Control Room 的用户身份验证从 Control Room 数据库切换为 SAML 单点登录 (SSO)。

先决条件

注:
  • SAML 配置一旦建立,就无法更改为其他身份验证方法。
  • 使用 SAML 进行身份验证时,请使用 IdP 的网络访问功能来限制 Control Room 对特定允许 IP 地址的访问。 在切换到使用 SAML 进行身份验证之前,请确保从 Control Room 网络设置中移除所有已配置的允许 IP 地址。 有关更多信息,请参阅 允许IP 地址

确保您以管理员身份登录到 Control Room

在为 Control Room 设置身份验证之前,可能需要完成一些设置任务(例如在新系统上引入凭据和导入用户)。 如果您导入用户,则还必须在 Automation Anywhere 凭据和匹配的记录中包含匹配的用户 ID、电子邮件地址、名字和姓氏,以便在 SAML 集成后登录。 例如,如果使用 Okta 作为 SSO,则用户必须在 Automation Anywhere 和 Okta 中都具有匹配的 ID、电子邮件地址、名字和姓氏,才能在 SAML 集成后登录。

您应该准备好所需的用户信息和证书。 典型的用户信息包括用户 ID、名字和姓氏以及电子邮件地址。

注: 在配置 Control Room 之前,您必须验证 SAML IdP 设置。 请参阅 将 Control Room 配置为服务提供商

切换到 SAML 身份验证后,任何具有非 SAML IdP 格式 ID 的用户都将无法登录。 您需要验证在此类用户的私有工作区中是否存在任何已导出的 bots,以便为其新的 SAML SSO 启用用户账户导入 bots

此配置大部分依赖于第三方应用程序来创建必要的元数据。 如果您需要基于特定提供程序的更具体的配置信息,请参阅配置 Okta 单点登录认证.

要将 Control Room 切换到 SAML SSO,请按照以下步骤操作。

过程

  1. 导航到管理 > 设置 > 用户身份验证
  2. 选择使用 SAML 选项。
    注: 默认选择使用 Control Room 数据库选项。
  3. SAML 元数据字段中,输入来自 SAML IdP 设置的元数据。 以下为 SAML2 响应的示例:
    <saml:AuthnStatement AuthnInstant="2022--10-24T13:41:04Z" SessionIndex="_dc2ab824-cb14-40d3-8e7f-d823193fd6a2"> <saml:AuthnContext> <saml:AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:Password </saml:AuthnContextClassRef> </saml:AuthnContext> </saml:AuthnStatement>
    注: SAML 元数据格式因您的 IdP 而异。
  4. Control Room 的唯一实体 ID(服务提供程序)字段中,输入实体 ID。
    注: 唯一实体 ID 在 SAML IdP 中被定义用于识别 Control Room
  5. 签署身份验证请求字段中,选择以下选项之一:
    选项描述
    不签名 SAML 身份验证请求未签名。
    签名 SAML 身份验证请求已签名。
  6. 加密 SAML 断言字段中,选择以下选项之一:
    选项描述
    不加密 不加密 SAML 断言。
    加密 加密 SAML 断言。
    注: 当满足以下条件时,单击验证 SAML 设置按钮时,加密 SAML 断言选项会自动启用:
    • 您已经在签名身份验证请求字段中选择了签名选项。
    • 您已经在加密 SAML 断言字段中选择了不加密选项。
  7. 可选: 输入公钥私钥的值。
    • 公钥: 指定 SAML IdP 的 X.509 格式证书。
    • 私钥: 指定为 Control Room 生成的私钥,用于签署 SAML 身份验证请求和/或加密 SAML 断言。
    注: 仅在您需要签名的 SAML 身份验证请求和/或加密的 SAML 断言时输入密钥。

    请参阅以下文章,了解如何生成用于签署 SAML 身份验证请求和/或加密 SAML 断言的公钥和私钥对,适用于 Control RoomHow to generate signing certificate public and private keys to sign SAML authentication request

  8. 单击验证 SAML 设置
    Control Room 将通过 SAML IdP 登录并跳转回设置页面上的 Control Room 用户身份验证部分。
    单击此选项后,您将跳转到 SAML 2.0 IdP 网页,届时系统会提示您输入 SAML SSO 用户凭据及其他适用数据。
  9. 根据提示登录您的 SAML IdP。
  10. 单击保存更改
    Control Room 身份验证已切换为 SAML 单点登录。