- Erste Schritte
- Best Practices
- Mandant
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Hostverwaltung
- Über die Hostebene
- Verwalten von Systemadministratoren
- Verwalten von Mandanten
- Konfigurieren von System-E-Mail-Benachrichtigungen
- Prüfungsprotokolle für das Hostportal
- Wartungsmodus
- Organisationsadministration
- Fehlersuche und ‑behebung
Orchestrator-Anleitung
Einrichten der Azure-AD-Integration
Wenn die Azure Active Directory-Integration auf Hostebene aktiv ist (auf der Anmeldeseite wird AzureAD als Option angezeigt), können Sie sie nicht auf Mandantenebene einrichten.
Wenn Ihr Unternehmen Azure Active Directory (Azure AD) oder Office 365 verwendet, können Sie Ihre Orchestrator-Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um Ihre vorhandenen Verzeichniskonten und Gruppen in Ihrer UiPath-Umgebung anzuzeigen.
Mit der Azure AD-Integration können Sie das lokale Benutzermodell weiterhin nutzen und Ihre Organisation mit den zusätzlichen Vorteilen der Verwendung von Azure AD ausstatten.
Wenn Sie sich entschieden haben, Azure AD für Ihre Organisation zu verwenden, befolgen Sie die Anweisungen auf dieser Seite, um die Integration einzurichten.
Um die Azure AD-Integration einzurichten, benötigen Sie:
- Administratorberechtigungen sowohl im Orchestrator als auch in Azure AD (wenn Sie keine Administratorberechtigungen in Azure haben, schließen Sie den Einrichtungsprozess gemeinsam mit einem Azure-Administrator ab);
- ein Organisationsadministrator-UiPath-Konto, das die gleiche E-Mail-Adresse wie ein Azure AD-Benutzer verwendet; der Azure AD-Benutzer benötigt keine Administratorberechtigungen in Azure
- UiPath Studio und UiPath Assistant Version 2020.10.3 oder höher
- UiPath Studio und UiPath Assistant, die die empfohlene Bereitstellung verwenden.
- Wenn Sie zuvor lokale Benutzerkonten verwendet haben, stellen Sie sicher, dass alle Ihre Azure AD-Benutzer die E-Mail-Adresse im Feld E-Mail haben; die E-Mail-Adresse nur im Feld „User Principle Name (UPN)“ zu haben, reicht nicht aus. Die Azure AD-Integration verknüpft Verzeichnisbenutzerkonten mit den lokalen Benutzerkonten, wenn die E-Mail-Adressen übereinstimmen. Auf diese Weise können Benutzer Berechtigungen beibehalten, wenn sie sich mit ihrem lokalen Benutzerkonto beim Azure AD-Verzeichnisbenutzerkonto anmelden.
Berechtigungen: Sie müssen ein Administrator in Azure sein, um die Schritte in diesem Abschnitt ausführen zu können. Die folgenden Azure-Administratorrollen verfügen über die erforderlichen Berechtigungen: Globaler Administrator, Cloudanwendungsadministrator und Anwendungsadministrator.
Um Ihren Azure-Mandanten zu konfigurieren, gehen Sie im Azure-Portal wie folgt vor:
Nachdem das Azure-Setup abgeschlossen ist, können Sie sich auf die Integration vorbereiten, sie aktivieren und alte Konten bereinigen.
Der Prozess erfolgt schrittweise, sodass es zu keinen Unterbrechungen für Ihre Benutzer kommt.
Berechtigungen: Sie müssen ein Administrator im Orchestrator sein, um die Schritte in diesem Abschnitt ausführen zu können.
Wenn inaktive E-Mail-Adressen in Ihrer Organisation nicht wiederverwendet werden, können Sie diesen Schritt überspringen.
Wenn Sie den Orchestrator durch Aktivieren der Integration mit Azure AD verbinden, werden Konten mit übereinstimmenden E-Mail-Adressen verknüpft, sodass das Azure AD-Konto die gleichen Berechtigungen wie das übereinstimmende UiPath-Konto bekommt.
Wenn Ihre Organisation E-Mail-Recycling betreibt, d. h., dass eine E-Mail-Adresse, die in der Vergangenheit verwendet wurde, in der Zukunft einem neuen Benutzer zugewiesen werden kann, könnte dies zu einem erhöhten Zugriffsrisiko führen.
Beispiel
john.doe@example.com
lautete und der über ein UiPath-Konto verfügte, bei dem er Organisationsadministrator war. Inzwischen hat er aber das Unternehmen verlassen und die E-Mail-Adresse wurde deaktiviert, der Benutzer jedoch nicht aus dem Orchestrator entfernt.
john.doe@example.com
). In diesem Fall übernimmt er Organisationsadministratorrechte, wenn Konten für die Orchestrator-Integration mit Azure AD verknüpft sind.
Um solche Situationen zu vermeiden, entfernen Sie alle Konten, die nicht mehr aktiv sind, aus dem Orchestrator, bevor Sie mit dem nächsten Schritt fortfahren.
Bevor Sie beginnen
- Stellen Sie sicher, dass Azure wie oben unter Konfigurieren von Azure für die Integrationbeschrieben konfiguriert ist.
- Holen Sie sich die Werte Verzeichnis-(Mandanten-)ID, Anwendungs-(Client-)ID und geheimer Clientschlüssel für die App-Registrierung des Orchestrators in Azure von Ihrem Azure-Administrator.
Um die Azure AD-Integration zu aktivieren, gehen Sie im Orchestrator wie folgt vor:
https://{baseURL}/tenant/
) navigieren und sich mit Ihrem Azure AD-Konto anmelden, indem Sie unten im Anmeldefeld auf Mit Enterprise SSO fortsetzen klicken:
Außerdem können Sie jetzt mit den Benutzern und Gruppen im verknüpften Azure AD-Mandanten arbeiten.
Sie können Azure AD-Benutzer und -Gruppen mithilfe der Suche finden, z. B. um einen Benutzer zu einer Orchestrator-Gruppe hinzuzufügen; sie werden aber weder auf der Seite Benutzer noch auf der Seite Gruppen aufgeführt.
Was ändert sich für meine Benutzer, sobald die Integration aktiv ist?
Benutzer können sich sofort mit ihrem vorhandenen Azure AD-Konto anmelden und von den gleichen Berechtigungen profitieren, die sie für ihr UiPath-Konto hatten.
Wenn Sie deren UiPath-Benutzerkonten nicht entfernt haben, können sich Benutzer auch weiterhin mit ihrem UiPath-Konto anmelden, beide Methoden funktionieren.
https://{baseURL}/myOrganization/
hat, oder Enterprise SSO auf der Haupt-Anmeldeseite auswählen.
Eine weitere Änderung besteht darin, dass Benutzer beim Aufrufen dieser URL automatisch angemeldet werden, wenn sie bereits durch die Nutzung einer anderen Anwendung bei einem Azure AD-Konto angemeldet sind.
Welche Rollen haben die jeweiligen Konten?
Azure AD-Konto: Wenn sich ein Benutzer mit dem Azure AD-Konto anmeldet, profitiert er sofort von allen Rollen, die er auf dem UiPath-Konto hatte, sowie von allen Rollen, die innerhalb von UiPath dem Azure AD-Konto oder den Azure AD-Gruppen zugewiesen wurden, zu denen er gehört. Diese Rollen können vom Azure AD-Benutzer oder der Azure AD-Gruppe stammen, die in Orchestrator-Gruppen enthalten sind, oder von anderen Diensten wie dem Orchestrator, bei denen dem Azure AD-Benutzer oder der Azure AD-Gruppe Rollen zugewiesen wurden.
UiPath Konto: Wenn die Azure AD-Integration aktiv ist, kommt es bei UiPath-Konten auf Folgendes an:
- Wenn sich der Benutzer nicht mindestens einmal mit dem Azure AD-Konto angemeldet hat, hat er nur die Rollen des UiPath-Kontos.
- Wenn sie sich zuvor mindestens einmal mit dem Azure AD-Konto angemeldet haben, hat das UiPath-Konto auch alle Rollen, die der Azure AD-Benutzer innerhalb von UiPath hat, entweder explizit zugewiesene oder von den Orchestrator-Gruppenmitgliedschaften übernommene. Das UiPath-Konto erhält keine der Rollen, die Azure AD-Gruppen zugewiesen sind, in denen sich das Azure AD Konto befindet.
Muss ich die Berechtigungen für die Azure AD-Konten erneut verteilen?
Nein. Da übereinstimmende Konten automatisch verknüpft werden, gelten die vorhandenen Berechtigungen auch bei Anmeldung mit dem Azure AD-Konto. Wenn Sie sich jedoch entscheiden, die Verwendung von UiPath-Konten einzustellen, stellen Sie sicher, dass zuvor die entsprechenden Berechtigungen für Benutzer und Gruppen von Azure AD festgelegt wurden.
Um zu überprüfen, ob die Integration über den Orchestrator ausgeführt wird, melden Sie sich als Administrator mit einem Azure AD-Konto an und versuchen Sie, auf einer verwandten Seite nach Azure AD-Benutzern und -Gruppen zu suchen , z. B. auf der Seite Rollen zuweisen im Orchestrator (Zugriff verwalten > Rollen zuweisen > Rolle zuweisen).
-
Wenn Sie nach Benutzern und Gruppen suchen können, die aus Azure AD stammen, bedeutet dies, dass die Integration läuft. Sie können den Benutzer- oder Gruppentyp anhand des Symbols erkennen.
Hinweis: Benutzer und Gruppen aus Azure AD sind nicht auf den Seiten Benutzer oder Gruppen aufgeführt, sie sind nur über die Suche abrufbar. -
Wenn bei der Suche nach Benutzern ein Fehler auftritt, wie im folgenden Beispiel gezeigt, heißt das, dass mit der Konfiguration in Azure etwas nicht stimmt. Wenden Sie sich an Ihren Azure-Administrator, und bitten Sie ihn, zu überprüfen, ob Azure wie unter Konfigurieren von Azure für die Integration beschrieben eingerichtet ist.
Tipp: Bitten Sie Ihren Azure-Administrator zu bestätigen, dass er das Kontrollkästchen Administratorzustimmung gewähren während der Azure-Konfiguration aktiviert hat. Dies ist eine häufige Ursache, warum die Integration fehlschlägt.
Sobald die Integration aktiv ist, empfehlen wir Ihnen, die Anweisungen in diesem Abschnitt zu befolgen, um sicherzustellen, dass Benutzererstellung und Gruppenzuordnung an Azure AD weitergegeben werden. Auf diese Weise können Sie auf Ihrer vorhandenen Identitäts- und Zugriffsverwaltungsinfrastruktur aufbauen, um einfachere Governance und Zugriffsverwaltung über die Ressourcen Ihrer Orchestrator-Organisation zu erhalten.
So stellen Sie sicher, dass der Azure-Administrator auch neue Benutzer mit denselben Berechtigungen und der gleichen Roboterkonfiguration für den Orchestrator und andere Dienste einbinden kann, die Sie vor der Integration eingerichtet haben. Dazu können sie alle neuen Benutzer zu einer Azure AD-Gruppe hinzufügen, wenn der Gruppe bereits die erforderlichen Rollen im Orchestrator zugewiesen sind.
Sie können Ihre vorhandenen Benutzergruppen vom Orchestrator neuen oder vorhandenen Gruppen in Azure AD zuordnen. Je nachdem, wie Sie Gruppen in Azure AD verwenden, können Sie dies auf mehrere Arten tun:
- Wenn Benutzer mit denselben Rollen im Orchestrator bereits in denselben Gruppen in Azure AD sind, kann der Organisationsadministrator diese Azure AD-Gruppen zu den Orchestrator-Benutzergruppen hinzufügen, in denen sich diese Benutzer befanden. Dadurch wird sichergestellt, dass Benutzer dieselben Berechtigungen und dieselbe Robotereinrichtung beibehalten.
- Andernfalls kann der Azure-Administrator neue Gruppen in Azure AD erstellen, die den Gruppen im Orchestrator entsprechen, und dieselben Benutzer hinzufügen, die sich in den Orchestrator-Benutzergruppen befinden. Dann kann der Organisationsadministrator den vorhandenen Benutzergruppen die neuen Azure AD-Gruppen hinzufügen, um sicherzustellen, dass dieselben Benutzer die gleichen Rollen haben.
Stellen Sie in beiden Fällen sicher, dass Sie auf Rollen achten, die Benutzern explizit zugewiesen wurden. Beseitigen Sie nach Möglichkeit die expliziten Rollenzuweisungen, indem Sie diese Benutzer zu Gruppen hinzufügen, denen die Rollen explizit zugewiesen wurden.
Beispiel: Angenommen, die Gruppe Administrators im Orchestrator umfasst die Benutzer „Roger“, „Tom“ und „Jerry“. Dieselben Benutzer befinden sich auch in einer Gruppe in Azure AD namens admins. Der Organisationsadministrator kann die Gruppe admins zur Gruppe Administrators im Orchestrator hinzufügen. So profitieren auch Roger, Tom und Jerry als Mitglieder der Azure AD-Gruppe admins von den Rollen der Gruppe Administrators.
Da admins jetzt Teil der Gruppe Administrators ist, kann der Azure-Administrator den neuen Benutzer zur Gruppe admins in Azure hinzufügen, wodurch er ihm Administratorberechtigungen im Orchestrator gewährt, ohne Änderungen im Orchestrator vornehmen zu müssen.
Änderungen an Azure AD-Gruppenzuweisungen werden im Orchestrator innerhalb einer Stunde übernommen, wenn sich der Benutzer mit seinem Azure AD-Konto anmeldet, oder, wenn er bereits angemeldet ist, innerhalb einer Stunde.
Erstanmeldung: Damit die Berechtigungen gelten, die Azure AD-Benutzern und -Gruppen zugewiesen sind, müssen sich Benutzer mindestens einmal anmelden. Wir empfehlen Ihnen, nach der Ausführung der Integration alle Ihre Benutzer aufzufordern, sich von ihrem UiPath-Konto abzumelden und sich mit ihrem Azure AD-Konto erneut anzumelden. Sie können sich mit ihrem Azure Ad-Konto anmelden, indem sie:
-
die organisationsspezifische URL aufrufen – in diesem Fall ist der Anmeldetyp bereits ausgewählt;
Hinweis: Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B.https://{baseURL}/orgID/
. -
durch Auswählen von Enterprise SSO auf der Haupt-Anmeldeseite
Hinweis: Stellen Sie sicher, dass Sie allen Benutzern Ihre organisationsspezifische URL für den Orchestrator zur Verfügung stellen. Nur Organisationsadministratoren können diese Informationen im Orchestrator sehen.
Migrierte Benutzer profitieren davon, dass Berechtigungen aus ihren Azure AD-Gruppen und zugleich die, die ihnen direkt zugewiesen wurden, zur Verfügung stehen.
Konfigurieren von Studio und des UiPath Assistant für Benutzer: So richten Sie diese Produkte für eine Verbindung mit Azure AD-Konten ein:
Das ist zwar optional, wird aber empfohlen, um die wichtigsten Vorteile der vollständigen Integration zwischen dem Orchestrator und Azure AD in Bezug auf Compliance und Effizienz optimal zu nutzen.
Nachdem alle Benutzer migriert wurden, können Sie die Benutzer, die auf persönlichen lokalen Konten basieren, von der Registerkarte Benutzer entfernen, sodass sich Ihre Benutzer nicht mehr mit ihren UiPath-Konten anmelden können. Sie können diese Konten anhand ihrer Benutzersymbole erkennen.
Sie können auch einzelne Berechtigungen in den UiPath-Diensten, z. B. dem Orchestrator-Dienst, bereinigen und einzelne Benutzer aus Orchestrator-Gruppen entfernen, sodass die Berechtigungen ausschließlich von der Azure AD-Gruppenmitgliedschaft abhängen.
Ausnahme
Wenn Sie die Verwendung lokaler Konten einstellen möchten, empfehlen wir Ihnen, mindestens ein lokales Konto mit der Rolle des Organisationsadministrators zu behalten, wenn Sie die Authentifizierungseinstellungen für Ihre Organisation ändern müssen. Die Optionen zu den Authentifizierungseinstellungen sind andernfalls nicht aktiv.
Es folgen einige nützliche Hinweise über erweiterte Funktionen, die Sie jetzt nutzen können, nachdem Sie die Azure AD-Integration eingerichtet haben.
Da die Integration mit Azure AD auf der Ebene des Azure-Mandanten durchgeführt wird, können standardmäßig alle Azure AD-Benutzer auf die Orchestrator-Organisation zugreifen. Wenn sich ein Azure AD-Benutzer zum ersten Mal beim Orchestrator anmeldet, wird er automatisch in die Orchestrator-Gruppe Everyone aufgenommen, wodurch er die Benutzerrolle auf Organisationsebene erhält.
Wenn Sie nur bestimmten Benutzern Zugriff auf Ihre Orchestrator-Organisation gewähren möchten, können Sie die Benutzerzuweisung für die Registrierung der Orchestrator-App in Azure aktivieren. Auf diese Weise müssen Benutzer explizit zur App (Orchestrator) zugewiesen werden, um darauf zugreifen zu können. Anweisungen finden Sie in diesem Artikel in der Azure AD-Dokumentation.
Wenn Sie Ihren Benutzern den Zugriff auf den Orchestrator nur von einem vertrauenswürdigen Netzwerk oder einem vertrauenswürdigen Gerät aus erlauben möchten, können Sie die Funktion Azure AD – Bedingter Zugriff verwenden.
Wenn Sie Gruppen in Azure AD für das einfache Orchestrator-Onboarding direkt aus Azure AD erstellt haben, wie oben unter Konfigurieren von Gruppen für Berechtigungen und Roboterbeschrieben, können Sie die erweiterten Sicherheitsoptionen von Privileged Identity Management (PIM) für diese Gruppen verwenden, um Zugriffsanforderungen für . zu steuern Orchestrator-Gruppen.
- Überblick
- Voraussetzungen
- Konfigurieren von Azure für die Integration
- Bereitstellen der Integration im Orchestrator
- Inaktive Benutzer bereinigen
- Die Azure AD-Integration aktivieren
- Die Azure AD-Integration testen
- Abschließen des Übergangs zu Azure AD
- Gruppen für Berechtigungen und Roboter konfigurieren (optional)
- Vorhandene Benutzer migrieren
- Verwendung von lokalen Konten einstellen (optional)
- Best Practices
- Zugriff auf den Orchestrator einschränken
- Zugriff auf vertrauenswürdige Netzwerke oder Geräte einschränken
- Governance für Orchestrator-Gruppen in Azure AD