IdP-Gruppenzuordnungen
- Zuletzt aktualisiert2024/05/14
IdP-Gruppenzuordnungen
Wenn Sie Ihren Control Room mit Ihrem Identitätsanbieter (IdP) integrieren, werden Ihre IdP-Nutzerkonten automatisch im Control Room bereitgestellt.
Wichtig: Nachdem Sie die IdP-Gruppenzuordnung im Control Room konfiguriert und die SAML-Option zur automatischen Bereitstellung von Nutzerkonten im Control Room aktiviert haben, werden Nutzer, Rollen und Lizenzen nur über die IdP-Gruppenzuordnung verwaltet, die im Control Room konfiguriert ist. Stellen Sie daher sicher, dass Sie mindestens eine IdP-Gruppenzuordnung haben, der eine Rolle im Control Room zugewiesen ist, die die Berechtigungen Einstellungen verwalten und Rollen verwalten verwendet. Nutzer, die für die Verwaltung von Control Room IdP-Gruppenzuordnungen zuständig sind, müssen dieser Rolle zugewiesen werden. Wenn eine solche IdP-Gruppenzuordnung im Control Room nicht existiert, gibt es keinen Nutzer, der Control Room IdP-Gruppenzuordnungen verwalten kann.
Einzelheiten finden Sie unter IdP-Gruppenzuordnung erstellen | Aktivieren der automatischen SAML-Benutzerkontenbereitstellung.
Anmerkung: Diese Funktion erfordert die Enterprise Platform-Lizenz und ist nur in Cloud verfügbar. Weitere Informationen zu dieser Lizenz erhalten Sie bei Ihrem Automation Anywhere Kundenbetreuer.
Der Control Room-Administrator führt die folgenden Aufgaben im Control Room durch, damit die vom Kunden verwalteten IdP-Nutzerkonten automatisch bereitgestellt werden können:
- Erstellt eine IdP-Gruppenzuordnung im Control Room.
- Weist der IdP-Gruppenzuordnung im Control Room Rollen zu.
- Weist der IdP-Gruppenzuordnung im Control Room eine Lizenz zu.
Unabhängig davon, ob Ihr IdP eine der folgenden Konfigurationen aufweist, werden die IdP-Nutzerkonten automatisch im Control Room auf der Grundlage der vom Control Room-Administrator konfigurierten IdP-Gruppenzuordnung bereitgestellt:
- Sie haben bestehende IdP-Nutzergruppen.
- Sie haben Ihre bestehenden IdP-Nutzergruppen aktualisiert.
- Sie haben neue IdP-Nutzergruppen erstellt.
Wenn sich ein IdP-Nutzer, dessen IdP-Nutzerkonto der IdP-Gruppenzuordnung im Control Room zugeordnet ist, beim Control Room anmeldet, validiert der Control Room die Nutzerinformationen und verwaltet die Nutzerinformationen entsprechend. Jede Änderung der Nutzerinformationen wird automatisch für den IdP-Nutzer im Control Room aktualisiert.
Im Folgenden wird der Workflow für die IdP-Gruppenzuordnung beschrieben:
- In dem vom Kunden verwalteten IdP werden die Nutzergruppen bereits logisch verwaltet.
- Der Control Room-Administrator erstellt IdP-Gruppenzuordnungen und weist Rollen und Lizenz zu. Einzelheiten finden Sie unter IdP-Gruppenzuordnung erstellen.
- Der Control Room-Administrator aktiviert die automatische Bereitstellung von Nutzerkonten. Einzelheiten finden Sie unter Aktivieren der automatischen SAML-Benutzerkontenbereitstellung.
- Der IdP-Nutzer meldet sich mit Single Sign-On (SSO) beim Control Room an. Eine IdP-SAML-Assertion, die die Nutzerdetails enthält, wird vom IdP an den Control Room gesendet.
- Der Control Room validiert die IdP-SAML-Assertion mit der im Control Room konfigurierten IdP-Gruppenzuordnung und führt die folgenden Aktionen aus:
- Wenn der Nutzer im Control Room nicht vorhanden ist, wird der Nutzer mit den in der IdP-SAML-Assertion enthaltenen Attributen erstellt und den Rollen und der Lizenz zugewiesen, die in der IdP-Gruppenzuordnung konfiguriert sind.
- Wenn der Nutzer im Control Room bereits vorhanden und aktiv ist, validiert der Control Room die IdP-SAML-Assertion, um etwaige Änderungen der Nutzerinformationen, Rollen und Lizenz zu ermitteln, und aktualisiert die Informationen zum Nutzer entsprechend.
- Wenn der Nutzer im Control Room bereits vorhanden und inaktiv ist, aktiviert der Control Room den Nutzer, validiert die IdP-SAML-Assertion, um etwaige Änderungen der Nutzerinformationen, Rollen und Lizenz zu ermitteln, und aktualisiert die Informationen zum Nutzer entsprechend.
Wenn ein Nutzer Teil mehrerer IdP-Nutzergruppen ist und die entsprechenden IdP-Gruppenzuordnungen mit unterschiedlichen Rollen und Lizenzen im Control Room erstellt werden, kommt es zu folgendem Verhalten:
- Dem Nutzer wird eine Kombination von Rollen aus den IdP-Gruppenzuordnungen zugewiesen.
- Einem solchen Nutzer wird nur eine Lizenz zugewiesen, und zwar auf Grundlage der bevorzugten Reihenfolge der Lizenzvergabe. Einzelheiten finden Sie unter Bevorzugte Lizenzreihenfolge konfigurieren.
Anmerkung: Die IdP-Administratoren müssen sicherstellen, dass die Control Room-Attributnamen ihren IdP-Attributnamen entsprechen. Nur so sind die erforderlichen Informationen in den IdP-SAML-Assertions enthalten, die während der Nutzerautorisierung vom IdP an den Control Room gesendet werden. Einzelheiten finden Sie unter Beispiele für IdP-Gruppen-Zuordnungen.