使用 Azure AD 设置 SAML SSO
您可以使用 Azure 门户为添加到 Azure AD 租户的企业应用程序启用 SSO。
配置 SSO 后,用户可以使用其 Azure AD 凭据登录。
如果您的用户位于 Azure AD 中,但您无法使用 Azure AD 集成说明到 UiPath™ 组织配置 AAD,则可以选择将 AAD 配置为基于 SAML 的身份提供程序。
这是因为围绕授予读取所有Orchestrator用户的用户详细信息和组成员身份的权限存在限制。
由于其高级功能,推荐使用。 但是,如果您切换到 SAML,则必须将通过目录组完成的角色分配手动替换为对目录帐户的直接角色分配,以保留访问架构,而无需从头开始重新创建。
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
或 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
声明。http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
声明区分大小写。
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
声明。
默认情况下,Azure AD 中的应用程序配置为发送 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
声明,并将用户的电子邮件地址作为声明的值。
如果您要从或计划切换到Azure AD 目录集成,请注意:
-
Orchestrator将优先级声明中传递的值用作唯一标识符,并用于将任何现有本地用户(使用本地用户的电子邮件地址)链接到 Azure AD 中的此目录用户。
-
为了在 Azure AD 和 SAML 目录集成之间顺利切换,建议您在这两个声明中传递适当的用户值。
以下是配置示例:
-
使用先决条件中列出的角色之一登录Azure 门户。
-
转到 Azure AD,然后选择“企业应用程序”。
系统将打开“所有应用程序”页面,其中列出了 Azure AD 租户中的应用程序。
搜索,然后选择要使用的应用程序。 例如, UiPath 。
备注:要创建 SSO 应用程序,请按照本部分中的步骤操作。
-
在“管理”部分的左侧边栏中,选择“单点登录”,以打开SSO 编辑页面。
-
选择“SAML” 以打开“ SSO 配置”页面。
配置应用程序后,用户可以使用其 Azure AD 租户凭据登录应用程序。
-
在“基本 SAML 配置” 部分下,单击“编辑” 。
-
根据 Orchestrator 门户的 SAML 配置设置中提供的值填写“ 实体 ID ”和“ 断言使用者服务 (ACS) URL ”字段。
-
单击“保存”。
-
复制应用程序联合元数据 URL 。
-
导航到“ UiPath 管理” 门户,然后转到“ SAML 配置” 页面。
-
在“ 元数据 URL ”字段中粘贴“ 应用程序联合身份验证 元数据 URL”。
-
单击“获取数据”,让系统从身份提供程序请求用户相关信息。
-
使用先决条件中列出的角色之一登录Azure 门户。
-
转到 Azure AD,然后选择“企业应用程序”。
系统将打开“所有应用程序”页面,其中列出了 Azure AD 租户中的应用程序。
搜索,然后选择要使用的应用程序。 例如, UiPath 。
备注:要创建 SSO 应用程序,请按照本部分中的步骤操作。
-
在“管理”部分的左侧边栏中,选择“单点登录”,以打开SSO 编辑页面。
-
在 SSO 编辑 页面的“ 属性和声明 ”部分中,单击“ 编辑 ”。
-
单击“添加组声明”,以配置要发送到Orchestrator的组。
备注:要设置高级配置,请从“高级设置”下拉列表中进行选择。
-
单击“保存”。
-
要完成配置,请按照我们公共文档中的步骤 2.5 配置配置规则(可选)操作。
如果客户更喜欢使用UPN ,您可以导航至“属性和声明”部分,并更改“电子邮件地址”属性的值。
- 使用先决条件中列出的角色之一登录Azure 门户。
- 转到 Azure AD,然后选择“企业应用程序”。系统将打开“所有应用程序”页面,其中列出了 Azure AD 租户中的应用程序。
- 单击“新建应用程序”>“创建您自己的应用程序”。
- 为您的应用程序命名。例如,UiPath。
- 选择“集成在库中找不到的任何其他应用程序(非库)”。
- 单击“创建”。