- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Comprendre les modèles d'authentification
- Configuration de l’intégration d’Azure AD
- Licences
- Activation de votre licence Enterprise
- Mise à niveau et rétrogradation des licences
- Demander un essai de service
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes
- Migrer vers Automation Cloud™
Guide d'administration d'Automation Cloud
Configuration de l’intégration d’Azure AD
Cette fonctionnalité est disponible avec le plan de licence Enterprise.
Si votre organisation utilise Azure Active Directory (Azure AD) ou Office 365, vous pouvez connecter votre organisation Automation Cloud directement à votre locataire Azure AD pour voir les comptes et les groupes existants dans votre environnement Automation Cloud .
Avec l'intégration Azure AD, vous pouvez continuer à tirer parti du modèle de comptes locaux tout en amorçant votre organisation avec les avantages supplémentaires offerts par l'utilisation du modèle Azure AD. L'intégration d'Azure AD est conçue de manière à ce que son activation et son déploiement puissent se faire progressivement, sans interruption de la production pour vos utilisateurs existants.
Si votre organisation a décidé d'utiliser le modèle Azure AD, suivez les instructions de cette page pour configurer l'intégration.
Pour configurer l'intégration Azure AD, vous avez besoin de :
- une organisation avec une licence Enterprise
- Autorisations d'administrateur dans Automation Cloudet dans Azure AD (il peut s'agir de personnes différentes) ;
- d'un compte Azure AD avec la même adresse e-mail que le compte local UiPath de l'administrateur de l'organisation qui exécute l'intégration. Notez que ce compte Azure AD est juste pour tester l'intégration et n'a pas besoin d'avoir des autorisations d'administrateur dans Azure ;
- UiPath Studio et UiPath Assistant version 2020.10.3 ou ultérieure ;
- UiPath Studio et UiPath Assistant doivent appliquer le déploiement recommandé.
appid
dans une URL dédiée, comme décrit dans la documentation des jetons d’accès de Microsoft .
Votre organisation nécessite une inscription d’application dans votre locataire Azure AD et une certaine configuration afin qu’il puisse afficher vos membres AD pour établir l’identité de du compte. Les détails d’inscription de l’application sont également requis pour connecter ultérieurement votre organisation à votre locataire Azure AD.
Autorisations (Permissions) : vous devez être administrateur dans Azure pour effectuer les tâches de cette section. Les rôles d'administrateur Azure suivants disposent des privilèges requis : Administrateur général, Administrateur d'applications cloud ou Administrateur d'applications.
Il existe deux manières de configurer votre locataire Azure pour l'intégration :
- Suivez les instructions ci-dessous pour configurer manuellement un enregistrement d'application pour l'intégration.
- Utilisez les scripts UiPath Azure AD que nous avons créés pour cette tâche, qui sont disponibles sur GitHub: le script
configAzureADconnection.ps1
exécute toutes les actions décrites dans cette section et renvoie les détails d’inscription de l’application. Ensuite, vous pouvez exécuter le scripttestAzureADappRegistration.ps1
pour vous assurer que l'inscription de l'application a réussi.
Pour configurer manuellement votre locataire Azure, procédez comme suit dans le portail Azure :
Une fois l'installation d'Azure terminée, vous pouvez préparer l'intégration, l'activer, puis nettoyer les anciens comptes. Le processus est décomposé en étapes afin qu'il n'y ait pas de perturbation pour vos utilisateurs.
Vous devez être administrateur d'organisation dans Automation Cloud pour effectuer les tâches de cette section.
Lorsque vous connectez Automation Cloud à Azure AD en activant l'intégration, les comptes avec des adresses e-mail correspondantes sont liés, afin que le compte Azure AD reçoive les mêmes autorisations que le compte local UiPath correspondant.
Si votre organisation pratique le recyclage des e-mails, cela signifie qu'une adresse e-mail qui a été utilisée dans le passé pourrait être attribuée à un nouvel utilisateur à l'avenir, ce qui peut entraîner un risque d'accès élevé.
john.doe@example.com
et que cet employé avait un compte local le définissant comme administrateur de l'organisation. Il a depuis quitté l'entreprise et son adresse e-mail a été désactivée, mais l'utilisateur n'a pas été supprimé d'Orchestrator.
john.doe@example.com
adresse e-mail. Dans ce cas, lorsque les comptes sont liés dans le cadre de l'intégration avec Azure AD, John Doe hérite des privilèges d'administrateur de l'organisation.
Pour éviter de telles situations, assurez-vous de supprimer tous les utilisateurs inactifs de l'organisation Automation Cloud avant de passer à l'étape suivante. Vous pouvez ignorer cette étape si les adresses e-mail inactives ne sont pas réutilisées dans votre organisation.
- assurez-vous que la configuration d'Azure est terminée ;
- obtenez les valeurs ID d'annuaire (locataire) (Directory (tenant) ID), ID d' application (client) (Application (client) ID) et Clé secrète d'application ( Client Secret) pour l'inscription de l'application Automation Cloud dans Azure auprès de votre administrateur Azure.
Vous pouvez désormais travailler avec les utilisateurs et les groupes dans l' Azure AD du locataire lié. Les comptes et les groupes du Répertoire ne sont pas listés dans les pages Utilisateurs ( Users ) ou Groupes (Groups) sous Admin - Comptes et groupes (Admin - Accounts & Groups). Vous ne pouvez les trouver que via la recherche.
Pour vérifier que l'intégration est en cours d'exécution, connectez-vous en tant qu'administrateur d'organisation avec un compte Azure AD et essayez de rechercher des utilisateurs et des groupes Azure AD sur n'importe quelle page associée, telle que le panneau Modifier le groupe (Edit Group) dans Automation Cloud (Admin > Accounts and Groups ) > Groupes > Modifier(Edit) ).
Si vous pouvez rechercher des utilisateurs et des groupes provenant d’Azure AD, cela signifie que leur intégration est en cours d’exécution. Vous pouvez identifier le type d'utilisateur ou de groupe par son icône.
Si vous rencontrez une erreur en essayant de rechercher des utilisateurs, comme illustré dans l'exemple ci-dessous, cela indique qu'il y a un problème avec la configuration dans Azure. Contactez votre administrateur Azure et demandez-lui de vérifier qu'Azure est configuré comme décrit précédemment dans la documentation sur la configuration d'Azure pour l'intégration.
testAzureADappRegistration.ps1
, qui est disponible sur GitHub, pour rechercher et résoudre les problèmes de configuration lorsque la cause n’est pas claire.
Une fois l'intégration active, nous vous recommandons de suivre les instructions de cette section pour vous assurer que les fonctionnalités de création d'utilisateurs et d'affectation à des groupes sont transférées à Azure AD. De cette façon, vous pouvez vous appuyer sur votre infrastructure existante de gestion des identités et des accès pour faciliter la gouvernance et le contrôle de la gestion des accès sur vos ressources UiPath dans Automation Cloud.
Vous pouvez le faire pour vous assurer que l'administrateur Azure peut également intégrer de nouveaux utilisateurs avec les mêmes autorisations et la même configuration de Robot que vous aviez configurée avant l'intégration. Il peut procéder en ajoutant de nouveaux utilisateurs à un groupe Azure AD si le groupe dispose des rôles requis déjà attribués.
Vous pouvez mapper vos groupes d'utilisateurs existants d' Automation Cloud vers des groupes nouveaux ou existants dans Azure AD. Vous pouvez le faire de plusieurs manières, selon la façon dont vous utilisez les groupes dans Azure AD :
- Si des utilisateurs avec les mêmes rôles dans Automation Cloud sont déjà dans les mêmes groupes dans Azure AD, l'administrateur de l'organisation peut ajouter ces groupes Azure AD aux groupes d'utilisateurs auxquels ces utilisateurs appartenaient. Cela garantit que les utilisateurs conservent les mêmes autorisations et la même configuration de robot.
- Sinon, l'administrateur Azure peut créer des dans Azure AD pour correspondre à ceux d' Automation Cloud et ajouter les mêmes utilisateurs que ceux des groupes d'utilisateurs UiPath. Ensuite, l'administrateur de l'organisation peut ajouter les nouveaux groupes Azure AD aux groupes d'utilisateurs existants pour s'assurer que les mêmes utilisateurs ont les mêmes rôles.
Assurez-vous de vérifier tous les rôles spécifiquement attribués aux utilisateurs, dans toutes les instances. Si possible, supprimez ces attributions directes de rôles et ajoutez ces utilisateurs aux groupes déjà attribués avec ces rôles.
Par exemple, supposons que le groupe Administrators dans Automation Cloud comprend les utilisateurs Anna, Tom et John. Ces mêmes utilisateurs font également partie d'un groupe dans Azure AD appelé admins. L'administrateur de l'organisation peut ajouter le groupe Azure d'administrateurs au groupe Administrators dans Automation Cloud. De cette façon, Anna, Tom et John, en tant que membres du groupe des administrateurs Azure AD, bénéficient tous des rôles du groupe Administrateurs dans Automation Cloud.
Parce que admins fait maintenant partie du groupe Administrators , lorsque vous avez besoin d'intégrer un nouvel administrateur, l'administrateur Azure peut ajouter le nouvel utilisateur au groupe Azure admins , lui accordant ainsi des autorisations d'administration dans Automation Cloud sans avoir à faire des changements dans Automation Cloud. Cloud .
Les modifications apportées aux attributions de groupe Azure AD s'appliquent dans Automation Cloud lorsque l'utilisateur se connecte avec son compte Azure AD, ou s'il s'est déjà connecté au cours de la dernière heure.
Pour que les autorisations attribuées aux utilisateurs et groupes Azure AD s'appliquent, les utilisateurs doivent se connecter au moins une fois. Nous vous recommandons, une fois l'intégration en cours d'exécution, de demander à tous vos utilisateurs de se déconnecter de leur compte local et de se reconnecter avec leur compte Azure AD . Ils peuvent se connecter avec leur compte Azure AD en :
-
naviguant vers l'URL spécifique à l'organisation Automation Cloud , auquel cas le type de connexion est déjà sélectionné ; L'URL doit inclure l'ID de l'organisation et se terminer par une barre oblique, comme par exemple
https://cloud.uipath.com/orgID/
. -
En sélectionnant Enterprise SSO sur la page de connexion principale. Assurez-vous de fournir l'URL spécifique à votre organisation pour Automation Cloud à tous vos utilisateurs.
Les utilisateurs migrés reçoivent les autorisations combinées qui leur sont directement attribuées dans Automation Cloud ainsi que celles de leurs groupes Azure AD.
Pour configurer Studio et Assistant pour qu'ils se connectent aux comptes Azure AD :
- Dans l'Assistant, ouvrez Préférences (Preferences) et sélectionnez l'onglet Connexion Orchestrator (Orchestrator Connection).
- Sélectionnez Se déconnecter.
- Pour le type de connexion, sélectionnez URL du service (Service URL).
-
Dans le champ URL du service , ajoutez l'URL spécifique à l'organisation L'URL doit inclure l'ID de l'organisation et se terminer par une barre oblique, telle que
https://cloud.uipath.com/orgID/
. Sinon, la connexion échoue en disant que l'utilisateur n'appartient à aucune organisation. - Reconnectez-vous avec le compte Azure AD.
Nous vous recommandons de supprimer l'utilisation des comptes locaux pour profiter pleinement des principaux avantages de conformité et d'efficacité de l'intégration complète entre Automation Cloud et Azure AD.
Une fois tous les utilisateurs migrés, vous pouvez supprimer les utilisateurs non administrateurs de l'onglet Utilisateurs (Users), afin que vos utilisateurs ne puissent plus se connecter à l'aide de leur compte local. Vous pouvez trouver ces comptes en fonction de leurs icônes d'utilisateur.
Vous pouvez également nettoyer les autorisations individuelles dans les services UiPath, tels que le service Orchestrator, et supprimer des utilisateurs individuels des groupes afin que les autorisations reposent exclusivement sur l'appartenance au groupe Azure AD.
Exceptions
Si vous décidez de ne plus utiliser les comptes locaux, gardez à l'esprit que si vous avez mis en place des processus qui reposent sur l'authentification par clé API (page Admin > Locataires (Tenants)) pour effectuer des appels API à un service, vous avez besoin d'un compte local car le bouton n'est pas disponible lors d'une connexion avec un compte Azure AD.
La prise en charge de l'authentification par clé API prendra fin en mars 2025. Nous vous recommandons de passer à l'utilisation d'OAuth ou de jetons d'accès personnels pour l'autorisation, auquel cas les informations d' accès à l'API ne sont plus requises.
Voici quelques conseils utiles sur les fonctionnalités avancées que vous pouvez exploiter maintenant que vous avez configuré l'intégration Azure AD.
Restreindre l'accès à votre organisation
Étant donné que l'intégration avec Azure AD est effectuée au niveau du locataire Azure, par défaut, tous les utilisateurs Azure AD peuvent accéder à Automation Cloud. La première fois qu'un utilisateur Azure AD se connecte à son organisation UiPath, il est automatiquement inclus dans le groupe UiPath Everyone, qui lui accorde le rôle d'utilisateur dans l'organisation qui fournit le niveau d'accès de base au sein de l'écosystème UiPath.
Si vous souhaitez autoriser uniquement certains utilisateurs à accéder à l'organisation, vous pouvez activer l'attribution d'utilisateurs pour l'enregistrement de l'application UiPath dans Azure. De cette façon, les utilisateurs doivent être explicitement affectés à l'application pour pouvoir y accéder. Pour obtenir des instructions, découvrez comment restreindre votre application à un ensemble d'utilisateurs dans la documentation Azure AD de Microsoft.
Restreindre l'accès aux réseaux ou appareils de confiance
Si vous souhaitez autoriser uniquement vos utilisateurs à accéder à Automation Cloud à partir d'un réseau ou d'un appareil approuvé, vous pouvez utiliser la fonctionnalité Accès sous conditions à Azure AD (Azure AD Conditional Access ).
Gouvernance pour les groupes dans Azure AD
Si vous avez créé des groupes dans Azure AD pour faciliter l’intégration d’UiPath directement à partir d’Azure AD, comme décrit précédemment dans Configurer des groupes pour les autorisations et les Robots (Configure groups for permissions and robots), vous pouvez utiliser les options de sécurité avancées de la gestion des identités privilégiées (PIM) pour ces groupes afin de gérer les demandes d’accès pour Groupes UiPath. Pour plus de détails, consultez la documentation Microsoft sur PIM.
Quels changements pour mes utilisateurs une fois l'intégration active ?
Des utilisateurs peuvent se connecter immédiatement à l'aide de leur compte Azure AD existant et bénéficier des mêmes autorisations que celles dont ils disposaient avec leur compte local.
Si vous n'avez pas supprimé leurs comptes locaux, les utilisateurs peuvent également continuer à se connecter avec leur compte local, les deux méthodes fonctionnent.
https://cloud.uipath.com/orgID/
, ou sélectionner Enterprise SSO sur la page de connexion principale.
Un autre changement que les utilisateurs peuvent remarquer est que s'ils sont déjà connectés à leurs comptes Azure AD à partir d'une autre application, ils sont automatiquement connectés lorsqu'ils accèdent à cette URL.
Quels rôles possède chaque compte ?
Compte Azure AD: lorsqu'un utilisateur se connecte avec son compte Azure AD, il bénéficie immédiatement de tous les rôles qu'il possédait sur son compte local, ainsi que de tous les rôles attribués dans UiPath au compte Azure AD ou aux groupes Azure AD auxquels il appartient. . Ces rôles peuvent provenir de l'utilisateur Azure AD ou du groupe Azure AD inclus dans des groupes, ou d'autres services où les rôles ont été attribués à l'utilisateur Azure AD ou au groupe Azure AD.
Compte UiPath: avec l'intégration Azure AD activée, pour les comptes locaux, cela dépend des éléments suivants :
- si l'utilisateur ne s'est pas connecté au moins une fois avec son compte Azure AD, il ne disposera que des rôles du compte local ;
- Si les utilisateurs se connectent à l'aide de leur compte Azure AD, le compte local dispose de tous les rôles octroyés à l'utilisateur AAD dans UiPath, ces rôles ayant été soit explicitement attribués, soit hérités des appartenances à des groupes.
Dois-je attribuer de nouveau les autorisations pour les comptes Azure AD ?
Non. Étant donné que les comptes correspondants sont automatiquement liés, leurs autorisations existantes le sont également dès lors qu'une connexion est établie avec le compte Azure AD. Toutefois, si vous décidez d'interrompre l'utilisation des comptes locaux, assurez-vous au préalable que les autorisations appropriées ont été définies pour les utilisateurs et les groupes Azure AD.
- Prérequis
- Configuration d'Azure pour l'intégration
- Déploiement de l'intégration à Automation Cloud
- Nettoyer les utilisateurs inactifs
- Activer l'intégration Azure AD
- Tester l'intégration Azure AD
- Terminer la transition vers Azure AD
- Configurer des groupes pour les autorisations et les robots (facultatif)
- Migrer les utilisateurs existants
- Abandonner l'utilisation des comptes locaux UiPath (facultatif)
- Fonctionnalités avancées
- FAQ