Orchestrator 用户指南
自定义映射
ADFS、Google 和 Okta 都使用您的电子邮件地址作为 SAML 属性。 本节根据您的用户名或外部提供程序密钥处理自定义 SAML 映射。
请注意,配置自定义映射属性会影响整个系统,这意味着它们适用于所有现有的身份提供程序。因此,在设置新映射时,没有其他提供程序(Azure、Windows)可以工作。
对此,需要在“外部提供程序”页面中的 Identity Server 的SAML2设置中配置以下参数(请参阅“主机身份管理中心” ,了解如何访问 Identity Server):
- 外部用户映射策略 - 定义映射策略。提供以下选项:
By user email- 您的电子邮件地址被设置为属性。这是默认值。By username- 您的用户名被设置为属性。By external provider key- 将外部提供程序密钥设置为属性。
- 外部用户标识符声明名称 - 定义要用作映射标识符的声明。仅当您将用户名设置为属性时才需要。
使用 OKTA 自定义映射
以下示例是使用 OKTA 对每个映射策略的配置。
在 Identity server 中执行并保存任何配置更改后,需要重新启动 IIS 站点。
通过用户电子邮件
这是默认的映射策略。 使用电子邮件声明进行用户识别。
要使用用户电子邮件,请在主机管理门户( “用户” >“身份验证设置” >“外部提供程序” >“SAML 2.0” )中配置 SAML,如下所示:
- 选择已启用复选框。
- 将“外部用户映射策略”参数设置为
By user email。
通过用户名
这使管理员能够为用户标识定义特定的声明。
-
在此示例中,我们在 Okta 中定义一个自定义声明,并使用
user.employeeNumber作为标识符:
-
定义相应的属性:
-
确保 Orchestrator 中的用户帐户与 Okta 中定义的用户名相同。
要使用用户名,请在主机管理门户( “用户” >“身份验证设置” >“外部提供程序” >“SAML 2.0” )中配置 SAML,如下所示:
- 选择已启用复选框。
- 将“外部用户映射策略”参数设置为
By username。 - 将“外部用户标识符声明名称”参数设置为先前创建的声明,在我们的示例中为
auid-claim。
通过外部提供程序密钥
如果已在 Orchestrator 和 Okta 中定义用户,则建议使用此选项。
有权访问 Identity Server 用户数据库的管理员需要运行以下 SQL 命令:
INSERT INTO [identity].[AspNetUserLogins] (UserId,LoginProvider,ProviderKey)
VALUES (<userid>,'http://www.okta.com/exkh4xo7uoXgjukfS0h7','documentation@uipath.com')
INSERT INTO [identity].[AspNetUserLogins] (UserId,LoginProvider,ProviderKey)
VALUES (<userid>,'http://www.okta.com/exkh4xo7uoXgjukfS0h7','documentation@uipath.com')
- 将
LoginProvider参数设置为 Okta 中使用的实体 ID - 将
ProviderKey参数设置为用户的电子邮件地址
要使用外部提供程序密钥,请在主机管理门户( “用户” >“身份验证设置” >“外部提供程序” >“SAML 2.0” )中配置 SAML,如下所示:
- 选择已启用复选框。
- 将“外部用户映射策略”参数设置为
By external provider key。