Umstellung der Nutzerauthentifizierung für Control Room von der Control Room-Datenbank auf SAML Single Sign-On (SSO).

Vorbereitungen

Anmerkung:
  • Die SAML-Konfiguration kann nach ihrer Einrichtung nicht mehr auf andere Authentifizierungsmethoden geändert werden.
  • Wenn Sie SAML für die Authentifizierung verwenden, nutzen Sie die Netzwerkzugriffsfunktionen des Identitätsanbieters, um den Zugriff des Control Rooms auf bestimmte zulässige IP-Adressen zu beschränken. Achten Sie darauf, dass alle konfigurierten zulässigen IP-Adressen aus dem Control Room-Netzwerk entfernt werden, bevor Sie für die Authentifizierung zu SAML wechseln. Weitere Informationen finden Sie unter Erlaubte IP-Adressen.

  • Für alle Lokal Control Room, die so konfiguriert sind, dass sie die Transport Layer Security (TLS)-Beendigung am Load Balancer verwenden und HTTP zur Verbindung mit Control Room-Knoten nutzen, sind zusätzliche Control Room-Konfigurationen erforderlich, um alle X-Forwarded-*-Header weiterzuleiten. Siehe A360 | Alle X-Forwarded-* Header während der TLS-Terminierung weiterleiten

Bevor Sie die SAML-Authentifizierung einrichten, führen Sie Folgendes aus:

  • Achten Sie darauf, dass Sie beim Control Room als Administrator angemeldet sind.

  • Sie haben alle notwendigen Nutzerinformationen im Voraus gesammelt, wie zum Beispiel Nutzer-ID, Vorname, Nachname und E-Mail-Adresse für den Nutzer, der auf den Control Room zugreift.
  • Möglicherweise müssen Sie Einrichtungsschritte abschließen:
    • Einführung von Anmeldeinformationen auf einem neuen System (Erstellung von Nutzerkonten).
    • Importieren von Nutzern (Hochladen von Nutzerdaten wie Nutzer-ID, Name und E-Mail-Adresse, damit sie vom Control Room erkannt werden).
      Anmerkung: Wenn Sie Nutzer importieren, achten Sie darauf, dass diese Angaben sowohl in Automation Anywhere als auch bei Ihrem Identitätsanbieter (wie beispielsweise Okta bei Verwendung von SSO/SAML) übereinstimmen und identisch sind. Diese Übereinstimmung ist erforderlich, damit Nutzer sich nach der SAML-Integration anmelden können.
  • Sie haben das von Ihrem Identitätsanbieter bereitgestellte SAML-Zertifikat für den Upload während des Authentifizierungs-Einrichtungsprozesses bereit.
Anmerkung: Sie müssen die IDP-Einrichtung in SAML validieren, bevor Sie den Control Room konfigurieren. Einzelheiten finden Sie unter Konfiguration des Control Rooms als Dienstanbieter.

Gehen Sie folgendermaßen vor, um den Control Room auf SAML SSO umzustellen.

Prozedur

  1. Navigieren Sie zu Administration > Einstellungen > Nutzerauthentifizierung.
  2. Wählen Sie die Option SAML verwenden.
    Anmerkung: Die Option Control Room-Datenbank verwenden ist standardmäßig aktiviert.
  3. Geben Sie im Feld SAML-Metadaten die Metadaten aus Ihrer SAML-IdP-Einrichtung ein. Im Folgenden wird eine SAML2-Antwort als Beispiel dargestellt: 
    <saml:AuthnStatement AuthnInstant="2022--10-24T13:41:04Z" SessionIndex="_dc2ab824-cb14-40d3-8e7f-d823193fd6a2">
            <saml:AuthnContext>
                <saml:AuthnContextClassRef>
                    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
                </saml:AuthnContextClassRef>
            </saml:AuthnContext>
        </saml:AuthnStatement>
    Anmerkung: Das Format der SAML-Metadaten hängt von Ihrem IdP ab.
  4. Geben Sie im Feld Eindeutige Entitäts-ID für Control Room (Dienstanbieter) die Entitäts-ID ein.
    Anmerkung: Die Eindeutige Entitäts-ID ist in SAML IdP definiert, um den Control Room zu identifizieren.
  5. Wählen Sie im Feld Authentifizierungsanfragen signieren eine der folgenden Optionen:
    OptionBezeichnung
    Nicht signieren SAML-Authentifizierungsanfragen werden nicht signiert.
    Signieren SAML-Authentifizierungsanfragen werden signiert.
  6. Wählen Sie im Feld SAML-Assertionen verschlüsseln eine der folgenden Optionen:
    OptionBezeichnung
    Nicht verschlüsseln SAML-Assertionen werden nicht verschlüsselt.
    Verschlüsseln SAML-Assertionen werden verschlüsselt.
    Anmerkung: Die Option SAML-Assertionen verschlüsseln wird automatisch aktiviert, wenn Sie auf die Schaltfläche SAML-Einstellungen validieren klicken, wenn die folgenden Bedingungen erfüllt sind:
    • Sie haben die Option Signieren im Feld Authentifizierungsanfragen signieren ausgewählt.
    • Sie haben die Option Nicht verschlüsseln im Feld SAML-Assertionen verschlüsseln ausgewählt.
  7. Optional: Geben Sie die Werte für Öffentlicher Schlüssel und Privater Schlüssel ein.
    • Öffentlicher Schlüssel: Gibt das SAML IdP X.509-Zertifikatsformat an.
    • Privater Schlüssel: Gibt den privaten Schlüssel an, der zum Signieren von SAML-Authentifizierungsanfragen und/oder zur Verschlüsselung von SAML-Assertionen für den Control Room generiert wurde.
    Anmerkung: Geben Sie nur dann Schlüssel ein, wenn Sie signierte SAML-Authentifizierungsanfragen und/oder verschlüsselte SAML-Assertionen benötigen.

    Lesen Sie den folgenden Artikel, um ein Paar öffentlicher und privater Schlüssel zum Signieren von SAML-Authentifizierungsanfragen und/oder zum Verschlüsseln von SAML-Assertionen für den Control Room zu erzeugen: How to generate signing certificate public and private keys to sign SAML authentication request.

  8. Klicken Sie auf SAML-Einstellungen validieren.
    Der Control Room meldet sich über die SAML IdP an und kehrt zu dem Abschnitt Nutzerauthentifizierung für Control Room auf der Einstellungsseite zurück.
    Wenn Sie diese Option anklicken, werden Sie zu einer SAML 2.0 IdP-Webseite weitergeleitet, wo Sie aufgefordert werden, Ihre SAML SSO Anmelde- und weitere gültige Daten einzugeben.
  9. Melden Sie sich bei Ihrer SAML IdP an, wenn Sie dazu aufgefordert werden.
  10. Klicken Sie auf Änderungen speichern.
    Die Control Room-Authentifizierung wird auf SAML SSO umgestellt.