Ein Control Room-Administrator kann OAuth-Verbindungen für Nutzer erstellen, damit diese Verbindungen in der Authentifizierungsaktion für Pakete verwendet werden können, ohne die Authentifizierungsdaten eingeben zu müssen.

Die Salesforce-Marke und das Salesforce-Logo, die Microsoft SharePoint-Marke und das Microsoft SharePoint-Logo, die Apigee-Marke und das Apigee-Logo, die ServiceNow-Marke und das ServiceNow-Logo sowie die Genesys-Marke und das Genesys-Logo sind Marken oder eingetragene Marken von Salesforce, Inc., Microsoft Corp., Google LLC, ServiceNow, Inc. bzw. Genesys und dienen nur zu Identifikationszwecken.

Für alle externen OAuth-Verbindungen, die in der Cloud Control Room-Instanz erstellt wurden, müssen alle externen Endpunkte wie die Autorisierungs-URL und die Token-URL aus der Cloud Control Room über die Netzwerk-Perimeter-Firewall-Regeln erreichbar sein. Konfigurieren Sie Ihre Netzwerk-Firewall so, dass die ausgehenden Automation Anywhere-IP-Adressen in die Liste der zulässigen Adressen aufgenommen werden. Einzelheiten finden Sie unter Control Room IP-Adressen für externe Integrationen.

Vorbereitungen

  • Wenn sich die Control Room-Server hinter einem Proxy befinden und externe Verbindungen über den Proxy laufen müssen, dann konfigurieren Sie die Forward-Proxy-Einstellungen wie in Konfigurieren der Einstellungen für Forward-Proxys beschrieben.
  • Sie müssen eine Nutzerrolle verwenden, für die die Berechtigung Verbindungen verwalten für die Funktion OAuth-Verbindungen aktiviert ist. Einzelheiten finden Sie unter Funktionsberechtigungen für Rollen.
  • Wenn Sie mehr als einen Bereich hinzufügen, müssen Sie die Bereiche durch Kommas trennen.

    Beispiel: api,refresh_token,offline_access

  • Vergewissern Sie sich, dass Sie eine Unternehmensanwendung eingerichtet und sich die Client-ID, das Client-Geheimnis, die Autorisierungs-URL, die Token-URL und den Bereich notiert haben. Einzelheiten finden Sie unter Konfiguration von Unternehmensanwendungen.
    Anmerkung:
    • Beachten Sie die oben genannten Voraussetzungen, um einen Verbindungsfehler zu vermeiden.
    • Obwohl in der folgenden Tabelle die zertifizierten Anwendungen aufgelistet sind, können Sie Ihre Unternehmensanwendungen mithilfe Managen > OAuth-Verbindungen > Verbindung erstellen konfigurieren, indem Sie bei Anbietertyp die Option Benutzerdefiniert auswählen.

Beispiele für Hauptkomponenten von OAuth

Unternehmensanwendungen Autorisierungs-URL Token-URL Umfang
Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token Nicht erforderlich
Google Workspace (Calendar, Drive, Sheets und Gmail) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
  • Für Google Sheets verwenden Sie https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/spreadsheets
  • Für Google Drive verwenden Sie https://www.googleapis.com/auth/drive
  • Für Google Calendar verwenden Sie https://www.googleapis.com/auth/calendar
  • Für Gmail verwenden Sie: https://developers.google.com/identity/protocols/oauth2/scopes#gmail, https://mail.google.com/,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/gmail.send
Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token offline_access write:jira-work,read:jira-user,manage:jira-webhook,read:jira-work
Microsoft Entra https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access,openid,https://graph.microsoft.com/.default
Microsoft 365 Outlook https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token Für den Autorisierungscode-Flow offline_access,openid,https://graph.microsoft.com/.default
Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api,refresh_token,offline_access
ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do Nicht erforderlich
SharePoint https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
  • Für SharePoint-Aktionen verwenden Sie https://<domain-name>/AllSites.Manage,offline_access,openid
  • Für SharePoint Web-Auslöser verwenden Sie https://graph.microsoft.com/.default,openid, offline_access.
Anmerkung: Der OpenID-Bereich ist nur erforderlich, wenn Ihre Anwendungen den sub-Claim im ID-Token benötigen, um den Endnutzer zu identifizieren. Andernfalls ist dieser Bereich optional.

Prozedur

  1. Im Control Room, navigieren Sie zu OAuth-Verbindungen > verwalten.
  2. Klicken Sie auf Verbindung herstellen.
  3. Im Bildschirm Verbindungseinstellungen, der sich öffnet, wählen Sie einen Anbietertyp.
    Anmerkung: Die Callback-URL wird in den Konfigurationseinstellungen Ihrer Unternehmensanwendung verwendet, um eine Verbindung zum Control Room herzustellen.
  4. Geben Sie einen eindeutigen Verbindungsnamen ein, um die Verbindung zu kennzeichnen.
  5. Optional: Geben Sie eine Beschreibung für die Verbindung ein.
    Bild, das die Seite mit den OAuth-Verbindungseinstellungen anzeigt
  6. Klicken Sie auf Weiter.
    Der Bildschirm Authentifizierungsdetails wird angezeigt.
  7. Wählen Sie einen Gewährungstyp aus. Siehe OAuth Autorisierungscode-Flow und OAuth-Client-Anmeldedatenablauf.
    Anmerkung: Wenn Sie für ein Google Cloud Platform (GCP)-Konto konfigurieren, wählen Sie Autorisierungscode-Ablauf, da Control Room verwaltete OAuth-Verbindung mit Autorisierungscode-Ablauf mit PKCE derzeit nicht unterstützt wird.
  8. Geben Sie die Client-ID ein, die Ihnen vom Anbieter für Ihr Konto zur Verfügung gestellt wird.
  9. Geben Sie den Geheimen Clientschlüssel ein, der vom Anbieter für Ihr Konto bereitgestellt wird.
    Anmerkung:
    • Nach dem Testen oder Erstellen einer Verbindung wird das Feld Client-Geheimnis nicht in der Benutzeroberfläche angezeigt, aber der Backend-Dienst wird weiterhin den gespeicherten Wert verwenden. Dies ist erwartetes Verhalten.
    • Das Feld Client-Geheimnis wird während der Eingabe des Wertes maskiert, ähnlich einem Passwortfeld. Dies erhöht die Sicherheit, indem verhindert wird, dass das Geheimnis im Klartext sichtbar ist.
  10. Geben Sie die verwendete Autorisierungs-URL ein, um einen Autorisierungscode für Ihr Konto zu erhalten.
    Anmerkung: Bei einem Apigee- oder Google-Cloud-Plattform-Konto (GCP) müssen Sie &access_type=offline an die Autorisierungs-URL anhängen. Zum Beispiel: https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline.
  11. Geben Sie die verwendete Token-URL ein, um einen Autorisierungscode gegen ein Zugriffstoken auszutauschen.
  12. Optional: Geben Sie Umfang ein.

    Die Ablaufzeit des Tokens kann vom Identitätsanbieter festgelegt werden. Wenn das Token abläuft, verwendet der Bot den Bereich offline_access, um bei Auslösung ein neues gültiges Token abzurufen, basierend auf den Details im Control Room. Einzelheiten finden Sie unter Konfigurieren Sie OAuth-Verbindungen im Control Room.

    Bild, das die Detailseite der OAuth-Authentifizierung anzeigt
    Diese Informationen werden in einem Zugriffstoken als Ansprüche (Claims; Informationen über den Nutzer) verwendet und an den Ressourcenserver weitergeleitet, um den Zugang zu beschränken.
    Anmerkung: Wir empfehlen, dass Sie den offline_access-Scope oder einen entsprechenden Refresh-Token-Scope im Control Room und bei der Konfiguration Ihres Identitätsanbieters hinzufügen, damit das Zugriffstoken automatisch aktualisiert werden kann. Andernfalls müssen Sie das Token manuell im Control Room aktualisieren. Einzelheiten finden Sie unter Benutzerspezifische OAuth-Verbindungen authentifizieren.
  13. Klicken Sie auf Weiter.
    Der Bildschirm Verbindung testen und Anmeldedaten speichern wird angezeigt.
  14. Optional: Wählen Sie Anmeldedaten speichern aus.
    Anmerkung: Verwenden Sie diese Option nur, wenn Sie ein freigegebenes Token generieren möchten, mit dem Nutzer diese Verbindung ohne Nutzerauthentifizierung und -zustimmung verwenden können. Wenn Sie diese Option wählen, müssen Sie bei Verwendung dieser Verbindung für den Token-Typ die Option Freigegeben wählen. Einzelheiten finden Sie unter OAuth-Token.
  15. Optional: Klicken Sie auf Änderungen speichern und Verbindung testen.
    Bild, das die Seite zum Testen der OAuth-Verbindung und zum Speichern der Anmeldedaten anzeigt
    Anmerkung: Nachdem Sie auf die Option Änderungen speichern und Verbindung testen geklickt haben und die Verbindung erfolgreich hergestellt wurde, ist die Schaltfläche Weiter deaktiviert. Klicken Sie auf die Schaltfläche Zurück, geben Sie den Geheimen Clientschlüssel erneut ein und klicken Sie dann auf Weiter. Sie müssen die Verbindung nicht erneut testen, es sei denn, Sie haben Änderungen an den zuvor angegebenen Authentifizierungsdaten vorgenommen.
  16. Klicken Sie auf Weiter.
    Der Bildschirm Rollen einladen wird angezeigt.
  17. Wählen Sie die Rollen aus, die Sie zur Nutzung dieser Verbindung einladen möchten. Nur eingeladene Rollen können das Token in einem Bot verwenden, unabhängig davon, ob es privat oder freigegeben ist.Bild, das die Seite mit den OAuth-Einladungsrollen anzeigt

    Die Aktion Rollen einladen ist obligatorisch, wenn ein Bot die OAuth-Verbindung verwendet. Diese Aktion ist optional, wenn ein externer Dienst die OAuth-Verbindung verwendet.

    Anmerkung: Nur benutzerdefinierte Rollen werden in der Liste Verfügbare Rollen angezeigt.
  18. Klicken Sie auf Verbindung herstellen. Eine OAuth-Verbindung wird erstellt.

Das folgende Video zeigt, wie Sie eine OAuth-Verbindung erstellen können:

Nächste Maßnahme

Verwendung der OAuth-Verbindung