- Vue d'ensemble (Overview)
- Sécurité et conformité des données
- Organisations
- Tenants
- Licences
- Comptes et rôles
- Applications externes
- Journalisation
- Migrer vers Automation Cloud™
Paramètres d’authentification
Automation Cloud™ propose plusieurs options pour que vous puissiez sélectionner le type d'authentification de votre choix.
Vous pouvez personnaliser les paramètres d'authentification depuis Admin > Paramètres de sécurité (Security Settings) > Paramètres d'authentification ( Authentification Settings).
Les comptes utilisateurs locaux représentent les comptes UiPath® de chaque utilisateur et sont internes à Automation Cloud™.
Le modèle de comptes locaux fournit une approche autonome de l'authentification. Cela nécessite une invitation de l'administrateur de l'organisation pour que les nouveaux utilisateurs puissent rejoindre. Il convient aux scénarios dans lesquels vous souhaitez un contrôle total sur la gestion des utilisateurs au sein de votre plate-forme. Les méthodes d'authentification disponibles incluent Google, Microsoft et l'authentification de base (votre propre adresse e-mail et mot de passe).
-
Pour permettre l'utilisation de toutes les méthodes disponibles (Google, Microsoft, authentification de base) pour un maximum de flexibilité, choisissez l'option Toutes les méthodes disponibles (All available methods).
-
Pour restreindre l'authentification à Google uniquement, choisissez l'option de connexion Google.
-
Pour restreindre l'authentification à Microsoft uniquement, choisissez l'option de connexion Microsoft.
Ce modèle s'applique par défaut à toute nouvelle organisation. Il est facile à utiliser, rapide à installer et pratique pour vos utilisateurs.
Le processus de création d'un utilisateur est le suivant :
- Les administrateurs d'organisation doivent obtenir les adresses e-mail des utilisateurs et les utiliser pour inviter chaque utilisateur à rejoindre leur organisation. Ils peuvent le faire de façon groupée.
-
Chaque employé invité accepte l'invitation en accédant au lien fourni dans l'e-mail d'invitation et crée un compte utilisateur UiPath. Ils peuvent :
- entrer l'e-mail utilisé pour l'invitation comme nom d'utilisateur et créer un mot de passe ;
-
utiliser un compte existant qu'ils possèdent avec Microsoft (personnel, compte lié à Azure AD ou compte Office 365), Google (compte personnel ou Google Workspace) ou leur compte LinkedIn personnel pour se connecter (ou se fédérer à) leur utilisateur UiPath Compte.
La possibilité d'utiliser l'un des fournisseurs mentionnés ci-dessus est pratique pour les utilisateurs qui n'ont pas à se souvenir de mots de passe supplémentaires. Et l'utilisation de comptes appartenant à l'organisation dans Azure AD ou Google Workspace vous permet d'appliquer les stratégies de connexion de l'organisation.
Dans ce modèle, vous créez des utilisateurs de la même manière que dans le modèle basé sur les invitations : vous envoyez une invitation à leur adresse e-mail et vos utilisateurs doivent créer un compte UiPath. La différence est que vous pouvez choisir d'imposer la connexion à l'aide de :
- Google ou
- Microsoft
Ainsi, au lieu de voir toutes les options de connexion, vos utilisateurs ne voient que celle que vous avez sélectionnée.
Par exemple, voici ce que verraient vos utilisateurs si vous choisissiez d'imposer la connexion avec Microsoft :
Ils utilisent toujours leur compte UiPath pour se connecter. Le compte doit utiliser l'adresse e-mail à laquelle l'invitation a été envoyée.
Le modèle de comptes d'annuaire repose sur un annuaire tiers que vous intégrez à Automation Cloud. Cela vous permet de réutiliser le schéma d'identité établi de votre entreprise dans Automation Cloud.
- Azure Active Directory : si vous avez un abonnement Microsoft Azure ou Office 365, vous pouvez intégrer Azure à Automation Cloud pour utiliser vos utilisateurs et groupes existants d'Azure Active Directory dans Automation Cloud.
- SAML 2.0 : vous permet d'intégrer Automation Cloud au fournisseur d'identité (IdP) de votre choix. Cela permet à vos utilisateurs de se connecter à Automation Cloud avec une authentification unique (SSO) en utilisant les comptes déjà enregistrés auprès de votre IdP.
Les comptes utilisateur d'annuaire sont créés et conservés dans un annuaire externe à Automation Cloud. Les comptes d'annuaire sont uniquement référencés dans Automation Cloud et utilisés comme identités pour vos utilisateurs.
Compatibilité avec le modèle basé sur les invitations
Vous pouvez continuer à utiliser toutes les fonctionnalités du modèle basé sur les invitations conjointement avec un modèle utilisant des comptes d'annuaire. Mais pour maximiser les avantages, nous vous recommandons de vous fier exclusivement à la gestion de compte centralisée de votre répertoire intégré.
L'intégration avec Azure Active Directory (Azure AD) peut offrir une gestion évolutive des utilisateurs et des accès pour votre organisation, permettant la conformité de toutes les applications internes utilisées par vos employés. Si votre organisation utilise Azure AD ou Office 365, vous pouvez connecter votre organisation Automation Cloud directement à votre locataire Azure AD pour obtenir les avantages suivants :
-
Intégration automatique des utilisateurs grâce à une migration fluide
- Tous les utilisateurs et groupes d'Azure AD sont facilement accessibles afin de leur attribuer des autorisations pour n'importe quel service Automation Cloud, sans qu'il soit nécessaire d'inviter et de gérer les utilisateurs Azure AD dans l'annuaire d'organisation Automation Cloud.
- Vous pouvez fournir une authentification unique pour les utilisateurs dont le nom d'utilisateur d'entreprise diffère de leur adresse e-mail, ce qui n'est pas possible avec le modèle basé sur les invitations.
- Tous les utilisateurs existants possédant des comptes d'utilisateur UiPath voient leurs autorisations migrer automatiquement vers leur compte Azure AD connecté.
-
Expérience de connexion simplifiée
- Les utilisateurs n'ont pas besoin d'accepter une invitation ou de créer un compte utilisateur UiPath pour accéder à l'organisation Automation Cloud. Ils se connectent avec leur compte Azure AD en sélectionnant l'option Enterprise SSO ou en utilisant l'URL spécifique à leur organisation. Si l'utilisateur est déjà connecté à Azure AD ou Office 365, il est automatiquement connecté.
- UiPath Assistant et Studio versions 20.10.3 et plus récentes peuvent être préconfigurés pour utiliser une URL Orchestrator personnalisée, ce qui permet de profiter de la même expérience de connexion fluide.
-
Gouvernance évolutive et gestion des accès avec les groupes Azure AD existants
- Les groupes de sécurité Azure AD ou les groupes Office 365, également appelés groupes d'annuaires, vous permettent de tirer parti de votre structure organisationnelle existante pour gérer les autorisations à grande échelle. Vous n'avez plus besoin de configurer les autorisations dans les services Automation Cloud pour chaque utilisateur.
- Vous pouvez combiner plusieurs groupes d'annuaires en un seul groupe Automation Cloud si vous devez les gérer ensemble.
-
Effectuer l'audit d'Automation Cloud est simple. Après avoir configuré les autorisations dans tous les services Automation Cloud utilisant des groupes Azure AD, vous utilisez vos processus de validation existants associés à l'appartenance au groupe Azure AD.
L'option Accès à l'API (API Access) (Administrateur (Admin) > Locataires (Tenants)) n'est pas disponible lors de l'utilisation du modèle Azure AD.
Si vous avez mis en place des processus qui utilisent les informations de la fenêtre Accès à l'API (API Access) pour authentifier les appels d'API aux services UiPath, vous devez passer à l'utilisation d'OAuth pour l'autorisation, auquel cas les informations d'accès à l'API ne sont plus requises.
Pour utiliser OAuth, vous devez enregistrer des applications externes dans Automation Cloud.
Ce modèle vous permet de connecter Automation Cloud au fournisseur d'identité (IdP) de votre choix afin que :
- vos utilisateurs peuvent bénéficier de l'authentification unique (SSO) et
- vous puissiez gérer des comptes existants à partir de votre répertoire dans Automation Cloud, sans avoir à recréer des identités.
Automation Cloud puisse se connecter à n'importe quel fournisseur d'identité (IdP) externe qui utilise la norme SAML 2.0.
Bénéfices
-
Tous les utilisateurs de votre fournisseur d'identité externe sont autorisés à se connecter à Automation Cloud avec des droits de base lorsque l'intégration SAML est active. Cela signifie que :
- Les utilisateurs peuvent se connecter à votre organisation Automation Cloud par authentification unique à l'aide de leur compte d'entreprise existant, tel que défini dans l'IdP.
- Sans configuration supplémentaire, ils deviennent membres du groupe d'utilisateurs Everyone, qui leur accorde par défaut le rôle Utilisateur de l'organisation (User organization role). Pour pouvoir travailler dans Automation Cloud, les utilisateurs ont besoin de rôles et de licences, en fonction de leur poste.
-
Si vous devez limiter l'accès à certains de vos utilisateurs uniquement, vous pouvez définir l'ensemble d'utilisateurs autorisés à accéder à Automation Cloud dans votre fournisseur d'identité.
-
Gestion des utilisateurs : Vous pouvez ajouter des utilisateurs en les affectant directement aux groupes Automation Cloud. Pour ce faire, il vous suffit de saisir leur adresse e-mail lors de l'ajout d'utilisateurs au groupe.
Généralement, les administrateurs de l'organisation gèrent les comptes locaux à partir de l'onglet Admin > Comptes et groupes ( Accounts & Groups ) > Utilisateurs (Users). Mais les utilisateurs SAML sont considérés comme des comptes d'annuaire dans Automation Cloud, ils ne sont donc pas visibles sur cette page.
Une fois qu'un utilisateur a été ajouté à un groupe ou qu'il s'est connecté au moins une fois (ce qui l'ajoute automatiquement au groupe Everyone), il peut être recherché dans tous les services d'Automation Cloud pour une attribution directe de rôle ou de licence.
- Si vous utilisez UiPath Automation Hub, vous pouvez définir un mappage personnalisé des attributs pour propager les attributs de votre fournisseur d'identité dans Automation Cloud. Par exemple, lorsqu'un compte est ajouté pour la première fois à Automation Hub, le prénom, le nom, l'adresse e-mail, le poste et le service de l'utilisateur sont déjà renseignés.
En savoir plus sur l'identité et l'authentification dans le cloud L'identité de vos utilisateurs est vérifiée dans Automation Cloud, plus précisément par le portail Cloud, en fonction de l'annuaire de votre organisation. À partir de là, en fonction des autorisations utilisateur attribuées via des rôles et des groupes, ils peuvent accéder à tous vos services cloud UiPath avec un seul ensemble d'informations d'identification. Le diagramme ci-dessous décrit les deux modèles d'identité, la façon dont ils fonctionnent avec les différentes identités d'utilisateur et comment la fédération peut être réalisé. Dans le modèle basé sur les invitations, la gestion des identités est effectuée sur une référence utilisateur dans l'annuaire de l'organisation, tandis que les utilisateurs restent maîtres de leurs comptes. Mais s'il est intégré à Azure Active Directory (Azure AD), c'est aussi simple que de regarder le contenu de votre annuaire de locataires dans Azure AD, illustré ci-dessous avec une flèche orange.
Voici quelques facteurs à prendre en compte lors du choix du paramètre d'authentification pour votre organisation Automation Cloud :
Facteur |
Basé sur les invitations |
Basé sur les invitations avec option de connexion forcée |
Azure Active Directory |
SAML |
---|---|---|---|---|
Community License |
Disponible |
Disponible |
Non disponible |
Non disponible |
Licence Enterprise |
Disponible |
Disponible |
Disponible |
Disponible |
Prise en charge des comptes locaux Compte UiPath |
Disponible |
Disponible |
Disponible |
Disponible |
Prise en charge des comptes d'annuaire |
Non disponible |
Non disponible |
Disponible |
Disponible |
Gestion des comptes utilisateurs |
Administrateur d'organisation Automation Cloud |
Administrateur d'organisation Automation Cloud |
Administrateur Azure AD |
Administrateur de votre fournisseur d'identité |
Gestion des accès utilisateurs |
Administrateur d'organisation Automation Cloud |
Administrateur d'organisation Automation Cloud |
La gestion des utilisateurs Automation Cloud peut être entièrement déléguée à Azure AD |
Administrateur d'organisation Automation Cloud |
Authentification unique |
(avec Google, Microsoft ou LinkedIn) |
(avec Google ou Microsoft) |
Disponible (avec compte Azure AD) |
Disponible (avec compte IdP) |
Appliquer une politique de mot de passe complexe |
Non disponible |
(si appliqué depuis l'IdP) |
Disponible (si appliqué depuis AAD) |
(si appliqué depuis l'IdP) |
Authentification à plusieurs facteurs |
Non disponible |
(si appliqué depuis l'IdP) |
Disponible (si appliqué depuis AAD) |
(si appliqué depuis l'IdP) |
Réutilisez les identités existantes de votre entreprise |
Non disponible |
Non disponible |
Disponible |
Disponible |
Intégration des utilisateurs à grande échelle |
Non disponible (tous les utilisateurs doivent être invités) |
Non disponible (tous les utilisateurs doivent être invités) |
(enregistrement de compte juste à temps) |
(enregistrement de compte juste à temps) |
Accès pour les collaborateurs extérieurs à votre entreprise |
Disponible (sur invitation) |
(via l'invitation à créer un compte sur l'IdP imposé) |
Disponible |
Disponible (si autorisé par l'IdP) |
Restreindre l'accès depuis l'intérieur de Corpnet |
Non disponible |
Non disponible |
Disponible |
(si appliqué depuis l'IdP) |
Restreindre l'accès aux appareils de confiance | Non disponible |
Non disponible |
Disponible |
(si appliqué depuis l'IdP) |
Si votre entreprise utilise déjà un annuaire pour gérer les comptes des employés, le tableau suivant peut vous aider à identifier l'option d'authentification la plus avantageuse pour vous.
Facteur | Basé sur les invitations | Basé sur les invitations avec option de connexion forcée | Azure Active Directory | SAML |
---|---|---|---|---|
Utilisez-vous déjà Google Workspace comme fournisseur d'identité ? |
les utilisateurs ont besoin d'un compte UiPath, mais l'authentification unique est également possible |
les utilisateurs ont besoin d'un compte UiPath, mais l'authentification unique forcée avec Google est possible |
S/O |
S/O |
Utilisez-vous déjà Office 365 avec votre fournisseur d'identité ? |
les utilisateurs ont besoin d'un compte UiPath |
les utilisateurs ont besoin d'un compte UiPath |
vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants |
vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants |
Utilisez-vous déjà Azure AD comme fournisseur d'identité ? |
les utilisateurs ont besoin d'un compte UiPath |
les utilisateurs ont besoin d'un compte UiPath |
vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants |
nous vous recommandons d'utiliser l'intégration AAD au lieu de l'intégration SAML |
Utilisez-vous déjà un autre fournisseur d'identité ? |
les utilisateurs ont besoin d'un compte UiPath |
les utilisateurs ont besoin d'un compte UiPath |
vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants |
vous pouvez accorder l'accès à Automation Cloud aux comptes utilisateur existants |
- Le modèle de comptes locaux (basé sur les invitations)
- Authentification avec Google, Microsoft, LinkedIn ou des e-mails personnels
- Authentification avec Google ou Microsoft uniquement
- Le modèle de comptes d'annuaire
- Azure Active Directory
- SAML 2.0
- Fonctionnement de l'authentification
- Comparaison de modèle
- Réutiliser votre répertoire d'identités
- Choisir le modèle d'authentification pour votre organisation