使用 Azure AD 设置 SAML SSO

您可以使用 Azure 门户为添加到 Azure AD 租户的企业应用程序启用 SSO。

配置 SSO 后，用户可以使用其 Azure AD 凭据登录。

重要提示：

如果您的用户位于 Azure AD 中，但无法使用 Azure AD 集成说明为您的 UiPath 组织配置 AAD，可以选择将 AAD 配置为基于 SAML 的 IdP。

这是因为在授予读取所有 UiPath 应用程序用户的用户详细信息和组成员身份的权限方面存在限制。

为应用程序启用 SAML SSO

使用先决条件中列出的角色之一登录 Azure 门户。
转到 Azure AD，然后选择“企业应用程序”。

系统将打开“所有应用程序”页面，其中列出了 Azure AD 租户中的应用程序。

搜索，然后选择要使用的应用程序。例如， UiPath 。

备注：
要创建 SSO 应用程序，请按照本部分中的步骤操作。
在“管理”部分的左侧边栏中，选择“单点登录”，以打开SSO 编辑页面。
选择“SAML” 以打开“ SSO 配置”页面。

配置应用程序后，用户可以使用其 Azure AD 租户凭据登录应用程序。
在“基本 SAML 配置” 部分下，单击“编辑” 。
根据 UiPath 门户的 SAML 配置设置中提供的值填写“实体 ID ” 和“断言使用者服务 (ACS) URL ” 字段。
单击“保存”。
备注：
UiPath 需要由 SAML 身份提供程序发送的 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 或 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn 声明。

如果两个声明都在 ACS 有效负载中发送，则 UiPath 将优先考虑 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 声明。

默认情况下，Azure AD 中的应用配置为向 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 发送声明，并将用户的电子邮件地址作为声明的值。

如果您要从或计划切换到 Azure AD 目录集成，请注意：
- UiPath 将优先级声明中传递的值用作唯一标识符，并用于将任何现有本地用户（使用本地用户的电子邮件地址）链接到 Azure AD 中的此目录用户。
- 为了在 Azure AD 和 SAML 目录集成之间顺利切换，建议您在这两个声明中传递适当的用户值。
  
  以下是配置示例：
复制应用程序联合元数据 URL 。
导航到“ UiPath 管理” 门户，然后转到“ SAML 配置” 页面。
在“ 元数据 URL ”字段中粘贴“ 应用程序联合身份验证元数据 URL”。
单击“获取数据”，让系统从身份提供程序请求用户相关信息。

设置声明以自动配置到 UiPath

使用先决条件中列出的角色之一登录 Azure 门户。
转到 Azure AD，然后选择“企业应用程序”。

系统将打开“所有应用程序”页面，其中列出了 Azure AD 租户中的应用程序。

搜索，然后选择要使用的应用程序。例如， UiPath 。

备注：
要创建 SSO 应用程序，请按照本部分中的步骤操作。
在“管理”部分的左侧边栏中，选择“单点登录”，以打开SSO 编辑页面。
在 SSO 编辑页面的“ 属性和声明 ”部分中，单击“ 编辑 ”。
单击“添加组声明”，以配置要发送到 UiPath 的组。

备注：
要设置高级配置，请从“高级设置”下拉列表中进行选择。
单击“保存”。
要完成配置，请按照我们公共文档中的步骤操作。