- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Aktivieren Ihrer Enterprise-Lizenz
- Migrieren von Test Suite zu Test Cloud
- Lizenzmigration
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Datenexport
- Tests in Ihrer Organisation
- Fehlersuche und ‑behebung
- Migration zur Test Cloud
Öffentliche Vorschau: SCIM User Sync befindet sich in der öffentlichen Vorschau.
Diese Funktion ist mit dem Enterprise-Lizenzierungsplan verfügbar.
Die Verfügbarkeit der Funktionen hängt vom Cloud-Angebot ab, das Sie verwenden. Weitere Informationen finden Sie auf der Seite Funktionsverfügbarkeit.
Mit der SCIM-Verzeichnisintegration (System for Cross-domain Identity Management) können Unternehmen Benutzeridentitäten und Lebenszyklusereignisse zwischen UiPath und ihren Identitätsanbietern (IdPs) sicher synchronisieren.
Aufbauend auf bestehenden Integrationen von Microsoft Entra ID und Security Assertion Markup Language (SAML) basierend auf Single Sign-On (SSO) automatisiert SCIM User Sync die Benutzererstellung, Aktualisierungen und Aufhebung der Bereitstellung, wodurch die manuelle Identitätsverwaltung überflüssig wird und gleichzeitig eine zentrale Kontrolle erhalten bleibt.
Schlüsselfunktionen
Automatisierte Verwaltung des Benutzerlebenszyklus
Synchronisiert die Benutzererstellung, Aktualisierungen und Löschungen zwischen Ihrem IdP und UiPath.
Synchronisierung von Benutzerattributen
Benutzerattribute – Name, E-Mail-Adresse, Berufsbezeichnung, Abteilung und andere Attribute – werden automatisch gemäß den Anweisungen des SCIM-Quellverzeichnisses aktualisiert. Änderungen werden in UiPath widergespiegelt, ohne dass eine erneute Anmeldung erforderlich ist.
Aufheben der Bereitstellung und Compliance
Gewährleistet eine sichere Zugriffskontrolle und gibt Lizenzzuweisungen frei, wenn Mitarbeiter die Organisation verlassen, sodass Sie die Anforderungen an die Datenaufbewahrung und Prüfungen erfüllen können.
Unterstützte Identitätsanbieter
- Microsoft Entra ID (Azure AD)
- Okta
Unterstützte SCIM-Vorgänge
| Ressource | Betrieb | Beschreibung |
|---|---|---|
| Benutzer | GET, POST, PUT, PATCH, DELETE | Abrufen, Erstellen, Ändern oder Deaktivieren von Benutzern |
| Gruppen | Nicht unterstützt | Gruppen und Gruppenmitgliedschaften werden nicht über SCIM synchronisiert |
SCIM User Sync stellt nur Benutzer bereit – Gruppen und Gruppenmitgliedschaften werden nicht synchronisiert. Informationen zum Verhalten des gruppenbasierten Zugriffs unter jeder SSO-Methode finden Sie im folgenden Abschnitt Funktionsvergleich anhand der SSO-Methode .
Der SCIM 2.0-Server stellt auch die Standardendpunkte der Diensterkennung unter Ihrer SCIM-Basis-URL (die SCIM-URL aus dem Setup, z. B. https://cloud.uipath.com/{orgId}/identity_/api/scim/v2) bereit:
.../ServiceProviderConfig.../ResourceTypes.../Schemas
Diese Endpunkte akzeptieren Anforderungen, die mit Ihrem SCIM-Autorisierungstoken authentifiziert wurden, und geben die unterstützten Serverfunktionen, Ressourcentypen und Schemas zurück.
Verwaltung des Benutzerlebenszyklus
SCIM verwaltet die folgenden Lebenszyklusereignisse:
- Bereitstellung: Wenn ein Benutzer im Quellverzeichnis zugewiesen wird, pusht der IdP den Benutzer zu UiPath.
- Aktualisierung: Wenn sich die Attribute eines Benutzers im Quellverzeichnis ändern, pusht der IdP Aktualisierungen an UiPath.
- Aufheben der Bereitstellung:
- Deaktivieren: Wenn ein Benutzer im Quellverzeichnis deaktiviert wird oder die Zuweisung aufgehoben wird, markiert UiPath ihn als deaktiviert.
- Löschen: Wenn ein Benutzer aus dem Quellverzeichnis gelöscht wird, löscht UiPath den Benutzer.
- Reaktivierung: Wenn ein Benutzer im Quellverzeichnis reaktiviert wird, reaktiviert UiPath ihn. Lizenzen müssen nach der Reaktivierung neu zugewiesen werden.
In folgender Tabelle wird beschrieben, wie sich jedes Lebenszyklusereignis auf UiPath auswirkt:
| Erstellen | Aktualisierung | Deaktivieren | Löschen | |
|---|---|---|---|---|
| Administrator – Benutzer- und Gruppenverwaltung | Der Benutzer wird für Abfragen und Zuweisungen von Gruppen, Rollen und Berechtigungen verfügbar. | Benutzerattribute werden aktualisiert. | Alle Rollen und Berechtigungen werden beibehalten. | Alle Datensätze des Benutzers werden gelöscht. |
| Lizenzverwaltung | – | – | Die Lizenz des Benutzers wird freigegeben und in Ihren verfügbaren Pool zurückgegeben. | Die Lizenz des Benutzers wird freigegeben und in Ihren verfügbaren Pool zurückgegeben. |
| Erstanbieterdienste (Orchestrator, Automation Hub, Task Mining) | – | – | Der Benutzer ist als inaktiv markiert; Artefakte, die auf sie verweisen, zeigen einen inaktiven Indikator an. | Der Benutzer wird entfernt; Artefakte, die auf sie verweisen, zeigen einen inaktiven Indikator an. |
| Andere Dienste | Zukünftige Version | Zukünftige Version | Zukünftige Version | Zukünftige Version |
Wenn ein Benutzer in Ihrem Identitätsanbieter deaktiviert oder deaktiviert wird – nicht nur, wenn er gelöscht wird – gibt UiPath automatisch seine Lizenz frei und gibt sie zur Neuzuweisung an Ihren verfügbaren Pool zurück. Auf diese Weise können Sie Lizenzen von ausscheidenden oder inaktiven Benutzern ohne manuelle Bereinigung zurückgewinnen. Wenn der Benutzer später wieder aktiviert wird, müssen die Lizenzen neu zugewiesen werden.
Autorisierungsmethoden
Die folgenden Autorisierungsmethoden stehen Ihnen je nach Identitätsanbieter zur Verfügung:
| Autorisierungsmethode | Entra-ID | Okta |
|---|---|---|
| Langfristiges Bearer-Token | Wird unterstützt | Wird unterstützt |
| Gewährung des OAuth-Autorisierungscodes | Nicht unterstützt | Wird unterstützt |
| Gewährung von OAuth-Client-Anmeldeinformationen | Wird unterstützt | Nicht unterstützt |
Verzeichnisverhalten bei aktiviertem SCIM
Wenn SCIM aktiviert ist, bezieht UiPath Verzeichnisbenutzer ausschließlich von den Benutzern, die über SCIM bereitgestellt wurden. Nur von SCIM bereitgestellte Benutzer werden überall dort zurückgegeben, wo Verzeichnisbenutzer gesucht oder abgefragt werden – einschließlich wenn Sie im UiPath-Administratorportal und über die Verzeichnis-API nach Benutzern suchen. Dies gilt sowohl für Microsoft Entra ID- als auch für SAML-Integrationen:
- Microsoft Entra ID: UiPath ruft die Microsoft Graph-API nicht auf, um Benutzer abzurufen – die Benutzer werden aus dem von SCIM bereitgestellten Verzeichnis bereitgestellt. (Die Gruppensuche verwendet weiterhin einen Echtzeit-Graph-API-Aufruf.)
- SAML: Benutzer, die nicht über SCIM bereitgestellt wurden, werden aus Verzeichnisergebnissen gefiltert.
Der Satz von Benutzern, die sich anmelden können, muss genau mit dem Satz von Benutzern übereinstimmen, die über SCIM bereitgestellt wurden. Da Verzeichnisabfragen nur von SCIM bereitgestellte Benutzer zurückgeben, kann ein Benutzer, der sich authentifizieren kann, aber nicht über SCIM bereitgestellt wurde, nicht gefunden werden, keinen Berechtigungen erhalten oder auf andere Weise in UiPath verwaltet werden. Die Benutzer, die Ihrer SSO-Anwendung und Ihrer SCIM-Anwendung zugewiesen sind, müssen identisch sein.
Funktionsvergleich nach SSO-Methode
In der folgenden Tabelle wird verglichen, wie sich SCIM User Sync je nach der für Ihre Organisation konfigurierten SSO-Methode verhält:
| Entra ID-SSO + SCIM | SAML SSO + SCIM | |
|---|---|---|
| Wie werden Verzeichnisbenutzer angemeldet? | Single Sign-On mit dem Protokoll OpenID Connect (OIDC) über die organisationsspezifische URL. | Single Sign-On mit dem SAML 2.0-Protokoll über die organisationsspezifische URL. |
| Wie und wann werden Verzeichnisbenutzer bereitgestellt? | Benutzer werden bei der Konfiguration vom SCIM-Quellverzeichnis zu UiPath bereitgestellt; Nachfolgende Aktualisierungen werden asynchron gepusht. | Benutzer werden bei der Konfiguration vom SCIM-Quellverzeichnis zu UiPath bereitgestellt; Nachfolgende Aktualisierungen werden asynchron gepusht. |
| Wie und wann werden Verzeichnisbenutzerattribute aktualisiert? | Benutzerattribute werden in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aktualisiert. | Benutzerattribute werden in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aktualisiert. |
| Wie und wann wird die Bereitstellung von Verzeichnisbenutzern aufgehoben oder deaktiviert? | Die Bereitstellung von Benutzern wird in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aufgehoben oder deaktiviert. | Die Bereitstellung von Benutzern wird in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aufgehoben oder deaktiviert. |
| Wie und wann werden Verzeichnisgruppen bereitgestellt? | Verzeichnisgruppen werden nicht über SCIM bereitgestellt, sondern bei Berechtigung oder Rollenzuweisung in UiPath in einem zwischengespeicherten Verzeichnisse. | Verzeichnisgruppen werden nicht über SCIM bereitgestellt. |
| Wie wird die Verzeichnisgruppenmitgliedschaft ausgewertet? | Die Gruppenmitgliedschaft wird mit einem Microsoft Graph-API-Aufruf in Echtzeit ausgewertet. | Die Gruppenmitgliedschaft wird nicht über SCIM ausgewertet. Just-in-Time-Bereitstellungsregeln (JIT) können Benutzer basierend auf SAML-Anforderungen in lokale UiPath-Gruppen setzen. |
| Wie werden Verzeichnisbenutzer durchsucht und erhalten Berechtigungen? | Es erfolgt ein Aufruf an das zwischengespeicherte Verzeichnis der von SCIM bereitgestellten Benutzer von UiPath. Sie müssen mit Enterprise-SSO angemeldet sein, um Verzeichnisbenutzer abzufragen. | Es erfolgt ein Aufruf an das zwischengespeicherte Verzeichnis der von SCIM bereitgestellten Benutzer von UiPath. Sie müssen mit Enterprise-SSO angemeldet sein, um Verzeichnisbenutzer abzufragen. |
| Wie werden Verzeichnisgruppen durchsucht und Berechtigungen zugewiesen? | Ein Aufruf erfolgt an das UiPath-Verzeichnis für lokale Benutzer und an Entra ID für Verzeichnisgruppen über einen Echtzeit-Aufruf für die Microsoft Graph-API. | Verzeichnisgruppen können nicht abgefragt werden. JIT-Bereitstellungsregeln können so konfiguriert werden, dass Benutzer automatisch in lokale UiPath-Gruppen gesetzt werden. |
Attributzuordnung
Die folgende Tabelle zeigt, wie SCIM-Attribute UiPath-Benutzerattributen zugeordnet sind. Ihr Identitätsanbieter sendet das SCIM-Attribut; UiPath speichert es als UiPath-Benutzerattribut.
| SCIM-Attribut | UiPath-Benutzerattribut | Erforderlich |
|---|---|---|
externalId | Verzeichnisbezeichner, der für den Abgleich und die Verknüpfung des Benutzers verwendet wird | Ja |
userName | Benutzername | Ja |
displayName | Anzeigename | Ja |
emails[type eq "work"].value | ||
name.givenName | Vorname | |
name.familyName | Nachname | |
title | Bezeichnung der Tätigkeit | |
addresses[type eq "work"].locality | Stadt | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | Department | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | Name des Unternehmens |
externalId ist die Art und Weise, wie UiPath jeden bereitgestellten Benutzer identifiziert und verknüpft, daher muss sie stabil und eindeutig sein – sie wird als Verzeichnis-ID des Benutzers gespeichert. Okta füllt externalId automatisch aus; In Microsoft Entra ID müssen Sie diese explizit in den SCIM-Attributzuordnungen zuordnen (normalerweise zur Objekt-ID des Benutzers).
Die Attributzuordnungen Ihres Identitätsanbieters müssen diese erforderlichen Felder enthalten, bevor die SCIM-Bereitstellung aktiviert ist.
Die von Ihrem Identitätsanbieter gesendeten Attribute müssen den von UiPath erwarteten SCIM-Attributen zugeordnet werden, wie in der vorangegangenen Attributzuordnungstabelle aufgeführt. Wenn SAML SSO verwendet wird, müssen die SAML-Attributzuordnungen diese Werte erzeugen – insbesondere muss die über SCIM gesendete userName mit dem in der SAML-Assertion verwendeten Bezeichner übereinstimmen, damit ein bereitgestellter Benutzer und seine SSO-Anmeldung auf denselben UiPath aufgelöst werden Benutzer.
Einschränkungen
- Veraltete Benutzer: Vorhandene inaktive Benutzer werden nicht automatisch gelöscht. Ein zukünftiges Update wird Tools zur Bereinigung inaktiver Benutzer bereitstellen.
- Synchronisierung von Gruppe und Gruppenmitgliedschaft: Nicht unterstützt.
- Konsistente Benutzersätze: Der Satz von Benutzern, die für SSO konfiguriert sind, muss mit dem Satz von Benutzern übereinstimmen, die für die SCIM-Synchronisierung konfiguriert sind.
Ratenlimits
SCIM-Anforderungen sind pro Organisation ratenbeschränkt
| Anforderungstyp | Grenzwert |
|---|---|
Leseanforderungen (GET) | 300 Anforderungen pro 5 Minuten |
Schreibanforderungen (POST, PUT, PATCH, DELETE) | 160 Anforderungen pro 5 Minuten |
Anforderungen, die diese Grenzwerte überschreiten, erhalten eine HTTP 429 Too Many Requests -Antwort. Identitätsanbieter-Connectors ziehen sich zurück und versuchen gedrosselte Anforderungen automatisch, sodass die Bereitstellung ohne manuelle Intervention fortgesetzt wird.
Einrichtungshandbücher
SSO muss für Ihren Identitätsanbieter konfiguriert sein, bevor die SCIM-Benutzersynchronisierung aktiviert werden kann. Einrichtungsanleitungen sind verfügbar für: