Abonnieren

UiPath Automation Cloud™

Leitfaden für UiPath Automation Cloud™

Informationen zum aktuellen Status der Automation Cloud und unserer Cloud-Dienste finden Sie auf der Seite Status.

Einrichten der Azure-AD-Integration

This feature is only available if you are on the Enterprise licensing plan.

Überblick


Wenn Ihre Organisation Azure Active Directory (Azure AD) oder Office 365 verwendet, können Sie Ihre Automation Cloud-Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um vorhandene Benutzerkonten und Gruppen in Ihrer UiPath Cloud-Umgebung anzuzeigen.
The Azure AD integration allows you to continue leveraging the invitation-based user management model, if you want, while bootstrapping your organization with the additional benefits of using the Azure AD model. For more information about these models, see About Users.

Wenn Ihre Organisation sich für die Verwendung des Azure AD-Modells entschieden hat, befolgen Sie die Anweisungen auf dieser Seite, um die Integration einzurichten.

👍

Keine Ausfallzeit

Die Azure AD-Integration ist so konzipiert, dass die Aktivierung und Einführung ohne Unterbrechung der Produktion für Ihre vorhandenen Benutzer erfolgen kann.

 

Voraussetzungen


Um die Azure AD-Integration einzurichten, benötigen Sie:

  • an Automation Cloud organization with an Enterprise license
  • Administratorberechtigungen sowohl in der Automation Cloud als auch in Azure AD (können unterschiedliche Personen sein);
  • der Organisationsadministrator benötigt ein Azure AD-Konto, das dieselbe E-Mail-Adresse wie das lokale Konto der Automation Cloud verwendet; das Azure AD-Konto wird nur für das Testen der Integration benötigt, so dass der Azure AD-Benutzer keine Administratorberechtigungen in Azure benötigt;
  • UiPath Studio und UiPath Assistant ab Version 2020.10.3;
  • UiPath Studio and UiPath Assistant to use the recommended deployment.

 

Konfigurieren von Azure für die Integration


Die Automation Cloud erfordert eine App-Registrierung in Ihrem Azure AD-Mandanten und eine Konfiguration, damit Sie Ihre Active Directory-Mitglieder anzeigen können, um die Benutzeridentität herzustellen. Die App-Registrierungsdetails sind auch erforderlich, um die Automation Cloud später mit Ihrem Azure AD-Mandanten zu verbinden.

Berechtigungen: Sie müssen ein Administrator in Azure sein, um die Schritte in diesem Abschnitt ausführen zu können. Die folgenden Administratorrollen verfügen über die erforderlichen Berechtigungen: Global Administrator, Cloud Application Administrator und Application Administrator.

Es gibt zwei Möglichkeiten, Ihren Azure-Mandanten für die Integration einzurichten:

  • Befolgen Sie die folgenden Anweisungen, um eine App-Registrierung für die Automation Cloud für die Integration manuell zu konfigurieren.
  • Use the UiPath Azure AD scripts that we created for this task, which are available on GitHub: The configAzureADconnection.ps1 script performs all the actions described in this section and returns the app registration details. Then you can run the testAzureADappRegistration.ps1 script to make sure the app registration was successful.

Um Ihren Azure-Mandanten manuell zu konfigurieren, gehen Sie im Azure-Portal wie folgt vor:

  1. Erstellen Sie eine App-Registrierung für die Automation Cloud.
    Wählen Sie während der Registrierung Nur Konten in diesem Organisationsverzeichnis aus und legen Sie den Umleitungs-URI auf https://cloud.uipath.com/identity_/signin-oidc fest.
    Wenn Sie bereits über eine registrierte Anwendung für die Automation Cloud verfügen, muss keine neue erstellt werden. Stellen Sie aber sicher, dass sie wie oben beschrieben eingerichtet ist.
  2. Öffnen Sie die Seite Übersicht der Anwendung, kopieren Sie die Anwendungs-(Client-)ID und die Verzeichnis-(Mandanten-)ID und speichern Sie sie für die spätere Verwendung:
498
  1. Gehen Sie zur Seite Authentifizierung Ihrer App:
    a. Klicken Sie unter Umleitungs-URIs auf URI hinzufügen, um einen neuen Eintrag hinzuzufügen.
    b. Fügen Sie https://cloud.uipath.com/portal_/testconnection zur Liste Umleitungs-URIs hinzu.
    c. Aktivieren Sie unten das Kontrollkästchen ID-Token.
    d. Klicken Sie oben auf Speichern.
1316
  1. Gehen Sie zur Seite Tokenkonfiguration.
  2. Wählen Sie Optionalen Anspruch hinzufügen aus.
  3. Wählen Sie unter Tokentyp die Option ID aus.
  4. Aktivieren Sie die Kontrollkästchen für family_name, given_name und upn, um sie als optionale Ansprüche hinzuzufügen:
598
  1. Gehen Sie zur Seite API-Berechtigungen.
  2. Klicken Sie auf Berechtigung hinzufügen und fügen Sie die folgenden delegierten Berechtigungen aus der Kategorie Microsoft Graph hinzu:
    • OpenId-Berechtigungen – E-Mail, OpenID, Profil
    • Berechtigungen für Gruppenmitglieder – GroupMember.Read.All;
    • Benutzerberechtigungen – User.Read, User.ReadBasic.All.

The above API permissions allow the app (Automation Cloud) to read all user profiles and groups in the organization.

1695
  1. Setzen Sie einen Haken im Kontrollkästchen Administratorzustimmung gewähren.
    Der Administrator stimmt im Namen aller Benutzer im Active Directory des Mandanten zu. Dies ermöglicht der Anwendung den Zugriff auf die Daten aller Benutzer, ohne dass die Benutzer aufgefordert werden, zuzustimmen.
    Weitere Informationen zu Berechtigungen und Zustimmung finden Sie in der Dokumentation von Azure AD.

  2. Gehen Sie zur Seite Zertifikate und Geheimschlüssel.

  3. Erstellen Sie einen neuen geheimen Clientschlüssel.

  4. Kopieren Sie den Wert des geheimen Clientschlüssels und speichern Sie ihn für die spätere Verwendung.

1071
  1. Teilen Sie die Werte Verzeichnis-(Mandanten-)ID, Anwendungs-(Client-)ID und Geheimer Clientschlüssel mit dem Automation Cloud-Organisationsadministrator, damit sie mit der Konfiguration der Automation Cloud fortfahren können.

 

Bereitstellen der Integration in der Automation Cloud


Nachdem das Azure-Setup abgeschlossen ist, können Sie sich auf die Integration vorbereiten, sie aktivieren und alte Konten bereinigen.
Der Prozess erfolgt schrittweise, sodass es zu keinen Unterbrechungen für Ihre Benutzer kommt.

Berechtigungen: Sie müssen ein Organisationsadministrator in der Automation Cloud sein, um die Schritte in diesem Abschnitt auszuführen.

Inaktive Benutzer bereinigen

If inactive email addresses are not reused in your organization, also known as email address recycling, you can skip this step.

When you connect Automation Cloud to Azure AD by activating the integration, accounts with matching email addresses are linked so that the Azure AD account benefits from the same permissions as the matching Automation Cloud account (local account).
Wenn Ihre Organisation E-Mail-Recycling betreibt, d. h., dass eine E-Mail-Adresse, die in der Vergangenheit verwendet wurde, in der Zukunft einem neuen Benutzer zugewiesen werden kann, könnte dies zu einem erhöhten Zugriffsrisiko führen.

Um solche Situationen zu verhindern, entfernen Sie alle Benutzer, die nicht mehr aktiv sind, aus der Automation Cloud, bevor Sie mit dem nächsten Schritt fortfahren.

Beispiel

Let's say you once had and employee whose email address was john.doe@example.com and this employee had a local account where he was an organization administrator, but has since left the company and the email address was deactivated, but the user was not removed from Automation Cloud.
When a new employee who is also named John Doe joins your company, he receives the same john.doe@example.com email address. In such a case, when accounts are linked for the Automation Cloud integration with Azure AD, John Doe inherits organization administrator privileges.

Die Azure AD-Integration aktivieren

Bevor Sie beginnen

  • Make sure that Azure configuration is complete.
  • Holen Sie die Verzeichnis-(Mandanten-)ID, die Anwendungs-(Client-)ID und die Werte der geheimen Clientschlüssel für die Automation Cloud-App-Registrierung in Azure von Ihrem Azure-Administrator ein.

Um die Azure AD-Integration zu aktivieren, gehen Sie in der Automation Cloud wie folgt vor:

  1. Go to Admin and, if not already selected, select the organization at the top of the left pane.
  2. Select Security.
  3. Wählen Sie auf der Registerkarte Authentifizierungseinstellungen die Option Benutzer können sich mit Azure Active Directory (AAD)-SSO anmelden.
768
  1. Füllen Sie die Felder mit den Informationen aus, die Sie von Ihrem Azure-Administrator erhalten haben.
  2. Aktivieren Sie das Kontrollkästchen.
    Dies ist erforderlich, da nach dem Speichern Ihrer Änderungen übereinstimmende Konten automatisch verknüpft werden.
  3. Klicken Sie auf Testverbindung.
  4. Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihrem Azure AD-Konto an.
    Eine erfolgreiche Anmeldung zeigt an, dass die Integration korrekt konfiguriert wurde. Falls dies fehlschlägt, bitten Sie Ihren Azure-Administrator, zu überprüfen, ob Azure korrekt konfiguriert ist, und versuchen Sie es dann erneut.
  5. Klicken Sie auf Speichern (Save).
    Die Integration ist jetzt für Ihre Organisation aktiv.
  6. Gehen Sie zu Administrator > Organisationseinstellungen und notieren Sie die URL für Ihre Organisation.
  7. Melden Sie sich ab.
  8. Navigieren Sie zur Organisations-URL (https://cloud.uipath.com/orgID/) und melden Sie sich mit Ihrem Azure AD-Konto an.

Jetzt können Sie mit den Benutzern und Gruppen auf dem Azure AD des verknüpften Mandanten arbeiten. Sie können Azure AD-Benutzer und -Gruppen mithilfe der Suche finden, um beispielsweise einen Benutzer zu einer Automation Cloud-Gruppe hinzuzufügen.
Directory accounts and groups are not listed in either the Users or Groups pages under Admin > Accounts & Groups, you can only find them through search.

Was ändert sich für meine Benutzer, sobald die Integration aktiv ist?

Benutzer können sich sofort mit ihrem bestehenden Azure AD-Konto anmelden und von denselben Berechtigungen profitieren, die sie in ihrem lokalen Konto hatten.

Wenn Sie ihre UiPath-Benutzerkonten nicht entfernt haben, können sich die Benutzer auch weiterhin mit ihrem lokalen Konto anmelden; beide Methoden funktionieren.

Um ihr Azure AD-Konto verwenden können, müssen sie Ihre organisationsspezifische Automation Cloud-URL im Format https:/cloud.uipath.com/myOrganization/ aufrufen oder Enterprise-SSO auf der Hauptanmeldeseite auswählen.
Eine weitere Änderung besteht darin, dass Benutzer beim Aufrufen dieser URL automatisch angemeldet werden, wenn sie bereits durch die Nutzung einer anderen Anwendung bei einem Azure AD-Konto angemeldet sind.


Welche Rollen haben die jeweiligen Konten?

Azure AD-Konto: Wenn sich ein Benutzer mit dem Azure AD-Konto anmeldet, profitiert er sofort von allen Rollen, die er auf dem lokalen Konto hatte, sowie von allen Rollen, die innerhalb von UiPath dem Azure AD-Konto oder den Azure AD-Gruppen zugewiesen wurden, zu denen er gehört. Diese Rollen können vom Azure AD-Benutzer oder der Azure AD-Gruppe stammen, die in Automation Cloud-Gruppen einbezogen ist, oder von anderen Diensten wie dem Orchestrator, in denen dem Azure AD-Benutzer oder der Azure AD-Gruppe Rollen zugewiesen wurden.

Lokales Konto: Wenn die Azure AD-Integration aktiv ist, kommt es bei lokalen Konten auf Folgendes an:

  • Wenn sich der Benutzer nicht mindestens einmal mit dem Azure AD-Konto angemeldet hat, hat er nur die Rollen des lokalen Kontos.
  • Wenn sie sich zuvor mindestens einmal mit dem Azure AD-Konto angemeldet haben, hat das lokale Konto auch alle Rollen, die der Azure AD-Benutzer innerhalb von UiPath hat, entweder explizit zugewiesen oder von Automation Cloud-Gruppenmitgliedschaften übernommen. Das lokale Konto erhält keine der Rollen, die Azure AD-Gruppen zugewiesen sind, in denen sich das Azure AD-Konto befindet.

Muss ich die Berechtigungen für die Azure AD-Konten erneut verteilen?

Nein. Da übereinstimmende Konten automatisch verknüpft werden, gelten die vorhandenen Berechtigungen auch bei Anmeldung mit dem Azure AD-Konto. Wenn Sie sich jedoch entscheiden, die Verwendung von lokalen Konten einzustellen, stellen Sie sicher, dass zuvor die entsprechenden Berechtigungen für Benutzer und Gruppen von Azure AD festgelegt wurden.


Die Azure AD-Integration testen

Um zu überprüfen, ob die Integration über die Automation Cloud ausgeführt wird, melden Sie sich als Organisationsadministrator mit einem Azure AD-Konto an und versuchen Sie, auf den zugehörigen Seiten nach Azure AD-Benutzern und -Gruppen zu suchen, z. B. im Panel Gruppe bearbeiten in der Automation Cloud (Administrator > Konten und Gruppen > Gruppen > Bearbeiten).

  • If you can search for users and groups that originate in Azure AD, it means the integration is running. You can tell the type of user or group by its icon.

📘

Hinweis:

Benutzer und Gruppen aus Azure AD sind nicht auf den Seiten Benutzer oder Gruppen aufgeführt, sie sind nur über die Suche abrufbar.

  • If you encounter an error while trying to search for users, as shown in the example below, this indicates that there is something wrong with the configuration in Azure. Reach out to your Azure administrator and ask them to check that Azure is set up as described in Configuring Azure for the Integration.

👍

Wichtiges Kontrollkästchen:

Bitten Sie Ihren Azure-Administrator zu bestätigen, dass er das Kontrollkästchen Administratorzustimmung gewähren während der Azure-Konfiguration aktiviert hat. Dies ist eine häufige Ursache, warum die Integration fehlschlägt.

Fehlersuche und ‑behebung

Azure administrators can use the UiPath Azure AD test script testAzureADappRegistration.ps1, which is available on GitHub, to find and fix any configuration issues when the cause is not clear, as in the case below:

860

 

Abschließen des Übergangs zu Azure AD


Sobald die Integration aktiv ist, empfehlen wir Ihnen, die Anweisungen in diesem Abschnitt zu befolgen, um sicherzustellen, dass Benutzererstellung und Gruppenzuordnung an Azure AD weitergegeben werden. Auf diese Weise können Sie auf Ihrer vorhandenen Identitäts- und Zugriffsverwaltungsinfrastruktur aufbauen, um einfachere Governance und Zugriffsverwaltung über Ihre Automation Cloud-Ressourcen zu erhalten.

Gruppen für Berechtigungen und Roboter konfigurieren (optional)

Sie können dies tun, um sicherzustellen, dass der Azure-Administrator auch neue Benutzer mit den gleichen Berechtigungen und Roboterkonfigurationen für die Automation Cloud und andere Dienste ausstatten kann, die Sie vor der Integration eingerichtet haben. Dazu können sie einer Azure AD-Gruppe neue Benutzer hinzufügen, wenn der Gruppe bereits in der Automation Cloud die erforderlichen Rollen zugewiesen sind.

Sie können Ihre vorhandenen Benutzergruppen von der Automation Cloud neuen oder vorhandenen Gruppen in Azure AD zuordnen. Je nachdem, wie Sie Gruppen in Azure AD verwenden, können Sie dies auf mehrere Arten tun:

  • Wenn Benutzer mit denselben Rollen in der Automation Cloud bereits in denselben Gruppen in Azure AD sind, kann der Organisationsadministrator diese Azure AD-Gruppen zu den Automation Cloud-Benutzergruppen hinzufügen, in denen sich diese Benutzer befanden. Dadurch wird sichergestellt, dass Benutzer die gleichen Berechtigungen und das Roboter-Setup beibehalten.
  • Andernfalls kann der Azure-Administrator neue Gruppen in Azure AD erstellen, die den Gruppen in der Automation Cloud entsprechen und dieselben Benutzer hinzufügen, die sich in den Automation Cloud-Benutzergruppen befinden. Dann kann der Organisationsadministrator den vorhandenen Benutzergruppen die neuen Azure AD-Gruppen hinzufügen, um sicherzustellen, dass dieselben Benutzer die gleichen Rollen haben.

In either case, make sure you check for any roles that were explicitly assigned to users. If possible, eliminate the explicit role assignments by adding these users to groups that have the roles that were explicitly assigned.

Beispiel: Angenommen, die Gruppe Administrators in der Automation Cloud umfasst die Benutzer „Roger“, „Tom“ und „Jerry“. Dieselben Benutzer befinden sich auch in einer Gruppe in Azure AD namens admins. Der Organisationsadministrator kann die Gruppe admins zur Gruppe Administrators in der Automation Cloud hinzufügen. So profitieren auch Roger, Tom und Jerry als Mitglieder der Azure AD-Gruppe admins von den Rollen der Gruppe Administrators.
Da admins jetzt Teil der Gruppe Administrators ist, kann der Azure-Administrator den neuen Benutzer zur Gruppe admins in Azure hinzufügen, wodurch er ihnen Administrator-Berechtigungen in der Automation Cloud gewährt, ohne Änderungen in der Automation Cloud vornehmen zu müssen.

Changes to Azure AD group assignments apply in Automation Cloud when the user logs in with their Azure AD account, or if already logged in, within an hour.

Vorhandene Benutzer migrieren

Erstanmeldung: Damit die Berechtigungen gelten, die Azure AD-Benutzern und -Gruppen zugewiesen sind, müssen sich Benutzer mindestens einmal anmelden. Wir empfehlen Ihnen, nach der Ausführung der Integration alle Ihre Benutzer aufzufordern, sich von ihrem lokalen Konto abzumelden und sich mit ihrem Azure AD-Konto erneut anzumelden. Sie können sich mit ihrem Azure AD-Konto anmelden, indem sie:

  • die organisationsspezifische URL aufrufen – in diesem Fall ist der Anmeldetyp bereits ausgewählt;
    The URL must include the organization ID and end in a forward slash, such as https://cloud.uipath.com/orgID/.
  • durch Auswählen von Enterprise SSO auf der Haupt-Anmeldeseite
    Make sure you provide your organization-specific URL for Automation Cloud to all your users. Only organization administrators can see this information in Automation Cloud.

Migrierte Benutzer profitieren davon, dass Berechtigungen aus ihren Azure AD-Gruppen und zugleich die, die ihnen direkt zugewiesen wurden, zur Verfügung stehen.

Konfigurieren von Studio und des UiPath Assistant für Benutzer: So richten Sie diese Produkte für eine Verbindung mit Azure AD-Konten ein:

  1. Öffnen Sie im UiPath Assistant Einstellungen und wählen Sie die Registerkarte Orchestrator-Verbindung aus.
  2. Klicken Sie auf Abmelden.
  3. Wählen Sie für den Verbindungstyp Dienst-URL aus.
  4. Fügen Sie im Feld Dienst-URL die organisationsspezifische URL hinzu.
    Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B. https://cloud.uipath.com/orgID/. Andernfalls schlägt die Verbindung mit dem Hinweis fehl, der Benutzer gehöre keiner Organisation an.
  5. Melden Sie sich mit dem Azure AD-Konto wieder an.

Permissions from Azure AD groups don't influence the automations from classic folders or the robots that are connected using the machine key. To operate under group-based permissions, configure the automations in modern folders and use the Service URL option to connect to UiPath Assistant or Studio.

Verwendung von UiPath-Konten einstellen (optional)

Although optional, we recommend that you remove the use of local accounts to maximize the core compliance and efficiency benefits of the complete integration between Automation Cloud and Azure AD.

🚧

Entfernen Sie nur Konten von Nicht-Administratoren. Sie müssen mindestens ein lokales Konto mit Organisationsadministrator behalten, um die Authentifizierungseinstellungen in der Zukunft ändern zu können.

After all users have been migrated, you can remove the non-admin users from the Users tab, so that your users won't be able to sign in using their local account anymore. You can find these accounts based on their user icons.

Sie können auch einzelne Berechtigungen in den UiPath Cloud-Diensten bereinigen, z. B. den Orchestrator-Dienst, und einzelne Benutzer aus Automation Cloud-Gruppen entfernen, sodass Berechtigungen ausschließlich von der Azure AD-Gruppenmitgliedschaft abhängen.

Ausnahmen

Wenn Sie sich entscheiden, die Verwendung von lokalen Konten (UiPath-Konten) einzustellen, beachten Sie Folgendes:

  • Verwalten von Authentifizierungseinstellungen in der Automation Cloud: Um zu einer anderen Authentifizierungseinstellung zu wechseln oder den Anwendungs-Geheimschlüssel für Azure AD zu aktualisieren, ist ein UiPath-Benutzerkonto erforderlich, das in der Organisation eine Administratorrolle hat. Die Optionen zu den Authentifizierungseinstellungen sind andernfalls nicht aktiv.
  • API-Zugang: Wenn Sie Prozesse eingerichtet haben, die auf die Informationen angewiesen sind, die Sie durch Klicken auf API-Zugang (Administrator > Seite Mandant) abrufen, um API-Aufrufe an einen Dienst zu tätigen, dann benötigen Sie ein lokales Konto, da die Schaltfläche nicht verfügbar ist, wenn Sie mit einem Azure AD-Konto angemeldet sind.
    Alternatively, you can switch to using OAuth for authorization, in which case the information from API Access is no longer required.

Best Practices


Es folgen einige nützliche Hinweise über erweiterte Funktionen, die Sie jetzt nutzen können, nachdem Sie die Azure AD-Integration eingerichtet haben.

Zugriff auf die Automation Cloud einschränken

Because the integration with Azure AD is performed at the level of the Azure tenant, by default all Azure AD users can access Automation Cloud. The first time an Azure AD user signs in to Automation Cloud, they are automatically included in the Automation Cloud group Everyone, which grants them the User organization-level role.

If you want to only allow certain users to access Automation Cloud, you can activate user assignment for the Automation Cloud app registration in Azure. This way, users need to be explicitly assigned to the app (Automation Cloud) to be able to access it. For instructions, see this article in the Azure AD documentation.

Zugriff auf vertrauenswürdige Netzwerke oder Geräte einschränken

If you want to only allow your users to access Automation Cloud from a trusted network or a trusted device, you can use the Azure AD Conditional Access feature.

Governance für Automation Cloud-Gruppen in Azure AD

If you have created groups in Azure AD for easy Automation Cloud onboarding directly from Azure AD, as described in Configure Groups for Permissions and Robots, you can use the advanced security options of Privileged Identity Management (PIM) for these groups to govern access requests for Automation Cloud groups.

Updated 4 days ago


Einrichten der Azure-AD-Integration


Auf API-Referenzseiten sind Änderungsvorschläge beschränkt

Sie können nur Änderungen an dem Textkörperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.