Automation 360 Control Room kann als OAuth 2.0- und OpenID Connect (OIDC)-Autorisierungsserver für Cloud-Bereitstellungen fungieren. Dadurch können Administratoren bis zu 25 externe OAuth-Clients pro Control Room registrieren sowie deren Lebenszyklus und Zugriffsberechtigungen verwalten.

Nach der Registrierung können diese Clients Token vom AAI-Authorisierungsserver mithilfe der Standard-OAuth-2.0- und OIDC-Flows erhalten und diese Token verwenden, um sicher auf Automation 360-Ressourcen zuzugreifen. Control Room unterstützt die Gewährungstypen Autorisierungscode, Autorisierungscode mit PKCE und Refresh Token für die Ausstellung und Erneuerung dieser Tokens. Diese Funktion ermöglicht standardbasierte, eingehende Integrationen mit Drittsystemen und internen Anwendungen, einschließlich MCP-Clients und anderen OAuth-kompatiblen Clients.

Der AAI-Autorisierungsserver stellt OAuth-Token mit den folgenden Attributen aus:

  • Tokenformat – Gibt an, ob ausgegebene Token JSON Web Tokens (JWT) sind.
  • Zeitpunkt des Ablaufs des Zugriffs-Tokens – Gibt an, wie lange ein Access-Token gültig bleibt, bevor es abläuft.
  • Lebensdauer des Refresh-Tokens – Sie gibt an, wie lange ein Refresh-Token verwendet werden kann, um neue Zugriffs-Token zu erhalten.
  • JWKS-Endpunkt – Dies ist der Endpunkt, der das JSON Web Key Set (JWKS) bereitstellt und die öffentlichen Schlüssel enthält, die zur Überprüfung von JWT-Signaturen verwendet werden.

Diese Einstellungen bestimmen, wie lange ausgestellte Token gültig bleiben und wie externe Systeme Token validieren oder widerrufen können, wenn sie mit Automation 360 integriert werden.

Anmerkung: Um Control Room als OAuth-Client für ausgehende Verbindungen zu externen Diensten zu konfigurieren, siehe Konfigurieren Sie OAuth-Verbindungen im Control Room.

Vorbereitungen

Achten Sie darauf, dass Ihre Benutzerrolle über eine der folgenden Control Room-Berechtigungen verfügt:
  • Anwendungsregistrierungsansicht – um vorhandene OAuth-Clients anzuzeigen.
  • Anwendungsregistrierung verwalten – um OAuth-Clients zu erstellen, zu aktualisieren und zu löschen.

Prozedur

  1. Melden Sie sich beim Automation 360 Control Room an.
  2. Wählen Sie in der linken Navigation Managen aus.
  3. Navigieren Sie zu OAuth-Clients. Er listet alle vorhandenen OAuth-Clients auf, die im Control Room registriert sind, sofern vorhanden.OAuth-Clients anzeigen
  4. Klicken Sie auf Client erstellen, um einen neuen OAuth-Client zu registrieren.Neue OAuth-Clients erstellen
  5. Geben Sie einen eindeutigen Anwendungsnamen ein, um den OAuth-Client zu kennzeichnen.
  6. Wählen Sie einen Anwendungstyp aus der Dropdown-Liste aus.
    • Reguläres Web – Verwenden Sie diesen Anwendungstyp, wenn Sie ein Client-Geheimnis verwenden möchten. Es wird typischerweise verwendet, wenn Ihr Client sich auf einem sicheren Webserver befindet, der das Geheimnis schützen kann.
    • Single Page Application – Verwenden Sie diesen Anwendungstyp, wenn Sie PKCE verwenden und auf die Übergabe eines Client-Geheimnisses verzichten möchten. Es wird typischerweise verwendet, wenn sich Ihr Client in einer ungeschützten Umgebung befindet, die den Schutz des Geheimnisses nicht gewährleisten kann.
  7. Optional: Geben Sie eine Beschreibung für den OAuth-Client ein.
  8. Geben Sie eine oder mehrere Redirect-URIs ein, um den Client zu validieren, und klicken Sie auf Hinzufügen. Trennen Sie jede Redirect-URI mit einem Komma. Derzeit können Sie bis zu 10 Redirect-URIs hinzufügen.
    Anmerkung: Wenn Sie die OAuth-Client-Konfiguration speichern, prüft das System, ob alle Redirect-URIs HTTPS verwenden. Sobald sie validiert sind, werden Client-Metadaten generiert.
  9. Klicken Sie auf Client erstellen.

    Der neu erstellte Client wird auf der Seite OAuth-Clients angezeigt. Klicken Sie auf den erstellten Anwendungsnamen, um die OAuth-Clientdetails anzuzeigen, die aus automatisch generierten Client-Metadaten bestehen. Einzelheiten finden Sie unter OAuth-Clients anzeigen und verwalten.

    Alle generierten Werte können einzeln kopiert werden. Teilen Sie die Client-ID, das Client-Geheimnis und die Endpunkt-URLs mit dem externen Anwendungsbesitzer, damit diese in dessen OAuth-Clientanwendung konfiguriert werden können.

    Anmerkung:
    • Behandeln Sie das Client-Geheimnis wie ein Passwort. Es darf nur mit vertrauenswürdigen Administratoren der externen Anwendung geteilt und an einem sicheren Ort, wie einem Secret Manager, aufbewahrt werden.
    • Autorisierte Benutzer können das Client-Geheimnis jederzeit auf der Seite OAuth-Clients einsehen.