Orchestrator
2020.10
False
横幅背景图像
不在支持范围内
Orchestrator 用户指南
上次更新日期 2023年12月12日

OKTA 身份验证

配置 OKTA 以识别新的 Orchestrator 实例

注意:以下步骤对 OKTA SAML 设置有效。请注意,以下过程是示例配置的简要描述。有关详细的操作,请访问官方 OKTA 文档
  1. 登录到 OKTA。在“传统用户界面”视图中进行以下设置。您可以从窗口右上角的下拉列表中进行更改。


  2. 应用程序选项卡上,单击创建新应用程序。系统将显示创建新的应用程序集成窗口。
  3. 选择“SAML 2.0”作为登录方法,然后单击“创建”


  4. 对于新集成,在“常规设置”窗口中,输入应用程序名称。
  5. 在“SAML设置”窗口的上,按照以下示例填写“常规”部分:
    • 单点登录 URL:Orchestrator 实例 URL + /identity/Saml2/Acs。例如 https://myOrchestrator.uipath.com/identity/Saml2/Acs
    • 选中“将此用于收件人 URL 和目标 URL”复选框。
    • “受众 URI”:https://myOrchestrator.uipath.com/identity
    • “名称 ID 格式”:电子邮件地址

    • “应用程序用户名”:电子邮件地址

      注意:每当填写 Orchestrator 实例的 URL 时,请确保其不包含斜杠。始终将其填写为 https://myOrchestrator.uipath.com/identity,而不是 https://myOrchestrator.uipath.com/identity/
  6. 单击“显示高级设置”,然后填写“属性语句”部分:
    • 名称字段设置为 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress,然后从下拉列表中选择user.email


  7. 下载 OKTA 证书。
  8. 在“反馈”部分中,选择适合您的选项,然后单击“完成”
  9. 登录选项卡的设置部分中,单击设置说明。系统会将您重定向到一个新页面,其中包含为 SAML 2.0 完成 Orchestrator 配置所需的说明:身份提供程序登录 URL身份提供程序颁发者X.509 证书
    注意:如果由于某种原因丢失了有关身份提供程序的信息,则可以随时访问登录>设置>查看设置说明

向应用程序分配人员

为了使用户能够使用 OKTA 身份验证,必须为该用户分配新创建的应用程序:

  1. 登录到 OKTA。
  2. 在“应用程序”页面上,选择新创建的应用程序。
  3. 分配选项卡上,选择分配>分配给人员,然后选择要向其授予必要权限的用户。


  4. 新添加的用户将显示在“人员”选项卡上。

设置 Orchestrator/Identity Server 以使用 OKTA 身份验证

备注:
将所有出现的 https://myOrchestrator.uipath.com/identity 替换为 Orchestrator 实例的 URL。
确保 Orchestrator 实例的 URL 不包含斜杠。始终将其填写为 https://myOrchestrator.uipath.com/identity 而不是 https://myOrchestrator.uipath.com/identity/
  1. 在 Orchestrator 中定义一个用户,并在“用户”页面上设置一个有效的电子邮件地址。
  2. 导入签名证书。
    • 对于 Windows 部署,请使用 Microsoft 管理控制台将身份提供程序提供的签名证书导入 Windows 证书存储(受信任的根证书颁发机构个人存储)。
    • 对于 Azure 部署,请在 Azure 门户中上传由身份提供程序提供的证书。 (“TLS/SSL 设置 ” > “公共证书 (.cer) ” > “上传公钥证书”)。 如果您无法使用 OKTA 身份验证并遇到以下错误消息: An error occurred while loading the external identity provider. Please check the external identity provider configuration.,请参阅 此处 如何调整网页应用程序配置
  3. 确保在 外部提供程序 页面的 Identity Server 的Saml2设置中存在以下配置(请 在此处 阅读如何访问 Identity Server)。
    • 选择“已启用”复选框。
    • 将“ 服务提供程序实体 ID ”参数设置为 https://orchestratorURL/identity
    • 将“ 身份提供程序实体 ID ” 参数设置为通过配置 Okta 身份验证获得的值(请参阅 步骤 9)。
    • 选择“允许主动执行的身份验证响应”复选框。
    • 将“返回 URL”参数设置为 https://orchestratorURL/identity/externalidentity/saml2redirectcallback。确保在“返回 URL”参数的 URL 末尾添加 /identity/externalidentity/saml2redirectcallback。该路径特定于 Okta,因为它使您可以直接从 Okta 访问 Orchestrator 环境。
    • SAML 绑定类型 参数设置为 HTTP redirect
  4. 在“ 签名证书 ”部分中:
    • 将“ 商店名称 ”参数设置为 My
    • 对于 Windows 部署,将“存储位置”参数设置为 LocalMachine;对于 Azure 网页应用程序部署,将其设置为 CurrentUser

    • 将“ 指纹 ” 参数设置为 Windows 证书存储中提供的指纹值。 详情请参阅 此处



      备注:

      确保将证书安装在受信任的根证书颁发机构个人证书存储中。

  5. 可选。如果您将 Identity Server 配置为不使用 SSL(例如,负载平衡环境中的 SSL 卸载),则需要对 SAML 断言进行加密。外部身份提供程序使用服务证书的公钥对 SAML 断言进行加密,Identity Server 使用证书的私钥对它们进行解密。
    在“ 服务证书步骤” 部分中:
    • 从下拉框中将“ 商店名称 ” 设置为 My
    • 将“ 商店位置 ”设置为 LocalMachine

    • 将“指纹”参数设置为 Windows 证书存储中提供的指纹值。请访问此处,了解详细信息。



      重要提示:

      服务证书需要:

      • 具有 2048 位公钥
      • 具有可由应用程序池用户访问的私钥,
      • 处于有效期(未过期)。
  6. 单击“保存”将更改保存到外部身份提供程序设置。
  7. 在 Identity Server 中执行任何配置更改后,请重新启动 IIS 服务器。

此页面是否有帮助?

支持与服务
获取您需要的帮助
UiPath Academy
了解 RPA - 自动化课程
UiPath 论坛
UiPath Community 论坛
Uipath 白色徽标
信任与安全
使用条款
隐私策略
Cookie 政策
© 2005-2024 UiPath. All rights reserved.