Einrichtung der SAML-Authentifizierung

Umstellung der Nutzerauthentifizierung für Control Room von der Control Room-Datenbank auf SAML Single Sign-On (SSO).

Vorbereitungen

Anmerkung: Die SAML-Integration kann nicht rückgängig gemacht werden. Nach der Einrichtung können Sie die Konfiguration nicht mehr ändern.

Wenn Sie SAML für die Authentifizierung verwenden, nutzen Sie die Netzwerkzugriffsfunktionen des Identitätsanbieters, um den Zugriff des Control Rooms auf bestimmte zulässige IP-Adressen zu beschränken. Achten Sie darauf, dass alle konfigurierten zulässigen IP-Adressen aus dem Control Room-Netzwerk entfernt werden, bevor Sie für die Authentifizierung zu SAML wechseln. Weitere Informationen finden Sie unter Öffentliche IP-Zugangsadressen hinzufügen.

Achten Sie darauf, dass Sie beim Control Room als Administrator angemeldet sind.

Bevor Sie die Authentifizierung für den Control Room einrichten, sind möglicherweise Einrichtungsaufgaben (wie das Festlegen von Anmeldedaten auf einem neuen System und der Import von Nutzern) vorzunehmen. Wenn Sie Nutzer importieren, müssen Sie auch übereinstimmende Nutzer-IDs, E-Mail-Adressen, Vor- und Nachnamen sowohl in den Automation Anywhere Anmeldedaten als auch in den übereinstimmenden Datensätzen angeben, um sich nach der SAML-Integration anzumelden. Wenn Sie beispielsweise Okta als SSO verwenden, müssen Nutzer in Automation Anywhere und in Okta übereinstimmende IDs, E-Mail-Adressen sowie Vor- und Nachnamen haben, um sich nach der SAML-Integration anmelden zu können.

Sie sollten die erforderlichen Nutzerinformationen und das Zertifikat bereithalten. Typische Nutzerinformationen bestehen aus Nutzer-ID, Vor- und Nachname und einer E-Mail-Adresse.

Anmerkung: Sie müssen die IDP-Einrichtung in SAML validieren, bevor Sie den Control Room konfigurieren. Einzelheiten finden Sie unter Konfiguration des Control Rooms als Dienstanbieter.

Nach der Umstellung auf SAML-Authentifizierung können sich Nutzer mit IDs im Nicht-SAML-Format nicht mehr anmelden. Sie müssen gewährleisten, dass alle Bots im privaten Arbeitsbereich der Nutzer zuvor exportiert werden, damit Bots in deren neue Nutzerkonten importiert werden können, für die SAML SSO aktiviert ist.

Ein Großteil dieser Konfiguration ist auf Anwendungen von Drittanbietern angewiesen, um die erforderlichen Metadaten zu erstellen. Wenn Sie spezifischere Informationen zur Konfiguration auf der Grundlage eines bestimmten Anbieters benötigen, siehe SSO-Authentifizierung mit Okta konfigurieren.

Gehen Sie folgendermaßen vor, um den Control Room auf SAML SSO umzustellen.

Prozedur

  1. Navigieren Sie zu Administration > Einstellungen > Nutzerauthentifizierung.
  2. Wählen Sie die Option SAML verwenden.
    Anmerkung: Die Option Control Room-Datenbank verwenden ist standardmäßig aktiviert.
  3. Geben Sie im Feld SAML-Metadaten die Metadaten aus Ihrer SAML-IdP-Einrichtung ein. Im Folgenden wird eine SAML2-Antwort als Beispiel dargestellt: 
    <saml:AuthnStatement AuthnInstant="2022--10-24T13:41:04Z" SessionIndex="_dc2ab824-cb14-40d3-8e7f-d823193fd6a2">
            <saml:AuthnContext>
                <saml:AuthnContextClassRef>
                    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
                </saml:AuthnContextClassRef>
            </saml:AuthnContext>
        </saml:AuthnStatement>
    Anmerkung: Das Format der SAML-Metadaten hängt von Ihrem IdP ab.
  4. Geben Sie im Feld Eindeutige Entitäts-ID für Control Room (Dienstanbieter) die Entitäts-ID ein.
    Anmerkung: Die Eindeutige Entitäts-ID ist in SAML IdP definiert, um den Control Room zu identifizieren.
  5. Wählen Sie im Feld Authentifizierungsanfragen signieren eine der folgenden Optionen:
    OptionBezeichnung
    Nicht signieren SAML-Authentifizierungsanfragen werden nicht signiert.
    Signieren SAML-Authentifizierungsanfragen werden signiert.
  6. Wählen Sie im Feld SAML-Assertionen verschlüsseln eine der folgenden Optionen:
    OptionBezeichnung
    Nicht verschlüsseln SAML-Assertionen werden nicht verschlüsselt.
    Verschlüsseln SAML-Assertionen werden verschlüsselt.
    Anmerkung: Die Option SAML-Assertionen verschlüsseln wird automatisch aktiviert, wenn Sie auf die Schaltfläche SAML-Einstellungen validieren klicken, wenn die folgenden Bedingungen erfüllt sind:
    • Sie haben die Option Signieren im Feld Authentifizierungsanfragen signieren ausgewählt.
    • Sie haben die Option Nicht verschlüsseln im Feld SAML-Assertionen verschlüsseln ausgewählt.
  7. Optional: Geben Sie die Werte für Öffentlicher Schlüssel und Privater Schlüssel ein.
    • Öffentlicher Schlüssel: Gibt das SAML IdP X.509-Zertifikatsformat an.
    • Privater Schlüssel: Gibt den privaten Schlüssel an, der zum Signieren von SAML-Authentifizierungsanfragen und/oder zur Verschlüsselung von SAML-Assertionen für den Control Room generiert wurde.
    Anmerkung: Geben Sie nur dann Schlüssel ein, wenn Sie signierte SAML-Authentifizierungsanfragen und/oder verschlüsselte SAML-Assertionen benötigen.

    Lesen Sie den folgenden Artikel, um ein Paar öffentlicher und privater Schlüssel zum Signieren von SAML-Authentifizierungsanfragen und/oder zum Verschlüsseln von SAML-Assertionen für Control Room zu erzeugen: How to generate signing certificate public and private keys to sign SAML authentication request.

  8. Klicken Sie auf SAML-Einstellungen validieren.
    Der Control Room meldet sich über die SAML IdP an und kehrt zu dem Abschnitt Nutzerauthentifizierung für Control Room auf der Einstellungsseite zurück.
    Wenn Sie diese Option anklicken, werden Sie zu einer SAML 2.0 IdP-Webseite weitergeleitet, wo Sie aufgefordert werden, Ihre SAML SSO Anmelde- und weitere gültige Daten einzugeben.
  9. Melden Sie sich bei Ihrer SAML IdP an, wenn Sie dazu aufgefordert werden.
  10. Klicken Sie auf Änderungen speichern.
    Die Control Room-Authentifizierung wird auf SAML SSO umgestellt.