Überblick

---

Die Aktivierung von SAML SSO ist ein mehrstufiger Prozess, bei dem Sie die folgende Konfiguration vornehmen müssen:

1. Konfigurieren Sie Ihren Identitätsanbieter so, dass er Automation Suite als Dienstanbieter erkennt.
2. Konfigurieren Sie Automation Suite als Dienstanbieter, um Ihren Identitätsanbieter zu erkennen und ihm zu vertrauen.
3. Stellen Sie Benutzer in Ihrer Organisation bereit, damit sie sich mit SSO über das SAML 2.0-Protokoll Ihres Identitätsanbieters anmelden können.

Schritt 1. Konfigurieren Ihres Identitätsanbieters

---

Die Automation Suite unterstützt mehrere Identitätsanbieter.
In diesem Abschnitt wird veranschaulicht, wie Sie die spezifische Konfiguration finden und die Zertifikate für jeden der folgenden Identitätsanbieter erhalten:
A. ADFS
B. Google
C. Okta
D. PingOne

A. Konfigurieren von ADFS

Konfigurieren Sie eine Maschine für ADFS-Unterstützung und stellen Sie sicher, dass Sie auf die ADFS-Verwaltungssoftware zugreifen können. Wenden Sie sich bei Bedarf an Ihren Systemadministrator.

📘

Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der ADFS-Dokumentation.

1. Öffnen Sie die ADFS-Verwaltung und definieren Sie eine neue Vertrauensstellung der vertrauenden Seite für den Orchestrator wie folgt:
   a. Klicken Sie auf Vertrauensstellungen der vertrauenden Seite.
   B. Klicken Sie im Pan Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen. Der Assistent Vertrauensstellung der vertrauenden Seite hinzufügen wird angezeigt.
   c. Wählen Sie im Abschnitt Willkommen die Option Ansprüche unterstützend aus.
   d. Wählen Sie im Abschnitt Daten auswählen die Option Daten über vertrauende Seite manuell eingeben aus.
   e. Fügen Sie im Abschnitt Anzeigename angeben im Feld Anzeigen die URL der Orchestrator-Instanz ein.
   f. Der Abschnitt Zertifikat konfigurieren benötigt keine spezifischen Einstellungen, d. h. Sie können ihn so lassen, wie er ist.
   g. Wählen Sie im Abschnitt URL konfigurieren die Option Unterstützung für das SAML 2.0 Web SSO-Protokoll aus.
   h. Geben Sie im Feld SAML 2.0 SSO-Dienst-URL der vertrauenden Seite die URL Ihrer Automation Suite-Instanz sowie das Suffix identity_/Saml2/Acs ein. Zum Beispiel: https://baseURL/identity_/Saml2/Acs.
   i. Geben Sie im Feld Bezeichner der Vertrauensstellung der vertrauenden Seite im Abschnitt Bezeichner konfigurieren die URL Ihrer Orchestrator-Instanz sowie das Suffix identity_ ein.
   j. Stellen Sie im Abschnitt Zugriffssteuerungsrichtlinie auswählen sicher, dass Sie die Zugriffssteuerungsrichtlinie Allen Benutzern Zugriff gewähren auswählen.
   k. Die Optionen Bereit zum Hinzufügen der Vertrauensstellung und Fertig stellen benötigen keine spezifischen Einstellungen, also lassen Sie sie so, wie sie sind.
   Die neu hinzugefügte Vertrauensstellung wird im Fenster Vertrauensstellung der vertrauenden Seite angezeigt.
   l. Wechseln Sie zu Aktionen > Eigenschaften > Endpunkte und stellen Sie sicher, dass bei der Bindung „POST“ ausgewählt ist und dass das Kontrollkästchen „Vertrauenswürdige URL als Standard festlegen**“ aktiviert ist.
   Die Endpunktbindung muss Post sein. Andere Bindungen wie etwa redirect sind nicht mit UiPath kompatibel, da ADFS keine Umleitungsassertionen signiert.
   m. Wechseln Sie zu Aktionen > Eigenschaften > Bezeichner** und stellen Sie sicher, dass die URL Ihrer Orchestrator-Instanz sowie das Suffix identity_ vorhanden ist.
2. Wählen Sie die Vertrauensstellung der vertrauenden Seite aus und klicken Sie auf Bearbeiten der Richtlinie zur Anspruchsausstellung im Panel Aktionen.
   Der Assistent zum Bearbeiten der Richtlinie zur Anspruchsausstellung wird angezeigt.
3. Klicken Sie auf Regel hinzufügen (Add rule) und erstellen Sie eine neue Regel mit der Vorlage LDAP-Attribute als Claims senden (Send LDAP Attributes as Claims) mit den folgenden Einstellungen:

4. Nachdem Sie ADFS konfiguriert haben, öffnen Sie PowerShell als Administrator und führen Sie folgende Befehle aus:
   a. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
   Ersetzen Sie DISPLAYNAME durch den in Schritt 1 festgelegten Wert.
   b. Restart-Service ADFSSRV.

B. Konfigurieren von Google

📘

Hinweis

Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Google-Dokumentation.

1. Melden Sie sich als Administrator bei der Administratorkonsole an, wechseln Sie zu Apps und dann zu Web- und mobile Apps.
2. Klicken Sie auf App hinzufügen und dann auf Benutzerdefinierte SAML-App hinzufügen.
3. Geben Sie auf der Seite App-Details einen Namen für Ihre Automation Suite-Instanz ein.
4. Kopieren Sie auf der Seite „Details zu Google als Identitätsanbieter“ Folgendes und speichern Sie es für später:
   • SSO-URL
   • Entitäts-ID
5. Laden Sie das Zertifikat herunter, öffnen Sie es mit einem Texteditor, kopieren und speichern Sie den Wert für Schritt 2. Konfigurieren der Automation Suite.
6. Geben Sie auf der Seite Details zum Dienstanbieter Folgendes ein:
   • ACS-URL: https://baseURL/identity_/Saml2/Acs
   • Entitäts-ID: https://baseURL/identity_
7. Geben Sie auf der Seite Attributzuordnung die folgenden Zuordnungen an:
   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
8. Nachdem Sie die SAML-App konfiguriert haben, wechseln Sie in der SAML-App der Automation Suite zu Benutzerzugriff auf der Google-Administratorkonsole und klicken Sie auf „Ein“ für alle.

C. Konfigurieren von Okta

📘

Hinweis:

Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der Okta-Dokumentation.

1. Melden Sie sich bei der Okta-Administratorkonsole an, wechseln Sie zu Anwendungen > Anwendungen, klicken Sie auf App-Integration erstellen und wählen Sie SAML 2.0 als Anmeldemethode aus.
2. Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für Ihre Automation Suite-Instanz an.
3. Füllen Sie auf der Seite SAML konfigurieren den Abschnitt Allgemein aus.
   Zum Beispiel:
   • URL für einmaliges Anmelden (SSO): Ihre Automation Suite-URL + /identity_/Saml2/Acs. Zum Beispiel: https://baseURL/identity_/Saml2/Acs.
   • Aktivieren Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden.
   • Empfänger-URI: https://baseURL/identity_
   • Name ID-Format (Name ID Format): E-Mail-Adresse (EmailAddress)
   • Anwendungs-Benutzername: E-Mail-Adresse
4. Füllen Sie den Abschnitt Attributanweisungen aus:
   • Geben Sie in das Feld Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein.
   • Wählen Sie in der Liste Wert die Option user.email aus.
5. Wählen Sie im Abschnitt Feedback die gewünschte Option aus.
6. Klicken Sie Beenden an.
7. Klicken Sie auf der Registerkarte Anmelden im Abschnitt Einstellungen auf Setup-Anweisungen anzeigen.
   Sie werden zu einer neuen Seite mit den Anweisungen weitergeleitet, die für den Abschluss von Schritt 2. Konfigurieren der Automation Suite erforderlich sind:
   • Anmelde-URL des Identitätsanbieters
   • Identitätsanbieter-Aussteller
   • X.509-Zertifikat
8. Damit Benutzer die Okta-Authentifizierung verwenden können, muss ihnen die neu erstellte Anwendung zugewiesen werden:
   Wählen Sie auf der Seite Anwendung (Application) die neu erstellte Anwendung aus.
   Wählen Sie auf der Registerkarte Zuordnungen (Assignments) die Option Zuweisen (Assign) > Zu Mitarbeitern zuweisen (Assign to People) und anschließend die Benutzer aus, denen die erforderlichen Berechtigungen erteilt werden sollen. Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

D. Konfigurieren von PingOne

📘

Hinweis:

Die folgenden Schritte sind eine umfassende Beschreibung einer Beispielkonfiguration. Ausführliche Anweisungen finden Sie in der PingOne-Dokumentation.

1. Fügen Sie eine Webanwendung hinzu, die sich mit SAML in PingOne verbindet, und zwar mit den folgenden Angaben:
   Wählen Sie auf der Seite SAML-Verbindung konfigurieren die Option Manuell eingeben aus und geben Sie Folgendes ein:

   • ACS URLS: URL (Groß-/Kleinschreibung beachten) für Ihre Automation Suite-Instanz + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs).
   • Entitäts-ID: https://baseURL/identity_
   • SLO-Bindung: HTTP-Umleitung
   • Assertion-: Geben Sie die Gültigkeitsdauer in Sekunden ein.

   Ordnen Sie auf der Seite Attribute zuordnen das folgende Attribut zu:
   E-Mail-Adresse = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Alternatively, you can configure the PingOne SAML connection using the Import Metadata option. The SAML2 metadata of the UiPath Identity Server is available for download in XML format at https://baseURL/identity/Saml2.

2. Suchen Sie auf der Seite Verbindungen > Anwendungen die Anwendung, die Sie gerade erstellt haben, und klicken Sie auf das Symbol am rechten Ende des Feldes, um ihre Details anzuzeigen.
3. Kopieren und speichern Sie die folgenden Werte auf der Registerkarte Profil für Schritt 2. Konfigurieren der Automation Suite:
   • Client-ID
   • URL der Startseite.
4. Wenn Sie es während der Anwendungseinrichtung nicht heruntergeladen haben, laden Sie das PingOne-Signaturzertifikat herunter:
   a. Gehen Sie zu Verbindungen > Zertifikate & Schlüsselpaare.
   b. Suchen Sie die Anwendung, die Sie gerade erstellt haben, und klicken Sie auf das rechte Ende des Feldes, um ihre Details anzuzeigen.
   c. Klicken Sie rechts auf der Registerkarte Details auf Zertifikat herunterladen und wählen Sie das Format .crt.  
5. Öffnen Sie die Zertifikatsdatei in einem beliebigen Texteditor, kopieren Sie den Zertifikatswert und speichern Sie ihn für Schritt 2. Konfigurieren der Automation Suite.

Schritt 2. Konfigurieren der Automation Suite

---

So aktivieren Sie die Automation Suite als Dienstanbieter, der Ihren Identitätsanbieter erkennt:

1. Melden Sie sich als Systemadministrator beim Hostportal der Automation Suite an.
2. Stellen Sie sicher, dass Host oben im linken Bereich ausgewählt ist, und klicken Sie dann auf Sicherheit.
   Wenn Sie die alte Administratorumgebung verwenden, wählen Sie Sicherheitseinstellungen aus den Optionen auf der linken Seite aus.
3. Klicken Sie unter SAML SSO auf Konfigurieren und befolgen Sie die Anweisungen für den von Ihnen verwendeten Identitätsanbieter:

5. Klicken Sie auf Speichern , um die Änderungen zu speichern und zur vorherigen Seite zurückzukehren.
6. Klicken Sie auf den Umschalter links neben SAML SSO, um die Integration zu aktivieren.
   Wenn Sie immer noch die alte Administrationsoberfläche verwenden, überspringen Sie diesen Schritt.
7. Starten Sie den Pod „identity-service-api-*“ neu. Dies ist erforderlich, nachdem Sie Änderungen an den externen Anbietern vorgenommen haben.
   a. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
   b. Führen Sie den folgenden Befehl aus:
   kubectl -n uipath rollout restart deployment identity-service-api

Schritt 3. Optionale Einstellungen

---

Die folgende Konfiguration ist optional und ist nur erforderlich, wenn Sie eine oder beide erweiterten Sicherheitsfunktionen für Ihre Automation Suite-Installation verwenden möchten.

Schritt 3.1. Benutzerdefinierte Zuordnung

---

ADFS, Google und OKTA verwenden Ihre E-Mail-Adresse als SAML-Attribut. Dieser Abschnitt behandelt benutzerdefinierte SAML-Zuordnungen basierend auf dem Benutzernamen oder dem Schlüssel eines externen Anbieters.

🚧

Wichtig

Das Konfigurieren benutzerdefinierter Zuordnungsattribute wirkt sich auf das gesamte System aus, d. h. sie gelten für alle vorhandenen Identitätsanbieter. Infolgedessen kann kein anderer Anbieter (Azure, Windows) arbeiten, während eine neue Zuordnung festgelegt wird.

Die folgenden Parameter müssen in der SAML SSO-Konfiguration auf der Seite „Sicherheit“ auf Hostebene festgelegt werden.
If you are still using the old admin experience, the options are part of SAML 2.0 settings in the External Providers section of the Security Settings page.

• Zuordnungsstrategie für externen Benutzer – Definiert die Zuordnungsstrategie. Folgende Optionen stehen zur Verfügung:
  • By user email - Ihre E-Mail-Adresse wird als Attribut angegeben. Dies ist der Standardwert.
  • By username - Ihr Benutzername wird als Attribut angegeben.
  • By external provider key - Ein externer Provider-Schlüssel wird als Attribut angegeben.
• Anspruchsbezeichnername des externen Benutzers – Definiert den Anspruch, der als Bezeichner für die Zuordnung verwendet werden soll. Ist nur erforderlich, wenn Sie Ihren Benutzernamen als Attribut festlegen.

 

Step 3.2. Configure provisioning rules

If you use claims in your IdP, you can leverage them as conditions in a provisioning rule so that users are automatically provisioned with the right licenses and roles when they sign in to Automation Suite.

Provisioning rules are evaluated when a user signs in. If the user account meets the conditions for a rule, it is automatically added to the group associated with the rule. From the group, if set up, the user can inherit user licenses and roles, such that no further set up is required for that user to work in Automation Suite.

Phase 1. Bereitstellungsgruppen einrichten

In Automation Suite, adding an account to a group means the account inherits the licenses, roles, and robot configuration defined for the group, if any.

So if you set up a group with a particular type of user in mind (for example, your employees who create the automations, or your employees who test the automations), you can onboard a new employee of that type to Automation Suite by simply setting up their account in the IdP in the same way as other similar accounts.

Auf diese Weise richten Sie die Gruppe einmal ein und wiederholen dann die Einrichtung, indem Sie der Gruppe bei Bedarf Konten hinzufügen. Wenn sich die Einrichtung für eine bestimmte Gruppe von Benutzern ändern muss, müssen Sie die Gruppe nur einmal aktualisieren und die Änderungen gelten für alle Konten in der Gruppe.

So richten Sie eine Gruppe für eine Bereitstellungsregel ein:

1. Create a new local group in Automation Suite. Adding groups
   Wenn Sie möchten, können Sie eine Ihrer vorhandenen Gruppen verwenden, anstatt eine neue zu erstellen.
2. (Optional and requires user license management) If users in this group need user licenses, set up license allocation rules for the group.
   Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Lizenzzuweisung für die Gruppe, um sicherzustellen, dass die richtigen Lizenzen zugewiesen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die Zuweisungen oder erstellen Sie eine neue Gruppe.
3. Weisen Sie Mandantenrollen zu und vervollständigen Sie optional die Robotereinrichtung für die Gruppe. Zuweisen von Rollen zu Gruppen
   Wenn Sie eine vorhandene Gruppe verwenden, überprüfen Sie die Rollen, die der Gruppe derzeit zugewiesen sind, um sicherzustellen, dass sie für den Benutzertyp geeignet sind, den Sie der Gruppe hinzufügen werden. Wenn dies nicht der Fall ist, ändern Sie entweder die dieser Gruppe zugewiesenen Rollen oder erstellen Sie eine neue Gruppe.
4. Fügen Sie die Gruppe Ordnern hinzu und weisen Sie nach Bedarf Ordnerrollen zu. Verwalten des Ordnerzugriffs

Jetzt können Sie diese Gruppe in einer Bereitstellungsregel verwenden.

Phase 2. Eine Bereitstellungsregel für eine Gruppe erstellen

Nachdem die SAML-Integration konfiguriert und nachdem Sie eine Gruppe eingerichtet haben:

1. Wechseln Sie zu Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen.
2. Klicken Sie unter der Option SAML-SSO auf Bereitstellungsregeln anzeigen:
   Die Seite SAML SSO-Bereitstellungsregeln wird geöffnet, auf der Ihre vorhandenen Regeln aufgeführt sind.
3. Klicken Sie in der oberen rechten Ecke der Seite auf Regel hinzufügen.
   Die Seite Neue Regel hinzufügen wird geöffnet.
4. Füllen Sie unter Grundlegende Details das Feld Regelname und optional das Feld Beschreibung aus.
5. Klicken Sie unter Bedingungen auf Regel hinzufügen.
   Eine Reihe von Feldern für eine neue Bedingung wird hinzugefügt. Gemeinsam definieren sie die Kriterien, die ein Konto bei der Anmeldung erfüllen muss, um einer (später ausgewählten) Gruppe hinzugefügt zu werden.

6. Geben Sie im Feld Anspruch den Namen des Anspruchs ein, so wie er im IdP angezeigt wird.
7. Wählen Sie auf der Liste Beziehung aus, wie sich der Anspruch auf den Wert bezieht. Die folgenden Optionen sind verfügbar:

8. Geben Sie in das Feld Wert den Wert ein, der zum Erfüllen der Bedingung erforderlich ist.
9. Wenn Sie eine weitere Bedingung hinzufügen möchten, klicken Sie auf Regel hinzufügen und legen Sie so eine neue Bedingungszeile an.
   Wenn Sie mehrere Bedingungen hinzufügen, müssen alle Bedingungen erfüllt sein, damit die Bereitstellungsregel gilt. Wenn Sie zum Beispiel die Regeln Department is RPA und Title is Engineer definieren, werden nur Benutzer, die sowohl in der RPA-Abteilung sind als auch den Titel „Engineer“ tragen, zu den angegebenen Gruppen hinzugefügt. Ein Konto mit der RPA-Abteilung, aber dem Titel „QA“ wird nicht zu den Gruppen hinzugefügt.
10. Beginnen Sie unter Gruppen zuweisen im Feld Gruppen hinzufügen mit der Eingabe des Namens einer Gruppe und wählen Sie dann eine Gruppe aus der Ergebnisliste aus. Wiederholen Sie den Vorgang, um bei Bedarf weitere Gruppen hinzuzufügen.
    Wenn die Bedingungen erfüllt sind, werden diesen Gruppen automatisch Konten hinzugefügt, wenn sie sich anmelden.
11. Klicken Sie in der unteren rechten Ecke auf Speichern, um die Regel hinzuzufügen.

With a rule in place, whenever a user logs in to Automation Suite and their account meets the conditions specified for a rule, their account is added to the provisioning groups attached to the rule, and their account is set up to work in Automation Suite.

 

Step 3.3. Service certificate

Im SAML-Protokoll wird das Dienstzertifikat zum Signieren und/oder Verschlüsseln von Anforderungen verwendet, die vom Dienstanbieter gesendet werden, d. h. von der Automation Suite.

So stellen Sie das Dienstzertifikat ein:

1. Gehen Sie zu Argo CD und melden Sie sich als Administrator an.
2. Wählen Sie die uipath-Anwendung aus und öffnen Sie sie.
3. Klicken Sie in der linken oberen Ecke auf APP DETAILS.
4. Suchen Sie im Abschnitt PARAMETER nach 'ServiceCert'.
5. Aktualisieren Sie den Parameter global.userInputs.certificate.identity.saml.currentServiceCert mit Ihrer base64-Serialisierung des Dienstzertifikats. Das Dienstzertifikat erfordert einen privaten Schlüssel.
6. Wenn Ihr Dienstzertifikat über ein Kennwort verfügt, aktualisieren Sie auch den Parameter global.userInputs.certificate.identity.saml.currentServiceCertPassword.
   In ArgoCD sind sowohl das Zertifikat als auch das Kennwort in base64 codiert.
7. Wenn Sie das Dienstzertifikat drehen müssen, aktualisieren Sie die Parameter global.userInputs.certificate.identity.saml.futureServiceCert und global.userInputs.certificate.identity.saml.futureServiceCertPassword.
8. Klicken Sie auf SYNC, um die Änderungen zu übernehmen.
   Warten Sie einige Minuten, bis der Identity Server automatisch neu gestartet wird.