为 SSO 配置 CoE Manager
- Updated: 2025/06/06
为 SSO 配置 CoE Manager
使用单点登录 (SSO) 选项,通过身份提供程序 (IdP) 使用安全断言标记语言 (SAML) 2.0 协议启用 CoE Manager 身份验证。
SAML SSO 登录设置
在配置 CoE Manager 之前,请确保您已完成以下要求:
- 使用以下提供的链接下载各自 CoE Manager 地区的服务提供商 (SP) 元数据:
- 使用上一步获取的元数据配置您的身份提供商 (IdP),并在 SAML 断言中提供以下信息:
- 电子邮件、名字、姓氏和 NameID
- 将用于 IdP 发起登录的 URL 重定向为中继状态参数
注: NameID 包含 IdP 中配置的唯一属性,如电子邮件地址。 通过该标识符,CoE Manager 可以将传入的 SAML 响应与其系统中的相应用户账户匹配,从而实现无缝登录,无需手动身份验证。 您可以在与您共享的 SAML 文件(XML 格式)中找到 NameID。 - 请向 Automation Anywhere 支持团队提供 IdP 元数据以及从 IdP 接收到的属性名称(电子邮件、姓氏和名字)。
登录工作流
使用以下任一方法配置 SAML SSO 登录:
-
服务提供商发起的登录: SP 发起的登录从 CoE Manager 开始,并在用户尝试通过 URL 访问应用程序时触发。 SP 发起的登录需要重定向到相应的 IdP,以确保在允许访问服务或任何特定对象之前进行正确的身份验证。 根据 SSO 配置为强制性还是可选性,登录工作流会有所不同。 有关详细信息,请参阅下文。
-
强制性 SSO: 启用 SSO 后,在 CoE Manager 登录页面输入您的电子邮件地址,然后单击下一步。
由于 CoE Manager 是一个多租户应用程序,您必须使用电子邮件地址来确定要重定向到的 IdP。 此电子邮件地址可以来自与您的组织相关的任何域。CoE Manager 将根据输入的电子邮件域重定向到 IdP。 例如,如果您的组织是 Acme Corp,您可能会将 acme.com 和 acmeent.com 作为相关域。 在这种情况下,任何带有 @acme.com 和 @acmeent.com 的地址都会在单击下一步时重定向到 IdP。 IdP 身份验证后,您将重定向回到 CoE Manager 页面。
- 可选 SSO: 在登录页面,输入电子邮件地址,然后单击下一步。 系统不会自动重定向到 IdP,而是会提示您输入密码或选择使用 SSO 进行登录的选项,这将发送到您的 IdP 进行身份验证。
注:- CoE Manager 支持通过 SSO 进行深度链接。 单击链接后,您应在 CoE Manager 登录页面输入您的电子邮件地址。 您将被重定向到 IdP 进行身份验证。 身份验证后,您将被重定向到最初请求的 URL。
- CoE Manager 在使用 SSO 成功登录应用程序后创建一个 Cookie。 这可确保后续登录 CoE Manager 时将绕过用户名和密码屏幕,并自动重定向到相应的 SSO 登录页面。 您也可以直接导航到 CoE Manager 登录页面来覆盖 Cookie,即 https://<region>.shibumi.com/shibumi/login。
- 首次使用 SSO 成功登录 CoE Manager 后,系统会自动创建一个用户账户。
- 要将 CoE Manager 与 SSO 集成,请提供客户端 ID 和客户端密钥以访问 GraphQL API。 请联系 Automation Anywhere 支持以获取它们。
-
强制性 SSO: 启用 SSO 后,在 CoE Manager 登录页面输入您的电子邮件地址,然后单击下一步。
- IdP 发起的登录: 通过 IdP 发起的登录,您可以直接通过 IdP 访问 CoE Manager(无需显示登录页面)。 当使用此方法启动 CoE Manager 时,您将直接进入您组织的 CoE Manager 主页或由 IdP 作为中继状态参数提供的 URL。
账户配置
CoE Manager 根据需要为启用 SSO 的组织提供用户账户。 账户在以下情况下生成:
- 用户在 CoE Manager 中的对象上被分配了一个角色。
- 用户受邀参与 CoE Manager 工作项目
- 用户首次尝试访问 CoE Manager
典型的账户配置顺序是由现有用户邀请新用户进入 CoE Manager 中的工作项。 这将触发其账户的自动配置。 如果不这样做,当用户在首次配置账户时尝试访问 CoE Manager 时,用户将无法访问任何工作项。 这可能会让人感到困惑。 因此,建议的最佳实践是确保在首次访问之前邀请用户参与工作项目。
注: 用户账户不会从 IdP 批量导入。 当有人加入或离开组织时,用户不会自动添加到或从 CoE Manager 实例中移除。
当用户通过 IdP 进行身份验证时,其名字和姓氏会在 CoE Manager 中更新,以反映 SAML 有效负载中提供的属性值(名字和姓氏与属性的映射是 CoE Manager 和 IdP 中 SAML 配置的一部分)。