test-cloud
latest
false
- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 在您的组织中进行测试
- 故障排除
- 迁移到 Test Cloud
重要 :
新发布内容的本地化可能需要 1-2 周的时间才能完成。
Test Cloud 管理员指南
上次更新日期 2026年4月7日
联合身份凭据
联合身份凭据使外部 OAuth 应用程序使用由外部身份提供程序颁发的 JSON Web 令牌 (JWT) 而非客户端密码,通过 UiPath 进行身份验证。这样无需存储、轮换和保护用于计算机到计算机身份验证的客户端密码。
采用零信任安全模型的组织可以通过受信任的身份提供程序(例如 Microsoft Entra ID、AWS 或 Google Cloud)使用联合凭据对 OAuth 应用程序进行身份验证,而无需管理长期密码。
联合身份凭据的工作原理
- 外部应用程序从配置的身份提供程序请求 JWT。
- 身份提供程序颁发包含已配置的颁发者、受众和主题声明的签名 JWT。
- 应用程序向 UiPath 令牌端点发送令牌请求,并将 JWT 提供为
client_assertion参数。 - UiPath 从其 JWKS 端点获取身份提供程序的公钥,并验证 JWT 签名、颁发者、受众、主题和到期日。
- 验证成功后,UiPath 会颁发一个访问令牌,该令牌的作用域和生存期与客户端凭据流程相同。
凭据字段
每个联合凭据都定义了三个令牌验证参数:
| 字段 | 描述 |
|---|---|
| 颁发者 | 外部身份提供程序的 HTTPS URI。必须完全匹配 JWT iss声明。在您创建或更新凭据时,UiPath 将验证颁发者的 JWKS 端点是否可访问。 |
| 受众 | 必须出现在 JWT aud声明中的单个字符串值。 |
| 主题 | 一个必须与 JWT sub声明完全匹配的值。 |
约束
- JWT 必须使用RS256签名算法。
- 超过8 KB 的JWT 在验证之前会被拒绝。
- 每个 OAuth 应用程序最多支持20 个联合凭据。
- 通过联合凭据颁发的访问令牌的生命周期为一小时。
- 要从多个主题或颁发者进行身份验证,请为每个组合注册一个单独的联合凭据。
限制
此版本不支持以下功能:
- 除 RS256 以外的 JWT 算法。
- 适用于颁发者、受众或主题值的通配符匹配。
- 单个联合凭据中的多个受众值。