Configurar o Gestor do CoE para SSO

Use a opção de login único (Single Sign-On, SSO) para habilitar a autenticação do Gestor do CoE por meio de um provedor de identidade (IdP) usando o protocolo Linguagem de marcação de asserção de segurança (Security Assertion Markup Language, SAML) 2.0.

Configuração de login de SSO do SAML

Antes de configurar o Gestor do CoE, cumpra os seguintes requisitos:

  1. Baixe os metadados do SP (Service Provider, provedor de serviços) para sua respectiva região do Gestor do CoE usando os links fornecidos abaixo:
  2. Configure seu IdP (Identity Provider, provedor de identidade) com os metadados obtidos na etapa anterior e, na afirmação SAML, forneça o seguinte:
    • E-mail, Nome, Sobrenome e NameID
    • Redirecione a URL para login iniciado por IdP como parâmetro de estado de relé
  3. Forneça os metadados do IdP e os nomes dos atributos recebidos do IdP (E-mail, Sobrenome e Nome) para a equipe de suporte do Automation Anywhere.

Fluxo de trabalho de início de sessão

O login de SSO do SAML pode ser configurado usando um dos seguintes métodos:

  • Início de sessão iniciado pelo prestador de serviços: O login iniciado por SP começa com o Gestor do CoE e é acionado quando um usuário tenta acessar a aplicação por meio de um URL. O login iniciado por SP requer um redirecionamento para o IdP apropriado para assegurar a autenticação adequada antes de ser concedido acesso ao serviço ou a qualquer objeto específico. Dependendo de o SSO estar configurado como obrigatório ou opcional, o seu fluxo de trabalho de login variará. Veja abaixo mais informações.
    • SSO obrigatório: após o SSO ser habilitado, digite seu endereço de e-mail na página de login do Gestor do CoE e clique em Próximo.

      Como o Gestor do CoE é um aplicativo multilocatário, você deve usar um endereço de e-mail para determinar o IdP para o qual será redirecionado. Esse endereço de e-mail pode ser de qualquer domínio associado à sua organização. O Gestor do CoE redirecionará para o IdP com base no domínio de e-mail inserido. Por exemplo, se sua organização for Acme Corp, você poderá ter acme.com e acmeent.com como domínios associados. Neste caso, qualquer endereço com @acme.com e @acmeent.com será redirecionado para o IdP quando você clicar em Avançar. Você será redirecionado de volta à página do CoE Manager após a autenticação do IdP.

    • SSO opcional: Na página de login, digite o endereço de e-mail e clique em Avançar. Em vez de ser automaticamente redirecionado para o IdP, você será solicitado a digitar uma senha ou selecionar a opção de login com o SSO, que será enviado ao seu IdP para autenticação.
    Nota:
    • O Gestor do CoE permite deep linking com SSO. Após clicar no link, digite seu endereço de e-mail na página de login do Gestor do CoE. Você é então redirecionado para o IdP para autenticação. Após a autenticação, você é redirecionado para o URL inicialmente solicitado.
    • O Gestor do CoE cria um cookie após o login com êxito no aplicativo usando SSO. Isso assegura que os logins subsequentes para o Gestor do CoE contornarão a tela de nome de usuário e senha e redirecionarão para a página de login apropriada do SSO automaticamente. Você também pode substituir o cookie navegando diretamente para a página de login do CoE Manager, ou seja, https://<região>.shibumi.com/shibumi/login.
    • Uma conta de usuário é criada automaticamente após o login com êxito no Gestor do CoE usando o SSO pela primeira vez.
  • Login iniciado por IdP: Com o login iniciado por IdP, você pode acessar o Gestor do CoE diretamente pelo IdP (sem que uma página de login seja exibida). Quando o Gestor do CoE é iniciado usando este método, a página será redirecionada diretamente à página inicial do Gestor do CoE de sua organização ou a um URL fornecido pelo IdP como parâmetro de estado do relé.

Provisionamento de conta

O Gestor do CoE fornece contas de usuário conforme necessário para organizações com SSO habilitado. As contas são geradas quando:

  • Um usuário é atribuído a um papel em um objeto no Gestor do CoE
  • Um usuário é convidado para um item de trabalho do Gestor do CoE
  • Um usuário tenta acessar o Gestor do CoE pela primeira vez

A sequência típica de aprovisionamento de contas seria um usuário ser convidado para um item de trabalho no Gestor do CoE por um usuário existente. Isto desencadeia o auto-provisionamento da sua conta. Se isto não for feito, quando o usuário tentar acessar o Gestor do CoE na primeira vez que a conta for provisionada, o usuário não terá acesso a quaisquer itens de trabalho. Esta pode ser uma experiência confusa. Dessa forma, é uma boa prática assegurar que os usuários sejam convidados a participar em um item de trabalho antes do primeiro acesso.

Nota: As contas de usuário não são importadas em massa do IdP. Os usuários não são automaticamente adicionados ou removidos da instância do Gestor do CoE quando uma pessoa ingressa ou deixa a organização.

Quando um usuário é autenticado por meio de um IdP, seu nome e sobrenome são atualizados no Gestor do CoE para refletir os valores dos atributos fornecidos na carga útil do SAML (o mapeamento do nome e sobrenome dos atributos faz parte da configuração do SAML no Gestor do CoE e no IdP).