automation-cloud
latest
false
Automation Cloud-Administratorhandbuch
Last updated 31. Okt. 2024

Grundlegendes zu Authentifizierungsmodellen

Das Lokalkontenmodell (einladungsbasiert)

Lokale Benutzerkonten repräsentieren das Konto eines jeden Benutzers und sind intern in der UiPath Platform.

Das lokale Kontenmodell bietet einen in sich geschlossenen Ansatz zur Authentifizierung. Dazu ist eine Einladung eines Organisationsadministrators erforderlich, damit neue Benutzer beitreten können. Es eignet sich für Szenarien, in denen Sie die vollständige Kontrolle über die Verwaltung der Benutzer innerhalb Ihrer Plattform wünschen.

Hinweis: Dieses Modell ist mit dem Verzeichniskontenmodell kompatibel. Wenn Sie sich für das Verzeichnismodell entscheiden, können Sie auch weiterhin Benutzer per Einladung erstellen.

In den Organisationseinstellungen haben Sie die volle Kontrolle über die Authentifizierungsmethoden, die den Benutzern zur Verfügung stehen:

  • Um die Verwendung aller verfügbaren Methoden (Google, Microsoft, Einfache Authentifizierung) für maximale Flexibilität zu ermöglichen, wählen Sie die Option Alle verfügbaren Methoden aus.

  • Um die Authentifizierung nur auf Google zu beschränken, wählen Sie die Option Google-Anmeldung aus.

  • Um die Authentifizierung nur auf Microsoft zu beschränken, wählen Sie die Option Microsoft-Anmeldung aus.

Authentifizierung mit Google, Microsoft, LinkedIn oder persönlichen E-Mail-Adressen

Dieses Modell gilt standardmäßig für jede neue Organisation. Es ist einfach zu verwenden, schnell einzurichten und für Ihre Benutzer bequem.

Der Prozess zum Erstellen eines Benutzers ist wie folgt:

  1. Organisationsadministratoren müssen die E-Mail-Adressen der Benutzer einholen und damit die Benutzer zum Beitritt zu ihrer Organisation einladen. Sie können das in einem Massenauftrag tun.
  2. Eingeladene Mitarbeiter nehmen die Einladung an, indem sie zu dem in der Einladungs-E-Mail angegebenen Link navigieren und ein UiPath-Benutzerkonto erstellen. Sie können:

    • Verwenden Sie die für die Einladung genutzte E-Mail-Adresse als Benutzernamen und erstellen Sie ein Kennwort.
    • Verwenden Sie ein Konto, das sie bereits haben: von Microsoft (persönliches, Azure AD-verknüpftes Konto oder Office 365-Konto), Google (persönliches oder Google Workspace-Konto) oder LinkedIn (persönliches Konto), um sich bei ihrem UiPath-Benutzerkonto anzumelden (oder sie zu verbinden).

      Die Möglichkeit, einen der oben genannten Anbieter zu verwenden, ist für Benutzer praktisch, die sich keine zusätzlichen Passwörter merken müssen. Mithilfe organisationseigener Konten in Azure AD oder Google Workspace können Sie Anmelderichtlinien für Organisationen erzwingen.



Authentifizierung nur mit Google oder Microsoft

In diesem Modell erstellen Sie Benutzer auf die gleiche Weise wie im einladungsbasierten Modell: Sie senden eine Einladung an die E-Mail-Adresse der Benutzer und diese können dann ein UiPath-Konto erstellen. Der Unterschied besteht darin, dass Sie die Anmeldung über eine der beiden Möglichkeiten erzwingen können:

  • Google oder
  • Microsoft

Anstatt also alle Anmeldeoptionen zu sehen, sehen Ihre Benutzer nur die von Ihnen ausgewählte.

Hier sehen Sie beispielsweise, was Ihre Benutzer sehen würden, wenn Sie die Anmeldung mit Microsoft vorschreiben würden:



Sie verwenden weiterhin ihr UiPath-Konto, um sich anzumelden. Das Konto muss die E-Mail-Adresse verwenden, an die die Einladung gesendet wurde.

Hinweis: Wenn Sie externe Anwendungen für Ihre Organisation autorisiert haben, bleiben Token, die bei der Verwendung anderer Anbieter generiert wurden, gültig, aber alle neuen Token folgen der erzwungenen Anmeldungsrichtlinie.

Das Verzeichniskontenmodell

Das Verzeichniskontenmodell basiert auf einem Verzeichnis eines Drittanbieters, das Sie in die UiPath-Plattform integrieren. Auf diese Weise können Sie das etablierte Identitätsschema Ihres Unternehmens in UiPath wiederverwenden.

  • Azure Active Directory: Wenn Sie ein Microsoft Azure- oder Office 365-Abonnement haben, können Sie Azure in die UiPath-Plattform integrieren, um Ihre vorhandenen Benutzer und Gruppen aus Azure Active Directory innerhalb von UiPath zu verwenden.
  • SAML 2.0: Ermöglicht die Integration der UiPath-Plattform mit dem von Ihnen gewählten Identitätsanbieter (IdP). Auf diese Weise können sich Ihre Benutzer mit einmaligem Anmelden (SSO) über die Konten mit UiPath> verbinden, die bereits bei Ihrem IdP registriert sind.

Verzeichnisbenutzerkonten werden in einem Verzeichnis erstellt und verwaltet, das sich außerhalb von UiPath befindet. Verzeichniskonten werden nur in der UiPath Platform referenziert und als Identitäten für Ihre Benutzer verwendet.

Hinweis:

Kompatibilität mit dem einladungsbasierten Modell

Sie können weiterhin alle Funktionen des einladungsbasierten Modells in Verbindung mit einem Verzeichnismodell verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung über Ihr integriertes Verzeichnis zu verlassen.

Azure Active Directory

Wichtig: Diese Funktion ist nur verfügbar, wenn Sie sich im Enterprise-Lizenzierungsplan befinden.

Die Integration mit Azure Active Directory (Azure AD) kann eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation bieten, die Compliance für alle internen Anwendungen ermöglicht, die von Ihren Mitarbeitern verwendet werden. Wenn Ihre Organisation Azure AD oder Office 365 verwendet, können Sie Ihre Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um die folgenden Vorteile zu erhalten:

  • Automatisches Benutzer-Onboarding mit nahtloser Migration

    • Alle Benutzer und Gruppen von Azure AD sind für jeden UiPath Plattformdienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Azure AD-Benutzer im Organisationsverzeichnis eingeladen und verwaltet werden müssen.
    • Sie können Single-Sign-On für Benutzer bereitstellen, deren Unternehmens-Benutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
    • Die Berechtigungen aller vorhandenen Benutzer mit lokalen UiPath-Konten werden automatisch zu ihrem verbundenen Azure AD-Konto migriert.
  • Vereinfachte Anmeldung

    • Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Organisation zugreifen zu können. Sie melden sich mit ihrem Azure AD-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden. Wenn der Benutzer bereits bei Azure AD oder Office 365 angemeldet ist, wird er automatisch angemeldet.
    • UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Orchestrator-URL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
  • Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Azure AD-Gruppen

    • Mit Azure AD-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Maßstab zu verwalten. Sie müssen keine Berechtigungen mehr in Diensten für jeden einzelnen Benutzer konfigurieren.
    • Sie können mehrere Verzeichnisgruppen in einer Gruppe kombinieren, wenn Sie sie zusammen verwalten müssen.
    • Es ist einfach, den Zugriff zu prüfen. Nachdem Sie Berechtigungen in allen UiPath Plattformdiensten mithilfe von Azure AD-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Azure AD-Gruppenmitgliedschaft in Verbindung stehen.

Hinweis:

Die Option API-Zugang (Admin > Mandant) ist bei Verwendung des Azure AD-Modells nicht verfügbar.

Wenn Sie Prozesse haben, die die Informationen aus dem Fenster API-Zugriff zum Authentifizieren von API-Aufrufen bei UiPath-Diensten verwenden, müssen Sie zur Autorisierung auf OAuth wechseln. In diesem Fall sind die Informationen des API-Zugriffs nicht mehr erforderlich.

Um OAuth zu verwenden, müssen Sie externe Anwendungen bei der UiPath Platform registrieren .

SAML 2.0

Wichtig: Diese Funktion ist nur verfügbar, wenn Sie sich im Enterprise-Lizenzierungsplan befinden.

Mit diesem Modell können Sie die UiPath Platform mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:

  • Ihre Benutzer von der einmaligen Anmeldung (SSO) profitieren können und
  • Sie bestehende Konten von Ihrem Verzeichnis in der UiPath Platform aus verwalten können, ohne Identitäten neu erstellen zu müssen.

Die UiPath Platform kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet.

Vorteile



  • Automatisches Onboarding von Benutzern der UiPath Platform: Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich bei der UiPath-Organisation mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Dies bedeutet:

    • Benutzer können sich bei Ihrer UIPath-Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
    • Ohne weitere Einstellungen werden sie Mitglieder der Benutzergruppe „ Everyone “, wodurch sie standardmäßig die Rolle Benutzerorganisation erhalten. Zum Arbeiten in der UiPath Platform benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
    • Wenn Sie den Zugriff auf einige Ihrer Benutzer einschränken müssen, können Sie die Gruppe der Benutzer, die auf die UiPath Platform zugreifen dürfen, in Ihrem Identitätsanbieter definieren.

  • Benutzerverwaltung: Sie können Benutzer durch direkte Zuweisung zu Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.

    In der Regel verwalten Organisationsadministratoren lokale Konten über die Registerkarte „Administrator“ > „ Konten und Gruppen “ > „ Benutzer “. SAML-Benutzer sind jedoch Verzeichniskonten im UiPath-Ökosystem, sodass sie auf dieser Seite nicht sichtbar sind.

    Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen UiPath-Diensten für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.

  • Attributzuordnung: Beim Verwenden des UiPath Automation Hub beispielsweise können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter auf die UiPath Platform zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.

Funktionsweise der Authentifizierung

Die Identität Ihrer Benutzer wird basierend auf Ihrem Organisationsverzeichnis überprüft. Von hier aus können sie basierend auf Benutzerberechtigungen, die über Rollen und Gruppen zugewiesen sind, auf alle Ihre UiPath Cloud-Dienste mit nur einem Satz Anmeldeinformationen zugreifen. Das folgende Diagramm beschreibt die beiden Identitätsmodelle, wie sie mit den verschiedenen Benutzeridentitäten funktionieren und wie ein Verbund dies ermöglichen kann erreicht werden.Im einladungsbasierten Modell wird die Identitätsverwaltung für einen Benutzerverweis im Organisationsverzeichnis durchgeführt, während Benutzer die Kontrolle über ihre Konten behalten. Wenn jedoch eine Integration mit Azure Active Directory (Azure AD) besteht, reicht ein Blick auf den Inhalt Ihres Mandantenverzeichnisses in Azure AD, wie unten mit einem orangefarbenen Pfeil dargestellt ist.



Modellvergleich

Im Folgenden sind einige Faktoren aufgelistet, die Sie bei der Wahl der Authentifizierungseinstellung für Ihre Organisation berücksichtigen sollten:

Faktor

Einladungsbasiert

Einladungsbasiert mit erzwungener Option

Azure Active Directory

SAML

Community-Lizenz

Verfügbar

Verfügbar

Nicht verfügbar

Nicht verfügbar

Enterprise-Lizenz

Verfügbar

Verfügbar

Verfügbar

Verfügbar

Unterstützung für lokale Konten

(UiPath-Konto)

Verfügbar

Verfügbar

Verfügbar

Verfügbar

Unterstützung für Verzeichniskonten

Nicht verfügbar

Nicht verfügbar

Verfügbar

Verfügbar

Verwaltung von Benutzerkonten

Automation Cloud-Organisationsadministrator

Automation Cloud-Organisationsadministrator

Azure AD-Administrator

Administrator Ihres Identitätsanbieters

Benutzerzugriffsverwaltung

Automation Cloud-Organisationsadministrator

Automation Cloud-Organisationsadministrator

Die Automation Cloud-Benutzerverwaltung kann vollständig an Azure AD delegiert werden

Automation Cloud-Organisationsadministrator

Einmaliges Anmelden (Single Sign-On, SSO)

Verfügbar (mit Google, Microsoft und LinkedIn)

Verfügbar (mit Google oder Microsoft)

Verfügbar (mit Azure AD-Konto)

Verfügbar (mit IdP-Konto)

Erzwingen von komplexen Kennwörtern

Nicht verfügbar

Verfügbar (falls vom IdP erzwungen)

Verfügbar (wenn von AAD erzwungen)

Verfügbar (falls vom IdP erzwungen)

Mehrstufige Authentifizierung

Nicht verfügbar

Verfügbar (falls vom IdP erzwungen)

Verfügbar (wenn von AAD erzwungen)

Verfügbar (falls vom IdP erzwungen)

Die bestehenden Identitäten Ihres Unternehmens wiederverwenden

Nicht verfügbar

Nicht verfügbar

Verfügbar

Verfügbar

Massenhaftes Benutzer-Onboarding

Nicht verfügbar (alle Benutzer müssen eingeladen werden)

Nicht verfügbar (alle Benutzer müssen eingeladen werden)

Verfügbar (Just-in-Time-Kontobereitstellung)

Verfügbar (Just-in-Time-Kontobereitstellung)

Zugriff für Mitarbeitende außerhalb Ihres Unternehmens

Verfügbar (durch Einladung)

Verfügbar (durch Einladung für ein Konto bei einem erzwungenen IdP)

Verfügbar

Verfügbar (sofern vom IdP zugelassen)

Einschränken des Zugriffs von innerhalb des Netzwerks

Nicht verfügbar

Nicht verfügbar

Verfügbar

Verfügbar (falls vom IdP erzwungen)

Einschränken des Zugriffs auf vertrauenswürdige Geräte

Nicht verfügbar

Nicht verfügbar

Verfügbar

Verfügbar (falls vom IdP erzwungen)

Wiederverwendung Ihres Identitätsverzeichnisses

Wenn Ihr Unternehmen bereits ein Verzeichnis zur Verwaltung von Mitarbeiterkonten verwendet, kann Ihnen die folgende Tabelle dabei helfen, die für Sie günstigste Authentifizierungsoption zu finden.

Faktor

EinladungsbasiertEinladungsbasiert mit erzwungener OptionAzure Active DirectorySAML

Verwenden Sie bereits Google Workspace als Identitätsanbieter?

Benutzer benötigen ein UiPath-Konto, aber SSO ist auch möglich

Benutzer benötigen ein UiPath Konto, aber erzwungene SSO bei Google möglich

Keine Angabe

Keine Angabe

Verwenden Sie bereits Office 365 als Identitätsanbieter?

Benutzer benötigen ein UiPath-Konto

Benutzer benötigen ein UiPath-Konto

Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren

Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren

Verwenden Sie bereits Azure AD als Identitätsanbieter?

Benutzer benötigen ein UiPath-Konto

Benutzer benötigen ein UiPath-Konto

Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren

wir empfehlen die Verwendung der AAD-Integration anstelle der SAML-Integration

Verwenden Sie bereits einen anderen Identitätsanbieter?

Benutzer benötigen ein UiPath-Konto

Benutzer benötigen ein UiPath-Konto

Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren

Möglichkeit, vorhandenen Benutzerkonten Zugriff auf die Automation Cloud zu gewähren

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten