Configurer les connexions OAuth dans la Control Room

OAuth est un protocole d\'autorisation standard ouvert, sûr, efficace et facile à utiliser qui permet de protéger la vie privée des utilisateurs. Il définit la manière de déléguer ou d\'autoriser des applications à accéder à des ressources (comme des API distantes ou tierces, ou des données utilisateur) sans que l\'utilisateur n\'ait à fournir ses identifiants de nom d\'utilisateur et de mot de passe.

Remarque : La marque et le logo Salesforce, la marque et le logo Microsoft SharePoint, la marque et le logo Apigee, la marque et le logo ServiceNow, et la marque et le logo Genesys sont des marques commerciales ou des marques déposées de Salesforce, Inc., de Microsoft Corp., de Google LLC, de ServiceNow, Inc., et de Genesys, respectivement, qui ne sont utilisées qu\'à des fins d\'identification.

Pour plus d\'informations, consultez OAuth 2.0.

OAuth prend en charge un ensemble de méthodes prédéfinies appelées types d\'autorisations. Chaque type d\'octroi a des exigences et un processus spécifiques en fonction du scénario. Control Room OAuth Les connexions prennent en charge les types d\'octroi suivants :

  • Flux de code d\'autorisation
  • Flux de code d\'autorisation avec clé de vérification pour l\'échange de code (Proof Key for Code Exchange, PKCE)
  • Flux d\'identification du client
Remarque : Dans les scénarios où l\'autorisation et le consentement de l\'utilisateur ne sont pas requis ou un jeton est partagé entre plusieurs robots (tels que des exécutions de robot non assisté), veillez à utiliser un jeton partagé (option Enregistrer les informations d\'identification de connexion) pour exécuter des automatisations non assistées. Pour plus d\'informations, consultez Créer OAuth connexion.

Pour toute connexion OAuth externe créée dans l\'instance Cloud Control Room, tous les points de terminaison externes tels que l\'URL d\'autorisation et l\'URL de jeton doivent être accessibles depuis le Cloud Control Room via les règles du pare-feu du périmètre réseau. Configurez votre pare-feu réseau afin d\'inclure les adresses IP sortantes Automation Anywhere à la liste autorisée. Voir Adresses IP Control Room pour les intégrations externes.

Architecture OAuth

La gestion des connexions OAuth dans la Control Room vous permet de gérer les connexions et le cycle de vie des jetons de manière centralisée via la Control Room. En outre, vous pouvez stocker en toute sécurité les jetons nécessaires pour authentifier et autoriser l\'accès aux applications de l\'entreprise sans devoir les obtenir à chaque exécution d\'automatisation.Les connexions OAuth configurées dans la Control Room sortent vers les applications d\'entreprise correspondantes pour l\'authentification.

La Control Room prend en charge les options suivantes :
  • Créer et gérer des connexions pour chaque application SaaS utilisée dans les automatisations.
  • Gérer le cycle de vie des jetons partagés et des jetons spécifiques à l\'utilisateur.
  • Sécuriser le stockage des jetons à l\'aide des niveaux de chiffrement conformes aux normes du secteur.
  • Accorder des autorisations et un accès basé sur les rôles pour gérer et consommer les connexions OAuth dans les automatisations.

Exemple de flux de travail OAuth  : L\'exemple suivant décrit la configuration, la création et l\'utilisation de la connexion OAuth :

  1. Configuration d\'applications d\'entreprise
  2. Créer OAuth connexion
  3. Utiliser une connexion OAuth

Image montrant le flux de travail de la connexion OAuth

Rôles et responsabilités : Les administrateurs effectuent les tâches suivantes :
  1. Créer une connexion pour une application SaaS d\'entreprise.
  2. Saisir les détails d\'authentification tels que : l\'ID du client, le secret du client, l\'URL d\'autorisation, etc.
  3. (Facultatif) Enregistrer les informations d\'identification et tester la connexion.
  4. Inviter des rôles à utiliser cette connexion ou à s\'authentifier pour les Bot Runners non assistés.
  5. Enregistrer et gérer la connexion.

Voir : Créer OAuth connexion.

Les développeurs professionnels ou les développeurs citoyens effectuent les tâches suivantes :
Remarque : pour créer et exécuter une API robot, les développeurs professionnels ou citoyens doivent s\'authentifier auprès de l\'application d\'entreprise, excepté si l\'administrateur a enregistré les informations d\'identification de connexion des développeurs (utilisateurs) pour qu\'ils puissent utiliser la connexion.
  1. Créer une Tâche API ou un Robot de tâches.
  2. Ajouter une action d\'authentification pour les packages.
  3. Sélectionner le type d\'authentification (Connexion OAuth de la Control Room), le nom de la connexion et les informations relatives à l\'application d\'entreprise.

Voir : Utiliser une connexion OAuth.

Jetons OAuth

OAuth fournit les types de jetons suivants :

Jeton d\'accès
Longue chaîne de caractères qui fait office d\'identifiant utilisé pour accéder aux ressources protégées.
Jeton d\'actualisation
Jeton spécial à longue durée de vie utilisé pour obtenir un nouveau jeton d\'accès lorsque le jeton d\'accès existant expire. Le jeton d\'actualisation fournit un jeton d\'accès de courte durée au lieu de collecter les informations d\'identification de l\'utilisateur à chaque fois qu\'un nouveau jeton d\'accès est requis. La Control Room utilise le jeton d\'actualisation pour obtenir un nouveau jeton d\'accès auprès du serveur d\'autorisation (SA).

Lorsque vous utilisez OAuth, le jeton d\'accès et le jeton d\'actualisation sont renvoyés dans la même réponse lors du processus d\'échange de jetons appelé Réponse au jeton d\'accès.

Jetons OAuth dans la Control Room

Les types de jetons suivants sont utilisés dans la Control Room :
  • Partagée: le type de jeton partagé est généralement utilisé pour exécuter des automatisations non assistées où l\'authentification ou le consentement de l\'utilisateur n\'est pas nécessaire. Pour configurer et utiliser ce type de jeton dans la Control Room, vous devez configurer les options suivantes :
    1. Assurez-vous d\'avoir la Gestion des connexions pour créer des connexions OAuth.
    2. Dans la section Gérer > Connexions OAuth, sélectionnez l\'option Enregistrer les infos d\'identification de connexion dans l\'écran Essayer la connexion et enregistrer les informations d\'identification lors de la création d\'une connexion afin qu\'un jeton partagé soit généré. Voir Créer OAuth connexion.Connexion de jeton partagé
    3. Lorsqu\'un utilisateur utilise cette connexion dans ses robots, il doit sélectionner le type de jeton Partagé dans l\'option Choisir une connexion. Voir Utiliser une connexion OAuth.
  • Spécifique à l\'utilisateur : Le type de jeton spécifique à l\'utilisateur est généralement utilisé pour exécuter des automatisations assistées où l\'authentification ou le consentement de l\'utilisateur est requis. Pour configurer et utiliser ce type de jeton dans la Control Room, vous devez configurer les options suivantes :
    1. Assurez-vous d\'avoir la Gestion des connexions pour créer OAuth des connexions.
    2. Dans la section Gérer > Connexions OAuth, invitez des rôles à utiliser la connexion en sélectionnant les rôles appropriés dans l\'écran Inviter des rôles. Voir Créer OAuth connexion.

      Les utilisateurs qui font partie des rôles sont informés de la connexion attribuée s\'ils ont souscrit aux notifications d\'événements. Voir Notifications.

    3. L\'utilisateur qui utilise la connexion Spécifique à l\'utilisateur dans ses robots doit authentifier la connexion dans la section Mes paramètres > Connexions OAuth avant d\'utiliser la connexion. Voir Authentifier les connexions OAuth spécifiques à l\'utilisateur.
    4. Lorsque l\'utilisateur utilise cette connexion dans ses automatisations, il doit sélectionner le type de jeton Spécifique à l\'utilisateur dans l\'option Choisir une connexion. Voir Utiliser une connexion OAuth.

Avantages de l\'intégration d\'OAuth à la Control Room

Lorsque vous intégrez OAuth à la Control Room, vous :

  • fournissez un modèle sécurisé et standard pour que les automatisations s\'authentifient et autorisent les applications d\'entreprise.
  • éliminez la nécessité de saisir manuellement les informations d\'identification au moment de l\'exécution, ou de les coder en dur dans les automatisations ;
  • garantissez que les jetons d\'accès sont toujours valides et disponibles pour les automatisations au moment de l\'exécution en les obtenant avant qu\'ils n\'expirent ; les utilisateurs n\'ont alors pas besoin de passer par le processus d\'authentification pour les obtenir ;
  • évitez les tâches répétitives de configuration des paramètres OAuth pour chaque automatisation utilisant la connexion OAuth. Les connexions sont référencées dans les automatisations en utilisant le type de fournisseur d\'applications d\'entreprise.

Gestion du cycle de vie des jetons

Tous les jetons d\'accès ont un délai d\'expiration défini par le serveur d\'autorisation (SA). Les jetons sont actualisés à l\'aide du mécanisme d\'actualisation des jetons afin de prolonger la validité du jeton (par l\'émission d\'un nouveau jeton). Dans le cadre d\'une approche centralisée, la Control Room gère le cycle de vie des jetons et valide chaque jeton avant l\'exécution du robot.

Remarque : Si un jeton est en statut expiré, le Bot déclenche l\'action de connexion, un nouveau jeton est récupéré et le statut est mis à jour en Actif.