- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Authentifizierungsmodelle für Test Cloud
- Authentifizierungsmodelle für Test Cloud – Öffentlicher Sektor
- Authentifizierungsmodelle für Test Cloud Dedicated
- Allowing or restricting basic authentication
- Anforderungen an die Passwortkomplexität lokaler Benutzer
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Aktivieren Ihrer Enterprise-Lizenz
- Migrieren von Test Suite zu Test Cloud
- Lizenzmigration
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Tests in Ihrer Organisation
- Fehlersuche und ‑behebung
- Migration zur Test Cloud
Test Cloud-Administratorhandbuch
Authentifizierungsmodelle für Test Cloud
Diese Authentifizierungsmodelle gelten nur für Test Cloud.
Das Lokalkontenmodell (einladungsbasiert)
Lokale Benutzerkonten repräsentieren das Konto eines jeden Benutzers und sind intern in der UiPath Platform.
Das lokale Kontenmodell bietet einen in sich geschlossenen Ansatz zur Authentifizierung. Dazu ist eine Einladung eines Organisationsadministrators erforderlich, damit neue Benutzer beitreten können. Es eignet sich für Szenarien, in denen Sie die vollständige Kontrolle über die Verwaltung der Benutzer innerhalb Ihrer Plattform wünschen.
Dieses Modell ist mit dem Verzeichniskontenmodell kompatibel. Wenn Sie sich für das Verzeichnismodell entscheiden, können Sie auch weiterhin Benutzer per Einladung erstellen.
In den Organisationseinstellungen haben Sie die volle Kontrolle über die Authentifizierungsmethoden, die den Benutzern zur Verfügung stehen:
- Um die Verwendung aller verfügbaren Methoden (Google, Microsoft, Standardauthentifizierung) für maximale Flexibilität zu ermöglichen, wählen Sie die Option Alle verfügbaren Methoden aus.
- Um die Authentifizierung nur auf Google zu beschränken, wählen Sie die Option Google-Anmeldung aus.
- Um die Authentifizierung nur auf Microsoft zu beschränken, wählen Sie die Option Microsoft-Anmeldung aus.
Authentifizierung mit Google, Microsoft, LinkedIn oder persönlichen E-Mail-Adressen
Dieses Modell gilt standardmäßig für jede neue Organisation. Es ist einfach zu verwenden, schnell einzurichten und für Ihre Benutzer bequem.
Der Prozess zum Erstellen eines Benutzers ist wie folgt:
-
Organisationsadministratoren müssen die E-Mail-Adressen der Benutzer einholen und damit die Benutzer zum Beitritt zu ihrer Organisation einladen. Sie können das in einem Massenauftrag tun.
-
Eingeladene Mitarbeiter nehmen die Einladung an, indem sie zu dem in der Einladungs-E-Mail angegebenen Link navigieren und ein UiPath-Benutzerkonto erstellen. Sie können:
- Verwenden Sie die für die Einladung genutzte E-Mail-Adresse als Benutzernamen und erstellen Sie ein Kennwort.
- Verwenden Sie ein Konto, das sie bei Microsoft (privates Konto, Microsoft Entra ID-verknüpftes Konto oder Office 365-Konto), Google (privates Konto oder Google Workspace-Konto) oder ihr persönliches LinkedIn-Konto haben, um sich bei ihrem UiPath anzumelden (oder sich damit zu verbinden). Benutzerkonto. Die Möglichkeit, einen der genannten Anbieter zu verwenden, ist für Benutzer praktisch, die sich keine zusätzlichen Passwörter merken müssen. Darüber hinaus können Sie durch die Verwendung von organisationseigenen Konten in Microsoft Entra ID oder Google Workspace Anmelderichtlinien für Organisationen erzwingen.
Authentifizierung nur mit Google oder Microsoft
In diesem Modell erstellen Sie Benutzer auf die gleiche Weise wie im einladungsbasierten Modell: Sie senden eine Einladung an die E-Mail-Adresse der Benutzer und diese können dann ein UiPath-Konto erstellen. Der Unterschied besteht darin, dass Sie die Anmeldung über eine der beiden Möglichkeiten erzwingen können:
- Microsoft
Anstatt also alle Anmeldeoptionen anzuzeigen, sehen Ihre Benutzer nur die von Ihnen ausgewählte.
In der folgenden Abbildung wird beispielsweise beschrieben, was Ihren Benutzern angezeigt wird, wenn Sie die Anmeldung mit Microsoft erzwingen:
Sie verwenden weiterhin ihr UiPath-Konto, um sich anzumelden. Das Konto muss die E-Mail-Adresse verwenden, an die die Einladung gesendet wurde.
Wenn Sie externe Anwendungen für Ihre Organisation autorisiert haben, bleiben Token, die bei der Verwendung anderer Anbieter generiert wurden, gültig, aber alle neuen Token folgen der Richtlinie zur verpflichtenden Anmeldung.
Das Verzeichniskontenmodell
Das Verzeichniskontenmodell basiert auf einem Verzeichnis eines Drittanbieters, das Sie in die UiPath-Plattform integrieren. Auf diese Weise können Sie das etablierte Identitätsschema Ihres Unternehmens in UiPath wiederverwenden.
- Microsoft Entra ID: Wenn Sie ein Microsoft Azure- oder Office 365-Abonnement haben, können Sie Azure mit der UiPath-Plattform integrieren, um Ihre vorhandenen Benutzer und Gruppen aus Microsoft Entra ID innerhalb von UiPath zu verwenden.
- SAML 2.0: Ermöglicht die Integration der UiPath-Plattform mit dem Identitätsanbieter (IdP) Ihrer Wahl. Auf diese Weise können sich Ihre Benutzermit Single Sign-On (SSO) mit UiPath verbinden, wobei sie die Konten verwenden, die bereits bei Ihrem IdP registriert sind.
Verzeichnisbenutzerkonten werden in einem Verzeichnis erstellt und verwaltet, das sich außerhalb von UiPath befindet. Verzeichniskonten werden nur in der UiPath Platform referenziert und als Identitäten für Ihre Benutzer verwendet.
Kompatibilität mit dem einladungsbasierten Modell Sie können weiterhin alle Funktionen des einladungsbasierten Modells in Verbindung mit einem Verzeichnismodell verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung über Ihr integriertes Verzeichnis zu verlassen.
Microsoft Entra ID
Diese Funktion ist nur verfügbar, wenn Sie sich im Enterprise-Lizenzierungsplan befinden.
Die Integration mit Microsoft Entra ID kann eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation bieten, die Compliance für alle internen Anwendungen ermöglicht, die von Ihren Mitarbeitern verwendet werden. Wenn Ihre Organisation Microsoft Entra ID oder Office 365 verwendet, können Sie Ihre Organisation direkt mit Ihrem Microsoft Entra ID-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
- Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen aus Microsoft Entra ID sind für jeden UiPath Platform-Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Microsoft Entra ID-Benutzer im Organisationsverzeichnis eingeladen und verwaltet werden müssen.
- Sie können Single-Sign-On für Benutzer bereitstellen, deren Unternehmens-Benutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit lokalen UiPath-Konten werden automatisch zu ihrem verbundenen Microsoft Entra ID-Konto migriert.
- Vereinfachte Anmeldung
- Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Organisation zugreifen zu können. Sie melden sich mit ihrem Microsoft Entra ID-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden. Wenn der Benutzer bereits bei Microsoft Entra ID oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Orchestrator-URL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
- Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Microsoft Entra-ID-Gruppen
- Mit Microsoft Entra ID-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Maßstab zu verwalten. Sie müssen keine Berechtigungen mehr in Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Gruppe kombinieren, wenn Sie sie zusammen verwalten müssen.
- Es ist einfach, den Zugriff zu prüfen. Nachdem Sie Berechtigungen in allen UiPath Plattformdiensten mithilfe von Microsoft Entra ID-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Microsoft Entra ID-Gruppenmitgliedschaft in Verbindung stehen.
SAML 2.0
Diese Funktion ist nur verfügbar, wenn Sie sich im Enterprise-Lizenzierungsplan befinden.
Mit diesem Modell können Sie die UiPath Platform mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von der einmaligen Anmeldung (SSO) profitieren können und
- Sie bestehende Konten von Ihrem Verzeichnis in der UiPath Platform aus verwalten können, ohne Identitäten neu erstellen zu müssen.
Die UiPath Platform kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet.
Vorteile
- Automatisches Onboarding von Benutzern der UiPath Platform: Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich bei der UiPath-Organisation mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Dies bedeutet:
- Benutzer können sich bei Ihrer UIPath-Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einstellungen werden sie Mitglieder der Benutzergruppe „Everyone“ , wodurch sie standardmäßig die Rolle Benutzerorganisation erhalten. Zum Arbeiten in der UiPath Platform benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
- Wenn Sie den Zugriff auf einige Ihrer Benutzer einschränken müssen, können Sie die Gruppe der Benutzer, die auf die UiPath Platform zugreifen dürfen, in Ihrem Identitätsanbieter definieren.
- Benutzerverwaltung: Sie können Benutzer durch direkte Zuweisung zu Gruppen hinzufügen. Geben Sie dazu einfach die E-Mail-Adresse ein, wenn Sie Benutzer zur Gruppe hinzufügen. In der Regel verwalten Organisationsadministratoren lokale Konten über die Registerkarte Administrator > Konten und Gruppen > Benutzer . SAML-Benutzer sind jedoch Verzeichniskonten im UiPath-Ökosystem, sodass sie auf dieser Seite nicht sichtbar sind. Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat ( wodurch er automatisch zur Gruppe Everyone hinzugefügt wird ), steht er in allen UiPath-Diensten für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
- Attributzuordnung: Beim Verwenden des UiPath Automation Hub beispielsweise können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter auf die UiPath Platform zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.
Funktionsweise der Authentifizierung
Die Identität Ihrer Benutzer wird basierend auf Ihrem Organisationsverzeichnis überprüft. Basierend auf Benutzerberechtigungen, die über Rollen und Gruppen zugewiesen sind, können sie mit nur einem Satz Anmeldeinformationen auf alle Ihre UiPath Cloud-Dienste zugreifen. Das folgende Diagramm beschreibt die beiden Identitätsmodelle, wie sie mit den verschiedenen Benutzeridentitäten funktionieren und wie ein Verbund eingerichtet werden kann. Im einladungsbasierten Modell wird die Identitätsverwaltung für einen Benutzerverweis im Organisationsverzeichnis durchgeführt, während Benutzer die Kontrolle über ihre Konten behalten. Wenn eine Integration mit Microsoft Entra ID besteht, reicht ein Blick auf den Inhalt Ihres Mandantenverzeichnisses in Microsoft Entra ID, wie im folgenden Diagramm mit einem orangefarbenen Pfeil dargestellt.
Modellvergleich
In der folgenden Tabelle sind einige Faktoren beschrieben, die bei der Auswahl der Authentifizierungseinstellung für Ihre Organisation berücksichtigt werden sollten:
| Faktor | Einladungsbasiert | Einladungsbasiert mit erzwungener Option | Microsoft Entra ID | SAML |
|---|---|---|---|---|
| Community-Lizenz | Verfügbar | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Enterprise-Lizenz | Verfügbar | Verfügbar | Verfügbar | Verfügbar |
| Unterstützung für lokale Konten (UiPath-Konto) | Verfügbar | Verfügbar | Verfügbar | Verfügbar |
| Unterstützung für Verzeichniskonten | Nicht verfügbar | Nicht verfügbar | Verfügbar | Verfügbar |
| Verwaltung von Benutzerkonten | Automation Cloud-Organisationsadministrator | Automation Cloud-Organisationsadministrator | Microsoft Entra ID-Administrator | Administrator Ihres Identitätsanbieters |
| Benutzerzugriffsverwaltung | Automation Cloud-Organisationsadministrator | Automation Cloud-Organisationsadministrator | Die Automation Cloud-Benutzerverwaltung kann vollständig an Microsoft Entra ID delegiert werden | Automation Cloud-Organisationsadministrator |
| Einmaliges Anmelden (Single Sign-On, SSO) | Verfügbar (mit Google, Microsoft und LinkedIn) | Verfügbar (mit Google oder Microsoft) | Verfügbar (mit Microsoft Entra ID-Konto) | Verfügbar (mit IdP-Konto) |
| Erzwingen von komplexen Kennwörtern | Nicht verfügbar | Verfügbar (falls vom IdP erzwungen) | Verfügbar (falls von Microsoft Entra ID erzwungen) | Verfügbar (falls vom IdP erzwungen) |
| Mehrstufige Authentifizierung | Nicht verfügbar | Verfügbar (falls vom IdP erzwungen) | Verfügbar (falls von Microsoft Entra ID erzwungen) | Verfügbar (falls vom IdP erzwungen) |
| Die bestehenden Identitäten Ihres Unternehmens wiederverwenden | Nicht verfügbar | Nicht verfügbar | Verfügbar | Verfügbar |
| Massenhaftes Benutzer-Onboarding | Nicht verfügbar (alle Benutzer müssen eingeladen werden) | Nicht verfügbar (alle Benutzer müssen eingeladen werden) | Verfügbar (Just-in-Time-Kontobereitstellung) | Verfügbar (Just-in-Time-Kontobereitstellung) |
| Zugriff für Mitarbeitende außerhalb Ihres Unternehmens | Verfügbar (durch Einladung) | Verfügbar (durch Einladung für ein Konto bei einem erzwungenen IdP) | Verfügbar | Verfügbar (sofern vom IdP zugelassen) |
| Einschränken des Zugriffs von innerhalb des Netzwerks | Nicht verfügbar | Nicht verfügbar | Verfügbar | Verfügbar (falls vom IdP erzwungen) |
| Einschränken des Zugriffs auf vertrauenswürdige Geräte | Nicht verfügbar | Nicht verfügbar | Verfügbar | Verfügbar (falls vom IdP erzwungen) |
Wiederverwendung Ihres Identitätsverzeichnisses
Wenn Ihr Unternehmen bereits ein Verzeichnis zur Verwaltung von Mitarbeiterkonten verwendet, kann Ihnen die folgende Tabelle dabei helfen, die für Sie bevorzugte Authentifizierungsoption zu finden:
| Faktor | Einladungsbasiert | Einladungsbasiert mit erzwungener Option | Microsoft Entra ID | SAML |
|---|---|---|---|---|
| Sie verwenden bereits Google Workspace als Identitätsanbieter. | Benutzer benötigen ein UiPath-Konto, aber SSO ist auch möglich. | Benutzer benötigen ein UiPath Konto, aber erzwungene SSO bei Google möglich. | Keine Angabe | Keine Angabe |
| Sie verwenden bereits Office 365 als Identitätsanbieter. | Benutzer benötigen ein UiPath-Konto. | Benutzer benötigen ein UiPath-Konto. | Sie können vorhandenen Benutzerkonten Zugriff auf die Automation Cloud gewähren. | Sie können vorhandenen Benutzerkonten Zugriff auf die Automation Cloud gewähren. |
| Sie verwenden bereits Microsoft Entra ID als Identitätsanbieter. | Benutzer benötigen ein UiPath-Konto. | Benutzer benötigen ein UiPath-Konto. | Sie können vorhandenen Benutzerkonten Zugriff auf die Automation Cloud gewähren. | Wir empfehlen die Verwendung der Microsoft Entra ID-Integration anstelle der SAML-Integration. |
| Sie verwenden bereits einen anderen Identitätsanbieter. | Benutzer benötigen ein UiPath-Konto. | Benutzer benötigen ein UiPath-Konto. | Sie können vorhandenen Benutzerkonten Zugriff auf die Automation Cloud gewähren. | Sie können vorhandenen Benutzerkonten Zugriff auf die Automation Cloud gewähren. |
- Das Lokalkontenmodell (einladungsbasiert)
- Authentifizierung mit Google, Microsoft, LinkedIn oder persönlichen E-Mail-Adressen
- Authentifizierung nur mit Google oder Microsoft
- Das Verzeichniskontenmodell
- Microsoft Entra ID
- SAML 2.0
- Funktionsweise der Authentifizierung
- Modellvergleich
- Wiederverwendung Ihres Identitätsverzeichnisses