- Erste Schritte
- Über die Automation Suite
- Erste Schritte mit der Plattform
- Erkunden der Benutzeroberfläche
- Verwalten von Benutzereinstellungen
- Grundlegendes zu Authentifizierungsmodellen
- Softwareanforderungen
- Hostverwaltung
- Organisationen
- Mandanten und Dienste
- Authentifizierung und Sicherheit
- Lizenzierung
- Konten und Rollen
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Fehlersuche und ‑behebung
Automation Suite-Administratorhandbuch
Grundlegendes zu Authentifizierungsmodellen
Lokale Benutzerkonten repräsentieren das Konto eines jeden Benutzers und sind intern in der Automation Suite. In diesem Modell fügt ein Organisationsadministrator der Organisation neue Benutzer hinzu. Es eignet sich für Szenarien, in denen Sie die vollständige Kontrolle über die Benutzerverwaltung innerhalb der Automation Suite wünschen.
In UiPath sind SSO-Einstellungen Bestimmungen, die sowohl auf Hostebene als auch auf Organisationsebene implementiert werden können.
SSO-Einstellungen auf Hostebene werden für alle Organisationen verwendet, die an den Host gebunden sind. Das bedeutet, dass alle SSO-Einstellungen, die Sie auf dieser Ebene anpassen, auf jede Organisation unter dem Hosting angewendet werden.
Zu den SSO-Einstellungen, die auf Hostebene verwaltet werden können, gehören die einfache Anmeldung, Google SSO, Azure AD SSO, Active Directory und SAML SSO. Bestimmte Einstellungen, z. B. die einfache Anmeldung, können auf Organisationsebene überschrieben werden.
Dieses Modell ist mit dem Verzeichniskontenmodell kompatibel.
Das Verzeichniskontenmodell basiert auf einem Verzeichnis eines Drittanbieters, das Sie in die UiPath Platform integrieren. Auf diese Weise können Sie das etablierte Identitätsschema Ihres Unternehmens wiederverwenden. Verzeichniskonten werden in einem Verzeichnis erstellt und verwaltet, das sich außerhalb der UiPath-Plattform befindet; Sie werden nur in der UiPath Platform referenziert und als Identitäten verwendet.
In UiPath können Verzeichnisintegrationsmodelle sowohl auf Host- als auch auf Organisationsebene konfiguriert werden.
-
Auf Hostebene umfassen die Verzeichnisintegrationsoptionen SAML 2.0 und Active Directory. Diese Einstellungen werden konsistent auf alle Organisationen unter dem Host angewendet.
-
Auf Organisationsebene ermöglicht UiPath Organisationsadministratoren, die Einstellungen auf Hostebene mithilfe von SAML 2.0 und der Azure Active Directory (AAD)-Integration zu überschreiben.
Active Directory ist für die meisten Unternehmen für die Koordinierung von Authentifizierungs- und Zugriffsverwaltungsrichtlinien unerlässlich. Beim Aufbau der Verzeichnisintegration dient Ihr Identitätsanbieter als Single Source of Truth für Benutzeridentitäten.
Da Einstellungen sowohl auf Host- als auch auf Organisationsebene möglich sind, bietet das Verzeichnismodell von UiPath ein ausgewogenes Verhältnis von Konsistenz und Flexibilität. Sie ermöglicht die Verwendung von einheitlichen Verzeichnisintegrationsdiensten auf dem gesamten Host und bietet bei Bedarf auch benutzerdefinierte Einstellungen auf Organisationsebene.
Active Directory ist für die meisten Unternehmen bei der Koordinierung von Authentifizierungs- und Zugriffsverwaltungsrichtlinien unerlässlich. Beim Einrichten der Verzeichnisintegration dient Ihr Identitätsanbieter (IDP) als einzige Quelle der Wahrheit für Benutzeridentitäten.
Die Auswahl des Identitätsanbieters für Ihre Organisation wirkt sich darauf aus, wie sich Benutzer anmelden und wie Benutzer- und Gruppenkonten erstellt und verwaltet werden. In der Automation Suite können Administratoren die Authentifizierung und die zugehörigen Sicherheitseinstellungen entweder global für alle Organisationen gleichzeitig oder pro Organisation auswählen.
|
| Azure AD-Hostebene | Azure AD-Organisationsebene | SAML Host-Ebene | SAML-Organisationsebene |
|---|---|---|---|---|
|
Verzeichnisintegration |
Nein |
Ja |
Nein |
Ja |
|
Automatische Bereitstellung |
Ja |
Ja |
Nein |
Ja |
|
Automatische Gruppenbereitstellung |
Nein |
Nein |
Nein |
Ja |
Mit der Automation Suite können Sie einen externen Identitätsanbieter konfigurieren, um zu steuern, wie sich Ihre Benutzer anmelden. Diese Einstellungen gelten für alle Organisationen.
Die folgende Tabelle gibt einen Überblick über die verschiedenen verfügbaren externen Anbieter auf Hostebene:
|
Integration externer Anbieter |
Authentication |
Verzeichnissuche |
Bereitstellungen durch Administratoren |
|---|---|---|---|
|
Active Directory- und Windows-Authentifizierung |
Administratoren können SSO mit Windows-Authentifizierung mit dem Kerberos-Protokoll verwenden. |
Administratoren können im Active Directory nach Benutzern suchen. |
Damit sich ein Benutzer anmelden kann, sollte der Benutzer oder eine Gruppe, der der Benutzer angehört, bereits zur UiPath Platform hinzugefügt worden sein. Active Directory-Benutzer und -Gruppen sind über die Verzeichnissuche auf der UiPath Platform zu finden. |
|
Azure Active Directory |
Administratoren können SSO mit Azure AD mit dem OpenID Connect-Protokoll verwenden. |
Nicht unterstützt |
Benutzer müssen manuell in der UiPath-Organisation mit einer E-Mail-Adresse bereitgestellt werden, die ihrem Azure AD-Konto entspricht. |
|
|
Benutzer können SSO mit Google mithilfe des OpenID Connect-Protokolls verwenden. |
Nicht unterstützt |
Benutzer müssen manuell in der UiPath-Organisation mit einer E-Mail-Adresse bereitgestellt werden, die ihrem Google-Konto entspricht. |
|
SAML 2.0 |
Benutzer können SSO mit jedem Identitätsanbieter verwenden, der SAML unterstützt |
Nicht unterstützt |
Benutzer müssen manuell in der UiPath-Organisation mit Benutzername/E-Mail/Schlüssel des externen Anbieters (wie in der Konfiguration des externen Identitätsanbieters konfiguriert) bereitgestellt werden, die mit ihrem SAML-Konto übereinstimmen. |
Azure Active Directory-Modell
Die Integration mit Azure Active Directory (Azure AD) bietet eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation, die Compliance für alle internen Anwendungen ermöglicht, die von Ihren Mitarbeitern verwendet werden. Wenn Ihre Organisation Azure AD oder Office 365 verwendet, können Sie Ihre Automation Suite direkt mit Ihrem Azure AD-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen von Azure AD sind für jeden Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Azure AD-Benutzer im Organisationsverzeichnis eingeladen und verwaltet werden müssen.
- Sie können SSO für Benutzer bereitstellen, deren Unternehmensbenutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit UiPath®-Benutzerkonten werden automatisch zu ihrem verbundenen Azure AD-Konto migriert.
Vereinfachte Anmeldung
-
Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Organisation zugreifen zu können, wie im Standardmodell. Sie melden sich mit ihrem Azure AD-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden.
Wenn der Benutzer bereits bei Azure AD oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant und Studio Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Automation Suite-URL vorkonfiguriert werden, was zu demselben nahtlosen Verbindungserlebnis führt.
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Azure AD-Gruppen
- Mit Azure AD-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Umfang zu verwalten. Sie müssen keine Berechtigungen mehr in Automation Suite -Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Gruppe der Automation Suite kombinieren, wenn Sie sie zusammen verwalten müssen.
-
Es ist einfach, den Zugriff auf die Automation Suite zu prüfen. Nachdem Sie Berechtigungen in allen Orchestrator-Diensten mithilfe von Azure AD-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Azure AD-Gruppenmitgliedschaft in Verbindung stehen.
Hinweis: Bei Nutzung des Azure AD-Modells können Sie weiterhin alle Funktionen des Standard-Modells verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung von Azure AD zu verlassen.Wenn Sie das Azure Active Directory als Identitätsanbieter für Ihre Organisation verwenden möchten, befolgen Sie die Anweisungen unter Einrichten der Azure AD-Integration.
SAML-Modell
Mit diesem Modell können Sie die Automation Suite mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von SSO profitieren können und
- Sie bestehende Konten aus Ihrem Verzeichnis in der Automation Suite verwalten können, ohne Identitäten neu erstellen zu müssen.
Die Automation Suite kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet, um die folgenden Vorteile zu erhalten:
Automatisches Onboarding von Benutzern
Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Das bedeutet:
- Benutzer können sich bei Ihrer Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einstellungen können sie standardmäßig auf die Organisation zugreifen. Zum Arbeiten in der Organisation benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
Protokolle
Sie können Benutzer durch direkte Zuweisung zu Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.
In der Regel verwalten Administratoren lokale Konten über die Registerkarte „Administrator“ > „Organisation“ > „Konten und Gruppen“ > „ Benutzer“ . SAML-Benutzer sind jedoch Verzeichniskonten, sodass sie auf dieser Seite nicht sichtbar sind.
Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen Diensten für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
Attributzuordnung
Beim Verwenden des UiPath Automation Hub können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter in die Automation Suite zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.
Einrichten
Administratoren können die SAML-Integration für Ihre gesamte Organisation über Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen konfigurieren und aktivieren.
Anweisungen finden Sie unter .
Übergang von der Azure AD-Integration zur SAML-Integration
Nach dem Wechsel zur SAML-Integration ist die Azure AD-Integration deaktiviert. Die Gruppenzuweisungen von Azure AD gelten nicht mehr, so dass die Gruppenmitgliedschaft des Orchestrators und die von Azure AD geerbten Berechtigungen nicht mehr berücksichtigt werden.
