- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Authentifizierungsmodelle für Test Cloud
- Authentifizierungsmodelle für Test Cloud – Öffentlicher Sektor
- Authentifizierungsmodelle für Test Cloud Dedicated
- Allowing or restricting basic authentication
- Anforderungen an die Passwortkomplexität lokaler Benutzer
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Aktivieren Ihrer Enterprise-Lizenz
- Migrieren von Test Suite zu Test Cloud
- Lizenzmigration
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Tests in Ihrer Organisation
- Fehlersuche und ‑behebung
- Migration zur Test Cloud
Test Cloud-Administratorhandbuch
Authentifizierungsmodelle für Test Cloud Dedicated
Diese Authentifizierungsmodelle gelten nur für Test Cloud Dedicated.
Das lokale Kontenmodell
Lokale Benutzerkonten repräsentieren das Konto eines jeden Benutzers und sind intern in UiPath. In diesem Modell fügt ein Organisationsadministrator der Organisation neue Benutzer hinzu. Es eignet sich für Szenarien, in denen Sie die vollständige Kontrolle über die Verwaltung der Benutzer innerhalb von UiPath wünschen.
In UiPath sind SSO-Einstellungen Bestimmungen, die sowohl auf Hostebene als auch auf Organisationsebene implementiert werden können.
SSO-Einstellungen auf Hostebene werden für alle Organisationen verwendet, die an den Host gebunden sind. Das bedeutet, dass alle SSO-Einstellungen, die Sie auf dieser Ebene anpassen, auf jede Organisation unter dem Hosting angewendet werden.
Zu den SSO-Einstellungen, die auf Hostebene verwaltet werden können, gehören die einfache Anmeldung, Microsoft Entra ID-SSO und SAML-SSO. Bestimmte Einstellungen, z. B. die einfache Anmeldung, können auf Organisationsebene überschrieben werden.
Dieses Modell ist mit dem Verzeichniskontenmodell kompatibel.
Das Verzeichniskontenmodell
Das Verzeichniskontenmodell basiert auf einem Verzeichnis eines Drittanbieters, das Sie in die UiPath Platform integrieren. Auf diese Weise können Sie das etablierte Identitätsschema Ihres Unternehmens wiederverwenden. Verzeichniskonten werden in einem Verzeichnis erstellt und verwaltet, das sich außerhalb der UiPath-Plattform befindet; Sie werden nur in der UiPath Platform referenziert und als Identitäten verwendet.
In UiPath können Verzeichnisintegrationsmodelle sowohl auf Host- als auch auf Organisationsebene konfiguriert werden.
- Auf Hostebene umfassen die Verzeichnisintegrationsoptionen SAML 2.0 und Active Directory. Diese Einstellungen werden konsistent auf alle Organisationen unter dem Host angewendet.
- Auf Organisationsebene ermöglicht UiPath Organisationsadministratoren, die Einstellungen auf Hostebene mithilfe von SAML 2.0 und der Microsoft Entra ID-Integration zu überschreiben.
Active Directory ist für die meisten Unternehmen für die Koordinierung von Authentifizierungs- und Zugriffsverwaltungsrichtlinien unerlässlich. Beim Aufbau der Verzeichnisintegration dient Ihr Identitätsanbieter als Single Source of Truth für Benutzeridentitäten.
Da Einstellungen sowohl auf Host- als auch auf Organisationsebene möglich sind, bietet das Verzeichnismodell von UiPath ein ausgewogenes Verhältnis von Konsistenz und Flexibilität. Sie ermöglicht die Verwendung von einheitlichen Verzeichnisintegrationsdiensten auf dem gesamten Host und bietet bei Bedarf auch benutzerdefinierte Einstellungen auf Organisationsebene.
Authentifizierungsstufen und Vererbung
Die Auswahl des Identitätsanbieters für Ihre Organisation wirkt sich auf die Art und Weise aus, wie Benutzer- und Gruppenkonten erstellt und verwaltet werden. In Test Cloud können Administratoren die Authentifizierung und die zugehörigen Sicherheitseinstellungen entweder global (Hostebene) für alle Organisationen gleichzeitig oder für jede Organisation festlegen:
- Globale Authentifizierungseinstellungen (Hostebene): Als Systemadministrator können Sie die Authentifizierung und die zugehörigen Standard-Sicherheitseinstellungen für Ihre Installation auf Hostebene auswählen. Wir nennen diese Hostauthentifizierung und Sicherheitseinstellungen und sie werden standardmäßig von allen Organisationen geerbt. Erfahren Sie, wie Sie die Hostauthentifizierung und Sicherheitseinstellungen konfigurieren.
- Authentifizierungseinstellungen auf Organisationsebene: Als Organisationsadministrator können Sie die Authentifizierung und die damit verbundenen Sicherheitseinstellungen für Ihre Organisation festlegen. Einige Einstellungen werden von der Hostebene übernommen; Sie können sie aber überschreiben, wenn für Ihre Organisation andere Einstellungen gelten sollen. Erfahren Sie, wie Sie Authentifizierungs- und Sicherheitseinstellungen auf Organisationsebene konfigurieren.
In der folgenden Tabelle werden die Authentifizierung und die zugehörigen Sicherheitseinstellungen für Hostebenen für alle Organisationen gleichzeitig oder für jede Organisation beschrieben:
| Authentifizierungseinstellungen | Microsoft Entra ID-Hostebene | Microsoft Entra ID Organisationsebene | SAML Host-Ebene | SAML-Organisationsebene |
|---|---|---|---|---|
| Einmaliges Anmelden | Ja | Ja | Ja | Ja |
| Automatische Just-in-Time-Benutzerbereitstellung | Nein | Ja | Nein | Ja |
| Automatische Just-in-Time-Bereitstellungsregeln auf Basis von Ansprüchen | Nein | Nein | Nein | Ja |
| Verzeichnisintegration zur Suche nach Benutzern und Gruppen | Nein | Ja | Nein | Nein |
Globale Authentifizierungseinstellungen (Hostebene)
Sie können einen externen Identitätsanbieter konfigurieren, um zu steuern, wie sich Ihre Benutzer anmelden. Diese Einstellungen gelten für alle Organisationen.
Die folgende Tabelle gibt einen Überblick über die verschiedenen verfügbaren externen Anbieter auf Hostebene:
| Integration externer Anbieter | Authentication | Verzeichnissuche | Bereitstellungen durch Administratoren |
|---|---|---|---|
| Microsoft Entra ID | Administratoren können SSO mit Microsoft Entra ID mithilfe des Protokolls OpenID Connect verwenden. | Nicht unterstützt | Benutzer müssen manuell der UiPath-Organisation hinzugefügt werden, wobei die E-Mail-Adresse ihrem Microsoft Entra-ID-Konto entsprechen muss. |
| SAML 2.0 | Benutzer können SSO mit jedem Identitätsanbieter verwenden, der SAML unterstützt | Nicht unterstützt | Benutzer müssen manuell in der UiPath-Organisation mit Benutzername/E-Mail/Schlüssel des externen Anbieters (wie in der Konfiguration des externen Identitätsanbieters konfiguriert) bereitgestellt werden, die mit ihrem SAML-Konto übereinstimmen. |
Unterschiede zwischen der Integration von Microsoft Entra ID auf Host- und Organisationsebene: Die Funktion auf Hostebene ermöglicht nur SSO. Die Microsoft Entra ID-Integration auf Organisationsebene ermöglicht SSO, Verzeichnissuche und automatische Benutzerbereitstellung.
Organisationsauthentifizierung
Microsoft Entra ID-Modell
Die Integration mit Microsoft Entra ID bietet eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation und ermöglicht die Compliance für alle internen Anwendungen, die von Ihren Mitarbeitern genutzt werden. Wenn Ihre Organisation Microsoft Entra ID oder Office 365 verwendet, können Sie sie direkt mit Ihrem Microsoft Entra ID-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen aus Microsoft Entra ID sind für jeden Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Microsoft Entra ID-Benutzer im Organisationsverzeichnis eingeladen und verwaltet werden müssen.
- Sie können SSO für Benutzer bereitstellen, deren Unternehmensbenutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit UiPath®-Benutzerkonten werden automatisch zu ihrem verbundenen Microsoft Entra ID-Konto migriert.
Vereinfachte Anmeldung
- Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Organisation zugreifen zu können, wie im Standardmodell. Sie melden sich mit ihrem Microsoft Entra ID-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden. Wenn der Benutzer bereits bei Microsoft Entra ID oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Organisations-URL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Microsoft Entra-ID-Gruppen
- Mit Microsoft Entra ID-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Maßstab zu verwalten. Sie müssen keine Berechtigungen mehr in Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer UiPath-Gruppe kombinieren, wenn Sie sie zusammen verwalten müssen.
- Es ist einfach, den Zugriff auf UiPath zu prüfen. Nachdem Sie Berechtigungen in allen Orchestrator-Diensten mithilfe von Microsoft Entra ID-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Microsoft Entra ID-Gruppenmitgliedschaft in Verbindung stehen.
Hinweis:
Bei Nutzung des Microsoft Entra ID-Modells können Sie weiterhin alle Funktionen des Standard-Modells verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung von Microsoft Entra ID zu verlassen.
Wenn Sie Microsoft Entra ID als Identitätsanbieter für Ihre Organisation verwenden möchten, befolgen Sie die Anweisungen unter Einrichten der Microsoft Entra ID-Integration.
SAML-Modell
Mit diesem Modell können Sie sich mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von SSO profitieren können und
- Sie bestehende Konten von Ihrem Verzeichnis in Ihrer Organisation aus verwalten können, ohne Identitäten neu erstellen zu müssen.
UiPath-Angebote können sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet, um die folgenden Vorteile zu erhalten:
Automatisches Onboarding von Benutzern
Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Das bedeutet:
- Benutzer können sich bei Ihrer Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einstellungen können sie standardmäßig auf die Organisation zugreifen. Zum Arbeiten in der Organisation benötigen die Benutzer Rollen und Lizenzen, die ihrer Rolle entsprechen.
Protokolle
Sie können Benutzer durch direkte Zuweisung zu Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.
In der Regel verwalten Administratoren lokale Konten über „Administrator“ > „Organisation“ > „Konten und Gruppen“ > Registerkarte „Benutzer“ . SAML-Benutzer sind jedoch Verzeichniskonten, sodass sie auf dieser Seite nicht sichtbar sind.
Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen Diensten für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
Attributzuordnung
Beim Verwenden des UiPath Automation Hub können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter in Test Cloud zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.
Einrichten
Administratoren können die SAML-Integration für Ihre gesamte Organisation über Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen konfigurieren und aktivieren.
Übergang von der Microsoft Entra ID-Integration zur SAML-Integration
Nach dem Wechsel zur SAML-Integration ist die Microsoft Entra ID-Integration deaktiviert. Die Gruppenzuweisungen der Microsoft Entra ID gelten nicht mehr, so dass die Gruppenmitgliedschaft Orchestrator und die von der Microsoft Entra ID geerbten Berechtigungen nicht mehr berücksichtigt werden.