UiPath Documentation
test-cloud
latest
false
Test Cloud-Administratorhandbuch
Wichtig :
Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

SCIM-Benutzersynchronisierung

Hinweis:

Öffentliche Vorschau: SCIM User Sync befindet sich in der öffentlichen Vorschau.

Enterprise Diese Funktion ist mit dem Enterprise-Lizenzierungsplan verfügbar.

Hinweis:

Die Verfügbarkeit der Funktionen hängt vom Cloud-Angebot ab, das Sie verwenden. Weitere Informationen finden Sie auf der Seite Funktionsverfügbarkeit.

Mit der SCIM-Verzeichnisintegration (System for Cross-domain Identity Management) können Unternehmen Benutzeridentitäten und Lebenszyklusereignisse zwischen UiPath und ihren Identitätsanbietern (IdPs) sicher synchronisieren.

Aufbauend auf bestehenden Integrationen von Microsoft Entra ID und Security Assertion Markup Language (SAML) basierend auf Single Sign-On (SSO) automatisiert SCIM User Sync die Benutzererstellung, Aktualisierungen und Aufhebung der Bereitstellung, wodurch die manuelle Identitätsverwaltung überflüssig wird und gleichzeitig eine zentrale Kontrolle erhalten bleibt.

Schlüsselfunktionen

Automatisierte Verwaltung des Benutzerlebenszyklus

Synchronisiert die Benutzererstellung, Aktualisierungen und Löschungen zwischen Ihrem IdP und UiPath.

Synchronisierung von Benutzerattributen

Benutzerattribute – Name, E-Mail-Adresse, Berufsbezeichnung, Abteilung und andere Attribute – werden automatisch gemäß den Anweisungen des SCIM-Quellverzeichnisses aktualisiert. Änderungen werden in UiPath widergespiegelt, ohne dass eine erneute Anmeldung erforderlich ist.

Aufheben der Bereitstellung und Compliance

Gewährleistet eine sichere Zugriffskontrolle und gibt Lizenzzuweisungen frei, wenn Mitarbeiter die Organisation verlassen, sodass Sie die Anforderungen an die Datenaufbewahrung und Prüfungen erfüllen können.

Unterstützte Identitätsanbieter

  • Microsoft Entra ID (Azure AD)
  • Okta

Unterstützte SCIM-Vorgänge

RessourceBetriebBeschreibung
BenutzerGET, POST, PUT, PATCH, DELETEAbrufen, Erstellen, Ändern oder Deaktivieren von Benutzern
GruppenNicht unterstütztGruppen und Gruppenmitgliedschaften werden nicht über SCIM synchronisiert

SCIM User Sync stellt nur Benutzer bereit – Gruppen und Gruppenmitgliedschaften werden nicht synchronisiert. Informationen zum Verhalten des gruppenbasierten Zugriffs unter jeder SSO-Methode finden Sie im folgenden Abschnitt Funktionsvergleich anhand der SSO-Methode .

Der SCIM 2.0-Server stellt auch die Standardendpunkte der Diensterkennung unter Ihrer SCIM-Basis-URL (die SCIM-URL aus dem Setup, z. B. https://cloud.uipath.com/{orgId}/identity_/api/scim/v2) bereit:

  • .../ServiceProviderConfig
  • .../ResourceTypes
  • .../Schemas

Diese Endpunkte akzeptieren Anforderungen, die mit Ihrem SCIM-Autorisierungstoken authentifiziert wurden, und geben die unterstützten Serverfunktionen, Ressourcentypen und Schemas zurück.

Verwaltung des Benutzerlebenszyklus

SCIM verwaltet die folgenden Lebenszyklusereignisse:

  • Bereitstellung: Wenn ein Benutzer im Quellverzeichnis zugewiesen wird, pusht der IdP den Benutzer zu UiPath.
  • Aktualisierung: Wenn sich die Attribute eines Benutzers im Quellverzeichnis ändern, pusht der IdP Aktualisierungen an UiPath.
  • Aufheben der Bereitstellung:
    • Deaktivieren: Wenn ein Benutzer im Quellverzeichnis deaktiviert wird oder die Zuweisung aufgehoben wird, markiert UiPath ihn als deaktiviert.
    • Löschen: Wenn ein Benutzer aus dem Quellverzeichnis gelöscht wird, löscht UiPath den Benutzer.
  • Reaktivierung: Wenn ein Benutzer im Quellverzeichnis reaktiviert wird, reaktiviert UiPath ihn. Lizenzen müssen nach der Reaktivierung neu zugewiesen werden.

In folgender Tabelle wird beschrieben, wie sich jedes Lebenszyklusereignis auf UiPath auswirkt:

ErstellenAktualisierungDeaktivierenLöschen
Administrator – Benutzer- und GruppenverwaltungDer Benutzer wird für Abfragen und Zuweisungen von Gruppen, Rollen und Berechtigungen verfügbar.Benutzerattribute werden aktualisiert.Alle Rollen und Berechtigungen werden beibehalten.Alle Datensätze des Benutzers werden gelöscht.
LizenzverwaltungDie Lizenz des Benutzers wird freigegeben und in Ihren verfügbaren Pool zurückgegeben.Die Lizenz des Benutzers wird freigegeben und in Ihren verfügbaren Pool zurückgegeben.
Erstanbieterdienste (Orchestrator, Automation Hub, Task Mining)Der Benutzer ist als inaktiv markiert; Artefakte, die auf sie verweisen, zeigen einen inaktiven Indikator an.Der Benutzer wird entfernt; Artefakte, die auf sie verweisen, zeigen einen inaktiven Indikator an.
Andere DiensteZukünftige VersionZukünftige VersionZukünftige VersionZukünftige Version
Hinweis:

Wenn ein Benutzer in Ihrem Identitätsanbieter deaktiviert oder deaktiviert wird – nicht nur, wenn er gelöscht wird – gibt UiPath automatisch seine Lizenz frei und gibt sie zur Neuzuweisung an Ihren verfügbaren Pool zurück. Auf diese Weise können Sie Lizenzen von ausscheidenden oder inaktiven Benutzern ohne manuelle Bereinigung zurückgewinnen. Wenn der Benutzer später wieder aktiviert wird, müssen die Lizenzen neu zugewiesen werden.

Autorisierungsmethoden

Die folgenden Autorisierungsmethoden stehen Ihnen je nach Identitätsanbieter zur Verfügung:

AutorisierungsmethodeEntra-IDOkta
Langfristiges Bearer-TokenWird unterstütztWird unterstützt
Gewährung des OAuth-AutorisierungscodesNicht unterstütztWird unterstützt
Gewährung von OAuth-Client-AnmeldeinformationenWird unterstütztNicht unterstützt

Verzeichnisverhalten bei aktiviertem SCIM

Wenn SCIM aktiviert ist, bezieht UiPath Verzeichnisbenutzer ausschließlich von den Benutzern, die über SCIM bereitgestellt wurden. Nur von SCIM bereitgestellte Benutzer werden überall dort zurückgegeben, wo Verzeichnisbenutzer gesucht oder abgefragt werden – einschließlich wenn Sie im UiPath-Administratorportal und über die Verzeichnis-API nach Benutzern suchen. Dies gilt sowohl für Microsoft Entra ID- als auch für SAML-Integrationen:

  • Microsoft Entra ID: UiPath ruft die Microsoft Graph-API nicht auf, um Benutzer abzurufen – die Benutzer werden aus dem von SCIM bereitgestellten Verzeichnis bereitgestellt. (Die Gruppensuche verwendet weiterhin einen Echtzeit-Graph-API-Aufruf.)
  • SAML: Benutzer, die nicht über SCIM bereitgestellt wurden, werden aus Verzeichnisergebnissen gefiltert.
Wichtig:

Der Satz von Benutzern, die sich anmelden können, muss genau mit dem Satz von Benutzern übereinstimmen, die über SCIM bereitgestellt wurden. Da Verzeichnisabfragen nur von SCIM bereitgestellte Benutzer zurückgeben, kann ein Benutzer, der sich authentifizieren kann, aber nicht über SCIM bereitgestellt wurde, nicht gefunden werden, keinen Berechtigungen erhalten oder auf andere Weise in UiPath verwaltet werden. Die Benutzer, die Ihrer SSO-Anwendung und Ihrer SCIM-Anwendung zugewiesen sind, müssen identisch sein.

Funktionsvergleich nach SSO-Methode

In der folgenden Tabelle wird verglichen, wie sich SCIM User Sync je nach der für Ihre Organisation konfigurierten SSO-Methode verhält:

Entra ID-SSO + SCIMSAML SSO + SCIM
Wie werden Verzeichnisbenutzer angemeldet?Single Sign-On mit dem Protokoll OpenID Connect (OIDC) über die organisationsspezifische URL.Single Sign-On mit dem SAML 2.0-Protokoll über die organisationsspezifische URL.
Wie und wann werden Verzeichnisbenutzer bereitgestellt?Benutzer werden bei der Konfiguration vom SCIM-Quellverzeichnis zu UiPath bereitgestellt; Nachfolgende Aktualisierungen werden asynchron gepusht.Benutzer werden bei der Konfiguration vom SCIM-Quellverzeichnis zu UiPath bereitgestellt; Nachfolgende Aktualisierungen werden asynchron gepusht.
Wie und wann werden Verzeichnisbenutzerattribute aktualisiert?Benutzerattribute werden in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aktualisiert.Benutzerattribute werden in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aktualisiert.
Wie und wann wird die Bereitstellung von Verzeichnisbenutzern aufgehoben oder deaktiviert?Die Bereitstellung von Benutzern wird in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aufgehoben oder deaktiviert.Die Bereitstellung von Benutzern wird in UiPath asynchron gemäß den Anweisungen des SCIM-Quellverzeichnisses aufgehoben oder deaktiviert.
Wie und wann werden Verzeichnisgruppen bereitgestellt?Verzeichnisgruppen werden nicht über SCIM bereitgestellt, sondern bei Berechtigung oder Rollenzuweisung in UiPath in einem zwischengespeicherten Verzeichnisse.Verzeichnisgruppen werden nicht über SCIM bereitgestellt.
Wie wird die Verzeichnisgruppenmitgliedschaft ausgewertet?Die Gruppenmitgliedschaft wird mit einem Microsoft Graph-API-Aufruf in Echtzeit ausgewertet.Die Gruppenmitgliedschaft wird nicht über SCIM ausgewertet. Just-in-Time-Bereitstellungsregeln (JIT) können Benutzer basierend auf SAML-Anforderungen in lokale UiPath-Gruppen setzen.
Wie werden Verzeichnisbenutzer durchsucht und erhalten Berechtigungen?Es erfolgt ein Aufruf an das zwischengespeicherte Verzeichnis der von SCIM bereitgestellten Benutzer von UiPath. Sie müssen mit Enterprise-SSO angemeldet sein, um Verzeichnisbenutzer abzufragen.Es erfolgt ein Aufruf an das zwischengespeicherte Verzeichnis der von SCIM bereitgestellten Benutzer von UiPath. Sie müssen mit Enterprise-SSO angemeldet sein, um Verzeichnisbenutzer abzufragen.
Wie werden Verzeichnisgruppen durchsucht und Berechtigungen zugewiesen?Ein Aufruf erfolgt an das UiPath-Verzeichnis für lokale Benutzer und an Entra ID für Verzeichnisgruppen über einen Echtzeit-Aufruf für die Microsoft Graph-API.Verzeichnisgruppen können nicht abgefragt werden. JIT-Bereitstellungsregeln können so konfiguriert werden, dass Benutzer automatisch in lokale UiPath-Gruppen gesetzt werden.

Attributzuordnung

Die folgende Tabelle zeigt, wie SCIM-Attribute UiPath-Benutzerattributen zugeordnet sind. Ihr Identitätsanbieter sendet das SCIM-Attribut; UiPath speichert es als UiPath-Benutzerattribut.

SCIM-AttributUiPath-BenutzerattributErforderlich
externalIdVerzeichnisbezeichner, der für den Abgleich und die Verknüpfung des Benutzers verwendet wirdJa
userNameBenutzernameJa
displayNameAnzeigenameJa
emails[type eq "work"].valueE-Mail
name.givenNameVorname
name.familyNameNachname
titleBezeichnung der Tätigkeit
addresses[type eq "work"].localityStadt
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departmentDepartment
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organizationName des Unternehmens
Hinweis:

externalId ist die Art und Weise, wie UiPath jeden bereitgestellten Benutzer identifiziert und verknüpft, daher muss sie stabil und eindeutig sein – sie wird als Verzeichnis-ID des Benutzers gespeichert. Okta füllt externalId automatisch aus; In Microsoft Entra ID müssen Sie diese explizit in den SCIM-Attributzuordnungen zuordnen (normalerweise zur Objekt-ID des Benutzers).

Die Attributzuordnungen Ihres Identitätsanbieters müssen diese erforderlichen Felder enthalten, bevor die SCIM-Bereitstellung aktiviert ist.

Wichtig:

Die von Ihrem Identitätsanbieter gesendeten Attribute müssen den von UiPath erwarteten SCIM-Attributen zugeordnet werden, wie in der vorangegangenen Attributzuordnungstabelle aufgeführt. Wenn SAML SSO verwendet wird, müssen die SAML-Attributzuordnungen diese Werte erzeugen – insbesondere muss die über SCIM gesendete userName mit dem in der SAML-Assertion verwendeten Bezeichner übereinstimmen, damit ein bereitgestellter Benutzer und seine SSO-Anmeldung auf denselben UiPath aufgelöst werden Benutzer.

Einschränkungen

  • Veraltete Benutzer: Vorhandene inaktive Benutzer werden nicht automatisch gelöscht. Ein zukünftiges Update wird Tools zur Bereinigung inaktiver Benutzer bereitstellen.
  • Synchronisierung von Gruppe und Gruppenmitgliedschaft: Nicht unterstützt.
  • Konsistente Benutzersätze: Der Satz von Benutzern, die für SSO konfiguriert sind, muss mit dem Satz von Benutzern übereinstimmen, die für die SCIM-Synchronisierung konfiguriert sind.

Ratenlimits

SCIM-Anforderungen sind pro Organisation ratenbeschränkt

AnforderungstypGrenzwert
Leseanforderungen (GET)300 Anforderungen pro 5 Minuten
Schreibanforderungen (POST, PUT, PATCH, DELETE)160 Anforderungen pro 5 Minuten

Anforderungen, die diese Grenzwerte überschreiten, erhalten eine HTTP 429 Too Many Requests -Antwort. Identitätsanbieter-Connectors ziehen sich zurück und versuchen gedrosselte Anforderungen automatisch, sodass die Bereitstellung ohne manuelle Intervention fortgesetzt wird.

Einrichtungshandbücher

SSO muss für Ihren Identitätsanbieter konfiguriert sein, bevor die SCIM-Benutzersynchronisierung aktiviert werden kann. Einrichtungsanleitungen sind verfügbar für:

War diese Seite hilfreich?

Verbinden

Benötigen Sie Hilfe? Support

Möchten Sie lernen? UiPath Academy

Haben Sie Fragen? UiPath-Forum

Auf dem neuesten Stand bleiben