Un administrateur de la Control Room peut créer des connexions OAuth permettant aux utilisateurs d\'utiliser ces connexions dans l\'action d\'authentification pour les packages sans avoir à saisir de détails d\'authentification.

La marque et le logo Salesforce, la marque et le logo Microsoft SharePoint, la marque et le logo Apigee, la marque et le logo ServiceNow, et la marque et le logo Genesys sont des marques commerciales ou des marques déposées de Salesforce, Inc., de Microsoft Corp., de Google LLC, de ServiceNow, Inc., et de Genesys, respectivement, qui ne sont utilisées qu\'à des fins d\'identification.

Pour toute connexion OAuth externe créée dans l\'instance Cloud Control Room, tous les points de terminaison externes tels que l\'URL d\'autorisation et l\'URL de jeton doivent être accessibles depuis le Cloud Control Room via les règles du pare-feu du périmètre réseau. Configurez votre pare-feu réseau afin d\'inclure les adresses IP sortantes Automation Anywhere à la liste autorisée. Voir Adresses IP Control Room pour les intégrations externes.

Prérequis

  • Si les serveurs de la Control Room sont derrière un proxy et que les connexions externes doivent passer par le proxy, alors configurez les paramètres de proxy direct comme détaillé dans Configuration des paramètres du proxy de transfert.
  • Assurez-vous que vous utilisez un rôle d\'utilisateur pour lequel l\'autorisation Gérer les connexions est activée pour la fonctionnalité OAuth Connections. Voir Autorisations de fonctionnalités attribuées à un rôle.
  • Si vous ajoutez plusieurs portées, veillez à les séparer à l\'aide de virgules.

    Exemple : api,refresh_token,offline_access

  • Assurez-vous d\'avoir configuré une application d\'entreprise et d\'avoir noté l\'ID du client, le secret du client, l\'URL d\'autorisation, l\'URL du jeton et la portée. Voir Configuration d\'applications d\'entreprise
    Remarque :
    • Tenez compte des conditions préalables ci-dessus pour éviter une erreur de connexion.
    • Bien que le tableau suivant répertorie les applications certifiées, vous pouvez configurer vos applications d\'entreprise à l\'aide de Gérer > Connexions OAuth > Créer une connexion en sélectionnant Type de fournisseur comme Personnalisé.

Exemples de composants clés de OAuth

Applications de l\'entreprise URL d\'autorisation URL du jeton Portée
Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token Non requis
Google Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
Google Workspace (Calendar, Drive, Gmail, Sheets) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
  • Pour Google Agenda, utilisez https://www.googleapis.com/auth/calendar. Pour obtenir des informations sur les autorisations granulaires, voir OAuth 2.0 Scopes for Calendar API
  • Pour Google Drive, utilisez https://www.googleapis.com/auth/drive. Pour obtenir des informations sur les autorisations granulaires, voir OAuth 2.0 Scopes for Google Drive API
  • Pour Gmail, utilisez https://mail.google.com/, https://www.googleapis.com/auth/gmail.readonly, https://www.googleapis.com/auth/gmail.send. Pour obtenir des informations sur les autorisations granulaires, voir OAuth 2.0 Scopes for Gmail APIs
  • Pour Google Sheets, utilisez https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/spreadsheets. Pour obtenir la liste détaillée des autorisations, voir OAuth 2.0 Scopes for Google Sheets API
Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token offline_access write:jira-work,read:jira-user,manage:jira-webhook,read:jira-work
Microsoft Entra (Microsoft 365, Office, Teams) https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access,openid,https://graph.microsoft.com/.default. Pour obtenir la liste détaillée des autorisations, voir Scopes and permissions in the Microsoft identity platform
Microsoft Entra (SharePoint) https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
  • Pour les actions SharePoint basées sur l\'API REST SharePoint, utilisez https://<domain-name>/AllSites.Manage,offline_access,openid
  • Pour les déclencheurs Web SharePoint et les actions basées sur API Microsoft Graph , utilisez https://graph.microsoft.com/.default,openid, offline_access.
Pour obtenir la liste détaillée des autorisations, voir Scopes and permissions in the Microsoft identity platform
Remarque :
  • Seulement lorsque vos applications nécessitent la revendication sub dans le jeton d\'identité pour identifier l\'utilisateur final, vous devez inclure la portée OpenID. Dans le cas contraire, cette portée est Facultatif.
  • La portée offline_access permet au serveur d\'autorisation de fournir à l\'utilisateur un jeton d\'actualisation. Cette portée élimine la nécessité d\'authentifier à nouveau la connexion après une période prolongée d\'inactivité.
Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api,refresh_token,offline_access
ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do Non requis

Procédure

  1. Dans la Control Room, accédez à Gestion > Connexions OAuth.
  2. Cliquez sur Créer une connexion.
  3. Dans l\'écran Paramètres de connexion qui s\'ouvre, sélectionnez un Type de fournisseur.
    Remarque : L\'URL de rappel est utilisée dans les paramètres de configuration de l\'application d\'entreprise pour se connecter à la Control Room.
  4. Saisissez un Nom de la connexion unique pour identifier la connexion.
  5. Facultatif : Saisissez une Description pour la connexion.
    Image illustrant la page des paramètres de connexion OAuth
  6. Cliquez sur Suivant.
    L\'écran Détails de l\'authentification s\'affiche.
  7. Sélectionnez un Type d\'autorisation. Reportez-vous aux rubriques OAuth flux de code d\'autorisation et Flux d\'informations d\'identification du client OAuth.
    Remarque :
    • Si vous effectuez la configuration pour un compte Google Cloud Platform (GCP), sélectionnez Flux de code d\'autorisation car la connexion OAuth gérée par la Control Room utilisant le flux de code d\'autorisation avec PKCE n\'est actuellement pas prise en charge.
    • Si vous configurez des déclencheurs Web SharePoint, sélectionnez Flux d\'identifiants client.
  8. Saisissez l\'ID Client fourni par le fournisseur pour votre compte.
  9. Saisissez le secret du client fourni par le fournisseur pour votre compte.
    Remarque :
    • Après avoir testé ou créé une connexion, le champ Client secret ne sera pas affiché dans l\'interface utilisateur, mais le service backend continuera d\'utiliser la valeur stockée. Il s\'agit d\'un comportement attendu.
    • Le champ Client secret est masqué pendant que vous saisissez la valeur, comme un champ de mot de passe. Cela renforce la sécurité en empêchant le secret d\'être visible en texte clair.
  10. Saisissez l\'URL d\'autorisation utilisée pour obtenir un code d\'autorisation pour votre compte.
    Remarque : Pour les comptes Apigee ou Google Cloud Platform (GCP), vous devez ajouter &access_type=offline à l\'URL d\'autorisation. Par exemple : https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline.
  11. Saisissez l\'URL du jeton utilisée pour échanger un code d\'autorisation contre un jeton d\'accès.
  12. Facultatif : Saisissez la Portée.

    Le délai d\'expiration du jeton peut être défini par le fournisseur d\'identité. Si le jeton expire, le Bot utilise la portée offline_access pour obtenir un nouveau jeton valide lorsqu\'il est déclenché, en fonction des détails de la Control Room. Voir Configurer les connexions OAuth dans la Control Room.

    Image illustrant la page d\'informations sur l\'authentification OAuth
    Ces informations sont utilisées comme revendications (informations sur l\'utilisateur) dans un jeton d\'accès et transmises au serveur de ressources pour limiter l\'accès.
    Remarque : Nous vous recommandons d\'ajouter la portée offline_access, ou une portée de jeton d\'actualisation appropriée, dans la Control Room et lors de la configuration de votre fournisseur d\'identité afin que le jeton d\'accès puisse être actualisé automatiquement. Sinon, vous devrez actualiser manuellement le jeton dans la Control Room. Voir Authentifier les connexions OAuth spécifiques à l\'utilisateur.
  13. Cliquez sur Suivant.
    L\'écran Tester la connexion et enregistrer les informations d\'identification s\'affiche.
  14. Facultatif : Sélectionnez l\'option Enregistrer les informations d\'identification de connexion.
    Remarque : Utilisez cette option uniquement si vous souhaitez générer un jeton partagé permettant aux utilisateurs d\'utiliser cette connexion sans authentification ni consentement de la part de l\'utilisateur. Lorsque vous sélectionnez cette option, vous devez sélectionner l\'option de jeton Partagé pour cette connexion. Voir Jetons OAuth.
  15. Facultatif : Cliquez sur Enregistrer les modifications et tester la connexion.
    Image illustrant la page de test de connexion à OAuth et d\'enregistrement des informations d\'identification
    Remarque : Après avoir cliqué sur l\'option Enregistrer les modifications et tester la connexion, le bouton Suivant est désactivé une fois la connexion établie. Cliquez sur le bouton Précédent, saisissez à nouveau le secret du client, puis cliquez sur Suivant. Il n\'est pas nécessaire de tester à nouveau la connexion, sauf si vous avez modifié les informations d\'authentification fournies précédemment.
  16. Cliquez sur Suivant.
    L\'écran Inviter des rôles s\'affiche.
  17. Sélectionnez les rôles que vous souhaitez inviter à utiliser cette connexion. Seuls les rôles invités peuvent utiliser le jeton dans un robot, qu\'il soit privé ou partagé.Image illustrant la page Inviter des rôles OAuth

    L\'action d\'invitation des rôles est obligatoire si un Bot utilise la connexion OAuth. Cette action est Facultatif si un service externe utilise la connexion OAuth.

    Remarque : Seuls les rôles personnalisés sont affichés dans la liste des Rôles disponibles.
  18. Cliquez sur Créer une connexion. Une connexion OAuth est créée.

La vidéo suivante explique la procédure de création d\'une connexion à OAuth.

Étapes suivantes

Utiliser une connexion OAuth