Ein Control Room-Administrator kann OAuth-Verbindungen für Nutzer erstellen, damit diese Verbindungen in der Authentifizierungsaktion für Pakete verwendet werden können, ohne die Authentifizierungsdaten eingeben zu müssen.

Die Salesforce-Marke und das Salesforce-Logo, die Microsoft SharePoint-Marke und das Microsoft SharePoint-Logo, die Apigee-Marke und das Apigee-Logo, die ServiceNow-Marke und das ServiceNow-Logo sowie die Genesys-Marke und das Genesys-Logo sind Marken oder eingetragene Marken von Salesforce, Inc., Microsoft Corp., Google LLC, ServiceNow, Inc. bzw. Genesys und dienen nur zu Identifikationszwecken.

Für alle externen OAuth-Verbindungen, die in der Cloud Control Room-Instanz erstellt wurden, müssen alle externen Endpunkte wie die Autorisierungs-URL und die Token-URL aus der Cloud Control Room über die Netzwerk-Perimeter-Firewall-Regeln erreichbar sein. Konfigurieren Sie Ihre Netzwerk-Firewall so, dass die ausgehenden Automation Anywhere-IP-Adressen in die Liste der zulässigen Adressen aufgenommen werden. Einzelheiten finden Sie unter Control Room IP-Adressen für externe Integrationen.

Vorbereitungen

  • Wenn sich die Control Room-Server hinter einem Proxy befinden und externe Verbindungen über den Proxy laufen müssen, dann konfigurieren Sie die Forward-Proxy-Einstellungen wie in Konfigurieren der Einstellungen für Forward-Proxys beschrieben.
  • Sie müssen eine Nutzerrolle verwenden, für die die Berechtigung Verbindungen verwalten für die Funktion OAuth-Verbindungen aktiviert ist. Einzelheiten finden Sie unter Funktionsberechtigungen für Rollen.
  • Wenn Sie mehr als einen Bereich hinzufügen, müssen Sie die Bereiche durch Kommas trennen.

    Beispiel: api,refresh_token,offline_access

  • Vergewissern Sie sich, dass Sie eine Unternehmensanwendung eingerichtet und sich die Client-ID, das Client-Geheimnis, die Autorisierungs-URL, die Token-URL und den Bereich notiert haben. Siehe Konfiguration von Unternehmensanwendungen
    Anmerkung:
    • Beachten Sie die oben genannten Voraussetzungen, um einen Verbindungsfehler zu vermeiden.
    • Obwohl in der folgenden Tabelle die zertifizierten Anwendungen aufgelistet sind, können Sie Ihre Unternehmensanwendungen mithilfe Managen > OAuth-Verbindungen > Verbindung erstellen konfigurieren, indem Sie bei Anbietertyp die Option Benutzerdefiniert auswählen.

Beispiele für Hauptkomponenten von OAuth

Unternehmensanwendungen Autorisierungs-URL Token-URL Umfang
Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token Nicht erforderlich
Google Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
Google Workspace (Kalender, Drive, Gmail, Sheets) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
  • Für Google Calendar verwenden Sie https://www.googleapis.com/auth/calendar. Weitere Informationen zu granularen Berechtigungen finden Sie unter OAuth 2.0 Scopes for Calendar API.
  • Für Google Drive verwenden Sie https://www.googleapis.com/auth/drive. Weitere Informationen zu granularen Berechtigungen finden Sie unter OAuth 2.0 Scopes for Google Drive API.
  • Für Gmail verwenden Sie https://mail.google.com/, https://www.googleapis.com/auth/gmail.readonly, https://www.googleapis.com/auth/gmail.send. Weitere Informationen zu granularen Berechtigungen finden Sie unter OAuth 2.0 Scopes for Gmail APIs.
  • Für Google Sheets verwenden Sie https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/spreadsheets. Weitere Informationen zu granularen Berechtigungen finden Sie unter OAuth 2.0 Scopes for Google Sheets API.
Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token offline_access write:jira-work,read:jira-user,manage:jira-webhook,read:jira-work
Microsoft Entra (Microsoft 365, Office, Teams) https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access, openid, https://graph.microsoft.com/.default. Weitere Informationen zu granularen Berechtigungen finden Sie unter Scopes and permissions in the Microsoft identity platform.
Microsoft Entra (SharePoint) https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
  • Für SharePoint-Aktionen auf Basis der SharePoint REST API verwenden Sie https://<domain-name>/AllSites.Manage,offline_access,openid
  • Für SharePoint Web-Auslöser und Aktionen basierend auf Microsoft Graph API verwenden Sie https://graph.microsoft.com/.default,openid, offline_access.
Weitere Informationen zu granularen Berechtigungen finden Sie unter Scopes and permissions in the Microsoft identity platform.
Anmerkung:
  • Nur wenn Ihre Apps den sub-Anspruch im ID-Token benötigen, um den Endnutzer zu identifizieren, müssen Sie den OpenID-Bereich einschließen. Andernfalls ist dieser Bereich optional.
  • Der Geltungsbereich offline_access ermöglicht es dem Autorisierungsserver, dem Nutzer ein Aktualisierungstoken bereitzustellen. Dieser Geltungsbereich eliminiert die Notwendigkeit, die Verbindung nach einer längeren Inaktivitätsphase erneut zu authentifizieren.
Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api,refresh_token,offline_access
ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do Nicht erforderlich

Prozedur

  1. Im Control Room, navigieren Sie zu OAuth-Verbindungen > verwalten.
  2. Klicken Sie auf Verbindung herstellen.
  3. Im Bildschirm Verbindungseinstellungen, der sich öffnet, wählen Sie einen Anbietertyp.
    Anmerkung: Die Callback-URL wird in den Konfigurationseinstellungen Ihrer Unternehmensanwendung verwendet, um eine Verbindung zum Control Room herzustellen.
  4. Geben Sie einen eindeutigen Verbindungsnamen ein, um die Verbindung zu kennzeichnen.
  5. Optional: Geben Sie eine Beschreibung für die Verbindung ein.
    Bild, das die Seite mit den OAuth-Verbindungseinstellungen anzeigt
  6. Klicken Sie auf Weiter.
    Der Bildschirm Authentifizierungsdetails wird angezeigt.
  7. Wählen Sie einen Gewährungstyp aus. Siehe OAuth Autorisierungscode-Flow und OAuth-Client-Anmeldedatenablauf.
    Anmerkung:
    • Wenn Sie für ein Google Cloud Platform (GCP)-Konto konfigurieren, wählen Sie Autorisierungscode-Ablauf, da Control Room verwaltete OAuth-Verbindung mit Autorisierungscode-Ablauf mit PKCE derzeit nicht unterstützt wird.
    • Wenn Sie SharePoint-Web-Auslöser konfigurieren, wählen Sie den Client Credentials Flow aus.
  8. Geben Sie die Client-ID ein, die Ihnen vom Anbieter für Ihr Konto zur Verfügung gestellt wird.
  9. Geben Sie den Geheimen Clientschlüssel ein, der vom Anbieter für Ihr Konto bereitgestellt wird.
    Anmerkung:
    • Nach dem Testen oder Erstellen einer Verbindung wird das Feld Client-Geheimnis nicht in der Benutzeroberfläche angezeigt, aber der Backend-Dienst wird weiterhin den gespeicherten Wert verwenden. Dies ist erwartetes Verhalten.
    • Das Feld Client-Geheimnis wird während der Eingabe des Wertes maskiert, ähnlich einem Passwortfeld. Dies erhöht die Sicherheit, indem verhindert wird, dass das Geheimnis im Klartext sichtbar ist.
  10. Geben Sie die verwendete Autorisierungs-URL ein, um einen Autorisierungscode für Ihr Konto zu erhalten.
    Anmerkung: Bei einem Apigee- oder Google-Cloud-Plattform-Konto (GCP) müssen Sie &access_type=offline an die Autorisierungs-URL anhängen. Zum Beispiel: https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline.
  11. Geben Sie die verwendete Token-URL ein, um einen Autorisierungscode gegen ein Zugriffstoken auszutauschen.
  12. Optional: Geben Sie Umfang ein.

    Die Ablaufzeit des Tokens kann vom Identitätsanbieter festgelegt werden. Wenn das Token abläuft, verwendet der Bot den Bereich offline_access, um bei Auslösung ein neues gültiges Token abzurufen, basierend auf den Details im Control Room. Einzelheiten finden Sie unter Konfigurieren Sie OAuth-Verbindungen im Control Room.

    Bild, das die Detailseite der OAuth-Authentifizierung anzeigt
    Diese Informationen werden in einem Zugriffstoken als Ansprüche (Claims; Informationen über den Nutzer) verwendet und an den Ressourcenserver weitergeleitet, um den Zugang zu beschränken.
    Anmerkung: Wir empfehlen, dass Sie den offline_access-Scope oder einen entsprechenden Refresh-Token-Scope im Control Room und bei der Konfiguration Ihres Identitätsanbieters hinzufügen, damit das Zugriffstoken automatisch aktualisiert werden kann. Andernfalls müssen Sie das Token manuell im Control Room aktualisieren. Einzelheiten finden Sie unter Benutzerspezifische OAuth-Verbindungen authentifizieren.
  13. Klicken Sie auf Weiter.
    Der Bildschirm Verbindung testen und Anmeldedaten speichern wird angezeigt.
  14. Optional: Wählen Sie Anmeldedaten speichern aus.
    Anmerkung: Verwenden Sie diese Option nur, wenn Sie ein freigegebenes Token generieren möchten, mit dem Nutzer diese Verbindung ohne Nutzerauthentifizierung und -zustimmung verwenden können. Wenn Sie diese Option wählen, müssen Sie bei Verwendung dieser Verbindung für den Token-Typ die Option Freigegeben wählen. Einzelheiten finden Sie unter OAuth-Token.
  15. Optional: Klicken Sie auf Änderungen speichern und Verbindung testen.
    Bild, das die Seite zum Testen der OAuth-Verbindung und zum Speichern der Anmeldedaten anzeigt
    Anmerkung: Nachdem Sie auf die Option Änderungen speichern und Verbindung testen geklickt haben und die Verbindung erfolgreich hergestellt wurde, ist die Schaltfläche Weiter deaktiviert. Klicken Sie auf die Schaltfläche Zurück, geben Sie den Geheimen Clientschlüssel erneut ein und klicken Sie dann auf Weiter. Sie müssen die Verbindung nicht erneut testen, es sei denn, Sie haben Änderungen an den zuvor angegebenen Authentifizierungsdaten vorgenommen.
  16. Klicken Sie auf Weiter.
    Der Bildschirm Rollen einladen wird angezeigt.
  17. Wählen Sie die Rollen aus, die Sie zur Nutzung dieser Verbindung einladen möchten. Nur eingeladene Rollen können das Token in einem Bot verwenden, unabhängig davon, ob es privat oder freigegeben ist.Bild, das die Seite mit den OAuth-Einladungsrollen anzeigt

    Die Aktion Rollen einladen ist obligatorisch, wenn ein Bot die OAuth-Verbindung verwendet. Diese Aktion ist optional, wenn ein externer Dienst die OAuth-Verbindung verwendet.

    Anmerkung: Nur benutzerdefinierte Rollen werden in der Liste Verfügbare Rollen angezeigt.
  18. Klicken Sie auf Verbindung herstellen. Eine OAuth-Verbindung wird erstellt.

Das folgende Video zeigt, wie Sie eine OAuth-Verbindung erstellen können:

Nächste Maßnahme

Verwendung der OAuth-Verbindung