Konfigurieren Sie OAuth-Verbindungen im Control Room

OAuth ist ein sicheres, effizientes und benutzerfreundliches offenes Standard-Autorisierungsprotokoll, das Ihnen hilft, die Privatsphäre der Nutzer zu schützen. Es definiert, wie die Authentifizierung delegiert oder Anwendungen autorisiert werden können, um auf Ressourcen (wie Remote-APIs, APIs von Drittanbietern oder Nutzerdaten) zuzugreifen, ohne dass der Nutzer seinen Nutzernamen und sein Passwort angeben muss.

Anmerkung: Die Salesforce-Marke und das Salesforce-Logo, die Microsoft SharePoint-Marke und das Microsoft SharePoint-Logo, die Apigee-Marke und das Apigee-Logo, die ServiceNow-Marke und das ServiceNow-Logo sowie die Genesys-Marke und das Genesys-Logo sind Marken oder eingetragene Marken von Salesforce, Inc., Microsoft Corp., Google LLC, ServiceNow, Inc. bzw. Genesys und dienen nur zu Identifikationszwecken.

Weitere Informationen finden Sie unter OAuth 2.0.

OAuth unterstützt eine Reihe von vordefinierten Methoden, die sogenannten Grant Types (Gewährungstypen). Jeder Gewährungstyp hat je nach Szenario spezifische Anforderungen und Abläufe. Control Room OAuth-Verbindungen unterstützen die folgenden Gewährungstypen:

  • Autorisierungscode-Flow
  • Autorisierungscode-Flow mit Proof Key für Codeaustausch (PKCE)
Anmerkung: In Szenarien, in denen die Authentifizierung und die Zustimmung der Nutzer nicht erforderlich sind oder ein Token von mehreren Bots gemeinsam genutzt wird (z. B. unbeaufsichtigte Bot-Ausführungen), stellen Sie sicher, dass Sie ein gemeinsames Token (die Option Anmeldedaten speichern) verwenden, um unbeaufsichtigte Automatisierungen auszuführen. Weitere Informationen finden Sie unter Herstellung der OAuth-Verbindung.

OAuth-Architektur

Mit OAuth-Verbindungen, die im Control Room verwaltet werden, können Sie Verbindungen und den Token-Lebenszyklus zentral über den Control Room verwalten. Außerdem können Sie die Token, die für die Authentifizierung und Autorisierung des Zugriffs auf Unternehmensanwendungen erforderlich sind, sicher speichern, ohne sie bei jedem Automatisierungslauf abrufen zu müssen. Die OAuth-Verbindungen, die im Control Room konfiguriert werden, sind zu Authentifizierungszwecken zu den entsprechenden Unternehmensanwendungen ausgehend.

Der Control Room unterstützt die folgenden Optionen:
  • Erstellen und Verwalten von Verbindungen für jede SaaS-Anwendung, die in Automatisierungen verwendet wird.
  • Verwalten des Token-Lebenszyklus für gemeinsame und benutzerspezifische Token.
  • Sichere Tokenspeicherung durch Verwendung von Industriestandard-Verschlüsselungsebenen.
  • Erteilen von Berechtigungen und rollenbasiertem Zugriff, um die OAuth-Verbindungen innerhalb von Automatisierungen zu verwalten und zu nutzen.

Beispiel für OAuth-Workflow: Im folgenden Beispiel wird beschrieben, wie Sie die OAuth-Verbindung konfigurieren, erstellen und verwenden:

  1. Konfiguration von Unternehmensanwendungen
  2. Herstellung der OAuth-Verbindung
  3. Verwendung der OAuth-Verbindung

Abbildung eines OAuth-Verbindungsworkflows

Rollen und Verantwortlichkeiten: Administratoren führen die folgenden Aufgaben aus:
  1. Erstellen Sie eine Verbindung für eine SaaS-Unternehmensanwendung.
  2. Geben Sie die Authentifizierungsdetails wie Client-ID, geheimer Clientschlüssel, Autorisierungs-URL usw. ein.
  3. (Optional) Speichern Sie die Anmeldedaten und testen Sie die Verbindung.
  4. Laden Sie Rollen zur Nutzung dieser Verbindung ein oder authentifizieren Sie diese für unbeaufsichtigte Bot Runners.
  5. Speichern und verwalten Sie die Verbindung.

Siehe: Herstellung der OAuth-Verbindung.

Professionelle Entwickler oder Citizen Developer führen die folgenden Aufgaben aus:
Anmerkung: Um einen API-Bot erfolgreich zu erstellen und auszuführen, müssen sich professionelle Entwickler oder Citizen Developer bei der Unternehmensanwendung authentifizieren, es sei denn, der Administrator hat die Anmeldedaten für die Entwickler (Nutzer) gespeichert, um die Verbindung zu nutzen.
  1. Erzeugen Sie eine API-Aufgabe oder einen TaskBot.
  2. Fügen Sie eine Authentifizierungsaktion für Pakete hinzu.
  3. Wählen Sie den Authentifizierungstyp (Control Room OAuth-Verbindung), den Verbindungsnamen und die Informationen zur Unternehmensanwendung.

Siehe: Verwendung der OAuth-Verbindung.

OAuth-Token

OAuth stellt die folgenden Token-Typen bereit:

Zugriffstoken
Eine lange Zeichenfolge, die zur Anmeldung beim Zugriff auf geschützte Ressourcen verwendet wird.
Token aktualisieren
Ein spezielles, langlebiges Token, das verwendet wird, um ein neues Zugriffstoken zu erhalten, wenn das vorhandene Zugriffstoken abläuft. Das Aktualisierungstoken stellt ein kurzlebiges Zugriffstoken bereit, anstatt jedes Mal die Anmeldedaten des Nutzers zu erfassen, wenn ein neues Zugriffstoken benötigt wird. Der Control Room verwendet das Aktualisierungstoken, um ein neues Zugriffstoken vom Authorisierungs-Server (AS) zu erhalten.

Bei der Verwendung von OAuth werden das Zugriffstoken und das Aktualisierungstoken beim Tokenaustausch in derselben Antwort zurückgegeben. Dieser Vorgang wird Zugriffstokenantwort genannt.

OAuth-Token in Control Room

Die folgenden Arten von Token werden im Control Room verwendet:
  • Freigegeben: Der Token-Typ „Freigegeben“ wird in der Regel für unbeaufsichtigte Automatisierungen verwendet, bei denen keine Nutzerauthentifizierung oder -zustimmung erforderlich ist. Um diesen Token-Typ im Control Room zu konfigurieren und zu verwenden, müssen Sie die folgenden Optionen konfigurieren:
    1. Im Abschnitt Verwalten > OAuth-Verbindungen kann ein Nutzer mit der Berechtigung Verbindungen verwalten OAuth-Verbindungen erstellen. Ein solcher Nutzer muss beim Erstellen einer Verbindung die Option Anmeldedaten speichern im Bildschirm Verbindung testen und Anmeldedaten speichern auswählen, damit ein gemeinsames Token generiert wird. Einzelheiten finden Sie unter Herstellung der OAuth-Verbindung.
    2. Wenn ein Nutzer diese Verbindung in seinen Bots verwendet, muss er den Token-Typ Freigegeben in der Option Verbindung auswählen auswählen. Einzelheiten finden Sie unter Verwendung der OAuth-Verbindung.
  • Benutzerspezifisch: Der benutzerspezifische Token-Typ wird in der Regel für die Ausführung beaufsichtigter Automatisierungen verwendet, bei denen eine Nutzerauthentifizierung oder -zustimmung erforderlich ist. Um diesen Token-Typ im Control Room zu konfigurieren und zu verwenden, müssen Sie die folgenden Optionen konfigurieren:
    1. Im Abschnitt Verwalten > OAuth-Verbindungen kann ein Nutzer mit der Berechtigung Verbindungen verwalten OAuth-Verbindungen erstellen. Ein solcher Nutzer darf die Option Anmeldedaten speichern auf dem Bildschirm Verbindung testen und Anmeldedaten speichern nicht auswählen. Stattdessen muss der Nutzer Rollen zur Verwendung der Verbindung einladen, indem er die entsprechenden Rollen auf dem Bildschirm Rollen einladen auswählt. Einzelheiten finden Sie unter Herstellung der OAuth-Verbindung.

      Nutzer, die Teil der Rollen sind, werden über die zugewiesene Verbindung benachrichtigt, sofern sie Ereignisbenachrichtigungen abonniert haben. Einzelheiten finden Sie unter Benachrichtigungen.

    2. Der Nutzer, der die benutzerspezifische Verbindung in seinen Bots verwendet, muss die Verbindung im Abschnitt Meine Einstellungen > OAuth-Verbindungen authentifizieren, bevor er die Verbindung verwendet. Einzelheiten finden Sie unter Benutzerspezifische OAuth-Verbindungen authentifizieren.
    3. Wenn ein Nutzer diese Verbindung in seinen Bots verwendet, muss er den Token-Typ Benutzerspezifisch in der Option Verbindung auswählen auswählen. Einzelheiten finden Sie unter Verwendung der OAuth-Verbindung.

Vorteile der Integration von OAuth in den Control Room

Wenn Sie OAuth in den Control Room integrieren, geschieht folgendes:

  • Bereitstellung eines sicheren und standardisierten Modells für Automatisierungen zur Authentifizierung und Autorisierung von Unternehmensanwendungen.
  • Die manuelle Eingabe der Anmeldedaten zur Laufzeit oder die feste Codierung der Anmeldedaten in Automatisierungen entfällt.
  • Stellen Sie sicher, dass die Zugriffstoken immer gültig und für Automatisierungen zur Laufzeit verfügbar sind, indem Sie sie abrufen, bevor sie ablaufen; dadurch entfällt für die Nutzer die Notwendigkeit, den Authentifizierungsprozess zu durchlaufen, um sie zu erhalten.
  • Vermeiden Sie die sich wiederholende Aufgabe der Konfiguration der OAuth-Parameter für jede Automatisierung, die die OAuth-Verbindung nutzt. Die Verbindungen werden in Automatisierungen mit dem Typ Enterprise Application Provider referenziert.

Token-Lebenszyklus-Management

Alle Zugriffstoken haben eine vom Autorisierungsserver (AS) festgelegte Gültigkeitsdauer. Token werden mithilfe des Token-Aktualisierungsmechanismus aktualisiert, um die Gültigkeit des Tokens zu verlängern (indem ein neues Token ausgestellt wird). Bei einem zentralisierten Ansatz verwaltet der Control Room den Token-Lebenszyklus und validiert jedes Token vor der Bot-Ausführung.