- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- Activation de votre licence Enterprise
- Mise à niveau et rétrogradation des licences
- Demander un essai de service
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes
- Migrer vers Automation Cloud™
Applications OAuth
Les applications OAuth externes existent en dehors de la plate-forme UiPath® et s'intègrent à elle pour étendre ses capacités. Les applications externes peuvent accéder en toute sécurité à vos ressources UiPath sans vous obliger à partager vos informations d'identification, via l'infrastructure OAuth qui permet de déléguer l'autorisation à ces entités externes.
En enregistrant des applications externes auprès d'UiPath, elles ont la possibilité d'effectuer des appels d'API pour accéder aux ressources UiPath.
UiPath classe les applications externes OAuth en deux catégories principales : confidentielles et non confidentielles. Le type d'application détermine son flux d'authentification, le niveau d'accès aux ressources et la façon dont elle communique avec l'Identity Server d'UiPath.
-
Applications confidentielles avec étendues d'application : les applications confidentielles avec des étendues d'application sont destinées à être utilisées dans les cas où l'application peut stocker en toute sécurité les informations d'identification. Par exemple, un programme qui stocke le mot de passe dans un coffre.
-
Applications confidentielles avec étendues d'utilisateur: les applications confidentielles avec étendues d'utilisateurs sont destinées à être utilisées dans les cas où l'application peut stocker des informations d'identification en toute sécurité et agir au nom d'un utilisateur. Par exemple, une application CRM qui crée des éléments de file d'attente dans Orchestrator. Il le fait au nom de l'utilisateur, mais il stocke également les informations d'identification qu'il utilise dans une base de données.
-
Applications non confidentielles avec des étendues d'utilisateur: les applications non confidentielles ne reposent pas sur des informations d'identification stockées de manière sécurisée. Au lieu de cela, elles reposent sur l'authentification de l'utilisateur auprès d'une application et la délégation de l'accès à l'application via des informations d'identification temporaires. Les informations d'identification sont de courte durée et l'utilisateur peut avoir à réauthentifier l'application périodiquement. Ces options sont meilleures pour les automatisations Attended ou les automatisations où un utilisateur est disponible pour réauthentifier l'application. Par exemple, un utilisateur dispose d'une automatisation Attended qui exécute une automatisation à l'aide d'activités O365 pour accéder à SharePoint. Lors de sa première exécution, il invite l'utilisateur à autoriser l'application (l'automatisation). Périodiquement, l'utilisateur peut avoir à autoriser à nouveau l'application après l'expiration des informations d'identification.
Lorsqu'une application externe est configurée pour s'intégrer à UiPath, des autorisations et un accès spécifiques lui sont attribués, appelés « étendues ». Fondamentalement, les étendues définissent ce qu'une application peut et ne peut pas faire ou accéder dans UiPath.
Lorsque vous accordez l'accès à des applications externes, fournissez toujours les autorisations minimales nécessaires au fonctionnement de l'application. Cette mesure permet de limiter les pertes potentielles en rendant moins probable l’accès non autorisé.
Service.Resource.Accesslevel ou Service.Resource. Par exemple, avec OR.Machines.Read, l'application externe dispose d'un accès en lecture aux machines dans Orchestrator dans tous les dossiers et locataires de l'organisation, avec OR.Machines l'application externe dispose d'un accès en lecture et en écriture à tous les dossiers et locataires de l'organisation.
Pour les applications confidentielles, UiPath permet l'attribution d'étendues affinées qui s'appliquent spécifiquement aux ressources d'Orchestrator. Ces autorisations spécifiques permettent à un administrateur de contrôler et de personnaliser l'accès jusqu'au niveau du dossier du locataire.
L'affectation affinée se produit lorsque l'administrateur d'une organisation affecte l'application confidentielle externe à un locataire spécifique ou à un dossier dans Orchestrator et l'associe à un rôle particulier.
Les étendues sont soit adaptées à un utilisateur (étendue de l'utilisateur), soit à l'application elle-même (étendue de l'application).
-
Les étendues d'application accordent à l'application une identité propre, dans laquelle elle exécute des fonctions en tant qu'entité autonome.
-
Dans les étendues des utilisateurs, l'application exécute des fonctions pour le compte d'un utilisateur authentifié et les actions sont donc limitées par les autorisations de l'utilisateur. Par exemple, l'application ne peut accéder qu'aux ressources auxquelles l'utilisateur est autorisé à accéder.
Le processus d'utilisation des applications externes UiPath couvre différentes étapes, de la création et la configuration par un administrateur à son intégration et son utilisation par un développeur.
A. Création et configuration par l’administrateur
-
Inscription d'application externe: la première étape consiste à ajouter une application externe à l'organisation. L'administrateur définit des détails tels que le nom, l'URL de redirection et sélectionne le type d'application approprié. Une fois l'application avec ses étendues créée au niveau administrateur, elle obtient ces autorisations au niveau de l'organisation. L'administrateur peutconfigurer des autorisations affinées pour les applications confidentielles en leur attribuant un rôle aux niveaux du locataire et du dossier dans Orchestrator.
-
Affectation de l'utilisateur: en cas d'applications non confidentielles ou confidentielles avec des étendues d'utilisateurs, l'administrateur doit s'assurer que les utilisateurs qui doivent utiliser l'application ont accès au système en attribuant à l'utilisateur un rôle au niveau de l'organisation, du locataire ou du dossier .
-
Stockage des détails de l'application: une fois la configuration terminée, l'administrateur récupère les détails de l'application, tels que l'ID de l'application. Pour les applications confidentielles, une clé secrète d'application est également générée. L'administrateur stocke ces informations en toute sécurité et les partage ensuite avec les développeurs.
B. Intégration et utilisation par le développeur
-
Authentification et autorisation: le développeur utilise l'ID d'application (et le secret pour les applications confidentielles) fourni par l'administrateur pour lancer une demande de jeton d'accès OAuth 2.0 à UiPath Identity Server. Ce faisant, le développeur inclut les étendues nécessaires dans la requête. Le flux OAuth 2.0 réussit lorsque le serveur valide l'ID de l'application, sa clé secrète (pour les applications confidentielles) et approuve les étendues spécifiées.
Remarque :Pour les applications externes avec des étendues d'utilisateurs, la validation de l'identité de l'utilisateur a également lieu. Il s'agit d'une couche de sécurité supplémentaire garantissant que les requêtes proviennent réellement d'utilisateurs authentifiés et autorisés.
-
Génération de jeton d'accès : une fois que le serveur a authentifié avec succès l'application et les étendues, il renvoie un jeton d'accès au développeur. Ce jeton d'accès représente l'autorisation de l'application à accéder aux étendues spécifiées.
-
Intégration de l'application externe : le développeur utilise le jeton d'accès reçu dans l'en-tête des appels d'API effectués à UiPath. Cela accorde le niveau d'accès spécifié aux ressources demandées, intégrant ainsi l'application externe aux ressources UiPath.
Pour plus d'informations sur l'authentification et l'autorisation d'applications externes en tant que développeur, consultez la section Applications externes du guide de l'API.
