- Erste Konfiguration
- Hostadministration
- Organisationsadministration
- Konten und Rollen
- Lizenzierung
- Benachrichtigungen
Konfigurieren von Authentifizierung und Sicherheit
Als Organisationsadministrator können Sie die Authentifizierung und die damit verbundenen Sicherheitseinstellungen für Ihre Organisation festlegen. Einige Einstellungen werden von der Hostebene übernommen; Sie können sie aber überschreiben, wenn für Ihre Organisation andere Einstellungen gelten sollen.
Dieser Artikel führt Sie durch die Schritte zum Konfigurieren von Einstellungen auf Organisationsebene, d. h. Einstellungen, die für eine Organisation gelten. Wenn Sie globale Authentifizierungs- und Sicherheitseinstellungen konfigurieren möchten, siehe Dokumentation zu Host-Authentifizierungseinstellungen.
Die Auswahl des Identitätsanbieters für Ihre Organisation wirkt sich darauf aus, wie sich Benutzer anmelden und wie Benutzer- und Gruppenkonten für die Automation Suite erstellt und verwaltet werden.
Wir bieten Ihnen mehrere Authentifizierungseinstellungen, um den Zugriff auf Ihre Instanz von Automation Suite zu steuern; diese basieren jedoch alle auf zwei Hauptmodellen: Dem Standardmodell und dem Azure Active Directory-Modell (Azure AD), mit denen Sie erweiterte Identitätsverwaltungsfunktionen nutzen können.
Jedem Benutzer erlauben, sich mit der Standardauthentifizierung anzumelden (Standardmodell)
Bei diesem Modell erstellen Organisationsadministratoren Benutzerkonten für Mitarbeiter in der Automation Suite, damit sie sich anmelden können.
Die erstellten Konten können ein lokales Konto in der Automation Suite oder einen Benutzer im externen Verzeichnisanbieter darstellen, der auf Hostebene konfiguriert ist (wie in Hostauthentifizierungs- und Sicherheitseinstellungen dokumentiert).
Aktivieren von Enterprise SSO mit Microsoft Azure Active Directory (Azure Active Directory-Modell)
Die Integration mit dem Azure Active Directory (Azure AD) kann eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation bieten und ermöglicht die Compliance für alle internen Anwendungen, die von Ihren Mitarbeitern genutzt werden. Wenn Ihre Organisation Azure AD oder Office 365 verwendet, können Sie Ihre Automation Suite-Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
Automatisches Benutzer-Onboarding mit nahtloser Migration:
- Alle Benutzer und Gruppen von Azure AD sind für jeden Automation Suite-Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Azure AD-Benutzer im Automation Suite-Organisationsverzeichnis eingeladen und verwaltet werden müssen.
- Sie können das einmalige Anmelden für Benutzer bereitstellen, deren Unternehmensbenutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit UiPath®-Benutzerkonten werden automatisch zu ihrem verbundenen Azure AD-Konto migriert.
Vereinfachte Anmeldung:
-
Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Automation Suite-Organisation zugreifen zu können, wie im Standardmodell. Sie melden sich mit ihrem Azure AD-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden.
Wenn der Benutzer bereits bei Azure AD oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Automation Suite-URL vorkonfiguriert werden, was zu derselben nahtlosen Verbindungserfahrung führt.
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Azure AD-Gruppen:
- Mit Azure AD-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Umfang zu verwalten. Sie müssen keine Berechtigungen mehr in Automation Suite-Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Gruppe der Automation Suite kombinieren, wenn Sie sie zusammen verwalten müssen.
-
Es ist einfach, den Zugriff auf die Automation Suite zu prüfen. Nachdem Sie Berechtigungen in allen Automation Suite-Diensten mithilfe von Azure AD-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Azure AD-Gruppenmitgliedschaft in Verbindung stehen.
Wenn Sie das Azure Active Directory als Identitätsanbieter für Ihre Organisation verwenden möchten, befolgen Sie die Anweisungen unter Einrichten der Azure AD-Integration.
SAML-Modell
Mit diesem Modell können Sie die Automation Suite mit Ihrem ausgewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von der einmaligen Anmeldung (SSO) profitieren können und
- Sie können vorhandene Konten aus Ihrem Verzeichnis in der Automation Suite verwalten, ohne Identitäten neu erstellen zu müssen.
Die Automation Suite kann eine Verbindung mit jedem externen Identitätsanbieter herstellen, der den SAML 2.0-Standard verwendet.
Vorteile
Automatisches Benutzer-Onboarding zur Automation Suite:
Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich mit grundlegenden Rechten bei der Automation Suite anzumelden, wenn die SAML-Integration aktiv ist. Das bedeutet:
- Benutzer können sich über SSO bei Ihrer Automation Suite-Organisation anmelden, indem sie ihr vorhandenes Unternehmenskonto verwenden, wie im IdP definiert.
-
Ohne weitere Einstellungen werden sie Mitglieder der Benutzergruppe „Everyone“, wodurch sie standardmäßig die Rolle Benutzerorganisation erhalten. Zum Arbeiten in der Automation Suite benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
Wenn Sie den Zugriff auf nur einige Ihrer Benutzer beschränken müssen, können Sie die Gruppe von Benutzern definieren, die in Ihrem Identitätsanbieter auf die Automation Suite zugreifen dürfen.
Benutzerverwaltung:
Sie können Benutzer hinzufügen, indem Sie sie direkt Automation Suite-Gruppen zuweisen. Dazu müssen Sie nur ihre E-Mail-Adresse eingeben, wenn Sie Benutzer zur Gruppe hinzufügen.
In der Regel verwalten Administratoren lokale Konten über die Registerkarte „Administrator“ > „Konten und Gruppen“ > „Benutzer“. SAML-Benutzer sind jedoch Verzeichniskonten in der Automation Suite, sodass sie auf dieser Seite nicht sichtbar sind.
Nachdem ein Benutzer einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Jeder“ hinzugefügt wird), steht er in der Suche in allen Diensten der Automation Suite für die direkte Rollen- oder Lizenzzuweisung zur Verfügung.
Attributzuordnung:
Wenn Sie den UiPath Automation Hub verwenden, können Sie eine benutzerdefinierte Attributzuordnung definieren, um Attribute von Ihrem Identitätsanbieter in die Automation Suite zu übertragen. Wenn beispielsweise ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind der Vorname, der Nachname, die E-Mail-Adresse, die Berufsbezeichnung und die Abteilung des Benutzers bereits ausgefüllt.
Einrichten
Administratoren können die SAML-Integration für Ihre gesamte Organisation konfigurieren und aktivieren.
Anweisungen finden Sie unter Konfigurieren der SAML-Integration.
Übergang von der Azure AD-Integration zur SAML-Integration
Nach dem Wechsel zur SAML-Integration ist die Azure AD-Integration deaktiviert. Azure AD-Gruppenzuweisungen gelten nicht mehr, sodass die Automation Suite-Gruppenmitgliedschaft und die von Azure AD geerbten Berechtigungen nicht mehr berücksichtigt werden.
Die Standardauthentifizierung oder einfache Anmeldung bezieht sich auf die Anmeldung mit dem Benutzernamen und dem Kennwort eines lokalen Kontos.
Wenn die Standardauthentifizierung eingeschränkt ist, können sich Ihre Benutzer nur mit ihrem Verzeichniskonto anmelden, wie im externen Identitätsanbieter definiert. Andernfalls können sich Benutzer sowohl mit ihren lokalen Konten (sofern vorhanden) als auch mit ihren Verzeichniskonten anmelden.
Weitere Informationen zu dieser Einstellung finden Sie auch unter Konfigurationsstufen und Vererbung.
Festlegen der einfachen Authentifizierung auf Organisationsebene
Wenn sie auf Organisationsebene festgelegt ist, gilt die Einstellung für alle Konten in der Organisation.
Für Ausnahmen kann die einfache Authentifizierung auch auf Kontoebene festgelegt werden, bei der diese Einstellung anders angewendet werden soll.
So erlauben oder beschränken Sie die einfache Authentifizierung für Ihre Organisation:
- Melden Sie sich beim Verwaltungsportal auf Organisationsebene unter
https://<server>/identity/management
als Organisationsadministrator an. - Wechseln Sie zu Administrator und stellen Sie sicher, dass die Organisation oben im linken Bereich ausgewählt ist.
-
Klicken Sie auf Sicherheit.
Die Seite Sicherheitseinstellungen für die Organisation wird auf der Registerkarte Authentifizierungseinstellungen geöffnet.
-
Klicken Sie auf den Umschalter Einfache Anmeldung, um die Anmeldung mit der einfachen Authentifizierung einzuschränken oder zuzulassen:
- Wenn diese Option aktiviert ist (rechte Umschaltposition, blauer Umschalter), ist die Standardauthentifizierung zulässig.
- Wenn diese Option aktiviert ist (linke Umschaltposition, grauer Umschalter), ist die Standardauthentifizierung eingeschränkt.
- Klicken Sie rechts unten auf Speichern, um Ihre Änderungen zu übernehmen.
Um die Einstellungen zur Kennwortkomplexität für lokale Benutzer in Ihrer Organisation zu konfigurieren, wechseln Sie zu Administrator > Organisation > Sicherheit und klicken Sie unter Einfache Anmeldung auf Kennwortrichtlinie bearbeiten.
Feld |
Beschreibung |
---|---|
Sonderzeichen |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens ein Sonderzeichen in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen deaktiviert. |
Kleinbuchstaben |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens einen Kleinbuchstaben in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen aktiviert. |
Großbuchstaben |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens einen Großbuchstaben in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen deaktiviert. |
Ziffern |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens eine Ziffer in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen aktiviert. |
Mindestlänge des Kennworts |
Geben Sie die Mindestanzahl von Zeichen an, die ein Kennwort enthalten soll. Standardmäßig sind es 8 Zeichen. Es können nicht weniger als 1 bzw. mehr als 256 Zeichen sein. |
Tage vor Ablauf des Kennworts |
Geben Sie die Anzahl der Tage an, für die das Kennwort verfügbar ist. Nach diesem Zeitraum läuft das Kennwort ab und muss geändert werden. Der akzeptierte Mindestwert ist 0 (das Kennwort läuft nie ab), das Maximum beträgt 1000 Tage. |
Wie oft ein Kennwort wiederverwendet werden kann |
Der akzeptierte Mindestwert ist 0 (keine Wiederverwendung eines Kennworts zulassen), während der Höchstwert 10 ist. |
Kennwort bei der ersten Anmeldung ändern |
Wenn Erforderlich festgelegt ist, müssen Benutzer, die sich zum ersten Mal anmelden, ihr Kennwort ändern, bevor sie auf die Automation Suite zugreifen können. Wenn Nicht erforderlichfestgelegt ist, können sich Benutzer anmelden und das vom Administrator definierte Kennwort weiterhin verwenden, bis es abläuft. |
Um die Einstellungen für die Kontosperrung für lokale Benutzer in Ihrer Organisation zu konfigurieren, wechseln Sie zu Administrator > Organisation > Sicherheit und klicken Sie unter Einfache Anmeldung auf Kennwortrichtlinie bearbeiten.
Feld |
Beschreibung |
---|---|
Umschalter „Aktiviert“ oder „ Deaktiviert “ |
Wenn diese Option aktiviert ist, wird das Konto nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche für eine bestimmte Anzahl von Sekunden gesperrt. Dies gilt auch für die Funktion zur Kennwortänderung. |
Dauer der Kontosperrung |
Die Anzahl der Sekunden, die ein Benutzer warten muss, bevor er sich erneut anmelden darf, nachdem er die Anzahl der aufeinanderfolgenden Anmeldeversuche vor der Sperrungüberschritten hat. Der Standardwert ist 5 Minuten. Der akzeptierte Mindestwert ist 0 (keine Sperrdauer) und der Höchstwert 2592000 (1 Monat). |
Aufeinanderfolgende Anmeldeversuche vor der Sperrung |
Die Anzahl der fehlgeschlagenen Anmeldeversuche, die erlaubt sind, bevor das Konto gesperrt wird. Der Standardwert beträgt 10 Versuche. Sie können einen Wert zwischen 2 und 10 festlegen. |