- Erste Schritte
- Über die Automation Suite
- Erste Schritte mit der Plattform
- Erkunden der Benutzeroberfläche
- Grundlegendes zu Authentifizierungsmodellen
- Softwareanforderungen
- Hostverwaltung
- Organisationen
- Mandanten und Dienste
- Authentifizierung und Sicherheit
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Flex: Lizenzierungsplan-Framework
- Aktivieren Ihrer Lizenz
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Konten und Rollen
- Externe Anwendungen
- Tests in Ihrer Organisation
- AI Trust Layer
- Benachrichtigungen
- Protokollierung
- Fehlersuche und ‑behebung
Automation Suite-Administratorhandbuch
Grundlegendes zu Authentifizierungsmodellen
Das lokale Kontenmodell
Lokale Benutzerkonten repräsentieren das Konto eines jeden Benutzers und sind innerhalb der Automation Suite. In diesem Modell fügt ein Organisationsadministrator der Organisation neue Benutzer hinzu. Sie eignet sich für Szenarien, in denen Sie die vollständige Kontrolle über die Verwaltung der Benutzer innerhalb der Automation Suite wünschen.
In UiPath sind SSO-Einstellungen Bestimmungen, die sowohl auf Hostebene als auch auf Organisationsebene implementiert werden können.
SSO-Einstellungen auf Hostebene werden für alle Organisationen verwendet, die an den Host gebunden sind. Das bedeutet, dass alle SSO-Einstellungen, die Sie auf dieser Ebene anpassen, auf jede Organisation unter dem Hosting angewendet werden.
Zu den SSO-Einstellungen, die auf Hostebene verwaltet werden können, gehören einfache Anmeldung, Google-SSO, Microsoft Entra ID-SSO, Active Directory und SAML-SSO. Bestimmte Einstellungen, wie z. B. die einfache Anmeldung, können auf Organisationsebene überschrieben werden.
Dieses Modell ist mit dem Verzeichniskontenmodell kompatibel.
Das Verzeichniskontenmodell
Das Verzeichniskontenmodell basiert auf einem Verzeichnis eines Drittanbieters, das Sie in die UiPath Platform integrieren. Auf diese Weise können Sie das etablierte Identitätsschema Ihres Unternehmens wiederverwenden. Verzeichniskonten werden in einem Verzeichnis erstellt und verwaltet, das sich außerhalb der UiPath-Plattform befindet; Sie werden nur in der UiPath Platform referenziert und als Identitäten verwendet.
In UiPath können Verzeichnisintegrationsmodelle sowohl auf Host- als auch auf Organisationsebene konfiguriert werden.
- Auf Hostebene umfassen die Verzeichnisintegrationsoptionen SAML 2.0 und Active Directory. Diese Einstellungen werden konsistent auf alle Organisationen unter dem Host angewendet.
- Auf Organisationsebene ermöglicht UiPath Organisationsadministratoren, die Einstellungen auf Hostebene mithilfe von SAML 2.0 und der Microsoft Entra ID-Integration zu überschreiben.
Active Directory ist für die meisten Unternehmen für die Koordinierung von Authentifizierungs- und Zugriffsverwaltungsrichtlinien unerlässlich. Beim Aufbau der Verzeichnisintegration dient Ihr Identitätsanbieter als Single Source of Truth für Benutzeridentitäten.
Da Einstellungen sowohl auf Host- als auch auf Organisationsebene möglich sind, bietet das Verzeichnismodell von UiPath ein ausgewogenes Verhältnis von Konsistenz und Flexibilität. Sie ermöglicht die Verwendung von einheitlichen Verzeichnisintegrationsdiensten auf dem gesamten Host und bietet bei Bedarf auch benutzerdefinierte Einstellungen auf Organisationsebene.
Authentifizierungsstufen und Vererbung
Die Auswahl des Identitätsanbieters für Ihre Organisation wirkt sich auf die Art und Weise aus, wie Benutzer- und Gruppenkonten erstellt und verwaltet werden. In der Automation Suite können Administratoren die Authentifizierung und die zugehörigen Sicherheitseinstellungen entweder global (Hostebene) für alle Organisationen gleichzeitig oder für jede Organisation festlegen:
- Globale Authentifizierungseinstellungen (Hostebene): Als Systemadministrator können Sie die Authentifizierung und die zugehörigen Standard-Sicherheitseinstellungen für Ihre Installation auf Hostebene auswählen. Wir nennen diese Hostauthentifizierung und Sicherheitseinstellungen und sie werden standardmäßig von allen Organisationen geerbt.
- Authentifizierungseinstellungen auf Organisationsebene: Als Organisationsadministrator können Sie die Authentifizierung und die damit verbundenen Sicherheitseinstellungen für Ihre Organisation festlegen. Einige Einstellungen werden von der Hostebene übernommen; Sie können sie aber überschreiben, wenn für Ihre Organisation andere Einstellungen gelten sollen. Erfahren Sie, wie Sie Authentifizierungs- und Sicherheitseinstellungen auf Organisationsebene konfigurieren.
In der folgenden Tabelle werden die Authentifizierung und die zugehörigen Sicherheitseinstellungen für Hostebenen für alle Organisationen gleichzeitig oder für jede Organisation beschrieben:
| Authentifizierungseinstellungen | Microsoft Entra ID-Hostebene | Microsoft Entra ID Organisationsebene | SAML Host-Ebene | SAML-Organisationsebene |
|---|---|---|---|---|
| Einmaliges Anmelden | Ja | Ja | Ja | Ja |
| Automatische Just-in-Time-Benutzerbereitstellung | Nein | Ja | Nein | Ja |
| Automatische Just-in-Time-Bereitstellungsregeln auf Basis von Ansprüchen | Nein | Nein | Nein | Ja |
| Verzeichnisintegration zur Suche nach Benutzern und Gruppen | Nein | Ja | Nein | Nein |
Globale Authentifizierungseinstellungen (Hostebene)
Mit der Automation Suite können Sie einen externen Identitätsanbieter konfigurieren, um zu steuern, wie sich Ihre Benutzer anmelden. Diese Einstellungen gelten für alle Organisationen.
Die folgende Tabelle gibt einen Überblick über die verschiedenen verfügbaren externen Anbieter auf Hostebene:
| Integration externer Anbieter | Authentication | Verzeichnissuche | Bereitstellungen durch Administratoren |
|---|---|---|---|
| Active Directory- und Windows-Authentifizierung | Administratoren können SSO mit Windows-Authentifizierung mit dem Kerberos-Protokoll verwenden. | Administratoren können im Active Directory nach Benutzern suchen. | Damit sich ein Benutzer anmelden kann, sollte der Benutzer oder eine Gruppe, der der Benutzer angehört, bereits zur UiPath Platform hinzugefügt worden sein. Active Directory-Benutzer und -Gruppen sind über die Verzeichnissuche auf der UiPath Platform zu finden. |
| Microsoft Entra ID | Administratoren können SSO mit Microsoft Entra ID mithilfe des Protokolls OpenID Connect verwenden. | Nicht unterstützt | Benutzer müssen manuell der UiPath-Organisation hinzugefügt werden, wobei die E-Mail-Adresse ihrem Microsoft Entra-ID-Konto entsprechen muss. |
| Benutzer können SSO mit Google mithilfe des OpenID Connect-Protokolls verwenden. | Nicht unterstützt | Benutzer müssen manuell in der UiPath-Organisation mit einer E-Mail-Adresse bereitgestellt werden, die ihrem Google-Konto entspricht. | |
| SAML 2.0 | Benutzer können SSO mit jedem Identitätsanbieter verwenden, der SAML unterstützt | Nicht unterstützt | Benutzer müssen manuell in der UiPath-Organisation mit Benutzername/E-Mail/Schlüssel des externen Anbieters (wie in der Konfiguration des externen Identitätsanbieters konfiguriert) bereitgestellt werden, die mit ihrem SAML-Konto übereinstimmen. |
Unterschiede zwischen der Integration von Microsoft Entra ID auf Host- und Organisationsebene: Die Funktion auf Hostebene ermöglicht nur SSO. Die Microsoft Entra ID-Integration auf Organisationsebene ermöglicht SSO, Verzeichnissuche und automatische Benutzerbereitstellung.
Organisationsauthentifizierung
Microsoft Entra ID-Modell
Die Integration mit Microsoft Entra ID bietet eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation und ermöglicht die Compliance für alle internen Anwendungen, die von Ihren Mitarbeitern genutzt werden. Wenn Ihre Organisation Microsoft Entra ID oder Office 365 verwendet, können Sie Ihre Automation Suite direkt mit Ihrem Microsoft Entra ID-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen aus Microsoft Entra ID sind für jeden Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Microsoft Entra ID-Benutzer im Organisationsverzeichnis eingeladen und verwaltet werden müssen.
- Sie können SSO für Benutzer bereitstellen, deren Unternehmensbenutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit UiPath®-Benutzerkonten werden automatisch zu ihrem verbundenen Microsoft Entra ID-Konto migriert.
Vereinfachte Anmeldung
- Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Organisation zugreifen zu können, wie im Standardmodell. Sie melden sich mit ihrem Microsoft Entra ID-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden. Wenn der Benutzer bereits bei Microsoft Entra ID oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Automation SuiteURL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Microsoft Entra-ID-Gruppen
- Mit Microsoft Entra ID-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Maßstab zu verwalten. Sie müssen keine Berechtigungen mehr in Automation Suite-Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Gruppe der Automation Suite kombinieren, wenn Sie sie zusammen verwalten müssen.
- Es ist einfach, den Zugriff auf die Automation Suite zu prüfen. Nachdem Sie Berechtigungen in allen Orchestrator-Diensten mithilfe von Microsoft Entra ID-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Microsoft Entra ID-Gruppenmitgliedschaft in Verbindung stehen.
Hinweis:
Bei Nutzung des Microsoft Entra ID-Modells können Sie weiterhin alle Funktionen des Standard-Modells verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung von Microsoft Entra ID zu verlassen.
Wenn Sie Microsoft Entra ID als Identitätsanbieter für Ihre Organisation verwenden möchten, befolgen Sie die Anweisungen unter Einrichten der Microsoft Entra ID-Integration.
SAML-Modell
Mit diesem Modell können Sie die Automation Suite mit Ihrem ausgewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von SSO profitieren können und
- Sie können vorhandene Konten aus Ihrem Verzeichnis in der Automation Suite verwalten, ohne Identitäten neu erstellen zu müssen.
Die Automation Suite kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0-Standard verwendet, um die folgenden Vorteile zu erhalten:
Automatisches Onboarding von Benutzern
Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Das bedeutet:
- Benutzer können sich bei Ihrer Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einstellungen können sie standardmäßig auf die Organisation zugreifen. Zum Arbeiten in der Organisation benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
Protokolle
Sie können Benutzer durch direkte Zuweisung zu Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.
In der Regel verwalten Administratoren lokale Konten über „Administrator“ > „Organisation“ > „Konten und Gruppen“ > Registerkarte „Benutzer“ . SAML-Benutzer sind jedoch Verzeichniskonten, sodass sie auf dieser Seite nicht sichtbar sind.
Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen Diensten für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
Attributzuordnung
Wenn Sie den UiPath Automation Hub verwenden, können Sie eine benutzerdefinierte Attributzuordnung definieren, um Attribute von Ihrem Identitätsanbieter in die Automation Suite zu übertragen. Wenn beispielsweise ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind der Vorname, der Nachname, die E-Mail-Adresse, die Berufsbezeichnung und die Abteilung des Benutzers bereits ausgefüllt.
Einrichten
Administratoren können die SAML-Integration für Ihre gesamte Organisation über Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen konfigurieren und aktivieren.
Übergang von der Microsoft Entra ID-Integration zur SAML-Integration
Nach dem Wechsel zur SAML-Integration ist die Microsoft Entra ID-Integration deaktiviert. Die Gruppenzuweisungen der Microsoft Entra ID gelten nicht mehr, so dass die Gruppenmitgliedschaft Orchestrator und die von der Microsoft Entra ID geerbten Berechtigungen nicht mehr berücksichtigt werden.