Configuration de CoE Manager pour SSO

Utilisez l'option d'authentification unique (SSO) pour activer l'authentification du CoE Manager via un fournisseur d'identité (IdP), en utilisant le protocole SAML (Security Assertion Markup Language) 2.0.

Configuration de la connexion SAML SSO

Avant de configurer le CoE Manager, assurez-vous que vous avez rempli les conditions suivantes :

  1. Vous avez téléchargé les métadonnées du fournisseur de services (SP) pour votre région CoE Manager respective à l'aide des liens fournis ci-dessous :
  2. Configurez votre fournisseur d'identité (IdP) avec les métadonnées obtenues à l'étape précédente et dans l'assertion SAML, fournissez les éléments suivants :
    • E-mail, prénom, nom et NameID
    • URL de redirection pour la connexion initiée par l'IdP en tant que paramètre d'état de relais
  3. Fournissez les métadonnées IdP et les noms d'attributs reçus de l'IdP (E-mail, Nom et Prénom) à l'équipe de support Automation Anywhere.

Flux de travail de connexion

La connexion SAML SSO peut être configurée en utilisant l'une des méthodes suivantes :

  • Connexion initiée par le fournisseur de services : la connexion initiée par le SP commence avec le CoE Manager et est déclenchée lorsqu'un utilisateur tente d'accéder à l'application via une URL. La connexion initiée par le SP nécessite une redirection vers l'IdP approprié pour assurer une authentification correcte avant que l'accès ne soit accordé au service ou à un objet spécifique. Selon que la SSO est configurée à titre obligatoire ou facultatif, votre flux de travail de connexion varie. Pour plus de détails, voir ci-dessous.
    • SSO obligatoire : Une fois la SSO activée, saisissez votre adresse e-mail sur la page de connexion de CoE Manager et cliquez sur Suivant.

      Le CoE Manager étant une application multi-locataires, vous devez utiliser une adresse e-mail pour déterminer l'IdP vers lequel être redirigé. Cette adresse e-mail peut provenir de n'importe quel domaine associé à votre organisation. Le CoE Manager redirigera vers l'IdP en fonction du domaine de messagerie saisi. Par exemple, si votre organisation est Acme Corp, vous pouvez avoir acme.com et acmeent.com comme domaines associés. Dans ce cas, toute adresse avec @acme.com et @acmeent.com sera redirigée vers l'IdP lorsque vous cliquerez sur Suivant. Vous serez redirigé vers la page du CoE Manager après l'authentification IdP.

    • SSO facultatif : Sur la page de connexion, saisissez l'adresse e-mail et cliquez sur Suivant. Au lieu d'être automatiquement redirigé vers l'IdP, vous serez invité à saisir un mot de passe ou à sélectionner l'option de connexion avec SSO, qui sera envoyée à votre IdP pour authentification.
    Remarque :
    • Le CoE Manager prend en charge les liens profonds avec SSO. Après avoir cliqué sur le lien, vous devez saisir votre adresse e-mail sur la page de connexion du CoE Manager. Vous êtes alors redirigé vers l'IdP pour l'authentification. Après l'authentification, vous êtes redirigé vers l'URL initialement demandée.
    • Le CoE Manager crée un cookie après avoir réussi à se connecter à l'application à l'aide de SSO. Cela garantit que les connexions ultérieures au CoE Manager éviteront l'écran du nom d'utilisateur et du mot de passe et redirigeront l'utilisateur automatiquement vers la page de connexion SSO appropriée. Vous pouvez également neutraliser le cookie en accédant directement à la page de connexion du CoE Manager, à savoir https://<région>.shibumi.com/shibumi/login.
    • Un compte d'utilisateur est automatiquement créé après une première connexion réussie au CoE Manager à l'aide de SSO.
  • Connexion initiée par l'IdP : Avec la connexion initiée par l'IdP, vous pouvez accéder au CoE Manager directement par l'IdP (sans qu'une page de connexion ne s'affiche). Lorsque le CoE Manager est lancé à l'aide de cette méthode, vous êtes dirigé directement vers la page d'accueil du CoE Manager de votre organisation ou vers une URL fournie par l'IdP en tant que paramètre d'état du relais.

Approvisionnement des comptes

Le CoE Manager fournit des comptes d'utilisateur selon les besoins des organisations avec SSO activé. Les comptes sont générés lorsque :

  • un utilisateur se voit attribuer un rôle sur un objet dans le CoE Manager ;
  • un utilisateur est invité à participer à un élément de travail du CoE Manager ;
  • un utilisateur tente d'accéder pour la première fois au CoE Manager.

La séquence typique d'approvisionnement d'un compte est la suivante : un utilisateur est invité par un utilisateur existant à participer à un élément de travail du CoE Manager. Cela déclenche l'approvisionnement automatique de leur compte. Si cela n'est pas le cas, lorsque l'utilisateur tente d'accéder au CoE Manager la première fois que le compte est approvisionné, il n'aura accès à aucun élément de travail. Cela peut être une expérience quelque peu déroutante. Par conséquent, il est recommandé de veiller à ce que les utilisateurs soient invités à participer à un élément de travail avant le premier accès.

Remarque : Les comptes d'utilisateur ne sont pas importés en masse depuis l'IdP. Les utilisateurs ne sont pas automatiquement ajoutés ou supprimés de l'instance du CoE Manager lorsqu'une personne rejoint ou quitte l'organisation.

Lorsqu'un utilisateur est authentifié via un IdP, son prénom et son nom sont mis à jour dans CoE Manager afin de refléter les valeurs d'attributs fournies dans les données utiles SAML (le mappage du prénom et du nom sur les attributs fait partie de la configuration SAML dans CoE Manager et dans IdP).