Konfiguration des Control Rooms als Dienstanbieter

Sie können Control Room einrichten, um die externe Nutzerauthentifizierung abzuwickeln und Identitätsdienste zu verwalten. Dieser Abschnitt enthält Informationen darüber, wie Sie den Control Room als Dienstanbieter unter den Identitätsanbietern (Identity Providers, IdPs) konfigurieren können.

Vorbereitungen

  • Diese Aktion wird von einem Administrator mit den erforderlichen Berechtigungen für IdP ausgeführt.
  • Wenden Sie sich an Ihr Netzwerkteam, um die Kommunikation zwischen dem Control Room und dem IdP zu ermöglichen.

Prozedur

  1. Erstellen Sie eine Anwendung auf dem IdP, um Control Room als Dienstanbieter zu konfigurieren.
    Informationen über häufig verwendete IdP-Authentifizierungen finden Sie unter Automation 360 - Change control room authentication to SAML based SSO.
  2. Setzen Sie die SAML Assertion Consumer Service- oder Dienstanbieter-URL auf <Enterprise Control Room URL>/v1/authentication/saml/assertion.
    Anmerkung: Achten Sie darauf, dass Sie die SAML-Assertions nicht für die einmalige Abmeldung (Single Logout, SLO) konfigurieren.
  3. Konfigurieren Sie die von Ihnen erstellte Anwendung, um die im IdP definierten Hauptnutzerattribute für die Verwendung im Control Room zuzuordnen.
    Zu den wichtigsten Attributen gehören: UserID, FirstName, LastName und EmailAddress.

    Diese Werte werden als Teil des Authentifizierungsworkflows benötigt.

    Wichtig: Stellen Sie sicher, dass die Hauptattribute des Control Room richtig definiert sind, damit die Konfiguration ordnungsgemäß funktioniert. Beispiele für die IdP-Konfiguration finden Sie unter Beispiele: Konfigurieren von IdP-Anwendungen für Control Room.
  4. Gewähren Sie Nutzern Zugriff auf die über IdP erstellte Anwendung.
    Anmerkung:
    • Laden Sie die IdP-Metadaten herunter und übermitteln Sie sie an den Control Room-Administrator, um den Control Room einzurichten.
    • Die SAML-Assertion enthält eine Authentifizierungsanweisung, die das Attribut SessionIndex enthalten muss. Gemäß den SAML-Spezifikationen wird die Assertion-ID als Sitzungsindex verwendet. Der Zweck des SessionIndex-Attributs besteht darin, die Sitzungen zu identifizieren, die während der SAML-Abmeldung abgemeldet werden sollen.
      <saml2:AuthnStatement AuthnInstant="authenticated_instance" SessionIndex="index_value_required">
    • Erstellen Sie einen Nutzer im IdP, der einem Ihrer Control Room-Admin-Nutzer entspricht. Dieser Nutzer testet die Konfiguration des Control Rooms als letzten Schritt der Konfiguration. Wir empfehlen, die SAML-Anmeldung nicht mit einem Control Room-Nutzer, der kein Administrator ist, zu testen, da sonst die Gefahr besteht, dass der Control Room keinen Administratornutzer hat.

Nächste Maßnahme

SAML-Authentifizierung im Control Room einrichten