process-mining
2021.10
true
重要 :
请注意此内容已使用机器翻译进行了部分本地化。 新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

Process Mining

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
上次更新日期 2024年12月20日

为 Microsoft Active Directory 设置通过 SAML 的单点登录

简介

本页介绍如何为 Microsoft Active Directory 设置基于 SAML 的单点登录。

身份提供程序

要启用基于 SAML 的单点登录,必须正确配置 UiPath Process Mining 和 ADFS,以便它们可以相互通信。 另请参阅 配置 ADFS

请参阅 Microsoft 官方文档,并确保使用响应元素配置身份验证,如下所述。

主题

  • nameID:用户的持久标识符 (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent)。

属性语句(“声明”)

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name :用户的全名。
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress:用户的电子邮件地址。
  • http://schemas.xmlsoap.org/claims/Group :单个组标识符或组标识符数组。
备注: Process Mining 仅支持需要身份提供程序才能支持RelayState参数的服务提供程序启动(SP 启动)的 SSO。 这意味着用户将导航到 Process Mining 登录页面,用户将从该页面重定向到身份提供程序进行登录。

如果 SAML 已启用并正确配置,则“登录” 页面底部将显示一个按钮。 请参见下图。



If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.

为单点登录配置 UiPath Process Mining

  1. 转到 UiPath Process Mining 安装的“超级管理员” 页面的“设置”选项卡,以配置“ 服务器设置”。 请参见下图。


  2. 在“服务器设置”的 ExternalAuthenticationProviders 设置中添加所需的 SAML 设置。以下是 saml 对象的 JSON 键的说明。

    密钥

    描述

    必需

    entrypoint

    指定远程身份提供程序的 URL。

    颁发者

    用于指定要提供给身份提供程序的颁发者字符串。 默认值设置为 Process Mining URL。

    身份验证上下文

    用于指定要从身份提供程序请求的身份验证方法。 默认情况下,不请求身份验证上下文。

    证书

    使您能够指定签名证书以验证身份提供程序的响应,作为单行 PEM 编码 X.509 格式,其中换行符替换为“\))

    '.

    私钥

    用于指定用于对发送到远程身份提供程序的请求进行签名的密钥,以单行 PEM 编码 X.509 格式(其中换行符替换为“\)”)

    '.

    签名算法

    用于指定对请求进行签名时使用的签名算法。 可能的值为:

    • sha1;

    • sha256;

    • sha512。

    标识符格式

    要从身份提供程序请求的名称标识符格式。 默认为“urn:oasis:names:tc:SAML:2.0:nameid-format:persistent”。

    验证响应至

    设置为“true”时,验证传入 SAML 响应中的“InResponseTo”。 默认为“true”。

    loggingLevel

    用于指定是否要将有关登录流程的信息添加到[PLATFORMDIR]/logs/iisnode文件夹中的日志中。 可能的值:

    • 信息;

    • 警告;

    • 错误。

    注意: 建议仅在遇到登录问题时启用此功能。

以下是基本 ADFS 配置的具有ExternalAuthenticationProviders设置和saml对象的服务器设置示例。
docs image
以下是具有双向证书检查的 ADFS 配置的ExternalAuthenticationProviders设置和saml对象的服务器设置示例。
docs image

3. 单击“ 保存 ”以保存新设置。

4. 按 F5 刷新“超级管理员”页面。这将加载新设置,并允许根据这些设置创建 SAML 组。

自动登录

重要提示:在启用自动登录之前,请确保单点登录正常工作。在未正确设置 SSO 时启用自动登录可能会使受自动登录设置影响的用户无法登录。
通过AutoLogin服务器设置,用户将使用当前的活动 SSO 方法自动登录。
默认情况下, AutoLogin 设置为 none。 如果要为最终用户和/或超级管理员用户启用自动登录,则可以在“ 超级管理员设置” 选项卡的 AutoLogin 中指定此操作。 请参阅 设置选项卡
注意:通过本地主机登录时,系统始终会为超级管理员用户禁用自动登录。

故障排除

SAML 响应示例

请特别注意“saml:AttributeStatement”元素的内容。

单击 此处 查看“saml:AttributeStatement”的预期响应,这有助于配置身份提供程序。

日志文件

如果在设置身份提供程序和 Process Mining 之间的通信后用户登录失败,建议您检查[INSTALLDIR]/logs文件夹中的日志文件。

以下是拒绝访问的示例日志行。

[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].

有效组 ” 列表包含从身份提供程序接收到的用户“Jim Jones”的组集。 “Jim Jones”是“Admins”组的成员。 在 Process Mining 中,仅配置具有长可分辨名称的组。 “Jim Jones” 被拒绝访问,因为“管理员” 未列在“ 有效组” 中。

解决方案

您应该配置身份提供程序以发送完整的专有名称,或将 Process Mining 中的“管理员”组配置为仅引用公用名。

后续步骤

要使用 SAML 进行身份验证,您必须创建一个或多个 AD 组以允许成员登录。 对于超级管理员用户或应用程序开发者,您可以在“ 超级管理员用户 ”选项卡上创建 AD 组。 请参阅 添加超级管理员 AD 组

对于最终用户身份验证,可以在“ 最终用户管理 ”页面上创建 AD 组。 请参阅 添加最终用户 AD 组

  • 简介
  • 身份提供程序
  • 为单点登录配置 UiPath Process Mining
  • 故障排除
  • SAML 响应示例
  • 日志文件
  • 后续步骤

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。