Automation Cloud

Neuestes

False

Automation Cloud-Administratorhandbuch

Letzte Aktualisierung 15. Apr. 2024

Authentifizierungseinstellungen

Die Automation Cloud™ bietet mehrere Optionen, damit Sie Ihren bevorzugten Authentifizierungstyp auswählen können.

Sie können die Authentifizierungseinstellungen über Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen anpassen.

Das Lokalkontenmodell (einladungsbasiert)

Lokale Benutzerkonten stellen das UiPath®-Konto des jeweiligen Benutzers dar und sind innerhalb der Automation Cloud™.

Das lokale Kontenmodell bietet einen in sich geschlossenen Ansatz zur Authentifizierung. Dazu ist eine Einladung eines Organisationsadministrators erforderlich, damit neue Benutzer beitreten können. Es eignet sich für Szenarien, in denen Sie die vollständige Kontrolle über die Verwaltung der Benutzer innerhalb Ihrer Plattform wünschen. Zu den verfügbaren Authentifizierungsmethoden gehören Google, Microsoft und die einfache Authentifizierung (Ihre eigene E-Mail-Adresse und Ihr Kennwort).

Hinweis: Dieses Modell ist mit dem Verzeichniskontenmodell kompatibel. Wenn Sie sich für das Verzeichnismodell entscheiden, können Sie auch weiterhin Benutzer in der Automation Cloud per Einladung erstellen.

In den Organisationseinstellungen haben Sie die volle Kontrolle über die Authentifizierungsmethoden, die den Benutzern zur Verfügung stehen:

Um die Verwendung aller verfügbaren Methoden (Google, Microsoft, Einfache Authentifizierung) für maximale Flexibilität zu ermöglichen, wählen Sie die Option Alle verfügbaren Methoden aus.
Um die Authentifizierung nur auf Google zu beschränken, wählen Sie die Option Google-Anmeldung aus.
Um die Authentifizierung nur auf Microsoft zu beschränken, wählen Sie die Option Microsoft-Anmeldung aus.

Authentifizierung mit Google, Microsoft, LinkedIn oder persönlichen E-Mail-Adressen

Dieses Modell gilt standardmäßig für jede neue Organisation. Es ist einfach zu verwenden, schnell einzurichten und für Ihre Benutzer bequem.

Der Prozess zum Erstellen eines Benutzers ist wie folgt:

Organisationsadministratoren müssen die E-Mail-Adressen der Benutzer einholen und damit die Benutzer zum Beitritt zu ihrer Organisation einladen. Sie können das in einem Massenauftrag tun.
Eingeladene Mitarbeiter nehmen die Einladung an, indem sie zu dem in der Einladungs-E-Mail angegebenen Link navigieren und ein UiPath-Benutzerkonto erstellen. Sie können:
- Verwenden Sie die für die Einladung genutzte E-Mail-Adresse als Benutzernamen und erstellen Sie ein Kennwort.
- Verwenden Sie ein Konto, das sie bereits haben: von Microsoft (persönliches, Azure AD-verknüpftes Konto oder Office 365-Konto), Google (persönliches oder Google Workspace-Konto) oder LinkedIn (persönliches Konto), um sich bei ihrem UiPath-Benutzerkonto anzumelden (oder sie zu verbinden).
  
  Die Möglichkeit, einen der oben genannten Anbieter zu verwenden, ist für Benutzer praktisch, die sich keine zusätzlichen Passwörter merken müssen. Mithilfe organisationseigener Konten in Azure AD oder Google Workspace können Sie Anmelderichtlinien für Organisationen erzwingen.

Authentifizierung nur mit Google oder Microsoft

In diesem Modell erstellen Sie Benutzer auf die gleiche Weise wie im einladungsbasierten Modell: Sie senden eine Einladung an die E-Mail-Adresse der Benutzer und diese können dann ein UiPath-Konto erstellen. Der Unterschied besteht darin, dass Sie die Anmeldung über eine der beiden Möglichkeiten erzwingen können:

Google oder
Microsoft

Anstatt also alle Anmeldeoptionen zu sehen, sehen Ihre Benutzer nur die von Ihnen ausgewählte.

Hier sehen Sie beispielsweise, was Ihre Benutzer sehen würden, wenn Sie die Anmeldung mit Microsoft vorschreiben würden:

Sie verwenden weiterhin ihr UiPath-Konto, um sich anzumelden. Das Konto muss die E-Mail-Adresse verwenden, an die die Einladung gesendet wurde.

Hinweis: Wenn Sie externe Anwendungen für Ihre Organisation autorisiert haben, bleiben Token, die bei der Verwendung anderer Anbieter generiert wurden, gültig, aber alle neuen Token folgen der erzwungenen Anmeldungsrichtlinie.

Das Verzeichniskontenmodell

Das Verzeichniskontenmodell basiert auf einem Verzeichnis eines Drittanbieters, das Sie in die Automation Cloud integrieren. Auf diese Weise können Sie das etablierte Identitätsschema Ihres Unternehmens in der Automation Cloud wiederverwenden.

Azure Active Directory: Wenn Sie ein Microsoft Azure- oder Office 365-Abonnement haben, können Sie Azure in die Automation Cloud integrieren, um Ihre vorhandenen Benutzer und Gruppen aus Azure Active Directory in der Automation Cloud zu verwenden.
SAML 2.0: Ermöglicht die Integration der Automation Cloud mit dem von Ihnen gewählten Identitätsanbieter (IdP). Auf diese Weise können sich Ihre Benutzer mit einmaligem Anmelden (SSO) über die Konten mit der Automation Cloud verbinden, die bereits bei Ihrem IdP registriert sind.

Verzeichnisbenutzerkonten werden in einem Verzeichnis erstellt und verwaltet, das sich außerhalb von Automation Cloud befindet. Verzeichniskonten werden nur in Automation Cloud referenziert und als Identitäten für Ihre Benutzer verwendet.

Hinweis:

Kompatibilität mit dem einladungsbasierten Modell

Sie können weiterhin alle Funktionen des einladungsbasierten Modells in Verbindung mit einem Verzeichnismodell verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung über Ihr integriertes Verzeichnis zu verlassen.

Azure Active Directory

Wichtig: Diese Funktion ist nur verfügbar, wenn Sie sich im Enterprise-Lizenzierungsplan befinden.

Die Integration mit Azure Active Directory (Azure AD) kann eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation bieten, die Compliance für alle internen Anwendungen ermöglicht, die von Ihren Mitarbeitern verwendet werden. Wenn Ihre Organisation Azure AD oder Office 365 verwendet, können Sie Ihre Automation Cloud-Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um die folgenden Vorteile zu erhalten:

Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen von Azure AD sind für jeden Automation Cloud-Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Azure AD-Benutzer im Automation Cloud-Organisationsverzeichnis eingeladen und verwaltet werden müssen.
- Sie können Single-Sign-On für Benutzer bereitstellen, deren Unternehmens-Benutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit UiPath-Benutzerkonten werden automatisch zu ihrem verbundenen Azure AD-Konto migriert.
Vereinfachte Anmeldung
- Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Automation Cloud-Organisation zugreifen zu können. Sie melden sich mit ihrem Azure AD-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden. Wenn der Benutzer bereits bei Azure AD oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Orchestrator-URL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Azure AD-Gruppen
- Mit Azure AD-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Maßstab zu verwalten. Sie müssen keine Berechtigungen mehr in Automation Cloud-Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Automation Cloud-Gruppe kombinieren, wenn Sie sie zusammen verwalten müssen.
- Den Zugriff auf die Automation Cloud zu prüfen, ist einfach. Nachdem Sie Berechtigungen in allen Automation Cloud-Diensten mithilfe Azure AD-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Azure AD-Gruppenmitgliedschaft in Verbindung stehen.

Hinweis:

Die Option API-Zugang (Admin > Mandant) ist bei Verwendung des Azure AD-Modells nicht verfügbar.

Wenn Sie Prozesse haben, die die Informationen aus dem Fenster API-Zugriff zum Authentifizieren von API-Aufrufen bei UiPath-Diensten verwenden, müssen Sie zur Autorisierung auf OAuth wechseln. In diesem Fall sind die Informationen des API-Zugriffs nicht mehr erforderlich.

Um OAuth zu verwenden, müssen Sie externe Anwendungen in der Automation Cloud registrieren.

SAML 2.0

Wichtig: Diese Funktion ist nur verfügbar, wenn Sie sich im Enterprise-Lizenzierungsplan befinden.

Mit diesem Modell können Sie die Automation Cloud mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:

Ihre Benutzer von der einmaligen Anmeldung (SSO) profitieren können und
Sie bestehende Konten von Ihrem Verzeichnis in der Automation Cloud aus verwalten können, ohne Identitäten neu erstellen zu müssen.

Die Automation Cloud kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet.

Vorteile

Automatisches Onboarding von Benutzern der Automation Cloud: Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich bei der Automation Cloud mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Dies bedeutet:
- Benutzer können sich bei Ihrer Automation Cloud-Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einstellungen werden sie Mitglieder der Benutzergruppe Everyone, wodurch sie standardmäßig die Rolle Benutzerorganisation erhalten. Zum Arbeiten in der Automation Cloud benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
- Wenn Sie den Zugriff auf einige Ihrer Benutzer einschränken müssen, können Sie die Gruppe der Benutzer, die auf die Automation Cloud zugreifen dürfen, in Ihrem Identitätsanbieter definieren.
Benutzerverwaltung: Sie können Benutzer durch direkte Zuweisung zu Automation Cloud-Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.

In der Regel verwalten Organisationsadministratoren lokale Konten über die Registerkarte „Administrator“ > „ Konten und Gruppen “ > „ Benutzer “. SAML-Benutzer sind jedoch Verzeichniskonten in der Automation Cloud, sodass sie auf dieser Seite nicht sichtbar sind.

Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen Diensten der Automation Cloud für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
Attributzuordnung: Beim Verwenden des UiPath Automation Hub beispielsweise können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter in die Automation Cloud zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.

Funktionsweise der Authentifizierung

Weitere Informationen zu Cloud-Identität und -Authentifizierung Die Identität Ihrer Benutzer wird in der Automation Cloud, genauer gesagt vom Cloud Portal, basierend auf Ihrem Organisationsverzeichnis überprüft. Von hier aus können sie basierend auf Benutzerberechtigungen, die über Rollen und Gruppen zugewiesen sind, auf alle Ihre UiPath Cloud-Dienste mit nur einem Satz Anmeldeinformationen zugreifen. Das folgende Diagramm beschreibt die beiden Identitätsmodelle, wie sie mit den verschiedenen Benutzeridentitäten funktionieren und wie ein Verbund dies tun kann erreicht werden.Im einladungsbasierten Modell wird die Identitätsverwaltung für einen Benutzerverweis im Organisationsverzeichnis durchgeführt, während Benutzer die Kontrolle über ihre Konten behalten. Wenn jedoch eine Integration mit Azure Active Directory (Azure AD) besteht, reicht ein Blick auf den Inhalt Ihres Mandantenverzeichnisses in Azure AD, wie unten mit einem orangefarbenen Pfeil dargestellt ist.

Modellvergleich

Im Folgenden sind einige Faktoren aufgelistet, die Sie bei der Wahl der Authentifizierungseinstellung für Ihre Automation Cloud-Organisation berücksichtigen sollten:

Faktor	Einladungsbasiert	Einladungsbasiert mit erzwungener Option	Azure Active Directory	SAML
Community-Lizenz	Verfügbar	Verfügbar	Nicht verfügbar	Nicht verfügbar
Enterprise-Lizenz	Verfügbar	Verfügbar	Verfügbar	Verfügbar
Unterstützung für lokale Konten (UiPath-Konto)	Verfügbar	Verfügbar	Verfügbar	Verfügbar
Unterstützung für Verzeichniskonten	Nicht verfügbar	Nicht verfügbar	Verfügbar	Verfügbar
Verwaltung von Benutzerkonten	Automation Cloud-Organisationsadministrator	Automation Cloud-Organisationsadministrator	Azure AD-Administrator	Administrator Ihres Identitätsanbieters
Benutzerzugriffsverwaltung	Automation Cloud-Organisationsadministrator	Automation Cloud-Organisationsadministrator	Die Automation Cloud-Benutzerverwaltung kann vollständig an Azure AD delegiert werden	Automation Cloud-Organisationsadministrator
Einmaliges Anmelden (Single Sign-On, SSO)	Verfügbar (mit Google, Microsoft und LinkedIn)	Verfügbar (mit Google oder Microsoft)	Verfügbar (mit Azure AD-Konto)	Verfügbar (mit IdP-Konto)
Erzwingen von komplexen Kennwörtern	Nicht verfügbar	Verfügbar (falls vom IdP erzwungen)	Verfügbar (wenn von AAD erzwungen)	Verfügbar (falls vom IdP erzwungen)
Mehrstufige Authentifizierung	Nicht verfügbar	Verfügbar (falls vom IdP erzwungen)	Verfügbar (wenn von AAD erzwungen)	Verfügbar (falls vom IdP erzwungen)
Die bestehenden Identitäten Ihres Unternehmens wiederverwenden	Nicht verfügbar	Nicht verfügbar	Verfügbar	Verfügbar
Massenhaftes Benutzer-Onboarding	Nicht verfügbar (alle Benutzer müssen eingeladen werden)	Nicht verfügbar (alle Benutzer müssen eingeladen werden)	Verfügbar (Just-in-Time-Kontobereitstellung)	Verfügbar (Just-in-Time-Kontobereitstellung)
Zugriff für Mitarbeitende außerhalb Ihres Unternehmens	Verfügbar (durch Einladung)	Verfügbar (durch Einladung für ein Konto bei einem erzwungenen IdP)	Verfügbar	Verfügbar (sofern vom IdP zugelassen)
Einschränken des Zugriffs von innerhalb des Netzwerks	Nicht verfügbar	Nicht verfügbar	Verfügbar	Verfügbar (falls vom IdP erzwungen)
Einschränken des Zugriffs auf vertrauenswürdige Geräte	Nicht verfügbar	Nicht verfügbar	Verfügbar	Verfügbar (falls vom IdP erzwungen)

Wiederverwendung Ihres Identitätsverzeichnisses

Wenn Ihr Unternehmen bereits ein Verzeichnis zur Verwaltung von Mitarbeiterkonten verwendet, kann Ihnen die folgende Tabelle dabei helfen, die für Sie günstigste Authentifizierungsoption zu finden.

Faktor	Einladungsbasiert	Einladungsbasiert mit erzwungener Option	Azure Active Directory	SAML
Verwenden Sie bereits Google Workspace als Identitätsanbieter?	Benutzer benötigen ein UiPath-Konto, aber SSO ist auch möglich	Benutzer benötigen ein UiPath Konto, aber erzwungene SSO bei Google möglich	Keine Angabe	Keine Angabe
Verwenden Sie bereits Office 365 als Identitätsanbieter?	Benutzer benötigen ein UiPath-Konto	Benutzer benötigen ein UiPath-Konto	Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren	Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren
Verwenden Sie bereits Azure AD als Identitätsanbieter?	Benutzer benötigen ein UiPath-Konto	Benutzer benötigen ein UiPath-Konto	Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren	wir empfehlen die Verwendung der AAD-Integration anstelle der SAML-Integration
Verwenden Sie bereits einen anderen Identitätsanbieter?	Benutzer benötigen ein UiPath-Konto	Benutzer benötigen ein UiPath-Konto	Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren	Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren

Auswählen des Authentifizierungsmodells für Ihre Organisation

Wechseln Sie zu Admin > Ihre Organisation > Sicherheit.
Wählen Sie auf der Registerkarte Authentifizierungseinstellungen die Option für das Authentifizierungsmodell aus, das Sie verwenden möchten.
Hinweis: Das einladungsbasierte Modell (Option Alle verfügbaren Methoden in der Abbildung oben) ist standardmäßig für jede neue Organisation festgelegt.
Tipp:
Wenn Sie von einem Verzeichnismodell zurück zu einem lokalen Kontomodell wechseln, müssen Sie einige Dinge tun, bevor Sie das Authentifizierungsmodell ändern:
1. Melden Sie sich als Organisationsadministrator mit einem UiPath-Konto an. Die Optionen sind andernfalls nicht aktiv.
2. Wenn Sie beim Wechsel zum Azure AD-Modell UiPath-Benutzerkonten entfernt haben, laden Sie alle Benutzer zur Organisation ein, sodass Benutzer erneut für ihre UiPath-Konten erstellt werden.
3. Weisen Sie Benutzer Gruppen zu und weisen Sie bei Bedarf einzelne Rollen zu.
Bei Verzeichnisintegrationen befolgen Sie die Anweisungen für die ausgewählte Option, bevor Sie zum nächsten Schritt wechseln: SAML | Azure Active Directory
Klicken Sie auf Speichern, um die Authentifizierungseinstellungen für Ihre Organisation auf die ausgewählte Option zu ändern.