Configurar o CoE Manager para SSO

Use a opção de login único (Single Sign-On, SSO) para habilitar a autenticação do CoE Manager por meio de um provedor de identidade (IdP) usando o protocolo Linguagem de marcação de asserção de segurança (Security Assertion Markup Language, SAML) 2.0.

Configuração de login de SSO do SAML

Antes de configurar o CoE Manager, cumpra os seguintes requisitos:

  1. Baixe os metadados do SP (Service Provider, provedor de serviços) para sua respectiva região do CoE Manager usando os links fornecidos abaixo:
  2. Configure seu IdP (Identity Provider, provedor de identidade) com os metadados obtidos na etapa anterior e, na afirmação SAML, forneça o seguinte:
    • E-mail, Nome, Sobrenome e NameID
    • Redirecione a URL para login iniciado por IdP como parâmetro de estado de relé
  3. Forneça os metadados do IdP e os nomes dos atributos recebidos do IdP (E-mail, Sobrenome e Nome) para a equipe de suporte do Automation Anywhere.

Fluxo de trabalho de início de sessão

O login de SSO do SAML pode ser configurado usando um dos seguintes métodos:

  • Início de sessão iniciado pelo prestador de serviços: O login iniciado por SP começa com o CoE Manager e é acionado quando um usuário tenta acessar a aplicação por meio de um URL. O login iniciado por SP requer um redirecionamento para o IdP apropriado para assegurar a autenticação adequada antes de ser concedido acesso ao serviço ou a qualquer objeto específico. Dependendo de o SSO estar configurado como obrigatório ou opcional, o seu fluxo de trabalho de login variará. Veja abaixo mais informações.
    • SSO obrigatório: após o SSO ser habilitado, digite seu endereço de e-mail na página de login do CoE Manager e clique em Próximo.

      Como o CoE Manager é um aplicativo multilocatário, você deve usar um endereço de e-mail para determinar o IdP para o qual será redirecionado. Esse endereço de e-mail pode ser de qualquer domínio associado à sua organização. O CoE Manager redirecionará para o IdP com base no domínio de e-mail inserido. Por exemplo, se sua organização for Acme Corp, você poderá ter acme.com e acmeent.com como domínios associados. Neste caso, qualquer endereço com @acme.com e @acmeent.com será redirecionado para o IdP quando você clicar em Avançar. Você será redirecionado de volta à página do CoE Manager após a autenticação do IdP.

    • SSO opcional: Na página de login, digite o endereço de e-mail e clique em Avançar. Em vez de ser automaticamente redirecionado para o IdP, você será solicitado a digitar uma senha ou selecionar a opção de login com o SSO, que será enviado ao seu IdP para autenticação.
    Nota:
    • O CoE Manager permite deep linking com SSO. Após clicar no link, digite seu endereço de e-mail na página de login do CoE Manager. Você é então redirecionado para o IdP para autenticação. Após a autenticação, você é redirecionado para o URL inicialmente solicitado.
    • O CoE Manager cria um cookie após o login com êxito no aplicativo usando SSO. Isso assegura que os logins subsequentes para o CoE Manager contornarão a tela de nome de usuário e senha e redirecionarão para a página de login apropriada do SSO automaticamente. Você também pode substituir o cookie navegando diretamente para a página de login do CoE Manager, ou seja, https://<região>.shibumi.com/shibumi/login.
    • Uma conta de usuário é criada automaticamente após o login com êxito no CoE Manager usando o SSO pela primeira vez.
  • Login iniciado por IdP: Com o login iniciado por IdP, você pode acessar o CoE Manager diretamente pelo IdP (sem que uma página de login seja exibida). Quando o CoE Manager é iniciado usando este método, a página será redirecionada diretamente à página inicial do CoE Manager de sua organização ou a um URL fornecido pelo IdP como parâmetro de estado do relé.

Provisionamento de conta

O CoE Manager fornece contas de usuário conforme necessário para organizações com SSO habilitado. As contas são geradas quando:

  • Um usuário é atribuído a um papel em um objeto no CoE Manager
  • Um usuário é convidado para um item de trabalho do CoE Manager
  • Um usuário tenta acessar o CoE Manager pela primeira vez

A sequência típica de aprovisionamento de contas seria um usuário ser convidado para um item de trabalho no CoE Manager por um usuário existente. Isto desencadeia o auto-provisionamento da sua conta. Se isto não for feito, quando o usuário tentar acessar o CoE Manager na primeira vez que a conta for provisionada, o usuário não terá acesso a quaisquer itens de trabalho. Esta pode ser uma experiência confusa. Dessa forma, é uma boa prática assegurar que os usuários sejam convidados a participar em um item de trabalho antes do primeiro acesso.

Nota: As contas de usuário não são importadas em massa do IdP. Os usuários não são automaticamente adicionados ou removidos da instância do CoE Manager quando uma pessoa ingressa ou deixa a organização.

Quando um usuário é autenticado por meio de um IdP, seu nome e sobrenome são atualizados no CoE Manager para refletir os valores dos atributos fornecidos na carga útil do SAML (o mapeamento do nome e sobrenome dos atributos faz parte da configuração do SAML no CoE Manager e no IdP).