Automation Cloud-Administratorhandbuch

Microsoft Entra ID-Integration für Automation Cloud und Automation Cloud – Öffentlicher Sektor

link

Vorteile​

• Single Sign-On (SSO): Erlauben Sie Benutzern den Zugriff auf eine Organisation mit ihren Microsoft Entra ID-Anmeldeinformationen.
• Vereinfachte Benutzerverwaltung: Verwalten Sie den Zugriff mit vorhandenen Microsoft Entra ID-Benutzern und -Gruppen.
• Verbesserte Sicherheit: Wenden Sie Microsoft Entra ID-Funktionen wie Multifaktor-Authentifizierung, bedingter Zugriff und Privileged Identity Management an.
• Nahtloser Übergang: Migrieren Sie ohne Unterbrechung von lokalen Konten, sofern die E-Mail-Adressen übereinstimmen.

Einschränkungen und Überlegungen​

• UiPath unterstützt nur die Integration in den Microsoft Entra ID-Dienst in der kommerziellen Cloud von Microsoft Azure. Die Microsoft Azure Government-Cloud-Version von Microsoft Entra ID wird nicht unterstützt.

• Wenn eine Integration nur delegierten Zugriff als Zugriffs-Scope verwendet, erfordert Microsoft Entra ID die Anwesenheit des Benutzers während der Verzeichnisauswertung. Da unbeaufsichtigte Automatisierungen und persönliche Zugriffstoken ohne einen Benutzer ausgeführt werden, gelten die folgenden Einschränkungen:

  • Microsoft Entra ID-Verzeichnisbenutzer können keine gruppenbasierten Berechtigungen erben, wenn sie unbeaufsichtigte Automatisierungen ausführen oder persönliche Zugriffstoken verwenden.
  • Wenn der Zugriff auf die Organisation über Microsoft Entra ID-Gruppen eingeschränkt ist, können unbeaufsichtigte Roboter nicht im Namen von Benutzern auf die Organisation zugreifen.

  Um diese Einschränkungen zu umgehen, ohne reine App-Berechtigungen zu erteilen, können Sie in Ihrer Microsoft Entra ID-Konfiguration die Option Zwischengespeicherte Benutzertoken für Gruppenmitgliedschaftsprüfungen verwenden aktivieren. Die Verfügbarkeit dieser Funktion hängt von der Cloud-Plattform ab, die Sie verwenden. Weitere Informationen finden Sie auf der Seite Funktionsverfügbarkeit , insbesondere in der Zeile zwischengespeicherte Benutzertoken für Gruppenmitgliedschaftsprüfungen .

• Benutzerkontoverwaltung: Sie können nur Verzeichnisbenutzer und Gruppen in der Microsoft Entra ID verwalten. Diese Konten werden in Ihrer Organisation nur angezeigt, wenn Sie nach ihnen suchen oder Berechtigungen zuweisen.

• Benutzerdefinierte Anwendungsschlüssel: Die Microsoft Entra ID-Integration verwendet das OIDC-Protokoll, unterstützt jedoch keine benutzerdefinierten Anwendungsschlüssel, die über den appid -Abfrageparameter übergeben werden, wie in der Dokumentation zu den Zugriffstoken von Microsoft beschrieben.

• Sie dürfen Ihre lokalen UiPath-Gruppen nicht mit den Namen der Microsoft Entra ID-Verzeichnisgruppen benennen. Dies kann zu Konflikten bei der Berechtigungsbewertung und der gruppenbasierten Zugriffszuweisung führen.

Bevor Sie beginnen​

• Eine Organisation mit einer Enterprise-Lizenz, entweder in der Standard- oder Enterprise-Stufe.
• Eine Organisation, die eine der folgenden Lizenzierungsanforderungen erfüllt:
  • Unified Pricing: Erfordert einen Enterprise- oder Standard-Plan
  • Flex: Erfordert einen Enterprise-Plan, entweder die Stufe Standard oder Enterprise
• Administratorberechtigungen in der Organisation.
• Koordination mit einem Microsoft Entra ID-Administrator mit einer der folgenden Rollen:
  • Cloudanwendungsadministrator
  • Anwendungsadministrator
  • Jede Rolle, die die Administratorzustimmung für Microsoft Entra ID-Anwendungen erteilen kann
• Ein Microsoft Entra ID-Konto, das dieselbe E-Mail-Adresse wie Ihr UiPath-Administratorkonto verwendet (zu Testzwecken)
• Eine unterstützte Version von UiPath Studio und Assistant, wie in der Dokumentation zum Produktlebenszyklus angegeben.

• Melden Sie Benutzer mit Microsoft Entra ID-Anmeldeinformationen an.
• Lesen Sie Benutzerprofile und Gruppenmitgliedschaften aus Ihrem Microsoft Entra ID-Verzeichnis.
• Wenden Sie Zugriffssteuerungen basierend auf Microsoft Entra ID-Gruppenzuweisungen an.

Konfigurationsmethoden​

• (Empfohlen) Automatisierte Einrichtung: Verwenden Sie die von UiPath verwaltete Microsoft Entra ID-Anwendung (Modell mit mehreren Mandanten) für die folgenden Vorteile:
  • Keine geheimen Schlüssel oder Zertifikate zu verwalten.
  • Schnelle und zuverlässige Einrichtung.
  • UiPath verwaltet die Microsoft Entra ID-Anwendung für Sie.
• Manuelle Einrichtung mit einer benutzerdefinierten Microsoft Entra ID-Anwendungsregistrierung: Verwenden Sie Ihre eigene Microsoft Entra ID-Anwendung und verwalten Sie deren Konfiguration manuell, mit den folgenden Überlegungen:
  • Sie müssen Anwendungsanmeldeinformationen erstellen und verwalten.
  • Anmeldeinformationen laufen ab und müssen regelmäßig aktualisiert werden.
  • Wenn die Anmeldeinformationen nicht vor ihrem Ablauf aktualisiert werden, wird die Anmeldung für Benutzer blockiert.

• Delegierter Zugriff und Nur-App-Zugriff (Empfohlen): Ermöglicht UiPath-Diensten die Auswertung der Gruppenmitgliedschaft sowohl dann, wenn der Benutzer vorhanden ist, als auch in Offline-Szenarien wie Unattended-Automatisierungen und Service-to-Service-Szenarien (S2S).
• Delegierter Zugriff: Beschränkt die Prüfung der Gruppenmitgliedschaft auf interaktive Sitzungen. Berechtigungen können nur validiert werden, wenn der Benutzer aktiv angemeldet ist.

Über die von UiPath verwaltete Microsoft Entra ID-Anwendung​

• Name: UiPath Entra ID-Integration
• Client-ID: 4ca9aa42-b0ea-4ceb-b2b1-17fa40827280
• Anwendungs-Scopes:
  • Entra ID: email, openid, profile, GroupMember.Read.All, User.Read, User.ReadBasic.All, User.Read.All (optional).
  • CMK-Entra ID-Integration: email, openid, profile und offline access.
• Umleitungs-URI:
  • https://cloud.uipath.com/portal/grant-consent
  • https://govcloud.uipath.us/portal/grant-consent
• Zustimmungs-URLs (für Administratorgenehmigung): Wenn die Meldung Administratorgenehmigung erforderlich angezeigt wird, kann ein Microsoft Entra ID-Administrator mandantenweite Zustimmung erteilen, indem er zu einer der folgenden URLs navigiert:
  • Delegierter und reiner App-Zugriff ( mehrere Mandanten): https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
  • Delegierter und reiner App-Zugriff (Einzelmandant): https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
  • Delegierter Zugriff (für mehrere Mandanten): https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234
  • Delegierter Zugriff (Einzelmandant): https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}
  Hinweis:

  Ersetzen Sie bei Konfigurationen mit einem einzelnen Mandanten {TENANT_ID} durch Ihre Verzeichnis-ID (Mandant) und {APPLICATION_ID} durch Ihre Anwendungs-ID (Client).

Verwenden Sie zwischengespeicherte Benutzertoken für Gruppenmitgliedschaftsprüfungen​

Standardverhalten​

• Neue Verzeichnisverbindungen: Standardmäßig ausgewählt. Deaktivieren Sie das Kontrollkästchen, um sich abzumelden.
• Vorhandene Verzeichnisverbindungen: Standardmäßig deaktiviert. Öffnen Sie die Konfigurationsseite und aktivieren Sie das Kontrollkästchen, um sich anzumelden.

Tokenablauf​

Überlegungen zur Richtlinie für bedingten Zugriff​

• Anmeldehäufigkeit: Wenn eine Richtlinie erfordert, dass sich Benutzer in kurzen Intervallen erneut authentifizieren müssen, wird das zwischengespeicherte Aktualisierungstoken abgelehnt, sobald dieses Intervall überschritten wird.
• Multi-Faktor-Authentifizierung bei der Tokenaktualisierung: Aktualisierungsanforderungen sind nicht interaktiv und können den Benutzer nicht zur Eingabe von MFA auffordern. Richtlinien, die MFA bei jeder Tokenaktualisierung erfordern, schlagen in diesem Flow fehl.
• Risikobasierte Richtlinien und Continuous Access Evaluation (CAE): Diese können aktive Token jederzeit basierend auf Änderungen des Benutzer-, Geräte- oder Sitzungsrisikos widerrufen.

• Für Benutzer, die Unattended-Automatisierungen ausführen, müssen Sie die Anforderungen an die Anmeldehäufigkeit mit den betrieblichen Auswirkungen einer häufigen erneuten Authentifizierung in Einklang bringen.
• Wenden Sie die MFA-Anforderungen bei der interaktiven Anmeldung an, nicht bei der Tokenaktualisierung.
• Überwachen Sie das Prüfungsereignis „Cache-Entra-ID-Benutzertoken löschen“. Häufige Vorkommen für denselben Benutzer weisen typischerweise darauf hin, dass eine Richtlinie für bedingten Zugriff die Tokenaktualisierung verhindert. Siehe Prüfungsereignisse.

Prüfungsereignisse​

Automatisierte Einrichtung mit von UiPath verwalteter Microsoft Entra ID-Anwendung (empfohlen)​

1. Erteilen Sie die Zustimmung zur Microsoft Entra-ID​

• Delegierter und reiner App-Zugriff (Empfohlen):
  • Mehrere Mandanten: https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
  • Einzelner Mandant: https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
• Nur delegierter Zugriff:
  • Mehrere Mandanten: https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234
  • Einzelner Mandant: https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}

2. Konfigurieren Sie die Integration in Ihrer Organisation​

1. Wechseln Sie in Ihrer Organisation zu Administrator > Sicherheit > Authentifizierungseinstellungen > Verzeichnisintegration und einmaliges Anmelden (SSO).
2. Wählen Sie Microsoft Entra ID aus.
3. Wählen Sie eine von UiPath verwaltete Anwendung mit mehreren Mandanten (Empfohlen) aus.
4. Wählen Sie den Zugriffs-Scope aus, für den die Zustimmung erteilt wurde:
   • Delegierter Zugriff und Nur-App-Zugriff (Empfohlen): Bietet eine vollständige Gruppenauswertung, einschließlich Unattended-Automatisierungen und Service-to-Service-Szenarien (S2S).
   • Delegierter Zugriff: Beschränkt Auswertungen auf Sitzungen, in denen der Benutzer anwesend ist.
   Hinweis:

   Delegierter und reiner App-Zugriff ist nur für die Automation Cloud verfügbar. Weitere Informationen zur Verfügbarkeit von Funktionen finden Sie unter Funktionsverfügbarkeit

5. Wenn Sie Delegierter Zugriff ausgewählt haben, wird die Option Zwischengespeicherte Benutzertoken für Gruppenmitgliedschaftsprüfungen in Unattended-Automatisierungen verwenden angezeigt. Wählen Sie diese Option, um die Auswertung der Gruppenmitgliedschaft auf Unattended-Automatisierungen und S2S-Szenarien mit zwischengespeicherten Microsoft Entra ID-Tokens auszudehnen. Wenn diese Option aktiviert ist, bietet der delegierte Zugriff eine Abdeckung, die mit dem delegierten Zugriff und dem Nur-App-Zugriff vergleichbar ist, ohne dass Berechtigungen nur für Apps erforderlich sind. Weitere Informationen finden Sie unter Verwenden zwischengespeicherter Benutzertoken für Gruppenmitgliedschaftsprüfungen.
6. Wenn Sie Delegierter Zugriff und Nur-App-Zugriff ausgewählt haben, geben Sie die Verzeichnis-(Mandanten)-ID ein, die Ihr Microsoft Entra ID-Administrator zur Verfügung gestellt hat.
7. Aktivieren Sie Ich verstehe und akzeptiere, dass die Konten vorhandener Benutzer und Microsoft Entra ID-Benutzer mit übereinstimmenden E-Mail-Adressen verknüpft werden.
8. Wählen Sie Speichern aus, um die Integration zu aktivieren.

Manuelles Setup mit benutzerdefinierter Microsoft Entra ID-Anwendungsregistrierung​

Konfigurieren der Microsoft Entra-ID​

Option A: Verwenden der PowerShell-Skripte​

1. Laden Sie die Microsoft Entra ID-Konfigurationsskripte herunter.
2. Führen Sie configAzureADconnection.ps1 aus, um Ihren Entra-Mandanten automatisch einzurichten.
3. Führen Sie testAzureADappRegistration.ps1 aus, um das Setup zu überprüfen.

1. Erstellen Sie die App-Registrierung:

   1. Gehen Sie zu Microsoft Entra Admin Center > App-Registrierungen > Neue Registrierung.
   2. Legen Sie einen bevorzugten Namen fest.
   3. Wählen Sie Nur Konten in diesem Organisationsverzeichnis aus.
   4. Legen Sie den Umleitungs-URI für Ihre Plattform fest:
      • https://cloud.uipath.com/identity_/signin-oidc
      • https://govcloud.uipath.us/identity_/signin-oidc

2. Authentifizierung konfigurieren:

   1. Navigieren Sie zu Authentifizierung.
   2. Fügen Sie den folgenden Umleitungs-URI für Ihre Plattform hinzu:
      • https://cloud.uipath.com/portal_/testconnection
      • https://govcloud.uipath.us/portal_/testconnection
   3. Wählen Sie unter Implizite Gewährung und Hybridflows die Option ID-Token aus. Diese Integration nutzt den Microsoft-Hybridflow.
   4. Speichern Sie die Änderungen.

3. Tokenanforderungen hinzufügen:

   1. Gehen Sie zu Tokenkonfiguration > Optionalen Anspruch hinzufügen.
   2. Wählen Sie ID als Token-Typ aus.
   3. Wählen Sie die folgenden Ansprüche aus: family_name, given_name und upn.

   Diese Ansprüche werden verwendet, um die Benutzerinformationen bei der Anmeldung zu aktualisieren.

   4. Speichern Sie die Änderungen.

4. API-Berechtigungen festlegen:

   1. Gehen Sie zu API-Berechtigungen > Berechtigung hinzufügen.
   2. Wählen Sie Microsoft Graph aus.
   3. Unter Welchen Typ von Berechtigungen benötigt Ihre Anwendung?Wählen Sie die Berechtigungstypen basierend auf dem UiPath-Zugriffs-Scope aus, den Sie konfigurieren möchten. Bevor Sie Berechtigungen auswählen, berücksichtigen Sie Folgendes:

      • Zwar können Sie nur den Delegierten Zugriff konfigurieren, wir empfehlen jedoch die Verwendung einer Kombination aus Delegierter Zugriff und Anwendungszugriff.

      • In den folgenden Tabellen sind die erforderlichen Berechtigungen für jeden Zugriffs-Scope aufgeführt, den Sie konfigurieren möchten. Einige Berechtigungen werden in beiden Listen angezeigt, sie müssen jedoch separat hinzugefügt werden, da sich ihre Berechtigungstypen unterscheiden.

        Hinweis:

        Um Eigenschaften wie City, Job Title und Department im Automation Hub zu verwenden, ist die Berechtigung User.Read.All erforderlich.

        • Für Automation Cloud: Unabhängig vom Zugriffs-Scope, den Sie konfigurieren möchten, müssen Sie die folgenden Berechtigungen über das Menü Delegierte Berechtigungen hinzufügen:

          Microsoft Entra ID-Berechtigung	Berechtigungstypen	Zweck
          email, openid, profile, offline_access und User.Read	Delegiert	Ermöglicht Benutzern die Anmeldung mit Microsoft Entra ID und ermöglicht Automation Cloud das Abrufen von Ansprüchen in der Autorisierungsanforderung.
          User.ReadBasic.All oder User.Read.All	Delegiert	Ermöglicht Automation Cloud die Suche nach Benutzern in der Microsoft Entra-ID, das Zuweisen von Berechtigungen und das Aktualisieren von Benutzerattributen.
          GroupMember.Read.All	Delegiert	Ermöglicht Automation Cloud die Gruppenmitgliedschaft auszuwerten und verzeichnisgruppenbasierte Zugriffskontrollen zu erzwingen.

      • Wenn Sie den Zugriffs-Scope Delegierter Zugriff und Nur-App-Zugriff konfigurieren möchten, müssen Sie auch die folgenden Berechtigungen über das Menü Anwendungsberechtigungen hinzufügen:

        Microsoft Entra ID-Berechtigung	Berechtigungstypen	Zweck
        User.ReadBasic.All oder User.Read.All	Anwendung	Ermöglicht Automation Cloud die Suche nach Benutzern in der Microsoft Entra-ID, das Zuweisen von Berechtigungen und das Aktualisieren von Benutzerattributen in unbeaufsichtigten Automatisierungen.
        GroupMember.Read.All	Anwendung	Ermöglicht Automation Cloud die Gruppenmitgliedschaft auszuwerten und verzeichnisgruppenbasierte Zugriffskontrollen in Unattended-Automatisierungen zu erzwingen.

      • Verwenden Sie für Automation Cloud – Öffentlicher Sektor die folgenden Berechtigungen:

        • OpenID-Berechtigungen: email, openid, offline_access, profile.
        • Benutzerberechtigungen: User.Read, User.ReadBasic.All oder User.Read.All.
        • Gruppenberechtigungen: GroupMember.Read.All.
   4. Wählen Sie Zustimmung des Administrators für (Ihre Organisation) erteilen aus. Mit diesem Schritt kann die Anwendung auf Daten für alle Benutzer zugreifen, ohne einzelne Einwilligungsaufforderungen zu benötigen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

5. Anmeldeinformationen erstellen: Sie können entweder einen geheimen Clientschlüssel oder ein Zertifikat verwenden:

   • So erstellen Sie einen geheimen Clientschlüssel:
     1. Gehen Sie zu Zertifikate und Geheimschlüssel.
     2. Wählen Sie Neuer geheimer Clientschlüssel aus und speichern Sie dann den Geheimniswert.
   • So erstellen Sie ein Zertifikat:
     1. Öffnen Sie eine neue Registerkarte und gehen Sie zu Azure Key Vault.
     2. Erstellen eines Zertifikats:
        • Betreff: CN=uipath.com
        • Inhaltstyp: PEM
        • Maximale Größe: Weniger als 10 KB
     3. Laden Sie das Zertifikat im .pem -Format herunter. Die heruntergeladene Datei enthält zwei Abschnitte: einen BEGIN PRIVATE KEY/END PRIVATE KEY -Abschnitt, der den privaten Schlüssel enthält, und einen BEGIN CERTIFICATE/END CERTIFICATE -Abschnitt, der das öffentliche Zertifikat enthält.
     4. Öffnen Sie die .pem -Datei in einem Texteditor und kopieren Sie nur den Abschnitt zwischen BEGIN CERTIFICATE und END CERTIFICATE, einschließlich der Header- und Fußzeilen.
     5. Erstellen Sie eine neue .pem -Datei, die nur den im vorherigen Schritt kopierten Zertifikatabschnitt enthält.
     6. Wechseln Sie im Microsoft Entra-Administratorzentrum zu Zertifikate und Geheimnisse und laden Sie die in Schritt 5 erstellte .pem -Datei nur mit Zertifikat hoch. Microsoft Entra ID erfordert nur das öffentliche Zertifikat für diesen Upload – laden Sie nicht die vollständige .pem -Datei hoch enthält den privaten Schlüssel.
     7. Behalten Sie die ursprüngliche .pem -Datei bei, die in Schritt 3 heruntergeladen wurde. Die Automation Cloud-Konfiguration erfordert den vollständigen PEM-Inhalt, einschließlich der beiden Abschnitte BEGIN PRIVATE KEY/END PRIVATE KEY und BEGIN CERTIFICATE/END CERTIFICATE . Verwenden Sie für diesen Zweck nicht die in Schritt 5 erstellte reine Zertifikatsdatei.
     Warnung:

     Die Verwendung der Nur-Zertifikat-Datei (aus Schritt 5) beim Konfigurieren von Automation Cloud führt zu Authentifizierungsfehlern. Der Verbindungstest schlägt fehl, ohne dass eine Fehlermeldung auf ein Problem mit dem Zertifikatformat hinweist. Verwenden Sie die ursprüngliche .pem -Datei, die von Azure Key Vault heruntergeladen wurde und sowohl den privaten Schlüssel als auch das Zertifikat enthält.

     Hinweis:

     Die meisten Credential-Typen laufen schließlich ab. Um Probleme bei der Benutzeranmeldung zu verhindern, aktualisieren Sie die Konfiguration, bevor die Anmeldeinformationen ablaufen. Um diesen Aufwand zu vermeiden, verwenden Sie das automatisierte Setup mit der von UiPath verwalteten Microsoft Entra ID-Anwendung.

6. Sammeln Sie die folgenden Integrationsdetails und teilen Sie sie mit Ihrem Organisationsadministrator:

   • Anwendungs-ID (Client).
   • Verzeichnis-ID (Mandant)
   • Clientgeheimnis oder -zertifikat

Aktivierung der Integration in Ihrer Organisation​

1. Gehen Sie zu Admin > Sicherheit > Authentifizierungseinstellungen > Verzeichnisintegration und Single Sign-On (SSO).
2. Wählen Sie Microsoft Entra ID aus.
3. Wählen Sie Benutzerdefinierte Anwendungsregistrierungs-ID und geheimer Schlüssel aus.
4. Wählen Sie den gewünschten Zugriffs-Scope aus:
   • Delegierter Zugriff und Nur-App-Zugriff (Empfohlen): Bietet vollständige Gruppenauswertung, auch für Unattended-Automatisierungen und Service-to-Service-Szenarien (S2S).
   • Delegierter Zugriff: Beschränkt Auswertungen auf Sitzungen, in denen der Benutzer anwesend ist.
5. Wenn Sie Delegierter Zugriff ausgewählt haben, wird die Option Zwischengespeicherte Benutzertoken für Gruppenmitgliedschaftsprüfungen in Unattended-Automatisierungen verwenden angezeigt. Wählen Sie diese Option, um die Auswertung der Gruppenmitgliedschaft auf Unattended-Automatisierungen und S2S-Szenarien mit zwischengespeicherten Microsoft Entra ID-Tokens auszudehnen. Wenn diese Option aktiviert ist, bietet der delegierte Zugriff eine Abdeckung, die mit dem delegierten Zugriff und dem Nur-App-Zugriff vergleichbar ist, ohne dass Berechtigungen nur für Apps erforderlich sind. Weitere Informationen finden Sie unter Verwenden zwischengespeicherter Benutzertoken für Gruppenmitgliedschaftsprüfungen.
6. Geben Sie die folgenden Werte ein, die von Ihrem Entra ID-Administrator bereitgestellt werden:
   • Verzeichnis-ID (Mandant)
   • Anwendungs-ID (Client).
   • Clientgeheimnis oder -zertifikat:
     • Wenn Sie ein Client-Geheimnis verwenden: fügen Sie den Geheimniswert ein.
     • Wenn Sie ein Zertifikat verwenden: Fügen Sie den vollständigen Inhalt der ursprünglichen .pem -Datei ein, die von Azure Key Vault heruntergeladen wurde. Die Datei muss sowohl die Abschnitte BEGIN PRIVATE KEY/END PRIVATE KEY als auch BEGIN CERTIFICATE/END CERTIFICATE enthalten. Verwenden Sie nicht die reine Zertifikatdatei, die in das Microsoft Entra Admin Center hochgeladen wurde.
7. Aktivieren Sie Ich verstehe und akzeptiere, dass die Konten vorhandener Benutzer und Microsoft Entra ID-Benutzer mit übereinstimmenden E-Mail-Adressen verknüpft werden.
8. Wählen Sie Verbindung testen aus und melden Sie sich dann mit Ihrem Microsoft Entra ID-Konto an.
   • Eine erfolgreiche Anmeldung zeigt an, dass die Integration korrekt konfiguriert wurde.
   • Wenn die Anmeldung fehlschlägt, bitten Sie Ihren Microsoft Entra ID-Administrator, die Konfiguration zu überprüfen, und versuchen Sie es erneut.
9. Wählen Sie Speichern aus, um die Integration zu aktivieren.

1. Melden Sie sich von Ihrem lokalen Konto ab.

2. Melden Sie sich mit Ihrem Verzeichnis-Benutzerkonto mit einer der folgenden Methoden an:

   • Navigieren Sie zu Ihrer organisationsspezifischen URL für Ihre Plattform:
     • https://cloud.uipath.com/{organizationName}/
     • https://govcloud.uipath.us/{organizationName}/
   • Oder gehen Sie zur Hauptanmeldeseite und wählen Sie Mit Enterprise SSO fortfahren aus.
   Hinweis:

   Um zu bestätigen, dass Sie sich mit einem Verzeichniskonto angemeldet haben, gehen Sie zur Startseite unter:

   • https://cloud.uipath.com/{organizationName}/portal_/home
   • https://govcloud.uipath.us/{organizationName}/portal_/home

   Wenn Sie keine Warning zur Anmeldung mit einem lokalen Benutzerkonto sehen, haben Sie sich erfolgreich mit einem Verzeichnisbenutzerkonto angemeldet.

3. Navigieren Sie zu Konten und lokale Gruppen und versuchen Sie, Verzeichnisbenutzer oder Gruppen über die Microsoft Entra ID zu einer lokalen Gruppe hinzuzufügen. Microsoft Entra ID-Benutzer und -Gruppen haben eindeutige Symbole, um sie von lokalen Konten zu unterscheiden.

   Hinweis:

   Microsoft Entra ID-Benutzer und -Gruppen werden standardmäßig nicht auf den Seiten Benutzerkonten oder Lokale Gruppen aufgeführt. Sie können sie nur über die Suchfunktion finden.

Schritt 4.1: Konfigurieren von Gruppenberechtigungen​

Schritt 4.2: Migrieren vorhandener Benutzer​

• Navigieren Sie zu Ihrer organisationsspezifischen URL für Ihre Plattform:
  • https://cloud.uipath.com/{organizationName}/
  • https://govcloud.uipath.us/{organizationName}/
• Oder wählen Sie auf der Hauptanmeldeseite Mit Enterprise SSO fortfahren aus.

1. Öffnen Sie UiPath Assistant.
2. Navigieren Sie zu Einstellungen > Orchestrator-Verbindung.
3. Melden Sie sich von der aktuellen Sitzung ab.
4. Legen Sie den Verbindungstyp auf Dienst-URL fest.
5. Geben Sie die Organisation-URL für Ihre Plattform ein:
   • https://cloud.uipath.com/{organizationName}/
   • https://govcloud.uipath.us/{organizationName}/
6. Melden Sie sich mit Ihrem Microsoft Entra ID-Konto an.

Schritt 4.3: Abschaffen lokaler Konten​

• Sie übernehmen keine Verzeichnisgruppenberechtigungen.
• Sie können nicht nach Benutzern oder Gruppen aus dem Microsoft Entra ID-Verzeichnis suchen oder diese zuweisen.

Einschränken des Zugriffs auf bestimmte Benutzer​

1. Gehen Sie im Microsoft Entra Admin Center zu der Anwendung, die Sie für die Integration in Schritt 2: Konfigurieren der Microsoft Entra ID-Integration erstellt haben.
2. Gehen Sie zu Enterprise-Anwendungen > Eigenschaften.
3. Setzen Sie Benutzerzuweisung erforderlich? auf Ja.
4. Weisen Sie unter Benutzer und Gruppen die Benutzer oder Gruppen zu, die Zugriff haben sollten.

Implementieren von Netzwerkbeschränkungen​

• Netzwerkspeicherort (z. B. nur Unternehmensnetzwerk)
• Gerätecompliance
• Risikostufe

Verwalten von privilegiertem Zugriff​

• Aktivieren Sie Privileged Identity Management (PIM) in Microsoft Entra ID.
• Konfigurieren Sie Just-in-Time-Zugriffs- und Genehmigungsworkflows.
• Richten Sie regelmäßige Zugriffsüberprüfungen ein, um Mitgliedschaft und Berechtigungen zu validieren.

Was ändert sich für meine Benutzer nach der Integration?​

• Gehen Sie zur organisationsspezifischen URL für Ihre Plattform:
  • https://cloud.uipath.com/{organizationName}/
  • https://govcloud.uipath.us/{organizationName}/
• Wählen Sie auf der Haupt-Anmeldeseite Weiter mit Enterprise SSO aus.

Warum kann ich nach dem Konfigurieren der Integration nicht nach Benutzern oder Gruppen suchen?​

Muss ich die Berechtigungen neu zuweisen?​

Welche Microsoft Entra ID-Attribute werden Benutzerkonten im UiPath-Verzeichnis zugeordnet und wann werden sie aktualisiert?​

Wie schnell werden Änderungen der Microsoft Entra ID-Gruppenmitgliedschaft angewendet?​

Kann ich nach der Integration wieder zu lokalen Konten zurückkehren?​

1. Laden Sie die lokalen Benutzerkonten erneut ein.
2. Migrieren Sie alle verzeichnisgruppenbasierten Berechtigungen, um Zuweisungen auf die entsprechenden lokalen Konten zu verteilen.
3. Bitten Sie Benutzer, sich abzumelden und dann mit ihrem lokalen Benutzerkonto anzumelden.

Kann ich von der Microsoft Entra ID-Integration zur SAML-Integration migrieren?​

Warum verwendet die Integration den hybriden OAuth 2.0-Autorisierungscode-Gewährungsablauf der Microsoft Entra ID?​