订阅

UiPath Automation Suite

UiPath Automation Suite 指南

设置 Azure AD 集成

概述


如果您的组织使用的是 Azure Active Directory (Azure AD) 或 Office 365,则可以将 Automation Suite 组织直接连接到 Azure AD 租户,以查看 UiPath 云环境中的现有用户帐户。
The Azure AD integration allows you to continue leveraging local user model, if you want, while bootstrapping your organization with the additional benefits of using Azure AD. For more information about the differences, see Authority over accounts and groups.

如果您已决定为组织使用 Azure AD,请按照此页面上的说明设置集成。

👍

无停机时间

Azure AD 集成经过精心设计,您可以逐步激活和推出,而不会影响现有用户的生产。

 

先决条件


要设置 Azure AD 集成,您需要:

  • Automation Suite 和 Azure AD 中的管理员权限(如果您在 Azure 中没有管理员权限,请与 Azure 管理员协作完成设置流程);
  • 一个使用与 Azure AD 用户相同的电子邮件地址的组织管理员 UiPath 帐户;Azure AD 用户在 Azure 中不需要管理员权限;
  • UiPath Studio 和 Assistant 2020.10.3 版或更高版本;
  • UiPath Studio and Assistant to use the recommended deployment.
  • if you previously used local user accounts, make sure that all your Azure AD users have the email address in the Mail field; having the email address in the User Principle Name (UPN) field alone is not enough. The Azure AD integration links directory user accounts with the local user accounts if the email addresses match. This allows users to retain permissions when they transition from signing in with their local user account to the Azure AD directory user account.

 

配置 Azure 以进行集成


权限:您必须是 Azure 中的管理员才能执行此部分中的任务。以下 Azure 管理员角色具有必需的权限:全局管理员、云端应用程序管理员或应用程序管理员。

要配置 Azure 租户,请在 Azure 门户中执行以下操作:

  1. 为 Automation Suite 创建应用程序注册
    During registration, select Accounts in this organizational directory only and set the Redirect URI to https://{baseURL}/identity_/signin-oidc
    如果您已经为 Automation Suite 注册了应用程序,则无需创建新应用程序,但请确保按照上述说明进行设置。
  2. 打开应用程序的“概述”页面,复制应用程序(客户端)ID目录(租户)ID,并保存以备后用:
498498
  1. 转到应用程序的“身份验证”页面:
    a. 在“重定向 URIs”下,单击“添加 URI”以添加新条目。
    b. Add https://{baseURL}/portal_/testconnection to the Redirect URIs list.
    c.选中底部的“ID 令牌”复选框。
    d. 单击顶部的“保存”
13161316
  1. 转到“令牌配置”页面。
  2. 选择“添加可选声明”
  3. 在“令牌类型”下,选择“ ID”
  4. 选中“family_name”、“given_name”、“upn”的复选框,将其添加为可选声明:
598598
  1. 转到“API 权限”页面。
  2. 单击“添加权限”,然后从“Microsoft Graph”类别添加以下委派权限:
    • OpenId 权限 - 电子邮件、OpenID、配置文件;
    • 组成员权限 - GroupMember.Read.All;
    • 用户权限 - User.Read、User.Read.All。

The above API permissions allow the app (Automation Suite) to read all user profiles and groups in the organization.

910910
  1. 选中“授予管理员同意”复选框。
    管理员代表租户 Active Directory 中的所有用户表示同意。这允许应用程序访问所有用户的数据,而不会提示用户同意。
    有关权限和同意的更多信息,请参阅 Azure AD 文档

  2. 转到“证书和密码”页面。

  3. 创建新的客户端密码

  4. 复制客户端密码并保存以备后用

10711071
  1. 与 Automation Suite 组织管理员共享目录(租户)ID应用程序(客户端)ID客户端密码的值,以便他们继续配置 Automation Suite。

 

将集成部署到 Automation Suite


Azure 安装完成后,您可以为集成做准备,激活它,然后清理旧帐户。
流程分为多个阶段,因此不会给您的用户造成中断。

权限:您必须是 Automation Suite 中的组织管理员才能执行此部分中的任务。

清理非活动用户

通过激活集成将 Automation Suite 连接到 Azure AD 时,系统会链接具有匹配电子邮件地址的帐户,以便 Azure AD 帐户具有与匹配的 UiPath 帐户相同的权限。
For account linking to work properly, make sure that all your Azure AD users have the email address added in the Mail field in Azure; having the email address in the User Principle Name (UPN) field alone is not enough.

如果您的组织实行电子邮件回收,这意味着使用过的电子邮件地址日后可能会分配给新用户,这可能会增加访问的风险。
If inactive email addresses are not reused in your organization, you can skip this step.

更多信息...

Let's say you once had and employee whose email address was `[email protected]` and this employee had a UiPath account where he was an organization administrator, but has since left the company and the email address was deactivated, but the user was not removed from Automation Suite.
When a new employee who is also named John Doe joins your company, he receives the same `[email protected]` email address. In such a case, when accounts are liked for the Automation Suite integration with Azure AD, John Doe inherits organization administrator privileges.


为防止发生此类情况,请确保删除 Automation Suite 中所有不再活动的用户,然后再继续下一步。

激活 Azure AD 集成

在开始之前

  • Make sure that Azure configuration is complete.
  • 从 Azure 管理员处获取在 Azure 中注册 Automation Suite 应用程序时要使用的目录(租户)ID应用程序(客户端)ID客户端密码的值。

要激活 Azure AD 集成,请在 Automation Suite 中执行以下操作:

  1. Go to Admin > Security Settings tab.
  2. 在“外部提供程序”部分中,单击 Azure Active Directory 下的“配置”。
920920

“配置 Azure Active Directory”面板将在窗口右侧打开。

  1. 使用从 Azure 管理员处收到的信息填写这些字段。
  2. 选中复选框。
    这是必需项,因为在保存更改后,匹配的帐户会自动关联。
  3. 单击“测试连接”
  4. 出现提示时,使用您的 Azure AD 帐户登录。
    如登录成功,则表示集成已正确配置。万一失败,请让您的 Azure 管理员检查 Azure 的配置是否正确,然后重试。
  5. 单击“保存”
    现在已为您的组织激活集成。
  6. 转到“管理员” > “组织设置”,然后复制您组织的 URL。
  7. 注销。
  8. Navigate to the URL for your organization (https://{baseURL}/orgID/) and sign in using your Azure AD account by clicking Continue with Enterprise SSO.

Now you can work with the users and groups in the linked Azure AD tenant. You can find Azure AD users and groups using search, for example to add a user to an Automation Suite group.
Directory accounts and groups are not listed in either the Users or Groups pages under Admin > Accounts & Groups, you can only find them through search.

集成生效后,对我的用户而言会有哪些变化?

用户可以立即使用其现有的 Azure AD 帐户登录,并享有与 UiPath 帐户相同的权限。

如果您尚未删除他们的 UiPath 用户帐户,则用户也可以继续使用其 UiPath 帐户登录,这两种方法均有效。

要使用 Azure AD 帐户,他们必须导航到特定于您组织的 Automation Suite URL,其格式为 https://{baseURL}/myOrganization/,或在主登录页面上选择“企业 SSO”。
用户可能会注意到的另一个变化是,如果他们已经通过使用其他应用程序登录到 Azure AD 帐户,则在导航到此 URL 时会自动登录。


每个帐户都有哪些角色?

Azure AD 帐户:当用户使用 Azure AD 帐户登录时,他们将立即受益于其在 UiPath 帐户中拥有的所有角色,以及在 UiPath 中分配给 Azure AD 帐户或他们所属 Azure AD 组的任何角色。这些角色可以来自 Automation Suite 组中包含的 Azure AD 用户或 Azure AD 组,也可以来自将角色分配给 Azure AD 用户或 Azure AD 组的其他服务(如 Orchestrator)。

UiPath 帐户:在 Azure AD 集成处于活动状态时,对于 UiPath 帐户而言,取决于:

  • 如果用户没有至少使用其 Azure AD 帐户登录过一次,则他们仅拥有 UiPath 帐户的角色。
  • 如果他们以前至少使用 Azure AD 帐户登录过一次,则 UiPath 帐户还拥有 Azure AD 用户在 UiPath 中拥有的任何角色,无论是显式分配的角色,还是继承自 Automation Suite 组成员资格的角色。UiPath 帐户无法从已分配给 Azure AD 帐户所属 Azure AD 组的任何角色中受益。

是否需要为 Azure AD 帐户重新申请权限?

不需要。因为匹配帐户是自动关联的,所以在使用 Azure AD 帐户登录时,其现有权限也适用。但是,如果您决定停止使用 UiPath 帐户,请事先确保已为 Azure AD 中的用户和组设置适当的权限。


测试 Azure AD 集成

要检查集成是否在 Automation Suite 中运行,请以组织管理员身份使用 Azure AD 帐户登录,并尝试在任何相关页面上搜索 Azure AD 用户和组,例如 Automation Suite 中的“编辑组”面板(“管理员” > “帐户和组” > “组” > “编辑”)。

  • If you can search for users and groups that originate in Azure AD, it means the integration is running. You can tell the type of user or group by its icon.

📘

备注:

Azure AD 中的用户和组不会在“用户”页面或“组”页面中列出,只能通过搜索找到。

  • If you encounter an error while trying to search for users, as shown in the example below, this indicates that there is something wrong with the configuration in Azure. Reach out to your Azure administrator and ask them to check that Azure is set up as described in Configuring Azure for the Integration.

👍

检查:

请您的 Azure 管理员确认他们在配置 Azure 期间是否选中了“授予管理员同意”复选框。这是导致集成失败的常见原因。

 

完成向 Azure AD 的转换


集成程序活动后,我们建议您按照本节中的说明进行操作,以确保将用户创建和组分配迁移到 Azure AD。通过这种方式,您可以在现有身份和访问管理基础架构的基础上进行构建,以便更轻松地对 Automation Suite 组织的资源进行监管和访问管理控制。

配置权限和机器人的组(可选)

您可以通过此操作确保 Azure 管理员也可以使用与集成之前设置的 Automation Suite 和其他服务的权限和机器人配置相同的权限和配置为新用户注册。为此,如果组具有已在 Automation Suite 中分配的必要角色,他们可以将任何新用户添加到 Azure AD 组中。

您可以将 Automation Suite 中的现有用户组映射到 Azure AD 中的新组或现有组。您可以通过多种方式执行此操作,具体取决于您在 Azure AD 中使用组的方式:

  • 如果在 Automation Suite 中具有相同角色的用户已经在 Azure AD 中相同的组内,则组织管理员可以将这些 Azure AD 组添加至 Automation Suite 中这些用户已经加入的用户组。这可确保用户拥有相同的权限和机器人设置。
  • 否则,Azure 管理员可以在 Azure AD 中创建与 Automation Suite 中的组匹配的新组,并添加与 Automation Suite 用户组中相同的用户。然后,组织管理员可以将新的 Azure AD 组添加到现有用户组中,以确保相同的用户具有相同的角色。

In either case, make sure you check for any roles that were assigned to accounts. If possible, eliminate the explicit role assignments by adding these users to groups that have the roles that were explicitly assigned.

示例:假设 Automation Suite 中的 Administrators 组包括用户 Roger、Tom 和 Jerry。这些用户也属于 Azure AD 中名为 admins 的组。组织管理员可以将 admins 组添加到 Automation Suite 中的 Administrators 组。这样,Roger、Tom 和 Jerry 作为 Azure AD 中 admins 组的成员,都可以从 Administrators 组的角色中受益。
由于管理员现在属于 Administrators 组,因此当您需要加入新的管理员时,Azure 管理员可以将此新用户添加到 Azure 中的 admins 组中,从而在 Automation Suite 中向他们授予管理权限,而无需在 Automation Suite 中进行任何更改。

Changes to Azure AD group assignments apply in Automation Suite when the user logs in with their Azure AD account, or if already logged in, within an hour.

迁移现有用户

初始登录:要应用分配给 Azure AD 用户和组的权限,用户必须至少登录一次。我们建议,在集成运行后,您可以通知所有用户注销 UiPath 帐户并使用其 Azure AD 帐户重新登录。他们可以通过以下方式使用 Azure Ad 帐户登录:

  • 导航到特定于组织的 URL,在这种情况下,您必须先选择登录类型;
    The URL must include the organization ID and end in a forward slash, such as https://{baseURL}/orgID/
  • 可以在主登录页面上选择“企业 SSO”
    Make sure you provide your organization-specific URL for Automation Suite to all your users. Only organization administrators can see this information in Automation Suite.

迁移的用户将自通过直接分配获得的权限与在 Azure AD 组中获得的权限相融合中获益。

为用户配置 Studio 和 Assistant:要设置这些产品以连接到 Azure AD 帐户,请执行以下操作:

  1. 在 Assistant 中,打开“首选项”,然后选择“Orchestrator 连接”选项卡。
  2. 单击“注销”
  3. 对于连接类型,请选择“服务 URL”
  4. 在“服务 URL”字段中,添加特定于组织的 URL
    The URL must include the organization ID and end in a forward slash, such as https://{baseURL}/orgID/. Otherwise the connection fails saying that the user does not belong to any organization.
  5. 使用 Azure AD 帐户重新登录。

Permissions from Azure AD groups don't influence the automations from classic folders or the robots that are connected using the machine key. To operate under group-based permissions, configure the automations in modern folders and use the Service URL option to connect to UiPath Assistant or Studio.

停止使用本地帐户(可选)

尽管这是可选的,但我们建议您执行此操作,以最大程度地发挥 Automation Suite 和 Azure AD 之间完全集成后在核心合规性和效率方面带来的优势。

After all users have been migrated, you can remove the users which are based on personal local accounts from the Users tab, so that your users won't be able to sign in using their UiPath accounts anymore. You can find these accounts based on their user icons.

您还可以清理 UiPath 服务(如 Orchestrator 服务)中的个人权限,并从 Automation Suite 组中删除个人用户,这样权限就仅依赖于 Azure AD 的组成员身份。

最佳实践


以下这些实用建议介绍了设置 Azure AD 集成后可以使用的高级功能。

限制对 Automation Suite 的访问

Because the integration with Azure AD is performed at the level of the Azure tenant, by default all Azure AD users can access the Automation Suite organization. The first time an Azure AD user signs in to Automation Suite, they are automatically included in the Automation Suite group Everyone, which grants them the User organization-level role.

If you want to only allow certain users to access your Automation Suite organization, you can activate user assignment for the Automation Suite app registration in Azure. This way, users need to be explicitly assigned to the app (Automation Suite) to be able to access it. For instructions, see this article in the Azure AD documentation.

限制对可信网络或设备的访问

If you want to only allow your users to access Automation Suite from a trusted network or a trusted device, you can use the Azure AD Conditional Access feature.

Azure AD 中 Automation Suite 组的监管

If you have created groups in Azure AD for easy Automation Suite onboarding directly from Azure AD, as described in Configure groups for permissions and robots, you can use the advanced security options of Privileged Identity Management (PIM) for these groups to govern access requests for Automation Suite groups.

2 个月前更新


设置 Azure AD 集成


建议的编辑仅限用于 API 参考页面

您只能建议对 Markdown 正文内容进行编辑,而不能建议对 API 规范进行编辑。