Einrichtung der SAML-Authentifizierung

Umstellung der Nutzerauthentifizierung für Control Room von der Control Room-Datenbank auf SAML Single Sign-On (SSO).

Vorbereitungen

Anmerkung:
  • Die SAML-Konfiguration kann nach ihrer Einrichtung nicht mehr auf andere Authentifizierungsmethoden geändert werden.
  • Wenn Sie SAML für die Authentifizierung verwenden, nutzen Sie die Netzwerkzugriffsfunktionen des Identitätsanbieters, um den Zugriff des Control Rooms auf bestimmte zulässige IP-Adressen zu beschränken. Achten Sie darauf, dass alle konfigurierten zulässigen IP-Adressen aus dem Control Room-Netzwerk entfernt werden, bevor Sie für die Authentifizierung zu SAML wechseln. Weitere Informationen finden Sie unter Erlaubte IP-Adressen.

Achten Sie darauf, dass Sie beim Control Room als Administrator angemeldet sind.

Bevor Sie die Authentifizierung für den Control Room einrichten, sind möglicherweise Einrichtungsaufgaben (wie das Festlegen von Anmeldedaten auf einem neuen System und der Import von Nutzern) vorzunehmen. Wenn Sie Nutzer importieren, müssen Sie auch übereinstimmende Nutzer-IDs, E-Mail-Adressen, Vor- und Nachnamen sowohl in den Automation Anywhere-Anmeldedaten als auch in den übereinstimmenden Datensätzen angeben, um sich nach der SAML-Integration anzumelden. Wenn Sie beispielsweise Okta als SSO verwenden, müssen Nutzer in Automation Anywhere und in Okta übereinstimmende IDs, E-Mail-Adressen sowie Vor- und Nachnamen haben, um sich nach der SAML-Integration anmelden zu können.

Sie sollten die erforderlichen Nutzerinformationen und das Zertifikat bereithalten. Typische Nutzerinformationen bestehen aus Nutzer-ID, Vor- und Nachname und einer E-Mail-Adresse.

Anmerkung: Sie müssen die IDP-Einrichtung in SAML validieren, bevor Sie den Control Room konfigurieren. Einzelheiten finden Sie unter Konfiguration des Control Rooms als Dienstanbieter.

Nach der Umstellung auf SAML-Authentifizierung können sich Nutzer mit IDs im Nicht-SAML-IdP-Format nicht mehr anmelden. Sie müssen gewährleisten, dass alle Bots im privaten Arbeitsbereich der Nutzer zuvor exportiert werden, damit Bots in deren neue Nutzerkonten importiert werden können, für die SAML SSO aktiviert ist.

Ein Großteil dieser Konfiguration ist auf Anwendungen von Drittanbietern angewiesen, um die erforderlichen Metadaten zu erstellen. Wenn Sie spezifischere Informationen zur Konfiguration auf der Grundlage eines bestimmten Anbieters benötigen, sieheSSO-Authentifizierung mit Okta konfigurieren.

Gehen Sie folgendermaßen vor, um den Control Room auf SAML SSO umzustellen.

Prozedur

  1. Navigieren Sie zu Administration > Einstellungen > Nutzerauthentifizierung.
  2. Wählen Sie die Option SAML verwenden.
    Anmerkung: Die Option Control Room-Datenbank verwenden ist standardmäßig aktiviert.
  3. Geben Sie im Feld SAML-Metadaten die Metadaten aus Ihrer SAML-IdP-Einrichtung ein. Im Folgenden wird eine SAML2-Antwort als Beispiel dargestellt:
    <saml:AuthnStatement AuthnInstant="2022--10-24T13:41:04Z" SessionIndex="_dc2ab824-cb14-40d3-8e7f-d823193fd6a2">
                <saml:AuthnContext>
                    <saml:AuthnContextClassRef>
                        urn:oasis:names:tc:SAML:2.0:ac:classes:Password
                    </saml:AuthnContextClassRef>
                </saml:AuthnContext>
            </saml:AuthnStatement>
    Anmerkung: Das Format der SAML-Metadaten hängt von Ihrem IdP ab.
  4. Im Eindeutige-Entitäts-ID für den Control Room (Service Anbieter)-Feld geben Sie die Entitäts-ID ein.
    Anmerkung: Die eindeutige Entitäts-ID ist in SAML IdP definiert, um den Control Room zu identifizieren.
  5. Wählen Sie im Feld Authentifizierungsanfragen signieren eine der die folgenden Optionen aus:
    OptionBezeichnung
    Nicht signieren SAML-Authentifizierungsanfragen werden nicht signiert.
    Signieren SAML-Authentifizierungsanfragen werden signiert.
  6. Wählen Sie im Feld SAML-Assertionen verschlüsseln eine der folgende Optionen:
    OptionBezeichnung
    Nicht verschlüsseln SAML-Assertionen werden nicht verschlüsselt.
    Verschlüsseln SAML-Assertionen werden verschlüsselt.
    Anmerkung: Die Option Verschlüsselung von SAML-Assertionen wird automatisch aktiviert, wenn Sie auf die Taste SAML-Einstellungen validieren klicken, wenn die folgenden Bedingungen erfüllt sind:
    • Sie haben die Signieren-Option im Feld Authentifizierungsanfragen signieren ausgewählt.
    • Sie haben die Nicht verschlüsseln-Option im Feld SAML-Assertionen verschlüsseln ausgewählt.
  7. Optional: Geben Sie die Werte für Öffentlicher Schlüssel und Privater Schlüssel ein.
    • Öffentlicher Schlüssel: Gibt das SAML IdP X.509-Zertifikatsformat an.
    • Privater Schlüssel: Gibt den privaten Schlüssel an, der zum Signieren von SAML generiert wurde. Authentifizierungsanfragen und/oder Verschlüsselung von SAML-Assertions für den Control Room.
    Anmerkung: Geben Sie nur dann Schlüssel ein, wenn Sie signierte SAML-Authentifizierungsanfragen und/oder verschlüsselte SAML-Assertions benötigen.

    Informationen zum Generieren von öffentlichen und privaten Schlüsselpaaren zum Signieren von SAML-Authentifizierungsanfragen und/oder zum Verschlüsseln von SAML-Assertionen für Control Room finden Sie im folgenden Artikel: How to generate signing certificate public and private keys to sign SAML authentication request.

  8. Klicken Sie auf SAML-Einstellungen validieren.
    Der Control Room wird sich über den SAML-IdP anmelden und zurück zum Abschnitt Control Room- Nutzerauthentifizierung auf der Einstellungsseite weiterleiten.
    Wenn Sie auf diese Option klicken, werden Sie zu einer SAML 2.0 IdP-Webseite weitergeleitet, auf der Sie aufgefordert werden, Ihre SAML SSO-Anmeldeinformationen und andere anwendbare Daten einzugeben.
  9. Melden Sie sich bei Ihrer SAML IdP an, wenn Sie dazu aufgefordert werden.
  10. Klicken Sie auf Änderungen speichern.
    Die Control Room-Authentifizierung wird umgestellt auf SAML SSO.