- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Aktivieren Ihrer Enterprise-Lizenz
- Upgrades und Downgrades von Lizenzen
- Anfordern einer Diensttestversion
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Fehlersuche und ‑behebung
- Migrieren zur Automation Cloud™
Automation Cloud-Administratorhandbuch
Grundlegendes zu Authentifizierungsmodellen
Lokale Benutzerkonten repräsentieren das Konto eines jeden Benutzers und sind intern in der UiPath Platform.
Das lokale Kontenmodell bietet einen in sich geschlossenen Ansatz zur Authentifizierung. Dazu ist eine Einladung eines Organisationsadministrators erforderlich, damit neue Benutzer beitreten können. Es eignet sich für Szenarien, in denen Sie die vollständige Kontrolle über die Verwaltung der Benutzer innerhalb Ihrer Plattform wünschen.
In den Organisationseinstellungen haben Sie die volle Kontrolle über die Authentifizierungsmethoden, die den Benutzern zur Verfügung stehen:
-
Um die Verwendung aller verfügbaren Methoden (Google, Microsoft, Einfache Authentifizierung) für maximale Flexibilität zu ermöglichen, wählen Sie die Option Alle verfügbaren Methoden aus.
-
Um die Authentifizierung nur auf Google zu beschränken, wählen Sie die Option Google-Anmeldung aus.
-
Um die Authentifizierung nur auf Microsoft zu beschränken, wählen Sie die Option Microsoft-Anmeldung aus.
Dieses Modell gilt standardmäßig für jede neue Organisation. Es ist einfach zu verwenden, schnell einzurichten und für Ihre Benutzer bequem.
Der Prozess zum Erstellen eines Benutzers ist wie folgt:
- Organisationsadministratoren müssen die E-Mail-Adressen der Benutzer einholen und damit die Benutzer zum Beitritt zu ihrer Organisation einladen. Sie können das in einem Massenauftrag tun.
-
Eingeladene Mitarbeiter nehmen die Einladung an, indem sie zu dem in der Einladungs-E-Mail angegebenen Link navigieren und ein UiPath-Benutzerkonto erstellen. Sie können:
- Verwenden Sie die für die Einladung genutzte E-Mail-Adresse als Benutzernamen und erstellen Sie ein Kennwort.
-
Verwenden Sie ein Konto, das sie bereits haben: von Microsoft (persönliches, Azure AD-verknüpftes Konto oder Office 365-Konto), Google (persönliches oder Google Workspace-Konto) oder LinkedIn (persönliches Konto), um sich bei ihrem UiPath-Benutzerkonto anzumelden (oder sie zu verbinden).
Die Möglichkeit, einen der oben genannten Anbieter zu verwenden, ist für Benutzer praktisch, die sich keine zusätzlichen Passwörter merken müssen. Mithilfe organisationseigener Konten in Azure AD oder Google Workspace können Sie Anmelderichtlinien für Organisationen erzwingen.
In diesem Modell erstellen Sie Benutzer auf die gleiche Weise wie im einladungsbasierten Modell: Sie senden eine Einladung an die E-Mail-Adresse der Benutzer und diese können dann ein UiPath-Konto erstellen. Der Unterschied besteht darin, dass Sie die Anmeldung über eine der beiden Möglichkeiten erzwingen können:
- Google oder
- Microsoft
Anstatt also alle Anmeldeoptionen zu sehen, sehen Ihre Benutzer nur die von Ihnen ausgewählte.
Hier sehen Sie beispielsweise, was Ihre Benutzer sehen würden, wenn Sie die Anmeldung mit Microsoft vorschreiben würden:
Sie verwenden weiterhin ihr UiPath-Konto, um sich anzumelden. Das Konto muss die E-Mail-Adresse verwenden, an die die Einladung gesendet wurde.
Das Verzeichniskontenmodell basiert auf einem Verzeichnis eines Drittanbieters, das Sie in die UiPath-Plattform integrieren. Auf diese Weise können Sie das etablierte Identitätsschema Ihres Unternehmens in UiPath wiederverwenden.
- Azure Active Directory: Wenn Sie ein Microsoft Azure- oder Office 365-Abonnement haben, können Sie Azure in die UiPath-Plattform integrieren, um Ihre vorhandenen Benutzer und Gruppen aus Azure Active Directory innerhalb von UiPath zu verwenden.
- SAML 2.0: Ermöglicht die Integration der UiPath-Plattform mit dem von Ihnen gewählten Identitätsanbieter (IdP). Auf diese Weise können sich Ihre Benutzer mit einmaligem Anmelden (SSO) über die Konten mit UiPath> verbinden, die bereits bei Ihrem IdP registriert sind.
Verzeichnisbenutzerkonten werden in einem Verzeichnis erstellt und verwaltet, das sich außerhalb von UiPath befindet. Verzeichniskonten werden nur in der UiPath Platform referenziert und als Identitäten für Ihre Benutzer verwendet.
Kompatibilität mit dem einladungsbasierten Modell
Sie können weiterhin alle Funktionen des einladungsbasierten Modells in Verbindung mit einem Verzeichnismodell verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung über Ihr integriertes Verzeichnis zu verlassen.
Die Integration mit Azure Active Directory (Azure AD) kann eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation bieten, die Compliance für alle internen Anwendungen ermöglicht, die von Ihren Mitarbeitern verwendet werden. Wenn Ihre Organisation Azure AD oder Office 365 verwendet, können Sie Ihre Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
-
Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen von Azure AD sind für jeden UiPath Plattformdienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Azure AD-Benutzer im Organisationsverzeichnis eingeladen und verwaltet werden müssen.
- Sie können Single-Sign-On für Benutzer bereitstellen, deren Unternehmens-Benutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit lokalen UiPath-Konten werden automatisch zu ihrem verbundenen Azure AD-Konto migriert.
-
Vereinfachte Anmeldung
- Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Organisation zugreifen zu können. Sie melden sich mit ihrem Azure AD-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden. Wenn der Benutzer bereits bei Azure AD oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Orchestrator-URL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
-
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Azure AD-Gruppen
- Mit Azure AD-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Maßstab zu verwalten. Sie müssen keine Berechtigungen mehr in Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Gruppe kombinieren, wenn Sie sie zusammen verwalten müssen.
-
Es ist einfach, den Zugriff zu prüfen. Nachdem Sie Berechtigungen in allen UiPath Plattformdiensten mithilfe von Azure AD-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Azure AD-Gruppenmitgliedschaft in Verbindung stehen.
Die Option API-Zugang (Admin > Mandant) ist bei Verwendung des Azure AD-Modells nicht verfügbar.
Wenn Sie Prozesse haben, die die Informationen aus dem Fenster API-Zugriff zum Authentifizieren von API-Aufrufen bei UiPath-Diensten verwenden, müssen Sie zur Autorisierung auf OAuth wechseln. In diesem Fall sind die Informationen des API-Zugriffs nicht mehr erforderlich.
Um OAuth zu verwenden, müssen Sie externe Anwendungen bei der UiPath Platform registrieren .
Mit diesem Modell können Sie die UiPath Platform mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von der einmaligen Anmeldung (SSO) profitieren können und
- Sie bestehende Konten von Ihrem Verzeichnis in der UiPath Platform aus verwalten können, ohne Identitäten neu erstellen zu müssen.
Die UiPath Platform kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet.
Vorteile
-
Automatisches Onboarding von Benutzern der UiPath Platform: Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich bei der UiPath-Organisation mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Dies bedeutet:
- Benutzer können sich bei Ihrer UIPath-Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einstellungen werden sie Mitglieder der Benutzergruppe „ Everyone “, wodurch sie standardmäßig die Rolle Benutzerorganisation erhalten. Zum Arbeiten in der UiPath Platform benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
-
Wenn Sie den Zugriff auf einige Ihrer Benutzer einschränken müssen, können Sie die Gruppe der Benutzer, die auf die UiPath Platform zugreifen dürfen, in Ihrem Identitätsanbieter definieren.
-
Benutzerverwaltung: Sie können Benutzer durch direkte Zuweisung zu Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.
In der Regel verwalten Organisationsadministratoren lokale Konten über die Registerkarte „Administrator“ > „ Konten und Gruppen “ > „ Benutzer “. SAML-Benutzer sind jedoch Verzeichniskonten im UiPath-Ökosystem, sodass sie auf dieser Seite nicht sichtbar sind.
Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen UiPath-Diensten für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
- Attributzuordnung: Beim Verwenden des UiPath Automation Hub beispielsweise können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter auf die UiPath Platform zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.
Die Identität Ihrer Benutzer wird basierend auf Ihrem Organisationsverzeichnis überprüft. Von hier aus können sie basierend auf Benutzerberechtigungen, die über Rollen und Gruppen zugewiesen sind, auf alle Ihre UiPath Cloud-Dienste mit nur einem Satz Anmeldeinformationen zugreifen. Das folgende Diagramm beschreibt die beiden Identitätsmodelle, wie sie mit den verschiedenen Benutzeridentitäten funktionieren und wie ein Verbund dies ermöglichen kann erreicht werden.Im einladungsbasierten Modell wird die Identitätsverwaltung für einen Benutzerverweis im Organisationsverzeichnis durchgeführt, während Benutzer die Kontrolle über ihre Konten behalten. Wenn jedoch eine Integration mit Azure Active Directory (Azure AD) besteht, reicht ein Blick auf den Inhalt Ihres Mandantenverzeichnisses in Azure AD, wie unten mit einem orangefarbenen Pfeil dargestellt ist.
Im Folgenden sind einige Faktoren aufgelistet, die Sie bei der Wahl der Authentifizierungseinstellung für Ihre Organisation berücksichtigen sollten:
Faktor |
Einladungsbasiert |
Einladungsbasiert mit erzwungener Option |
Azure Active Directory |
SAML |
---|---|---|---|---|
Community-Lizenz |
Verfügbar |
Verfügbar |
Nicht verfügbar |
Nicht verfügbar |
Enterprise-Lizenz |
Verfügbar |
Verfügbar |
Verfügbar |
Verfügbar |
Unterstützung für lokale Konten (UiPath-Konto) |
Verfügbar |
Verfügbar |
Verfügbar |
Verfügbar |
Unterstützung für Verzeichniskonten |
Nicht verfügbar |
Nicht verfügbar |
Verfügbar |
Verfügbar |
Verwaltung von Benutzerkonten |
Automation Cloud-Organisationsadministrator |
Automation Cloud-Organisationsadministrator |
Azure AD-Administrator |
Administrator Ihres Identitätsanbieters |
Benutzerzugriffsverwaltung |
Automation Cloud-Organisationsadministrator |
Automation Cloud-Organisationsadministrator |
Die Automation Cloud-Benutzerverwaltung kann vollständig an Azure AD delegiert werden |
Automation Cloud-Organisationsadministrator |
Einmaliges Anmelden (Single Sign-On, SSO) |
Verfügbar (mit Google, Microsoft und LinkedIn) |
Verfügbar (mit Google oder Microsoft) |
Verfügbar (mit Azure AD-Konto) |
Verfügbar (mit IdP-Konto) |
Erzwingen von komplexen Kennwörtern |
Nicht verfügbar |
Verfügbar (falls vom IdP erzwungen) |
Verfügbar (wenn von AAD erzwungen) |
Verfügbar (falls vom IdP erzwungen) |
Mehrstufige Authentifizierung |
Nicht verfügbar |
Verfügbar (falls vom IdP erzwungen) |
Verfügbar (wenn von AAD erzwungen) |
Verfügbar (falls vom IdP erzwungen) |
Die bestehenden Identitäten Ihres Unternehmens wiederverwenden |
Nicht verfügbar |
Nicht verfügbar |
Verfügbar |
Verfügbar |
Massenhaftes Benutzer-Onboarding |
Nicht verfügbar (alle Benutzer müssen eingeladen werden) |
Nicht verfügbar (alle Benutzer müssen eingeladen werden) |
Verfügbar (Just-in-Time-Kontobereitstellung) |
Verfügbar (Just-in-Time-Kontobereitstellung) |
Zugriff für Mitarbeitende außerhalb Ihres Unternehmens |
Verfügbar (durch Einladung) |
Verfügbar (durch Einladung für ein Konto bei einem erzwungenen IdP) |
Verfügbar |
Verfügbar (sofern vom IdP zugelassen) |
Einschränken des Zugriffs von innerhalb des Netzwerks |
Nicht verfügbar |
Nicht verfügbar |
Verfügbar |
Verfügbar (falls vom IdP erzwungen) |
Einschränken des Zugriffs auf vertrauenswürdige Geräte | Nicht verfügbar |
Nicht verfügbar |
Verfügbar |
Verfügbar (falls vom IdP erzwungen) |
Wenn Ihr Unternehmen bereits ein Verzeichnis zur Verwaltung von Mitarbeiterkonten verwendet, kann Ihnen die folgende Tabelle dabei helfen, die für Sie günstigste Authentifizierungsoption zu finden.
Faktor | Einladungsbasiert | Einladungsbasiert mit erzwungener Option | Azure Active Directory | SAML |
---|---|---|---|---|
Verwenden Sie bereits Google Workspace als Identitätsanbieter? |
Benutzer benötigen ein UiPath-Konto, aber SSO ist auch möglich |
Benutzer benötigen ein UiPath Konto, aber erzwungene SSO bei Google möglich |
Keine Angabe |
Keine Angabe |
Verwenden Sie bereits Office 365 als Identitätsanbieter? |
Benutzer benötigen ein UiPath-Konto |
Benutzer benötigen ein UiPath-Konto |
Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren |
Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren |
Verwenden Sie bereits Azure AD als Identitätsanbieter? |
Benutzer benötigen ein UiPath-Konto |
Benutzer benötigen ein UiPath-Konto |
Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren |
wir empfehlen die Verwendung der AAD-Integration anstelle der SAML-Integration |
Verwenden Sie bereits einen anderen Identitätsanbieter? |
Benutzer benötigen ein UiPath-Konto |
Benutzer benötigen ein UiPath-Konto |
Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren |
Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren |
- Das Lokalkontenmodell (einladungsbasiert)
- Authentifizierung mit Google, Microsoft, LinkedIn oder persönlichen E-Mail-Adressen
- Authentifizierung nur mit Google oder Microsoft
- Das Verzeichniskontenmodell
- Azure Active Directory
- SAML 2.0
- Funktionsweise der Authentifizierung
- Modellvergleich
- Wiederverwendung Ihres Identitätsverzeichnisses