- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Aktivieren Ihrer Enterprise-Lizenz
- Upgrades und Downgrades von Lizenzen
- Anfordern einer Diensttestversion
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Fehlersuche und ‑behebung
- Migrieren zur Automation Cloud™
Einrichten der Azure-AD-Integration
Diese Funktion ist im Enterprise-Lizenzierungsplan verfügbar.
Wenn Ihre Organisation Azure Active Directory (Azure AD) oder Office 365 verwendet, können Sie Ihre Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um vorhandene Konten und Gruppen in Ihrer Cloud-Umgebung anzuzeigen.
Mit der Azure AD-Integration können Sie das lokale Kontenmodell weiterhin nutzen und Ihre Organisation mit den zusätzlichen Vorteilen der Verwendung des Azure AD-Modells ausstatten.
Wenn Ihre Organisation sich für die Verwendung des Azure AD-Modells entschieden hat, befolgen Sie die Anweisungen auf dieser Seite, um die Integration einzurichten.
Um die Azure AD-Integration einzurichten, benötigen Sie:
- eine Organisation mit einer Enterprise-Lizenz
- Administratorberechtigungen sowohl in der UiPath-Plattform als auch in Azure AD (können unterschiedliche Personen sein);
- der Organisationsadministrator benötigt ein Azure AD-Konto, das dieselbe E-Mail-Adresse wie das lokale UiPath-Konto verwendet; das Azure AD-Konto wird nur für das Testen der Integration benötigt, sodass der Azure AD-Benutzer keine Administratorberechtigungen in Azure benötigt;
- UiPath Studio und UiPath Assistant ab Version 2020.10.3;
- UiPath Studio und UiPath Assistant, die die empfohlene Bereitstellung verwenden.
appid
-Abfrageparameters in einer dedizierten URL, wie in der Microsoft-Dokumentation zu Zugriffstoken beschrieben.
Ihre Organisation erfordert eine App-Registrierung in Ihrem Azure AD-Mandanten und eine Konfiguration, damit Sie Ihre AD-Mitglieder anzeigen können, um die Kontoidentität zu bestimmen. Die App-Registrierungsdetails sind auch erforderlich, um Ihre Organisation später mit Ihrem Azure AD-Mandanten zu verbinden.
Berechtigungen: Sie müssen ein Administrator in Azure sein, um die Schritte in diesem Abschnitt ausführen zu können. Die folgenden Azure-Administratorrollen verfügen über die erforderlichen Berechtigungen: Globaler Administrator, Cloudanwendungsadministrator und Anwendungsadministrator.
Es gibt zwei Möglichkeiten, Ihren Azure-Mandanten für die Integration einzurichten:
- Verwenden Sie die folgenden Anweisungen, um eine App-Registrierung für die Integration manuell zu konfigurieren.
- Verwenden Sie die UiPath Azure AD-Skripts, die wir für diese Aufgabe erstellt haben und die auf GitHub verfügbar sind: Das Skript configAzureADconnection.ps1 führt alle in diesem Abschnitt beschriebenen Aktionen aus und gibt die App-Registrierungsdetails zurück. Dann können Sie das Skript testAzureADappRegistration.ps1 ausführen, um sicherzustellen, dass die App-Registrierung erfolgreich war.
Um Ihren Azure-Mandanten manuell zu konfigurieren, gehen Sie im Azure-Portal wie folgt vor:
Nachdem das Azure-Setup abgeschlossen ist, können Sie sich auf die Integration vorbereiten, sie aktivieren und alte Konten bereinigen.
Der Prozess erfolgt schrittweise, sodass es zu keinen Unterbrechungen für Ihre Benutzer kommt.
Sie müssen ein Organisationsadministrator sein, um die Schritte in diesem Abschnitt auszuführen.
Wenn Sie durch Aktivieren der Integration eine Verbindung mit Azure AD herstellen, werden Konten mit übereinstimmenden E-Mail-Adressen verknüpft, sodass das Azure AD-Konto die gleichen Berechtigungen wie das übereinstimmende UiPath-Konto (lokales Konto) bekommt.
Wenn Ihre Organisation E-Mail-Recycling betreibt, d. h., dass eine E-Mail-Adresse, die in der Vergangenheit verwendet wurde, in der Zukunft einem neuen Benutzer zugewiesen werden kann, könnte dies zu einem erhöhten Zugriffsrisiko führen.
Beispiel
john.doe@example.com
lautete und der über ein lokales Konto verfügte, als er Organisationsadministrator war. Inzwischen hat er aber das Unternehmen verlassen und die E-Mail-Adresse wurde deaktiviert, der Benutzer jedoch nicht entfernt.
john.doe@example.com
. In diesem Fall übernimmt er Organisationsadministratorrechte, wenn Konten im Rahmen der Integration mit Azure AD verknüpft sind.
Um solche Situationen zu verhindern, entfernen Sie alle Benutzer, die nicht mehr aktiv sind, aus der UiPath-Organisation, bevor Sie mit dem nächsten Schritt fortfahren.
Bevor Sie beginnen
- Stellen Sie sicher, dass die Azure-Konfiguration abgeschlossen ist.
- Holen Sie sich die Werte Verzeichnis-(Mandanten-)ID, Anwendungs-(Client-)ID und geheimer Clientschlüssel für die App-Registrierung von Ihrem Azure-Administrator in Azure.
Jetzt können Sie mit den Benutzern und Gruppen auf dem Azure AD des verknüpften Mandanten arbeiten. Sie können Azure AD-Benutzer und Gruppen mithilfe der Suche finden, um beispielsweise einen Benutzer zu einer Gruppe hinzuzufügen. Weitere Informationen zu den Änderungen nach Aktivierung der Integration finden Sie auch in den unten stehenden häufig gestellten Fragen.
Um zu überprüfen, ob die Integration ausgeführt wird, melden Sie sich als Organisationsadministrator mit einem Azure AD-Konto an und versuchen Sie, auf den zugehörigen Seiten nach Azure AD-Benutzern und -Gruppen zu suchen , z. B. im Panel Gruppe bearbeiten auf der UiPath -Plattform (Administrator > Konten und Gruppen ). > Gruppen > Bearbeiten).
-
Wenn Sie nach Benutzern und Gruppen suchen können, die aus Azure AD stammen, bedeutet dies, dass die Integration läuft. Sie können den Benutzer- oder Gruppentyp anhand des Symbols erkennen.
Hinweis: Benutzer und Gruppen aus Azure AD sind nicht auf den Seiten Benutzer oder Gruppen aufgeführt, sie sind nur über die Suche abrufbar. -
Wenn bei der Suche nach Benutzern ein Fehler auftritt, wie im folgenden Beispiel gezeigt, heißt das, dass mit der Konfiguration in Azure etwas nicht stimmt. Wenden Sie sich an Ihren Azure-Administrator, und bitten Sie ihn, zu überprüfen, ob Azure wie unter Konfigurieren von Azure für die Integration beschrieben eingerichtet ist.
Tipp: Bitten Sie Ihren Azure-Administrator zu bestätigen, dass er das Kontrollkästchen Administratorzustimmung gewähren während der Azure-Konfiguration aktiviert hat. Dies ist eine häufige Ursache, warum die Integration fehlschlägt.
Fehlersuche und ‑behebung
Azure-Administratoren können das UiPath-Azure AD- Testskript testAzureADappRegistration.ps1 verwenden, das auf GitHub verfügbar ist, um Konfigurationsprobleme zu erkennen und zu beheben, wenn die Ursache nicht klar ist. Hierzu ein Beispiel:
Sobald die Integration aktiv ist, empfehlen wir Ihnen, die Anweisungen in diesem Abschnitt zu befolgen, um sicherzustellen, dass Benutzererstellung und Gruppenzuordnung an Azure AD weitergegeben werden. Auf diese Weise können Sie auf Ihrer vorhandenen Identitäts- und Zugriffsverwaltungsinfrastruktur aufbauen, um einfachere Governance und Zugriffsverwaltung über Ihre UiPath-Ressourcen zu erhalten.
Sie können dies tun, um sicherzustellen, dass der Azure-Administrator auch neue Benutzer mit den gleichen Berechtigungen und Roboterkonfigurationen ausstatten kann, die Sie vor der Integration eingerichtet haben. Dazu können sie alle neuen Benutzer zu einer Azure AD-Gruppe hinzufügen, wenn der Gruppe bereits die erforderlichen Rollen zugewiesen sind.
Sie können Ihre vorhandenen Benutzergruppen von der UiPath-Plattform neuen oder vorhandenen Gruppen in Azure AD zuordnen. Je nachdem, wie Sie Gruppen in Azure AD verwenden, können Sie dies auf mehrere Arten tun:
- Wenn Benutzer mit denselben Rollen in der UiPath Platform bereits in denselben Gruppen in Azure AD sind, kann der Organisationsadministrator diese Azure AD-Gruppen zu den Benutzergruppen hinzufügen, in denen sich diese Benutzer befanden. Dadurch wird sichergestellt, dass Benutzer die gleichen Berechtigungen und das Robotersetup beibehalten.
- Andernfalls kann der Azure-Administrator neue Gruppen in Azure AD erstellen, die den Gruppen in der UiPath-Plattform entsprechen und dieselben Benutzer hinzufügen, die sich in den UiPath-Benutzergruppen befinden. Dann kann der Organisationsadministrator den vorhandenen Benutzergruppen die neuen Azure AD-Gruppen hinzufügen, um sicherzustellen, dass dieselben Benutzer die gleichen Rollen haben.
Stellen Sie in beiden Fällen sicher, dass Sie auf Rollen achten , die Benutzern explizit zugewiesen wurden . Beseitigen Sie nach Möglichkeit die expliziten Rollenzuweisungen, indem Sie diese Benutzer zu Gruppen hinzufügen, denen die Rollen explizit zugewiesen wurden.
Beispiel: Angenommen, die Gruppe Administrators auf der UiPath-Plattform umfasst die Benutzer „Roger“, „Tom“ und „Jerry“. Dieselben Benutzer befinden sich auch in einer Gruppe in Azure AD namens admins. Der Organisationsadministrator kann die Gruppe admins zur Gruppe Administrators hinzufügen. So profitieren auch Roger, Tom und Jerry als Mitglieder der Azure AD-Gruppe admins von den Rollen der Gruppe Administrators .
Da admins jetzt Teil der Gruppe Administrators ist, kann der Azure-Administrator den neuen Benutzer zur Gruppe admins in Azure hinzufügen, wodurch er ihnen Administrator-Berechtigungen in der UiPath-Plattform gewährt, ohne Änderungen vornehmen zu müssen UiPath-Plattform.
Änderungen an Azure AD-Gruppenzuweisungen werden auf der UiPath-Plattform innerhalb einer Stunde übernommen, wenn sich der Benutzer mit Azure AD-Konto anmeldet oder wenn er bereits angemeldet ist.
Erstanmeldung: Damit die Berechtigungen gelten, die Azure AD-Benutzern und -Gruppen zugewiesen sind, müssen sich Benutzer mindestens einmal anmelden. Wir empfehlen Ihnen, nach der Ausführung der Integration alle Ihre Benutzer aufzufordern, sich von ihrem lokalen Konto abzumelden und sich mit ihrem Azure AD-Konto erneut anzumelden. Sie können sich mit ihrem Azure AD-Konto anmelden, indem sie:
-
die organisationsspezifische URL aufrufen – in diesem Fall ist der Anmeldetyp bereits ausgewählt;
Hinweis: Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B.https://cloud.uipath.com/orgID/
. -
durch Auswählen von Enterprise SSO auf der Haupt-Anmeldeseite
Hinweis: Stellen Sie sicher, dass Sie allen Benutzern Ihre organisationsspezifische URL für die Automation CloudTM zur Verfügung stellen. Nur Organisationsadministratoren können diese Informationen in der Automation CloudTM sehen.
Migrierte Benutzer profitieren davon, dass Berechtigungen aus ihren Azure AD-Gruppen und zugleich die, die ihnen direkt zugewiesen wurden, zur Verfügung stehen.
Konfigurieren von Studio und des UiPath Assistant für Benutzer: So richten Sie diese Produkte für eine Verbindung mit Azure AD-Konten ein:
- Öffnen Sie im UiPath Assistant Einstellungen und wählen Sie die Registerkarte Orchestrator-Verbindung aus.
- Klicken Sie auf Abmelden.
- Wählen Sie für den Verbindungstyp Dienst-URL aus.
-
Fügen Sie im Feld Dienst-URL die organisationsspezifische URL hinzu.
Hinweis: Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B.https://cloud.uipath.com/orgID/
. Andernfalls schlägt die Verbindung mit dem Hinweis fehl, der Benutzer gehöre keiner Organisation an. - Melden Sie sich mit dem Azure AD-Konto wieder an.
Das ist zwar optional, wir empfehlen aber trotzdem, dass Sie die Verwendung lokaler Konten entfernen, um die wichtigsten Vorteile der vollständigen Integration zwischen der UiPath-Plattform und Azure AD in Bezug auf Compliance und Effizienz optimal zu nutzen.
Nachdem alle Benutzer migriert wurden, können Sie die Benutzer, die Nicht-Administratoren sind, von der Registerkarte Benutzer entfernen, sodass sich Ihre Benutzer nicht mehr mit ihren lokalen Konten anmelden können. Sie können diese Konten anhand ihrer Benutzersymbole erkennen.
Sie können auch einzelne Berechtigungen in den UiPath Cloud-Diensten, z. B. dem Orchestrator-Dienst, bereinigen und einzelne Benutzer aus Gruppen entfernen, sodass die Berechtigungen ausschließlich von der Azure AD-Gruppenmitgliedschaft abhängen.
Ausnahmen
Wenn Sie sich entscheiden, die Verwendung von lokalen Konten einzustellen, beachten Sie Folgendes:
-
API-Zugang: Wenn Sie Prozesse eingerichtet haben, die auf die Informationen angewiesen sind, die Sie durch Klicken auf API-Zugang (Administrator > Seite Mandant) abrufen, um API-Aufrufe an einen Dienst zu tätigen, dann benötigen Sie ein lokales Konto, da die Schaltfläche nicht verfügbar ist, wenn Sie mit einem Azure AD-Konto angemeldet sind.
Alternativ können Sie zur Autorisierung zu OAuth wechseln. In diesem Fall sind die Informationen vom API-Zugang nicht mehr erforderlich.
Es folgen einige nützliche Hinweise über erweiterte Funktionen, die Sie jetzt nutzen können, nachdem Sie die Azure AD-Integration eingerichtet haben.
Da die Integration mit Azure AD auf der Ebene des Azure-Mandanten durchgeführt wird, können standardmäßig alle Azure AD-Benutzer auf die UiPath-Plattform zugreifen. Wenn sich ein Azure AD-Benutzer zum ersten Mal bei seiner UiPath-Organisation anmeldet, wird er automatisch in die UiPath-Gruppe Everyone aufgenommen, was ihm die Benutzerrolle auf Organisationsebene gewährt.
Wenn Sie nur bestimmten Benutzern Zugriff auf Ihre Organisation gewähren möchten, können Sie die Benutzerzuweisung für die UiPath-App-Registrierung in Azure aktivieren. Auf diese Weise müssen Benutzer der App explizit zugewiesen werden, um darauf zugreifen zu können. Anweisungen finden Sie in diesem Artikel in der Azure AD-Dokumentation.
Wenn Sie Ihren Benutzern den Zugriff auf die UiPath-Plattform nur von einem vertrauenswürdigen Netzwerk oder einem vertrauenswürdigen Gerät aus erlauben möchten, können Sie die Funktion Azure AD – Bedingter Zugriff verwenden.
Wenn Sie Gruppen in Azure AD für das einfache UiPath-Onboarding direkt über Azure AD erstellt haben, wie unter Gruppen für Berechtigungen und Roboter konfigurieren beschrieben, können Sie die erweiterten Sicherheitsoptionen des Privileged Identity Managements (PIM) für diese Gruppen verwenden, um Zugriffsanforderungen für UiPath zu steuern Gruppen.
Was ändert sich für meine Benutzer, sobald die Integration aktiv ist?
Benutzer können sich sofort mit ihrem bestehenden Azure AD-Konto anmelden und von denselben Berechtigungen profitieren, die sie in ihrem lokalen Konto hatten.
Wenn Sie deren lokale Konten nicht entfernt haben, können sich Benutzer auch weiterhin mit ihrem lokalen Konto anmelden, beide Methoden funktionieren.
https://cloud.uipath.com/orgID/
hat, oder Enterprise SSO auf der Hauptanmeldeseite auswählen.
Eine weitere Änderung besteht darin, dass Benutzer beim Aufrufen dieser URL automatisch angemeldet werden, wenn sie bereits durch die Nutzung einer anderen Anwendung bei einem Azure AD-Konto angemeldet sind.
Welche Rollen haben die jeweiligen Konten?
Azure AD-Konto: Wenn sich ein Benutzer mit dem Azure AD-Konto anmeldet, profitiert er sofort von allen Rollen, die er auf dem lokalen Konto hatte, sowie von allen Rollen, die innerhalb von UiPath dem Azure AD-Konto oder den Azure AD-Gruppen zugewiesen wurden, zu denen er gehört . Diese Rollen können vom Azure AD-Benutzer oder der Azure AD-Gruppe stammen, die in Gruppen enthalten sind, oder von anderen Diensten, bei denen dem Azure AD-Benutzer oder der Azure AD-Gruppe Rollen zugewiesen wurden.
Lokales Konto: Wenn die Azure AD-Integration aktiv ist, kommt es bei lokalen Konten auf Folgendes an:
- Wenn sich der Benutzer nicht mindestens einmal mit dem Azure AD-Konto angemeldet hat, hat er nur die Rollen des lokalen Kontos.
- Wenn sich Benutzer mit ihrem Azure AD-Konto anmelden, hat das lokale Konto alle Rollen, die der AAD-Benutzer innerhalb von UiPath hat, entweder explizit zugewiesen oder von Gruppenmitgliedschaften übernommen.
Muss ich die Berechtigungen für die Azure AD-Konten erneut verteilen?
Nein. Da übereinstimmende Konten automatisch verknüpft werden, gelten die vorhandenen Berechtigungen auch bei Anmeldung mit dem Azure AD-Konto. Wenn Sie sich jedoch entscheiden, die Verwendung von lokalen Konten einzustellen, stellen Sie sicher, dass zuvor die entsprechenden Berechtigungen für Benutzer und Gruppen von Azure AD festgelegt wurden.
- Voraussetzungen
- Konfigurieren von Azure für die Integration
- Bereitstellen der Integration
- Inaktive Benutzer bereinigen
- Die Azure AD-Integration aktivieren
- Die Azure AD-Integration testen
- Abschließen des Übergangs zu Azure AD
- Gruppen für Berechtigungen und Roboter konfigurieren (optional)
- Vorhandene Benutzer migrieren
- Verwendung von lokalen UiPath-Konten einstellen (optional)
- Best Practices
- Beschränken Sie den Zugriff auf Ihre Organisation
- Zugriff auf vertrauenswürdige Netzwerke oder Geräte einschränken
- Governance für Gruppen in Azure AD
- Häufige Fragen