Automation Cloud

Plus récente (Latest)

False

Guide d'administration d'Automation Cloud

Dernière mise à jour 26 avr. 2024

Paramètres d’authentification

Automation Cloud™ propose plusieurs options pour que vous puissiez sélectionner le type d'authentification de votre choix.

Vous pouvez personnaliser les paramètres d'authentification depuis Admin > Paramètres de sécurité (Security Settings) > Paramètres d'authentification ( Authentification Settings).

Le modèle de comptes locaux (basé sur les invitations)

Les comptes utilisateurs locaux représentent les comptes UiPath® de chaque utilisateur et sont internes à Automation Cloud™.

Le modèle de comptes locaux fournit une approche autonome de l'authentification. Cela nécessite une invitation de l'administrateur de l'organisation pour que les nouveaux utilisateurs puissent rejoindre. Il convient aux scénarios dans lesquels vous souhaitez un contrôle total sur la gestion des utilisateurs au sein de votre plate-forme. Les méthodes d'authentification disponibles incluent Google, Microsoft et l'authentification de base (votre propre adresse e-mail et mot de passe).

Remarque : ce modèle est compatible avec le modèle de comptes d'annuaire. Si vous choisissez d'utiliser le modèle de répertoire, vous pouvez continuer à créer des utilisateurs dans Automation Cloud sur invitation.

Dans les paramètres de l'organisation, vous avez un contrôle total sur les méthodes d'authentification disponibles pour les utilisateurs :

Pour permettre l'utilisation de toutes les méthodes disponibles (Google, Microsoft, authentification de base) pour un maximum de flexibilité, choisissez l'option Toutes les méthodes disponibles (All available methods).
Pour restreindre l'authentification à Google uniquement, choisissez l'option de connexion Google.
Pour restreindre l'authentification à Microsoft uniquement, choisissez l'option de connexion Microsoft.

Authentification avec Google, Microsoft, LinkedIn ou des e-mails personnels

Ce modèle s'applique par défaut à toute nouvelle organisation. Il est facile à utiliser, rapide à installer et pratique pour vos utilisateurs.

Le processus de création d'un utilisateur est le suivant :

Les administrateurs d'organisation doivent obtenir les adresses e-mail des utilisateurs et les utiliser pour inviter chaque utilisateur à rejoindre leur organisation. Ils peuvent le faire de façon groupée.
Chaque employé invité accepte l'invitation en accédant au lien fourni dans l'e-mail d'invitation et crée un compte utilisateur UiPath. Ils peuvent :
- entrer l'e-mail utilisé pour l'invitation comme nom d'utilisateur et créer un mot de passe ;
- utiliser un compte existant qu'ils possèdent avec Microsoft (personnel, compte lié à Azure AD ou compte Office 365), Google (compte personnel ou Google Workspace) ou leur compte LinkedIn personnel pour se connecter (ou se fédérer à) leur utilisateur UiPath Compte.
  
  La possibilité d'utiliser l'un des fournisseurs mentionnés ci-dessus est pratique pour les utilisateurs qui n'ont pas à se souvenir de mots de passe supplémentaires. Et l'utilisation de comptes appartenant à l'organisation dans Azure AD ou Google Workspace vous permet d'appliquer les stratégies de connexion de l'organisation.

Authentification avec Google ou Microsoft uniquement

Dans ce modèle, vous créez des utilisateurs de la même manière que dans le modèle basé sur les invitations : vous envoyez une invitation à leur adresse e-mail et vos utilisateurs doivent créer un compte UiPath. La différence est que vous pouvez choisir d'imposer la connexion à l'aide de :

Google ou
Microsoft

Ainsi, au lieu de voir toutes les options de connexion, vos utilisateurs ne voient que celle que vous avez sélectionnée.

Par exemple, voici ce que verraient vos utilisateurs si vous choisissiez d'imposer la connexion avec Microsoft :

Ils utilisent toujours leur compte UiPath pour se connecter. Le compte doit utiliser l'adresse e-mail à laquelle l'invitation a été envoyée.

Remarque : Si vous avez autorisé des applications externes pour votre organisation, les jetons générés lors de l'utilisation d'autres fournisseurs restent valides, mais tous les nouveaux jetons suivent la stratégie de connexion appliquée.

Le modèle de comptes d'annuaire

Le modèle de comptes d'annuaire repose sur un annuaire tiers que vous intégrez à Automation Cloud. Cela vous permet de réutiliser le schéma d'identité établi de votre entreprise dans Automation Cloud.

Azure Active Directory : si vous avez un abonnement Microsoft Azure ou Office 365, vous pouvez intégrer Azure à Automation Cloud pour utiliser vos utilisateurs et groupes existants d'Azure Active Directory dans Automation Cloud.
SAML 2.0 : vous permet d'intégrer Automation Cloud au fournisseur d'identité (IdP) de votre choix. Cela permet à vos utilisateurs de se connecter à Automation Cloud avec une authentification unique (SSO) en utilisant les comptes déjà enregistrés auprès de votre IdP.

Les comptes utilisateur d'annuaire sont créés et conservés dans un annuaire externe à Automation Cloud. Les comptes d'annuaire sont uniquement référencés dans Automation Cloud et utilisés comme identités pour vos utilisateurs.

Remarque :

Compatibilité avec le modèle basé sur les invitations

Vous pouvez continuer à utiliser toutes les fonctionnalités du modèle basé sur les invitations conjointement avec un modèle utilisant des comptes d'annuaire. Mais pour maximiser les avantages, nous vous recommandons de vous fier exclusivement à la gestion de compte centralisée de votre répertoire intégré.

Azure Active Directory

Attention : Cette fonctionnalité n'est disponible que si vous êtes sur le plan de licence Enterprise

L'intégration avec Azure Active Directory (Azure AD) peut offrir une gestion évolutive des utilisateurs et des accès pour votre organisation, permettant la conformité de toutes les applications internes utilisées par vos employés. Si votre organisation utilise Azure AD ou Office 365, vous pouvez connecter votre organisation Automation Cloud directement à votre locataire Azure AD pour obtenir les avantages suivants :

Intégration automatique des utilisateurs grâce à une migration fluide
- Tous les utilisateurs et groupes d'Azure AD sont facilement accessibles afin de leur attribuer des autorisations pour n'importe quel service Automation Cloud, sans qu'il soit nécessaire d'inviter et de gérer les utilisateurs Azure AD dans l'annuaire d'organisation Automation Cloud.
- Vous pouvez fournir une authentification unique pour les utilisateurs dont le nom d'utilisateur d'entreprise diffère de leur adresse e-mail, ce qui n'est pas possible avec le modèle basé sur les invitations.
- Tous les utilisateurs existants possédant des comptes d'utilisateur UiPath voient leurs autorisations migrer automatiquement vers leur compte Azure AD connecté.
Expérience de connexion simplifiée
- Les utilisateurs n'ont pas besoin d'accepter une invitation ou de créer un compte utilisateur UiPath pour accéder à l'organisation Automation Cloud. Ils se connectent avec leur compte Azure AD en sélectionnant l'option Enterprise SSO ou en utilisant l'URL spécifique à leur organisation. Si l'utilisateur est déjà connecté à Azure AD ou Office 365, il est automatiquement connecté.
- UiPath Assistant et Studio versions 20.10.3 et plus récentes peuvent être préconfigurés pour utiliser une URL Orchestrator personnalisée, ce qui permet de profiter de la même expérience de connexion fluide.
Gouvernance évolutive et gestion des accès avec les groupes Azure AD existants
- Les groupes de sécurité Azure AD ou les groupes Office 365, également appelés groupes d'annuaires, vous permettent de tirer parti de votre structure organisationnelle existante pour gérer les autorisations à grande échelle. Vous n'avez plus besoin de configurer les autorisations dans les services Automation Cloud pour chaque utilisateur.
- Vous pouvez combiner plusieurs groupes d'annuaires en un seul groupe Automation Cloud si vous devez les gérer ensemble.
- Effectuer l'audit d'Automation Cloud est simple. Après avoir configuré les autorisations dans tous les services Automation Cloud utilisant des groupes Azure AD, vous utilisez vos processus de validation existants associés à l'appartenance au groupe Azure AD.

Remarque :

L'option Accès à l'API (API Access) (Administrateur (Admin) > Locataires (Tenants)) n'est pas disponible lors de l'utilisation du modèle Azure AD.

Si vous avez mis en place des processus qui utilisent les informations de la fenêtre Accès à l'API (API Access) pour authentifier les appels d'API aux services UiPath, vous devez passer à l'utilisation d'OAuth pour l'autorisation, auquel cas les informations d'accès à l'API ne sont plus requises.

Pour utiliser OAuth, vous devez enregistrer des applications externes dans Automation Cloud.

SAML 2.0

Attention : Cette fonctionnalité n'est disponible que si vous êtes sur le plan de licence Enterprise

Ce modèle vous permet de connecter Automation Cloud au fournisseur d'identité (IdP) de votre choix afin que :

vos utilisateurs peuvent bénéficier de l'authentification unique (SSO) et
vous puissiez gérer des comptes existants à partir de votre répertoire dans Automation Cloud, sans avoir à recréer des identités.

Automation Cloud puisse se connecter à n'importe quel fournisseur d'identité (IdP) externe qui utilise la norme SAML 2.0.

Bénéfices

Tous les utilisateurs de votre fournisseur d'identité externe sont autorisés à se connecter à Automation Cloud avec des droits de base lorsque l'intégration SAML est active. Cela signifie que :
- Les utilisateurs peuvent se connecter à votre organisation Automation Cloud par authentification unique à l'aide de leur compte d'entreprise existant, tel que défini dans l'IdP.
- Sans configuration supplémentaire, ils deviennent membres du groupe d'utilisateurs Everyone, qui leur accorde par défaut le rôle Utilisateur de l'organisation (User organization role). Pour pouvoir travailler dans Automation Cloud, les utilisateurs ont besoin de rôles et de licences, en fonction de leur poste.
- Si vous devez limiter l'accès à certains de vos utilisateurs uniquement, vous pouvez définir l'ensemble d'utilisateurs autorisés à accéder à Automation Cloud dans votre fournisseur d'identité.
Gestion des utilisateurs : Vous pouvez ajouter des utilisateurs en les affectant directement aux groupes Automation Cloud. Pour ce faire, il vous suffit de saisir leur adresse e-mail lors de l'ajout d'utilisateurs au groupe.

Généralement, les administrateurs de l'organisation gèrent les comptes locaux à partir de l'onglet Admin > Comptes et groupes ( Accounts & Groups ) > Utilisateurs (Users). Mais les utilisateurs SAML sont considérés comme des comptes d'annuaire dans Automation Cloud, ils ne sont donc pas visibles sur cette page.

Une fois qu'un utilisateur a été ajouté à un groupe ou qu'il s'est connecté au moins une fois (ce qui l'ajoute automatiquement au groupe Everyone), il peut être recherché dans tous les services d'Automation Cloud pour une attribution directe de rôle ou de licence.
Si vous utilisez UiPath Automation Hub, vous pouvez définir un mappage personnalisé des attributs pour propager les attributs de votre fournisseur d'identité dans Automation Cloud. Par exemple, lorsqu'un compte est ajouté pour la première fois à Automation Hub, le prénom, le nom, l'adresse e-mail, le poste et le service de l'utilisateur sont déjà renseignés.

Fonctionnement de l'authentification

En savoir plus sur l'identité et l'authentification dans le cloud L'identité de vos utilisateurs est vérifiée dans Automation Cloud, plus précisément par le portail Cloud, en fonction de l'annuaire de votre organisation. À partir de là, en fonction des autorisations utilisateur attribuées via des rôles et des groupes, ils peuvent accéder à tous vos services cloud UiPath avec un seul ensemble d'informations d'identification. Le diagramme ci-dessous décrit les deux modèles d'identité, la façon dont ils fonctionnent avec les différentes identités d'utilisateur et comment la fédération peut être réalisé. Dans le modèle basé sur les invitations, la gestion des identités est effectuée sur une référence utilisateur dans l'annuaire de l'organisation, tandis que les utilisateurs restent maîtres de leurs comptes. Mais s'il est intégré à Azure Active Directory (Azure AD), c'est aussi simple que de regarder le contenu de votre annuaire de locataires dans Azure AD, illustré ci-dessous avec une flèche orange.

Comparaison de modèle

Voici quelques facteurs à prendre en compte lors du choix du paramètre d'authentification pour votre organisation Automation Cloud :

Facteur	Basé sur les invitations	Basé sur les invitations avec option de connexion forcée	Azure Active Directory	SAML
Community License	Disponible	Disponible	Non disponible	Non disponible
Licence Enterprise	Disponible	Disponible	Disponible	Disponible
Prise en charge des comptes locaux Compte UiPath	Disponible	Disponible	Disponible	Disponible
Prise en charge des comptes d'annuaire	Non disponible	Non disponible	Disponible	Disponible
Gestion des comptes utilisateurs	Administrateur d'organisation Automation Cloud	Administrateur d'organisation Automation Cloud	Administrateur Azure AD	Administrateur de votre fournisseur d'identité
Gestion des accès utilisateurs	Administrateur d'organisation Automation Cloud	Administrateur d'organisation Automation Cloud	La gestion des utilisateurs Automation Cloud peut être entièrement déléguée à Azure AD	Administrateur d'organisation Automation Cloud
Authentification unique	(avec Google, Microsoft ou LinkedIn)	(avec Google ou Microsoft)	Disponible (avec compte Azure AD)	Disponible (avec compte IdP)
Appliquer une politique de mot de passe complexe	Non disponible	(si appliqué depuis l'IdP)	Disponible (si appliqué depuis AAD)	(si appliqué depuis l'IdP)
Authentification à plusieurs facteurs	Non disponible	(si appliqué depuis l'IdP)	Disponible (si appliqué depuis AAD)	(si appliqué depuis l'IdP)
Réutilisez les identités existantes de votre entreprise	Non disponible	Non disponible	Disponible	Disponible
Intégration des utilisateurs à grande échelle	Non disponible (tous les utilisateurs doivent être invités)	Non disponible (tous les utilisateurs doivent être invités)	(enregistrement de compte juste à temps)	(enregistrement de compte juste à temps)
Accès pour les collaborateurs extérieurs à votre entreprise	Disponible (sur invitation)	(via l'invitation à créer un compte sur l'IdP imposé)	Disponible	Disponible (si autorisé par l'IdP)
Restreindre l'accès depuis l'intérieur de Corpnet	Non disponible	Non disponible	Disponible	(si appliqué depuis l'IdP)
Restreindre l'accès aux appareils de confiance	Non disponible	Non disponible	Disponible	(si appliqué depuis l'IdP)

Réutiliser votre répertoire d'identités

Si votre entreprise utilise déjà un annuaire pour gérer les comptes des employés, le tableau suivant peut vous aider à identifier l'option d'authentification la plus avantageuse pour vous.

Facteur	Basé sur les invitations	Basé sur les invitations avec option de connexion forcée	Azure Active Directory	SAML
Utilisez-vous déjà Google Workspace comme fournisseur d'identité ?	les utilisateurs ont besoin d'un compte UiPath, mais l'authentification unique est également possible	les utilisateurs ont besoin d'un compte UiPath, mais l'authentification unique forcée avec Google est possible	S/O	S/O
Utilisez-vous déjà Office 365 avec votre fournisseur d'identité ?	les utilisateurs ont besoin d'un compte UiPath	les utilisateurs ont besoin d'un compte UiPath	vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants	vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants
Utilisez-vous déjà Azure AD comme fournisseur d'identité ?	les utilisateurs ont besoin d'un compte UiPath	les utilisateurs ont besoin d'un compte UiPath	vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants	nous vous recommandons d'utiliser l'intégration AAD au lieu de l'intégration SAML
Utilisez-vous déjà un autre fournisseur d'identité ?	les utilisateurs ont besoin d'un compte UiPath	les utilisateurs ont besoin d'un compte UiPath	vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants	vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants

Choisir le modèle d'authentification pour votre organisation

Accédez à Admin > votre organisation > Sécurité (Security).
Dans l'onglet Paramètres d'authentification (Authentication Settings), sélectionnez l'option correspondant au modèle d'authentification que vous souhaitez utiliser.
Remarque : le modèle basé sur les invitations (l'option Toutes les méthodes disponibles (All available methods) dans l'image ci-dessus) est défini par défaut pour toute nouvelle organisation.
Astuce :
Si vous passez d'un modèle d'annuaire à un modèle de compte local, vous devez effectuer certaines opérations avant de modifier le modèle d'authentification :
1. Connectez-vous en tant qu'administrateur d'organisation à l'aide d'un compte UiPath. Sinon, les options ne seront pas actives.
2. Si vous avez supprimé des comptes d'utilisateurs UiPath lorsque vous êtes passé au modèle Azure AD, invitez tous les utilisateurs dans l'organisation afin que les utilisateurs soient à nouveau créés pour leurs comptes UiPath.
3. Affectez des utilisateurs à des groupes et, si nécessaire, affectez des rôles individuels.
Pour les intégrations d'annuaires, suivez les instructions de l'option sélectionnée avant de passer à l'étape suivante : SAML | Azure Active Directory
Cliquez sur Enregistrer (Save) pour remplacer les paramètres d'authentification de votre organisation par l'option sélectionnée.