UiPath Documentation
test-cloud
latest
false
Test Cloud 管理员指南
重要 :
新发布内容的本地化可能需要 1-2 周的时间才能完成。

联合身份凭据

Configure federated identity credentials for external OAuth applications in Test Cloud to authenticate using JWT tokens instead of client secrets.

联合身份凭据使外部 OAuth 应用程序使用由外部身份提供程序颁发的 JSON Web 令牌 (JWT) 而非客户端密码,通过 UiPath 进行身份验证。这样无需存储、轮换和保护用于计算机到计算机身份验证的客户端密码。

采用零信任安全模型的组织可以通过受信任的身份提供程序(例如 Microsoft Entra ID、AWS 或 Google Cloud)使用联合凭据对 OAuth 应用程序进行身份验证,而无需管理长期密码。

备注:

外部应用程序的联合凭据是一项仅限 API 使用的功能。目前没有用于管理联合凭据的用户界面。如需查看完整的 API 参考文档,请访问“外部客户端 — 联合凭据 API”章节。

联合身份凭据的工作原理

  1. 外部应用程序从配置的身份提供程序请求 JWT。
  2. 身份提供程序颁发包含已配置的颁发者、受众和主题声明的签名 JWT。
  3. 应用程序向 UiPath 令牌端点发送令牌请求,并将 JWT 提供为client_assertion参数。
  4. UiPath 从其 JWKS 端点获取身份提供程序的公钥,并验证 JWT 签名、颁发者、受众、主题和到期日。
  5. 验证成功后,UiPath 会颁发一个访问令牌,该令牌的作用域和生存期与客户端凭据流程相同。

凭据字段

每个联合凭据都定义了三个令牌验证参数:

字段描述
颁发者外部身份提供程序的 HTTPS URI。必须完全匹配 JWT iss声明。在您创建或更新凭据时,UiPath 将验证颁发者的 JWKS 端点是否可访问。
受众必须出现在 JWT aud声明中的单个字符串值。
主题一个必须与 JWT sub声明完全匹配的值。

约束

  • JWT 必须使用RS256签名算法。
  • 超过8 KB 的JWT 在验证之前会被拒绝。
  • 每个 OAuth 应用程序最多支持20 个联合凭据
  • 通过联合凭据颁发的访问令牌的生命周期为一小时
  • 要从多个主题或颁发者进行身份验证,请为每个组合注册一个单独的联合凭据。

限制

此版本不支持以下功能:

  • 除 RS256 以外的 JWT 算法。
  • 适用于颁发者、受众或主题值的通配符匹配。
  • 单个联合凭据中的多个受众值。
  • 联合身份凭据的工作原理
  • 凭据字段
  • 约束
  • 限制
  • 相关主题

此页面有帮助吗?

连接

需要帮助? 支持

想要了解详细内容? UiPath Academy

有问题? UiPath 论坛

保持更新