- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Allowing or restricting basic authentication
- Microsoft Entra ID-Integration für Test Cloud und Test Cloud – Öffentlicher Sektor
- Microsoft Entra ID-Integration für Test Cloud Dedicated
- Anforderungen an die Passwortkomplexität lokaler Benutzer
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Aktivieren Ihrer Enterprise-Lizenz
- Migrieren von Test Suite zu Test Cloud
- Lizenzmigration
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Tests in Ihrer Organisation
- Fehlersuche und ‑behebung
- Migration zur Test Cloud
Test Cloud-Administratorhandbuch
Microsoft Entra ID-Integration für Test Cloud Dedicated
Dieses Verfahren gilt nur für Test Cloud Dedicated
Konfigurieren von Azure für die Integration
Ihre Organisation erfordert eine App-Registrierung in Ihrem Microsoft Entra ID-Mandanten und eine Konfiguration, damit Sie Ihre AD-Mitglieder anzeigen können, um die Kontoidentität zu bestimmen. Die App-Registrierungsdetails sind auch erforderlich, um Ihre Organisation später mit Ihrem Microsoft Entra ID-Mandanten zu verbinden.
Berechtigungen: Sie müssen ein Administrator in Azure sein, um die Schritte in diesem Abschnitt ausführen zu können. Die folgenden Azure-Administratorrollen verfügen über die erforderlichen Berechtigungen: Globaler Administrator, Cloudanwendungsadministrator und Anwendungsadministrator.
Es gibt zwei Möglichkeiten, Ihren Azure-Mandanten für die Integration einzurichten:
- Führen Sie die folgenden Schritte aus, um eine App-Registrierung für die Integration manuell zu konfigurieren.
- Verwenden Sie die UiPath Microsoft Entra ID-Skripts, die wir für diese Aufgabe erstellt haben und die auf GitHub verfügbar sind : Das Skript
configAzureADconnection.ps1führt alle in diesem Abschnitt beschriebenen Aktionen aus und gibt die App-Registrierungsdetails zurück. Dann können Sie das SkripttestAzureADappRegistration.ps1ausführen, um sicherzustellen, dass die App-Registrierung erfolgreich war.
Um Ihren Azure-Mandanten manuell zu konfigurieren, führen Sie die folgenden Schritte im Azure-Portal aus:
-
Erstellen Sie eine App-Registrierung für Test Cloud. Weitere Informationen finden Sie in der Dokumentation von Microsoft zum Registrieren einer Anwendung.
Wählen Sie während der Registrierung Nur Konten in diesem Organisationsverzeichnis aus und legen Sie den Umleitungs-URI auf
https://<customURL>.dedicated.uipath.com/identity_/signin-oidcfest.Hinweis:Wenn Sie bereits über eine registrierte Anwendung für Ihre Organisation verfügen, muss keine neue erstellt werden. Stellen Sie aber sicher, dass die App wie zuvor beschrieben eingerichtet ist.
-
Öffnen Sie die Seite Übersicht der Anwendung, kopieren Sie die Anwendungs-(Client-)ID und die Verzeichnis-(Mandanten-)ID und speichern Sie sie für die spätere Verwendung:
-
Gehen Sie zur Seite Authentifizierung Ihrer App:
- Wählen Sie unter Umleitungs-URIs die Option URI hinzufügen aus, um einen neuen Eintrag hinzuzufügen.
- Fügen Sie
https://<customURL>.dedicated.uipath.com/portal_/testconnectionzur Liste Umleitungs-URIs hinzu. - Aktivieren Sie unten das Kontrollkästchen ID-Token .
- Wählen Sie Speichern.
-
Gehen Sie zur Seite Tokenkonfiguration.
-
Wählen Sie Optionalen Anspruch hinzufügen aus.
-
Wählen Sie unter Tokentyp die Option ID aus.
-
Aktivieren Sie die Kontrollkästchen für
family_name,given_nameundupn, um sie als optionale Ansprüche hinzuzufügen: -
Gehen Sie zur Seite API-Berechtigungen.
-
Wählen Sie Berechtigung hinzufügen aus und fügen Sie die folgenden delegierten Berechtigungen aus der Kategorie Microsoft Graph hinzu:
- OpenId-Berechtigungen –
email,openid,offline_access,profile - Berechtigungen für Gruppenmitglieder –
GroupMember.Read.All - Benutzerberechtigungen –
User.Read,User.ReadBasic.All,User.Read.All(erfordert Administratorzustimmung)
In der folgenden Tabelle werden die API-Berechtigungen beschrieben:
Berechtigung Was Sie damit tun können Was wir damit tun email,openid,profile,offline_access,User.ReadErmöglicht Microsoft Entra ID die Ausstellung eines Benutzertoken für die Systemanwendung Benutzern die Anmeldung beim System mit einer Microsoft Entra-ID-Anmeldung ermöglichen. Dadurch können wir unser Benutzerobjekt auf dem neuesten Stand halten und die Konsistenz dieser Attribute sicherstellen. User.ReadBasic.AllLiest grundlegende Eigenschaften aller Benutzer im Verzeichnis, die der angemeldete Benutzer anzeigen darf Wenn ein Benutzer anderen Benutzern im Verzeichnis Berechtigungen für Ressourcen zuweist, können diese Benutzer gesucht werden. Die Funktionen für die Zugriffsverwaltung/Autorisierung befinden sich in der Systembenutzerumgebung. User.Read.All(erfordert Administratorzustimmung)Liest alle Benutzereigenschaften im Verzeichnis, die der angemeldete Benutzer anzeigen darf Möglicherweise möchte Ihr Administrator diese zusätzlichen Benutzereigenschaften importieren, um Berechtigungen zu konfigurieren oder benutzerdefinierte Informationen in den Systemdiensten anzuzeigen. Für Kunden von Automation Hub, die alle Attribute von Microsoft Entra ID erhalten möchten, ist es erforderlich, der App die Berechtigung User.Read.Allzu erteilen.GroupMember.Read.AllLiest die Gruppenmitgliedschaften aller Benutzer, auf die der angemeldete Benutzer Zugriff hat Wenn Ihre Organisation Gruppen verwendet, um Berechtigungen im System zu verwalten, muss die Plattform alle Gruppen auflisten und die Mitglieder einer Gruppe erkennen können. Dies ermöglicht sowohl die Verwaltung als auch die Durchsetzung von gruppenbasierten Berechtigungen. Weitere Informationen zum Zugriff von UiPath mit diesen Berechtigungen finden Sie in unserer Dokumentation zur Verschlüsselung.
- OpenId-Berechtigungen –
-
Setzen Sie einen Haken im Kontrollkästchen Administratorzustimmung gewähren.
Hinweis:Der Administrator stimmt im Namen aller Benutzer im Active Directory des Mandanten zu. Dies ermöglicht der Anwendung den Zugriff auf die Daten aller Benutzer, ohne dass die Benutzer aufgefordert werden, zuzustimmen. Weitere Informationen zu Berechtigungen und Zustimmung finden Sie in der Dokumentation zu Microsoft Entra ID von Microsoft .
-
Gehen Sie zur Seite Zertifikate und Geheimschlüssel , um einen neuen geheimen Clientschlüssel oder ein neues Zertifikat zu erstellen.
- Option 1. Geheimer Clientschlüssel. Weitere Informationen zu Clientgeheimnissen finden Sie in der Dokumentation von Microsoft unter Hinzufügen eines neuen geheimen Clientschlüssels.
Hinweis:
Der erstellte geheime Clientschlüssel ist nicht dauerhaft. Sie müssen den geheimen Clientschlüssel nach dessen Gültigkeitszeitraum aktualisieren.
- Option 2. Zertifikat. Die übergeordneten Schritte zum Konfigurieren von Zertifikaten werden unter Einrichten eines Azure Key Vault-Zertifikats für UiPath beschrieben. Weitere Informationen zu Zertifikaten finden Sie unter Einrichten und Abrufen eines Zertifikats aus Azure Key Vault in der Microsoft-Dokumentation.
- Option 1. Geheimer Clientschlüssel. Weitere Informationen zu Clientgeheimnissen finden Sie in der Dokumentation von Microsoft unter Hinzufügen eines neuen geheimen Clientschlüssels.
-
Stellen Sie Ihrem Organisationsadministrator die Werte Verzeichnis-(Mandanten)-ID und Anwendungs-(Client)-ID bereit. Wenn Sie die Option „Geheimer Clientschlüssel“ ausgewählt haben, geben Sie auch den Wert des geheimen Clientschlüssels an. Wenn Sie die Zertifikatoption ausgewählt haben, geben Sie die Zertifikatdetails an. Mit diesen Informationen kann der Administrator mit der Konfiguration fortfahren.
Einrichten eines Azure Key Vault-Zertifikats für UiPath
Dieser Abschnitt beschreibt die groben Schritte für die Konfiguration mit einem Zertifikat. Sie können auch einen geheimen Clientschlüssel verwenden. Weitere Informationen zum Einrichten von Zertifikaten finden Sie unter Einrichten und Abrufen eines Zertifikats aus Azure Key Vault in der Microsoft-Dokumentation. Führen Sie diese allgemeine Schritte aus, um ein Zertifikat einzurichten:
-
Melden Sie sich bei Azure Key Vault an und navigieren Sie zum Abschnitt Zertifikate .
-
Erstellen Sie ein Zertifikat mit dem Antragsteller als
CN=uipath.comund dem Inhaltstyp alsPEM. -
Laden Sie das Zertifikat nach der Erstellung im PFX/PEM-Format herunter.
-
Öffnen Sie die Datei
.pemmit einem Texteditor. Er muss aus zwei Abschnitten bestehen:BEGIN PRIVATE KEY/END PRIVATE KEYundBEGIN CERTIFICATE/END CERTIFICATE. -
Erstellen Sie eine neue
.pem-Datei, die nur die Zeilen zwischenBEGIN CERTIFICATEundEND CERTIFICATE.enthält. -
Suchen Sie im Azure-Portal die Registerkarte Zertifikate und Geheimnisse in Ihrer App-Registrierung und laden Sie die neue
.pem-Datei hoch. -
Als Teil der {Bereitstellungsoption}-Konfiguration müssen Sie den gesamten Inhalt des heruntergeladenen
.pem-Zertifikats aus Azure Key Vault im Feld Geheimer Clientschlüssel oder Zertifikat hinzufügen.Hinweis:Die maximal zulässige Größe für Zertifikate beträgt 10 KB.
Bereitstellen der Integration
Nachdem das Azure-Setup abgeschlossen ist, können Sie sich auf die Integration vorbereiten, sie aktivieren und alte Konten bereinigen. Der Prozess erfolgt schrittweise, sodass es zu keinen Unterbrechungen für Ihre Benutzer kommt.
Sie müssen ein Organisationsadministrator sein, um die Schritte in diesem Abschnitt auszuführen.
Inaktive Benutzer bereinigen
Wenn Sie UiPath durch Aktivieren der Integration mit Microsoft Entra ID verbinden, werden Konten mit übereinstimmenden E-Mail-Adressen verknüpft, sodass das Microsoft Entra ID-Konto die gleichen Berechtigungen wie das übereinstimmende lokale UiPath-Konto bekommt.
Wenn Ihre Organisation E-Mail-Recycling betreibt, d. h., dass eine E-Mail-Adresse, die in der Vergangenheit verwendet wurde, in der Zukunft einem neuen Benutzer zugewiesen werden kann, könnte dies zu einem erhöhten Zugriffsrisiko führen.
Angenommen, Sie hatten einmal einen Mitarbeiter, dessen E-Mail-Adresse john.doe@example.com lautete und der über ein lokales Konto verfügte, als er Organisationsadministrator war. Inzwischen hat er aber das Unternehmen verlassen und die E-Mail-Adresse wurde deaktiviert, der Benutzer jedoch nicht entfernt.
Wenn ein neuer Mitarbeiter mit dem Namen „John Doe“ in Ihr Unternehmen eintritt, erhält er dieselbe E-Mail-Adresse john.doe@example.com . In diesem Fall übernimmt er Organisationsadministratorrechte, wenn Konten im Rahmen der Integration mit der Microsoft Entra-ID verknüpft sind.
Um solche Situationen zu verhindern, entfernen Sie alle Benutzer, die nicht mehr aktiv sind, aus der UiPath-Organisation, bevor Sie mit dem nächsten Schritt fortfahren. Sie können diesen Schritt überspringen, wenn inaktive E-Mail-Adressen in Ihrer Organisation nicht wiederverwendet werden.
Aktivieren Sie die Microsoft Entra ID-Integration
Bevor Sie beginnen:
- Stellen Sie sicher, dass die Azure-Konfiguration abgeschlossen ist;
- Holen Sie sich die Werte Verzeichnis-ID (Mandant), Anwendungs-ID (Client) und geheimer Clientschlüssel für die App-Registrierung von UiPath in Azure von Ihrem Azure-Administrator.
Um die Microsoft Entra ID-Integration zu aktivieren, führen Sie die folgenden Schritte in UiPath aus:
-
Go to Admin and, if not already selected, select the organization at the top of the left pane.
-
Wählen Sie Sicherheit aus, um die Sicherheitseinstellungen zu öffnen .
-
Wählen Sie auf der Registerkarte Authentifizierungseinstellungen unter Verzeichnisintegration für SSO die Option SSO konfigurieren aus.
-
Wählen Sie Microsoft Entra ID im SSO-Konfigurationsbereich.
-
Füllen Sie die Felder mit den Informationen aus, die Sie von Ihrem Azure-Administrator erhalten haben.
-
Markieren Sie das Kontrollkästchen neben Ich verstehe und akzeptiere, dass hinzugefügte Benutzer und Microsoft Entra ID-Benutzer mit übereinstimmenden E-Mail-Adressen mit ihren Konten verknüpft werden.
-
Wählen Sie Testverbindung aus, um zu überprüfen, ob die Integration korrekt konfiguriert wurde.
-
Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihrem Microsoft Entra ID-Konto an.
Eine erfolgreiche Anmeldung zeigt an, dass die Integration korrekt konfiguriert wurde. Falls dies fehlschlägt, bitten Sie Ihren Azure-Administrator, zu überprüfen, ob Azure korrekt konfiguriert ist, und versuchen Sie es dann erneut.
-
Wählen Sie Speichern aus, um die Integration für Ihre Organisation zu aktivieren.
Nachdem Sie Ihre Änderungen gespeichert haben, werden übereinstimmende Konten automatisch verknüpft.
-
Melden Sie sich ab.
-
Navigieren Sie zur Organisations-URL (
<AccessURL>/organizationID/) und melden Sie sich mit Ihrem Microsoft Entra ID-Konto an.
Jetzt können Sie mit den Benutzern und Gruppen in der Microsoft Entra-ID des verknüpften Mandanten arbeiten. Verzeichniskonten und -gruppen werden weder auf der Seite Benutzer noch auf der Seite Gruppen unter Administrator – Konten und Gruppen aufgeführt. Sie können sie nur über die Suche finden.
Testen Sie die Integration der Microsoft Entra-ID
Um zu überprüfen, ob die Integration ausgeführt wird, melden Sie sich als Organisationsadministrator mit einem Microsoft Entra ID-Konto an und versuchen Sie, auf allen zugehörigen Seiten nach Microsoft Entra ID-Benutzern und -Gruppen zu suchen , z. B. im Gruppe bearbeiten- Panel in der Test Cloud (Administrator > Konten und Gruppen > Gruppen > Bearbeiten).
Wenn Sie nach Benutzern und Gruppen suchen können, die aus einer Microsoft Entra-ID stammen, bedeutet dies, dass die Integration läuft. Sie können den Benutzer- oder Gruppentyp anhand des Symbols erkennen.
Wenn bei der Suche nach Benutzern ein Fehler auftritt, wie im folgenden Beispiel gezeigt, heißt das, dass mit der Konfiguration in Azure etwas nicht stimmt. Wenden Sie sich an Ihren Azure-Administrator, und bitten Sie ihn, zu überprüfen, ob Azure wie zuvor in der Dokumentation zum Konfigurieren von Azure für die Integration beschrieben eingerichtet ist.
Bitten Sie Ihren Azure-Administrator zu bestätigen, dass er das Kontrollkästchen Administratorzustimmung gewähren während der Azure-Konfiguration aktiviert hat. Dies ist eine häufige Ursache, warum die Integration fehlschlägt.
Azure-Administratoren können das UiPath-Microsoft Entra ID-Testskript testAzureADappRegistration.ps1 verwenden, das auf GitHub verfügbar ist, um Konfigurationsprobleme zu erkennen und zu beheben, wenn die Ursache nicht klar ist.
Abschluss des Übergangs zu Microsoft Entra ID
Sobald die Integration aktiv ist, empfehlen wir Ihnen, die Anweisungen in diesem Abschnitt zu befolgen, um sicherzustellen, dass Benutzererstellung und Gruppenzuordnung an Microsoft Entra ID weitergegeben werden. Auf diese Weise können Sie auf Ihrer vorhandenen Identitäts- und Zugriffsverwaltungsinfrastruktur aufbauen, um einfachere Governance und Zugriffsverwaltung über Ihre UiPath-Ressourcen zu erhalten.
Gruppen für Berechtigungen und Roboter konfigurieren (optional)
Sie können dies tun, um sicherzustellen, dass der Azure-Administrator auch neue Benutzer mit den gleichen Berechtigungen und Roboterkonfigurationen ausstatten kann, die Sie vor der Integration eingerichtet haben. Dazu können sie alle neuen Benutzer zu einer Microsoft Entra ID-Gruppe hinzufügen, wenn der Gruppe bereits die erforderlichen Rollen zugewiesen sind.
Sie können Ihre vorhandenen Benutzergruppen von UiPath neuen oder vorhandenen Gruppen in Microsoft Entra ID zuordnen. Je nachdem, wie Sie Gruppen in Microsoft Entra ID verwenden, können Sie dies auf mehrere Arten tun:
- Wenn Benutzer mit denselben Rollen in UiPath bereits in denselben Gruppen in Microsoft Entra ID sind, kann der Organisationsadministrator diese Microsoft Entra ID-Gruppen zu den Benutzergruppen hinzufügen, in denen sich diese Benutzer befanden. Dadurch wird sichergestellt, dass Benutzer die gleichen Berechtigungen und das Roboter-Setup beibehalten.
- Andernfalls kann der Azure-Administrator neue Gruppen in der Microsoft Entra-ID erstellen, die den Gruppen in UiPath entsprechen, und dieselben Benutzer hinzufügen, die sich in den UiPath-Benutzergruppen befinden. Dann kann der Organisationsadministrator den vorhandenen Benutzergruppen die neuen Microsoft Entra-ID-Gruppen hinzufügen, um sicherzustellen, dass dieselben Benutzer die gleichen Rollen haben.
Stellen Sie sicher, dass Sie in allen Instanzen alle Rollen überprüfen, die Benutzern speziell zugewiesen sind. Entfernen Sie nach Möglichkeit diese direkten Rollenzuweisungen und fügen Sie diese Benutzer zu Gruppen hinzu, denen diese Rollen bereits zugewiesen sind.
Angenommen, die Gruppe Administrators in UiPath umfasst die Benutzer „Anna“, „Tom“ und „John“. Dieselben Benutzer befinden sich auch in einer Gruppe in der Microsoft Entra ID namens admins. Der Organisationsadministrator kann die Azure-Gruppe admins zur Gruppe Administrators in UiPath hinzufügen. So profitieren auch Anna, Tom und John als Mitglieder der Microsoft Entra-ID-Gruppe admins von den Rollen der Gruppe Administrators in UiPath.
Da admins jetzt Teil der Gruppe Administrators ist, kann der Azure-Administrator den neuen Benutzer zur Gruppe admins in Azure hinzufügen, wodurch er ihnen Administrator-Berechtigungen in UiPath gewährt, ohne Änderungen in UiPath vornehmen zu müssen.
Änderungen an Microsoft Entra ID-Gruppenzuweisungen werden in UiPath innerhalb einer Stunde übernommen, wenn sich der Benutzer mit seinem Microsoft Entra ID-Konto anmeldet, oder, wenn er bereits angemeldet ist, innerhalb einer Stunde.
Vorhandene Benutzer migrieren
Damit die Berechtigungen gelten, die Microsoft Entra ID-Benutzern und -Gruppen zugewiesen sind, müssen sich Benutzer mindestens einmal anmelden. Wir empfehlen Ihnen, nach der Ausführung der Integration alle Ihre Benutzer aufzufordern, sich von ihrem lokalen Konto abzumelden und sich mit ihrem Microsoft Entra ID-Konto erneut anzumelden. Sie können sich mit ihrem Microsoft Entra ID-Konto anmelden, indem sie:
- Navigieren zur organisationsspezifischen UiPath-URL – in diesem Fall ist der Anmeldetyp bereits ausgewählt. Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B.
<AccessURL>/orgID/. - Durch Auswählen von Enterprise SSO auf der Haupt-Anmeldeseite. Stellen Sie sicher, dass Sie allen Benutzern Ihre organisationsspezifische URL zur Verfügung stellen.
Migrierte Benutzer erhalten die kombinierten Berechtigungen, die ihnen direkt in UiPath zugewiesen wurden, zusammen mit denen von ihren Microsoft Entra-ID-Gruppen.
So richten Sie Studio und Assistant für die Verbindung mit Microsoft Entra ID-Konten ein:
- Öffnen Sie im UiPath Assistant Einstellungen und wählen Sie die Registerkarte Orchestrator-Verbindung aus.
- Wählen Sie Abmelden aus.
- Wählen Sie für den Verbindungstyp Dienst-URL aus.
- Fügen Sie im Feld Dienst-URL die organisationsspezifische URL hinzu. Die URL muss die Organisations-ID enthalten und mit einem Schrägstrich enden, z. B.
<AccessURL>/orgID/. Andernfalls schlägt die Verbindung mit dem Hinweis fehl, der Benutzer gehöre keiner Organisation an. - Melden Sie sich mit dem Microsoft Entra ID-Konto wieder an.
Wichtig:
Berechtigungen von Microsoft Entra ID-Gruppen beeinflussen nicht die Automatisierungen aus klassischen Ordnern oder den Robotern, die mit dem Maschinenschlüssel verbunden sind. Um mit gruppenbasierten Berechtigungen zu arbeiten, konfigurieren Sie die Automatisierungen in modernen Ordnern und verwenden Sie die Option Dienst-URL , um eine Verbindung mit dem UiPath Assistant oder Studio herzustellen.
Verwendung von lokalen UiPath-Konten einstellen (optional)
Es wird empfohlen, die Verwendung von lokalen Konten zu entfernen, um die wichtigsten Compliance- und Effizienzvorteile der vollständigen Integration zwischen UiPath und Microsoft Entra ID zu maximieren.
Entfernen Sie nur Konten von Nicht-Administratoren. Sie sollten mindestens ein lokales Konto für einen Organisationsadministrator behalten, um die Authentifizierungseinstellungen in der Zukunft ändern zu können.
Nachdem alle Benutzer migriert wurden, können Sie die Benutzer, die Nicht-Administratoren sind, von der Registerkarte Benutzer entfernen, sodass sich Ihre Benutzer nicht mehr mit ihren lokalen Konten anmelden können. Sie können diese Konten anhand ihrer Benutzersymbole erkennen.
Sie können auch einzelne Berechtigungen in den UiPath-Diensten, z. B. dem Orchestrator-Dienst, bereinigen und einzelne Benutzer aus Gruppen entfernen, sodass die Berechtigungen ausschließlich von der Microsoft Entra ID-Gruppenmitgliedschaft abhängen.
Erweiterte Funktionen
Im folgenden Abschnitt werden einige nützliche Hinweise über erweiterte Funktionen beschrieben, die Sie jetzt nutzen können, nachdem Sie die Azure AD-Integration eingerichtet haben.
Beschränken Sie den Zugriff auf Ihre Organisation
Da die Integration mit Azure AD auf der Ebene des Azure-Mandanten durchgeführt wird, können standardmäßig alle Azure AD-Benutzer auf Test Cloud zugreifen. Wenn sich ein Azure AD-Benutzer zum ersten Mal bei seiner UiPath-Organisation anmeldet, wird er automatisch in die UiPath-Gruppe Everyone aufgenommen, was ihm die Rolle Benutzer in der Organisation gewährt, die die grundlegende Zugriffsebene innerhalb des UiPath-Ökosystems bietet.
Wenn Sie nur bestimmten Benutzern Zugriff auf Ihre Organisation gewähren möchten, können Sie die Benutzerzuweisung für die UiPath-App-Registrierung in Azure aktivieren. Auf diese Weise müssen Benutzer explizit zugewiesen werden, um darauf zugreifen zu können. Anweisungen finden Sie unter So beschränken Sie Ihre App auf eine Gruppe von Benutzern in der Azure AD-Dokumentation von Microsoft.
Zugriff auf vertrauenswürdige Netzwerke oder Geräte einschränken
Wenn Sie Ihren Benutzern nur den Zugriff auf Test Cloud von einem vertrauenswürdigen Netzwerk oder einem vertrauenswürdigen Gerät aus erlauben möchten, können Sie die Funktion Azure AD – Bedingter Zugriff verwenden.
Governance für Gruppen in Azure AD
Wenn Sie Gruppen in Azure AD für das einfache UiPath-Onboarding direkt aus Azure AD erstellt haben, wie zuvor in Konfigurieren von Gruppen für Berechtigungen und Roboter beschrieben, können Sie die erweiterten Sicherheitsoptionen des Privileged Identity Management (PIM) für diese Gruppen verwenden, um Zugriffsanforderungen für zu steuern UiPath-Gruppen. Weitere Informationen finden Sie in der Microsoft-Dokumentation zu PIM.
Häufige Fragen
Was ändert sich für meine Benutzer nach der Integration?
Nach der Integration können sich Benutzer mit ihren Microsoft Entra ID-Konten anmelden und ihre vorhandenen Berechtigungen beibehalten. Wenn lokale Benutzerkonten noch aktiv sind, bleiben beide Anmeldemethoden verfügbar.
Um sich mit einem Verzeichniskonto anzumelden, können Benutzer eine der folgenden Aktionen ausführen:
- Wechseln Sie zur organisationsspezifischen URL:
<AccessURL>{organizationName}/ - Wählen Sie auf der Haupt-Anmeldeseite Weiter mit Enterprise SSO aus.
Warum kann ich nach dem Konfigurieren der Integration nicht nach Benutzern oder Gruppen suchen?
Wenn Sie sich mit einem lokalen Benutzerkonto anstelle Ihres Verzeichniskontos angemeldet haben, können Sie in Ihrer Organisation nicht nach Benutzern oder Gruppen suchen.
Informationen zu den Unterschieden zwischen lokalen und Verzeichniskonten finden Sie unter Auslaufen lokaler Konten.
Um das Problem zu beheben, stellen Sie sicher, dass Sie mit Ihrem Microsoft Entra ID-Konto angemeldet sind.
Muss ich die Berechtigungen neu zuweisen?
Nein, Sie müssen keine Berechtigungen neu zuweisen. Wenn Konten verknüpft sind, wendet Ihre Organisation vorhandene Berechtigungen automatisch auf das entsprechende Microsoft Entra ID-Konto an. Verzeichnisbenutzerkonten erhalten Berechtigungen sowohl für direkte Zuweisungen als auch für Verzeichnisgruppenmitgliedschaften.
Welche Microsoft Entra ID-Attribute werden Benutzerkonten im UiPath-Verzeichnis zugeordnet und wann werden sie aktualisiert?
UiPath ordnet nur einen begrenzten Satz von Microsoft Entra ID-Attributen Verzeichnisbenutzerkonten zu. Die folgende Tabelle fasst die verfügbaren Attribute zusammen.
Alle Benutzerattribute werden bei der Anmeldung und wenn Benutzer gesucht oder Zugriff auf Ressourcen in Ihrer UiPath-Organisation zugewiesen werden, aktualisiert.
| UiPath-Organisationsattribute | Microsoft Entra-ID-Attribute | Zweck |
|---|---|---|
| Benutzername | user.userPrincipalName | Eindeutiger Bezeichner. Diese Eigenschaft ist beim Erstellen eines Benutzers erforderlich und kann während der Aktualisierung nicht gelöscht werden. |
| Anzeigename | user.displayName | Der vollständige Name des Benutzers, normalerweise eine Kombination aus Vor- und Nachname. Diese Eigenschaft ist beim Erstellen eines Benutzers erforderlich und kann während der Aktualisierung nicht gelöscht werden. |
| Vorname | user.givenName | Der Vorname des Benutzers. |
| Nachname | user.surName | Der Nachname des Benutzers. |
user.Mail | Die E-Mail-Adresse des Benutzers. Diese Eigenschaft ist beim Erstellen eines Benutzers erforderlich und kann bei der Aktualisierung nicht gelöscht werden. | |
| Bezeichnung der Tätigkeit1 | user.JobTitle | Die Tätigkeitsbezeichnung des Benutzers. |
| Department1 | user.Department | Die Abteilung des Benutzers. |
| Stadt1 | user.City | Der Ort des Benutzers. |
| Name des Unternehmens1 | user.CompanyName | Der Firmenname des Benutzers. |
1Automation Hub ist der einzige Dienst, der die Werte für Ort, Berufsbezeichnung, Abteilung und Firmenname der Microsoft Entra ID nutzt. Wenn Sie diese Attribute benötigen, müssen Sie eine Berechtigung mit höheren Berechtigungen anfordern, wie unter Konfigurieren der Microsoft Entra ID-Integration dokumentiert .
Beschreibungen von Microsoft Entra ID-Attributen finden Sie in der Microsoft-Dokumentation.
Wie schnell werden Änderungen der Microsoft Entra ID-Gruppenmitgliedschaft angewendet?
Änderungen an der Microsoft Entra ID-Gruppenmitgliedschaft werden bei der nächsten Anmeldung oder innerhalb einer Stunde für Benutzer wirksam, die bereits angemeldet sind.
Kann ich nach der Integration wieder zu lokalen Konten zurückkehren?
Ja, Sie können nach der Integration mit Microsoft Entra ID zu lokalen Konten zurückkehren. Ein Organisationsadministrator muss die folgenden Schritte ausführen:
- Laden Sie die lokalen Benutzerkonten erneut ein.
- Migrieren Sie alle verzeichnisgruppenbasierten Berechtigungen, um Zuweisungen zu den entsprechenden lokalen Konten zu leiten.
- Bitten Sie Benutzer, sich abzumelden und dann mit ihrem lokalen Benutzerkonto anzumelden.
Kann ich von der Microsoft Entra ID-Integration zur SAML-Integration migrieren?
Ja, Sie können von der Microsoft Entra ID-Integration zur SAML-Integration migrieren. Ein Organisationsadministrator muss sicherstellen, dass beide Identitätssysteme für jeden Benutzer dieselbe E-Mail-Adresse verwenden. Der Administrator muss auch alle Berechtigungen, die über Microsoft Entra ID-Gruppen zugewiesen wurden, zu SAML-Bereitstellungsregeln migrieren.
Warum verwendet die Integration den hybriden OAuth 2.0-Autorisierungscode-Gewährungsablauf der Microsoft Entra ID?
UiPath verwendet den hybriden Flow, um das ID-Token vom Autorisierungsendpunkt zu erhalten und die Authentifizierungslatenz zu reduzieren, wie in der Microsoft Entra ID-Dokumentation beschrieben.
- Konfigurieren von Azure für die Integration
- Einrichten eines Azure Key Vault-Zertifikats für UiPath
- Bereitstellen der Integration
- Inaktive Benutzer bereinigen
- Aktivieren Sie die Microsoft Entra ID-Integration
- Testen Sie die Integration der Microsoft Entra-ID
- Abschluss des Übergangs zu Microsoft Entra ID
- Gruppen für Berechtigungen und Roboter konfigurieren (optional)
- Vorhandene Benutzer migrieren
- Verwendung von lokalen UiPath-Konten einstellen (optional)
- Erweiterte Funktionen
- Häufige Fragen
- Was ändert sich für meine Benutzer nach der Integration?
- Warum kann ich nach dem Konfigurieren der Integration nicht nach Benutzern oder Gruppen suchen?
- Muss ich die Berechtigungen neu zuweisen?
- Welche Microsoft Entra ID-Attribute werden Benutzerkonten im UiPath-Verzeichnis zugeordnet und wann werden sie aktualisiert?
- Wie schnell werden Änderungen der Microsoft Entra ID-Gruppenmitgliedschaft angewendet?
- Kann ich nach der Integration wieder zu lokalen Konten zurückkehren?
- Kann ich von der Microsoft Entra ID-Integration zur SAML-Integration migrieren?
- Warum verwendet die Integration den hybriden OAuth 2.0-Autorisierungscode-Gewährungsablauf der Microsoft Entra ID?