Configurer l'authentification SAML

Passer de l'authentification des utilisateurs pour la Control Room à partir de la base de données de la Control Room à l'authentification unique SAML (SSO).

Prérequis

Remarque : L'intégration de SAML est irréversible. Une fois qu'elle a été définie, vous ne pouvez pas modifier la configuration.

Lorsque vous utilisez SAML pour l'authentification, utilisez les capacités d'accès réseau du fournisseur d'identité pour restreindre l'accès de Control Room à des adresses IP autorisées spécifiques. Assurez-vous que toutes les adresses IP autorisées configurées sont supprimées des paramètres réseau de la Control Room avant de passer à SAML pour l'authentification. Pour plus d'informations, consultez Ajout d'adresses IP d'accès public.

Assurez-vous que vous êtes connecté à la Control Room en tant qu'administrateur.

Avant de configurer l'authentification pour la Control Room, des tâches de configuration (telles que l'introduction des informations d'identification sur un nouveau système et l'importation des utilisateurs) peuvent être nécessaires. Si vous importez des utilisateurs, les identifiants d'utilisateur, les adresses e-mail, les noms et prénoms correspondants doivent aussi être fournis, dans les informations d'identification Automation Anywhere et dans les enregistrements correspondants, afin de pouvoir se connecter après l'intégration SAML. Par exemple, si vous utilisez Okta comme SSO, les utilisateurs doivent avoir des identifiants, des adresses e-mail, des noms et des prénoms identiques dans Automation Anywhere et Okta pour se connecter après l'intégration SAML.

Vous devez avoir préparé les informations requises sur l'utilisateur et le certificat. Les informations habituelles sur l'utilisateur sont l'ID d'utilisateur, le nom et le prénom, ainsi que l'adresse e-mail.

Remarque : Vous devez valider la configuration de l'IdP SAML avant de configurer la Control Room. Reportez-vous à la rubrique Configuration de la Control Room en tant que fournisseur de services.

Après le basculement vers l'authentification SAML, les utilisateurs ayant des identifiants non formatés par l'IdP SAML ne pourront pas se connecter. Vous devez vérifier que tous les robots dans l'espace de travail privé de ces utilisateurs sont exportés au préalable afin que les robots puissent être importés pour leurs nouveaux comptes d'utilisateur SAML à authentification unique.

Une grande partie de cette configuration dépend d'applications tierces pour créer les métadonnées nécessaires. Si vous avez besoin d'informations plus spécifiques sur la configuration en basées sur un fournisseur particulier, voir Configuration de l'authentification SSO avec Okta.

Pour passer de la Control Room à l'authentification unique SAML, procédez comme suit.

Procédure

  1. Accédez à Administration > Paramètres > Authentication utilisateur.
  2. Sélectionnez l'option Utiliser SAML.
    Remarque : L'option Utiliser la base de données de la Control Room est sélectionnée par défaut.
  3. Dans le champ Métadonnées SAML, entrez les métadonnées de votre configuration SAML IdP. Voici un exemple de réponse SAML2 :
    <saml:AuthnStatement AuthnInstant="2022--10-24T13:41:04Z" SessionIndex="_dc2ab824-cb14-40d3-8e7f-d823193fd6a2">
                <saml:AuthnContext>
                    <saml:AuthnContextClassRef>
                        urn:oasis:names:tc:SAML:2.0:ac:classes:Password
                    </saml:AuthnContextClassRef>
                </saml:AuthnContext>
            </saml:AuthnStatement>
    Remarque : Le format des métadonnées SAML varie en fonction de votre IdP.
  4. Dans le champ Identifiant d'entité unique pour la Control Room (fournisseur de services), entrez l'identifiant d'entité.
    Remarque : L'identifiant unique de l'entité est défini dans SAML IdP pour identifier la Control Room.
  5. Dans le champ Signer les demandes d'authentification, sélectionnez l'une des options suivantes :
    OptionDescription
    Ne pas signer Les demandes d'authentification SAML ne sont pas signées.
    Signer Les demandes d'authentification SAML sont signées.
  6. Dans le champ Chiffrer les assertions SAML, sélectionnez l'une des options suivantes :
    OptionDescription
    Ne pas chiffrer Les assertions SAML ne sont pas chiffrées.
    Chiffrer Les assertions SAML sont chiffrées.
    Remarque : L'option Chiffrer les assertions SAML est automatiquement activée lorsque vous cliquez sur le bouton Valider les paramètres SAML si les conditions suivantes sont remplies :
    • Vous avez sélectionné l'option Signer dans le champ Signer les demandes d'authentification.
    • Vous avez sélectionné l'option Ne pas chiffrer dans le champ Chiffrer les Assertions SAML.
  7. Facultatif : Entrez les valeurs Clé publique et Clé privée.
    • Clé publique : Spécifie le certificat SAML IdP au format X.509.
    • Clé privée : Spécifie la clé privée générée pour signer les demandes d'authentification SAML et/ou chiffrer les assertions SAML pour la Control Room.
    Remarque : Entrez les clés uniquement si vous avez besoin de demandes d'authentification SAML signées et/ou d'assertions SAML chiffrées.

    Reportez-vous à l'article suivant pour générer des paires de clés publiques et privées afin de signer les demandes d'authentification SAML et/ou de chiffrer les assertions SAML pour la Control Room : Comment générer les clés publiques et privées du certificat de signature pour signer la demande d'authentification SAML.

  8. Cliquez sur Valider les paramètres SAML.
    La Control Room se connectera via l'IdP SAML et sera redirigée vers la section Authentification de l'utilisateur de la Control Room sur la page des paramètres.
    Lorsque vous cliquez sur cette option, vous êtes redirigé vers une page web SAML 2.0 IdP où vous êtes invité à saisir vos informations d'identification SAML et d'autres données applicables.
  9. Connectez-vous à votre IdP SAML lorsque vous y êtes invité.
  10. Cliquez sur Enregistrer les modifications.
    L'authentification de la Control Room passe à l'authentification unique SAML.