automation-cloud
latest
false
Guide d'administration d'Automation Cloud
Last updated 31 oct. 2024

Comprendre les modèles d'authentification

Le modèle de comptes locaux (basé sur les invitations)

Les comptes utilisateurs locaux représentent les comptes de chaque utilisateur et sont internes à UiPath Platform.

Le modèle de comptes locaux fournit une approche d'authentification autonome. Il nécessite une invitation d'un administrateur de l'organisation pour que les nouveaux utilisateurs puissent s'inscrire. Il est adapté aux scénarios où vous souhaitez contrôler totalement la gestion des utilisateurs au sein de votre plate-forme.

Remarque : ce modèle est compatible avec le modèle de comptes d’annuaire. Si vous choisissez d’utiliser le modèle de répertoire, vous pouvez continuer à créer des utilisateurs sur invitation.

Dans les paramètres de l'organisation, vous avez un contrôle total sur les méthodes d'authentification disponibles pour les utilisateurs :

  • Pour permettre l'utilisation de toutes les méthodes disponibles (Google, Microsoft, authentification de base) pour un maximum de flexibilité, choisissez l'option Toutes les méthodes disponibles (All available methods).

  • Pour restreindre l'authentification à Google uniquement, choisissez l'option de connexion Google.

  • Pour restreindre l'authentification à Microsoft uniquement, choisissez l'option de connexion Microsoft.

Authentification avec Google, Microsoft, LinkedIn ou des e-mails personnels

Ce modèle s'applique par défaut à toute nouvelle organisation. Il est facile à utiliser, rapide à installer et pratique pour vos utilisateurs.

Le processus de création d'un utilisateur est le suivant :

  1. Les administrateurs d'organisation doivent obtenir les adresses e-mail des utilisateurs et les utiliser pour inviter chaque utilisateur à rejoindre leur organisation. Ils peuvent le faire de façon groupée.
  2. Chaque employé invité accepte l'invitation en accédant au lien fourni dans l'e-mail d'invitation et crée un compte utilisateur UiPath. Ils peuvent :

    • entrer l'e-mail utilisé pour l'invitation comme nom d'utilisateur et créer un mot de passe ;
    • utiliser un compte existant qu'ils possèdent avec Microsoft (personnel, compte lié à Azure AD ou compte Office 365), Google (compte personnel ou Google Workspace) ou leur compte LinkedIn personnel pour se connecter (ou se fédérer à) leur utilisateur UiPath Compte.

      La possibilité d'utiliser l'un des fournisseurs mentionnés ci-dessus est pratique pour les utilisateurs qui n'ont pas à se souvenir de mots de passe supplémentaires. Et l'utilisation de comptes appartenant à l'organisation dans Azure AD ou Google Workspace vous permet d'appliquer les stratégies de connexion de l'organisation.



Authentification avec Google ou Microsoft uniquement

Dans ce modèle, vous créez des utilisateurs de la même manière que dans le modèle basé sur les invitations : vous envoyez une invitation à leur adresse e-mail et vos utilisateurs doivent créer un compte UiPath. La différence est que vous pouvez choisir d'imposer la connexion à l'aide de :

  • Google ou
  • Microsoft

Ainsi, au lieu de voir toutes les options de connexion, vos utilisateurs ne voient que celle que vous avez sélectionnée.

Par exemple, voici ce que verraient vos utilisateurs si vous choisissiez d'imposer la connexion avec Microsoft :



Ils utilisent toujours leur compte UiPath pour se connecter. Le compte doit utiliser l'adresse e-mail à laquelle l'invitation a été envoyée.

Remarque : Si vous avez autorisé des applications externes pour votre organisation, les jetons générés lors de l'utilisation d'autres fournisseurs restent valides, mais tous les nouveaux jetons suivent la stratégie de connexion appliquée.

Le modèle de comptes d'annuaire

Le modèle de comptes d'annuaire repose sur un annuaire tiers que vous intégrez à la plate-forme UiPath. Cela vous permet de réutiliser le schéma d'identité établi de votre entreprise dans UiPath.

  • Azure Active Directory : si vous avez un abonnement Microsoft Azure ou Office 365, vous pouvez intégrer Azure à la plate-forme UiPath pour utiliser vos utilisateurs et groupes existants d'Azure Active Directory dans UiPath.
  • SAML 2.0 : permet d'intégrer la plate-forme UiPath au fournisseur d'identité (IdP) de votre choix. Cela permet à vos utilisateurs de se connecter à UiPath> avec une authentification unique (SSO) en utilisant les comptes déjà enregistrés auprès de votre IdP.

Les comptes utilisateur d'annuaire sont créés et conservés dans un annuaire externe à UiPath. Les comptes d'annuaire sont uniquement référencés dans la plate-forme UiPath et utilisés comme identités pour vos utilisateurs.

Remarque :

Compatibilité avec le modèle basé sur les invitations

Vous pouvez continuer à utiliser toutes les fonctionnalités du modèle basé sur les invitations conjointement avec un modèle utilisant des comptes d'annuaire. Mais pour maximiser les avantages, nous vous recommandons de vous fier exclusivement à la gestion de compte centralisée de votre répertoire intégré.

Azure Active Directory

Attention : Cette fonctionnalité n'est disponible que si vous êtes sur le plan de licence Enterprise

L'intégration avec Azure Active Directory (Azure AD) peut offrir une gestion évolutive des utilisateurs et des accès pour votre organisation, permettant la conformité de toutes les applications internes utilisées par vos employés. Si votre organisation utilise Azure AD ou Office 365, vous pouvez connecter votre organisation directement à votre locataire Azure AD pour obtenir les avantages suivants :

  • Intégration automatique des utilisateurs grâce à une migration fluide

    • Tous les utilisateurs et groupes d'Azure AD sont facilement accessibles afin de leur attribuer des autorisations pour n'importe quel service de plate-forme UiPath, sans qu'il soit nécessaire d'inviter et de gérer les utilisateurs Azure AD dans l'annuaire de l'organisation.
    • Vous pouvez fournir une authentification unique pour les utilisateurs dont le nom d'utilisateur d'entreprise diffère de leur adresse e-mail, ce qui n'est pas possible avec le modèle basé sur les invitations.
    • Tous les utilisateurs existants possédant des comptes UiPath locaux voient leurs autorisations migrer automatiquement vers leur compte Azure AD connecté.
  • Expérience de connexion simplifiée

    • Les utilisateurs n'ont pas besoin d'accepter une invitation ou de créer un compte utilisateur UiPath pour accéder à l'organisation. Ils se connectent avec leur compte Azure AD en sélectionnant l'option Enterprise SSO ou en utilisant l'URL spécifique à leur organisation. Si l'utilisateur est déjà connecté à Azure AD ou Office 365, il est automatiquement connecté.
    • UiPath Assistant et Studio versions 20.10.3 et plus récentes peuvent être préconfigurés pour utiliser une URL Orchestrator personnalisée, ce qui permet de profiter de la même expérience de connexion fluide.
  • Gouvernance évolutive et gestion des accès avec les groupes Azure AD existants

    • Les groupes de sécurité Azure AD ou les groupes Office 365, également appelés groupes d'annuaires, vous permettent de tirer parti de votre structure organisationnelle existante pour gérer les autorisations à grande échelle. Vous n'avez plus besoin de configurer les autorisations dans les services pour chaque utilisateur.
    • Vous pouvez combiner plusieurs groupes d'annuaires en un seul groupe si vous devez les gérer ensemble.
    • Auditer l'accès est simple. Après avoir configuré les autorisations dans tous les services de la plate-forme UiPath utilisant des groupes Azure AD, vous utilisez vos processus de validation existants associés à l'appartenance au groupe Azure AD.

Remarque :

L'option Accès à l'API (API Access) (Administrateur (Admin) > Locataires (Tenants)) n'est pas disponible lors de l'utilisation du modèle Azure AD.

Si vous avez mis en place des processus qui utilisent les informations de la fenêtre Accès à l'API (API Access) pour authentifier les appels d'API aux services UiPath, vous devez passer à l'utilisation d'OAuth pour l'autorisation, auquel cas les informations d'accès à l'API ne sont plus requises.

Pour utiliser OAuth, vous devez enregistrer des applications externes sur la plate-forme UiPath.

SAML 2.0

Attention : Cette fonctionnalité n'est disponible que si vous êtes sur le plan de licence Enterprise

Ce modèle vous permet de connecter la plate-forme UiPath au fournisseur d'identité (IdP) de votre choix afin que :

  • vos utilisateurs peuvent bénéficier de l'authentification unique (SSO) et
  • vous puissiez gérer des comptes existants à partir de votre répertoire sur la plate-forme UiPath, sans avoir à recréer des identités.

La plate-forme UiPath peut se connecter à n'importe quel fournisseur d'identité (IdPath) externe qui utilise la norme SAML 2.0.

Bénéfices



  • Intégration automatique des utilisateurs à la plate-forme UiPath : tous les utilisateurs de votre fournisseur d'identité externe sont autorisés à se connecter à l'organisation UiPath avec des droits de base lorsque l'intégration SAML est active. Cela signifie que :

    • Les utilisateurs peuvent se connecter à votre organisation UIPath par authentification unique à l'aide de leur compte d'entreprise existant, tel que défini dans l'IdP.
    • Sans configuration supplémentaire, ils deviennent membres du groupe d'utilisateurs Everyone , qui leur accorde par défaut le rôle Utilisateur de l' organisation (User organization role ). Pour pouvoir travailler sur la plate-forme UiPath, les utilisateurs ont besoin de rôles et de licences, en fonction de leur poste.
    • Si vous devez limiter l'accès à certains de vos utilisateurs uniquement, vous pouvez définir l'ensemble d'utilisateurs autorisés à accéder à la plate-forme UiPath dans votre fournisseur d'identité.

  • Gestion des utilisateurs : Vous pouvez ajouter des utilisateurs en les affectant directement à des groupes. Pour ce faire, il vous suffit de saisir leur adresse e-mail lors de l'ajout d'utilisateurs au groupe.

    Généralement, les administrateurs de l'organisation gèrent les comptes locaux à partir de l'onglet Admin > Comptes et groupes ( Accounts & Groups ) > Utilisateurs (Users). Mais les utilisateurs SAML sont considérés comme des comptes d'annuaire dans l'écosystème UiPath, ils ne sont donc pas visibles sur cette page.

    Une fois qu'un utilisateur a été ajouté à un groupe ou qu'il s'est connecté au moins une fois (ce qui l'ajoute automatiquement au groupe Everyone), il peut être recherché dans tous les services UiPath pour une attribution directe de rôle ou de licence.

  • Si vous utilisez UiPath Automation Hub, vous pouvez définir un mappage personnalisé des attributs pour propager les attributs de votre fournisseur d'identité vers la plate-forme UiPath. Par exemple, lorsqu'un compte est ajouté pour la première fois à Automation Hub, le prénom, le nom, l'adresse e-mail, le poste et le service de l'utilisateur sont déjà renseignés.

Fonctionnement de l'authentification

L'identité de vos utilisateurs est vérifiée en fonction de l'annuaire de votre organisation. À partir de là, en fonction des autorisations utilisateur attribuées via des rôles et des groupes, ils peuvent accéder à tous vos services cloud UiPath en utilisant un seul ensemble d'informations d'identification. Le diagramme ci-dessous décrit les deux modèles d'identité, comment ils fonctionnent avec les différentes identités d'utilisateur et comment la fédération peut être atteint. Dans le modèle basé sur les invitations, la gestion des identités est effectuée sur une référence utilisateur dans l'annuaire de l'organisation, tandis que les utilisateurs restent maîtres de leurs comptes. Mais s'il est intégré à Azure Active Directory (Azure AD), c'est aussi simple que de regarder le contenu de votre annuaire de locataires dans Azure AD, illustré ci-dessous avec une flèche orange.



Comparaison de modèle

Voici quelques facteurs à prendre en compte lors du choix du paramètre d’authentification pour votre organisation :

Facteur

Basé sur les invitations

Basé sur les invitations avec option de connexion forcée

Azure Active Directory

SAML

Community License

Disponible

Disponible

Non disponible

Non disponible

Licence Enterprise

Disponible

Disponible

Disponible

Disponible

Prise en charge des comptes locaux

Compte UiPath

Disponible

Disponible

Disponible

Disponible

Prise en charge des comptes d'annuaire

Non disponible

Non disponible

Disponible

Disponible

Gestion des comptes utilisateurs

Administrateur d'organisation Automation Cloud

Administrateur d'organisation Automation Cloud

Administrateur Azure AD

Administrateur de votre fournisseur d'identité

Gestion des accès utilisateurs

Administrateur d'organisation Automation Cloud

Administrateur d'organisation Automation Cloud

La gestion des utilisateurs Automation Cloud peut être entièrement déléguée à Azure AD

Administrateur d'organisation Automation Cloud

Authentification unique

(avec Google, Microsoft ou LinkedIn)

(avec Google ou Microsoft)

Disponible (avec compte Azure AD)

Disponible (avec compte IdP)

Appliquer une politique de mot de passe complexe

Non disponible

(si appliqué depuis l'IdP)

Disponible (si appliqué depuis AAD)

(si appliqué depuis l'IdP)

Authentification à plusieurs facteurs

Non disponible

(si appliqué depuis l'IdP)

Disponible (si appliqué depuis AAD)

(si appliqué depuis l'IdP)

Réutilisez les identités existantes de votre entreprise

Non disponible

Non disponible

Disponible

Disponible

Intégration des utilisateurs à grande échelle

Non disponible (tous les utilisateurs doivent être invités)

Non disponible (tous les utilisateurs doivent être invités)

(enregistrement de compte juste à temps)

(enregistrement de compte juste à temps)

Accès pour les collaborateurs extérieurs à votre entreprise

Disponible (sur invitation)

(via l'invitation à créer un compte sur l'IdP imposé)

Disponible

Disponible (si autorisé par l'IdP)

Restreindre l'accès depuis l'intérieur de Corpnet

Non disponible

Non disponible

Disponible

(si appliqué depuis l'IdP)

Restreindre l'accès aux appareils de confiance

Non disponible

Non disponible

Disponible

(si appliqué depuis l'IdP)

Réutiliser votre répertoire d'identités

Si votre entreprise utilise déjà un annuaire pour gérer les comptes des employés, le tableau suivant peut vous aider à identifier l'option d'authentification la plus avantageuse pour vous.

Facteur

Basé sur les invitationsBasé sur les invitations avec option de connexion forcéeAzure Active DirectorySAML

Utilisez-vous déjà Google Workspace comme fournisseur d'identité ?

les utilisateurs ont besoin d'un compte UiPath, mais l'authentification unique est également possible

les utilisateurs ont besoin d'un compte UiPath, mais l'authentification unique forcée avec Google est possible

S/O

S/O

Utilisez-vous déjà Office 365 avec votre fournisseur d'identité ?

les utilisateurs ont besoin d'un compte UiPath

les utilisateurs ont besoin d'un compte UiPath

vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants

vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants

Utilisez-vous déjà Azure AD comme fournisseur d'identité ?

les utilisateurs ont besoin d'un compte UiPath

les utilisateurs ont besoin d'un compte UiPath

vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants

nous vous recommandons d'utiliser l'intégration AAD au lieu de l'intégration SAML

Utilisez-vous déjà un autre fournisseur d'identité ?

les utilisateurs ont besoin d'un compte UiPath

les utilisateurs ont besoin d'un compte UiPath

vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants

vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.