辑器中打开证书文件,复制并保存证书值,以供设置的下一部分使用,详情请参阅步骤 2。

步骤 2. 配置 Automation Suite

要启用 Automation Suite 作为识别您的身份提供程序的服务提供程序,请执行以下操作:
  1. 以系统管理员身份登录到 host portal
  2. 确保在左窗格顶部选择“主机” ,然后选择“安全”
  3. 选择“SAML SSO” 下的“配置” ,然后按照您使用的身份提供程序的说明进行操作:
    1. 要为 ADFS 配置 SAML,请执行以下操作:

      1. 选择“已启用”复选框。

      2. 如果您只想允许使用 Active Directory 帐户登录,请选中“使用此提供程序强制自动登录”复选框。

      3. 在“ 显示名称” 字段中,键入要在“ 登录 ” 页面上的此登录选项下显示的文本。

      4. 在“服务提供程序实体 ID”字段中,键入 https://{yourDomain}/{organizationName}/identity_

      5. 在“身份提供程序实体 ID”字段中,粘贴配置 ADFS 身份验证时获得的值。

      6. 在“单点登录服务 URL”字段中,粘贴配置 ADFS 身份验证时获得的值。

      7. 选择“允许主动执行的身份验证响应”复选框。

      8. 在“返回 URL”字段中,键入 https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback。

      9. 外部用户映射策略参数设置为按用户电子邮件

      10. 对于 SAML 绑定类型,选择 HTTP 重定向

      11. 在“证书签名”字段中,粘贴证书文本。

    2. 要为 Google配置 SAML,请执行以下操作:

      1. 选择“已启用”复选框。

      2. 如果您只想允许使用 Active Directory 帐户登录,请选中“使用此提供程序强制自动登录”复选框。

      3. 在“ 显示名称” 字段中,键入要在“ 登录 ” 页面上的此登录选项下显示的文本。

      4. 在“服务提供程序实体 ID”字段中,键入 https://{yourDomain}/{organizationName}/identity_

      5. 在“身份提供程序实体 ID”字段中,粘贴配置 Google 身份验证时获得的“实体 ID”值。

      6. 在“单点登录服务 URL”字段中,粘贴配置 Google 身份验证时获得的“SSO URL”值。

      7. 选择“允许主动执行的身份验证响应”复选框。

      8. 在“返回 URL”字段中,键入 https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback。

      9. 对于“ 外部用户映射策略”,选择 “按用户电子邮件”

      10. 对于“SAML 绑定类型”,选择“HTTP 重定向”。

      11. 在“证书签名”字段中,粘贴配置 Google 时获得的“证书”值。

    3. 要为 Okta配置 SAML,请执行以下操作:

      1. 选择“已启用”复选框。

      2. 如果您只想允许使用 Active Directory 帐户登录,请选中“使用此提供程序强制自动登录”复选框。

      3. 在“ 显示名称” 字段中,键入要在“ 登录 ” 页面上的此登录选项下显示的文本。

      4. 在“服务提供程序实体 ID”字段中,键入 https://{yourDomain}/{organizationName}/identity_

      5. 在“身份提供程序实体 ID”字段中,粘贴在配置 Okta 时获得的“身份提供程序颁发者”值。

      6. 在“单点登录服务 URL”字段中,粘贴配置 Okta 时获得的“身份提供程序登录 URL”值。

      7. 选择“允许主动执行的身份验证响应”复选框。

      8. 在“返回 URL”字段中,键入 https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback。

      9. 对于“SAML 绑定类型”,选择“HTTP 重定向”。

      10. 在“签名证书”字段中,粘贴配置 Okta 时获得的“X.509 证书”值。

    4. 要为 PingOne 配置 SAML,请执行以下操作:

      1. 选择“已启用”复选框。

      2. 如果您只想允许使用 Active Directory 帐户登录,请选中“使用此提供程序强制自动登录”复选框。

      3. 在“ 显示名称” 字段中,键入要在“ 登录 ” 页面上的此登录选项下显示的文本。

      4. 在“服务提供程序实体 ID”字段中,以 https://{yourDomain}/{organizationName}/identity_ 格式粘贴 Automation Suite URL。

      5. 在“身份提供程序实体 ID”字段中,粘贴配置 PingOne 时获得的“颁发者 ID”值。

      6. 将“单点登录服务 URL”参数设置为配置 PingOne 时获得的“单点登录 URL”值。

      7. 选择“允许主动执行的身份验证响应”复选框。

      8. 在“返回 URL”字段中,键入 https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback。

      9. 对于“外部用户映射策略”,选择“通过用户电子邮件”。

      10. 对于 SAML 绑定类型,选择 HTTP 重定向

      11. 在“证书签名”字段中,粘贴配置 PingOne 时获得的值。

  4. 选择“保存”以保存更改并返回到上一页面。
  5. 选择“SAML SSO”左侧的切换开关以启用集成。
  6. 重新启动“identity-service-api-*”Pod。对外部提供程序进行任何更改后,您必需进行此步骤。
    1. 通过 SSH 连接到主服务器。
    2. 运行以下命令:
      kubectl -n uipath rollout restart 部署 identity-service-api

步骤 3. 可选设置

以下配置是可选的,仅当要使用一个或两个高级安全功能时才需要。

步骤 3.1 自定义映射

ADFS、Google 和 OKTA,它们都将电子邮件地址用作 SAML 属性。本节根据用户名或外部提供程序密钥处理自定义 SAML 映射。

重要提示:配置自定义映射属性会影响整个系统,这意味着它们适用于所有现有的身份提供程序。因此,在设置新映射时,没有其他提供程序(Azure、Windows)可以工作。

需要在“安全性”页面的 SAML SSO 配置中在主机级别设置以下参数。

  • 外部用户映射策略 - 定义映射策略。提供以下选项:

    • By user email - 您的电子邮件地址被设置为属性。这是默认值。
    • By username - 您的用户名被设置为属性。
    • By external provider key - 将外部提供程序密钥设置为属性。
  • 外部用户标识符声明名称 - 定义要用作映射标识符的声明。仅当您将用户名设置为属性时才需要。

此页面有帮助吗?

支持与服务
获取您需要的帮助
UiPath Academy
了解 RPA - 自动化课程
UiPath 论坛
UiPath Community 论坛
Uipath Logo
信任与安全
使用条款
隐私策略
Cookie 政策
© 2005-2025 UiPath。保留所有权利。