Guide d'administration d'Automation Cloud

Intégration de Microsoft Entra ID pour Automation Cloud et Automation Cloud pour le secteur public

link

Bénéfices​

• Authentification unique (SSO) : autorisez les utilisateurs à accéder à une organisation avec leurs identifiants Microsoft Entra ID.
• Gestion simplifiée des utilisateurs : gérez l’accès à l’aide des utilisateurs et des groupes de l’ID Microsoft Entra existants.
• Sécurité améliorée : appliquez les fonctionnalités de Microsoft Entra ID telles que l'authentification multifacteur, l'accès conditionnel et la gestion des identités privilégiées.
• Transition transparente : migrez sans interruption depuis des comptes locaux, du moment que les adresses e-mail correspondent.

Limites et considérations​

• UiPath prend en charge l'intégration uniquement avec le service Microsoft Entra ID dans le Cloud commercial Microsoft Azure. La version Cloud Microsoft Azure Government de Microsoft Entra ID n'est pas prise en charge.

• Lorsqu’une intégration utilise l’accès délégué uniquement comme étendue d’accès, Microsoft Entra ID nécessite que l’utilisateur soit présent pendant l’évaluation de l’annuaire. Étant donné que les automatisations non assistées et les jetons d'accès personnel s'exécutent sans la présence d'un utilisateur, les limitations suivantes s'appliquent :

  • Les utilisateurs de l'annuaire Microsoft Entra ID ne peuvent pas hériter d'autorisations basées sur un groupe lors de l'exécution d'automatisations non assistées ou lors de l'utilisation de jetons d'accès personnels.
  • Si l’accès à l’organisation est restreint via les groupes Microsoft Entra ID, les robots non assistés ne peuvent pas accéder à l’organisation au nom des utilisateurs.

  Pour contourner ces limitations sans accorder d’autorisations uniquement pour l’application, vous pouvez activer Utiliser des jetons utilisateur mis en cache pour les vérifications de l’appartenance à un groupe dans votre configuration Microsoft Entra ID. La disponibilité de cette fonctionnalité dépend de la plateforme Cloud que vous utilisez. Pour des détails, reportez-vous à la page Disponibilité des fonctionnalités , en particulier la ligne Utiliser des jetons utilisateur mis en cache pour les vérifications de l’appartenance au groupe .

• Gestion du compte utilisateur : vous pouvez uniquement gérer les utilisateurs et les groupes de l'annuaire dans Microsoft Entra ID. Ces comptes apparaissent dans votre organisation uniquement lorsque vous les recherchez ou que vous affectez des autorisations.

• Clés personnalisées d’application : l’intégration Microsoft Entra ID utilise le protocole OIDC, mais ne prend pas en charge les clés personnalisées d’application passées par le paramètre de requête appid , comme décrit dans la documentation relative aux jetons d’accès Microsoft.

• Vous devez nommer vos groupes UiPath locaux de la même manière que les groupes de l'annuaire Microsoft Entra ID. Cela peut entraîner des conflits dans l’évaluation des autorisations et l’attribution d’accès basée sur les groupes.

Avant de commencer​

• Une organisation avec une licence Enterprise, au niveau Standard ou Enterprise.
• Une organisation qui répond à l’une des exigences de licence suivantes :
  • Unified Pricing : nécessite une version Enterprise ou Standard
  • Flex : nécessite un plan Enterprise, de niveau Standard ou Enterprise
• Autorisations d'administrateur dans l'organisation.
• Coordination avec un administrateur Microsoft Entra ID qui dispose de l'un des rôles suivants :
  • Administrateur d'applications cloud
  • Administrateur d'applications
  • Tout rôle pouvant accorder le consentement de l’administrateur aux applications Microsoft Entra ID
• Un compte Microsoft Entra ID qui utilise la même adresse e-mail que votre compte administrateur UiPath (pour les tests)
• Une version prise en charge d'UiPath Studio et d'Assistant, comme spécifié dans la documentation du cycle de vie du produit.

• Connectez les utilisateurs avec les informations d’identification Microsoft Entra ID.
• Lisez les profils d'utilisateurs et les adhésions de groupe à partir de votre répertoire d'ID Microsoft Entra.
• Appliquez des contrôles d’accès basés sur les attributions de groupe d’ID Microsoft.

Méthodes de configuration​

• (Recommandé) Configuration automatisée : utilisez l'application Microsoft Entra ID gérée par UiPath (modèle mutualisé) pour les avantages suivants :
  • Aucune clé secrète ou de certificat à gérer.
  • Configuration rapide et fiable.
  • UiPath gère l'application Microsoft Entra ID pour vous.
• Configuration manuelle avec une inscription d'application Microsoft Entra ID personnalisée : utilisez votre propre application Microsoft Entra ID et gérez sa configuration manuellement, en tenant compte des considérations suivantes :
  • Vous devez créer et gérer les informations d’identification de l’application.
  • Les informations d’identification expirent et nécessitent des mises à jour périodiques.
  • Si les informations d'identification ne sont pas mises à jour avant leur expiration, les utilisateurs ne peuvent pas se connecter.

• Accès délégué et uniquement par l'application (recommandé): permet aux services UiPath d'évaluer l'appartenance à un groupe lorsque l'utilisateur est présent et dans les scénarios hors ligne, tels que les automatisations Unattended et les scénarios de service à service.
• Accès délégué : restreint l'évaluation de groupe aux sessions interactives. Les autorisations ne peuvent être validées que lorsque l'utilisateur est activement connecté.

À propos de l'application Microsoft Entra ID gérée par UiPath​

• Nom : Intégration d’UiPath Entra ID
• ID client : 4ca9aa42-b0ea-4ceb-b2b1-17fa40827280
• Étendues d'application :
  • Entra ID : email, openid, profile, GroupMember.Read.All, User.Read, User.ReadBasic.All, User.Read.All (facultatif).
  • Intégration de CMK Entra ID : email, openid, profile, et offline access.
• URI de redirection :
  • https://cloud.uipath.com/portal/grant-consent
  • https://govcloud.uipath.us/portal/grant-consent
• URL de consentement (pour l'approbation de l'administrateur) : si vous voyez un message Nécessite l'approbation de l'administrateur , un administrateur Microsoft Entra ID peut accorder le consentement à l'échelle du locataire en accédant à l'une des URL suivantes :
  • Accès délégué et uniquement à l'application (multi-locataires) : https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
  • Accès délégué et uniquement à l'application (locataire unique) : https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
  • Accès délégué (multi-locataire) : https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234
  • Accès délégué (locataire unique) : https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}
  Remarque :

  Pour les configurations à locataire unique, remplacez {TENANT_ID} par votre ID d'annuaire (locataire) et {APPLICATION_ID} par votre ID d'application (client).

Utiliser des jetons utilisateur mis en cache pour les vérifications de l’appartenance à un groupe​

Comportement par défaut​

• Nouvelles connexions de répertoire: sélectionnées par défaut. Décochez la case pour refuser.
• Connexions au répertoire existant: désélectionnées par défaut. Ouvrez la page de configuration et cochez la case pour activer cette fonctionnalité.

Expiration du jeton​

Considérations relatives à la politique d’accès conditionnel​

• Fréquence de connexion: si une stratégie exige que les utilisateurs se réauthentifient à de courts intervalles, le jeton d'actualisation mis en cache est rejeté une fois cet intervalle dépassé.
• Authentification multifacteur lors de l'actualisation du jeton: les demandes d'actualisation sont non interactives et ne peuvent pas inviter l'utilisateur à procéder à une authentification multifacteur. Les stratégies qui nécessitent une authentification multifacteur à chaque actualisation de jeton échouent dans ce flux.
• Politiques basées sur les risques et évaluation de l’accès continu: celles-ci peuvent révoquer les jetons actifs à tout moment en fonction de modifications apportées au risque de l’utilisateur, de l’appareil ou de la session.

• Pour les utilisateurs qui exécutent des automatisations Unattended, équilibrez les exigences de fréquence de connexion avec l’impact opérationnel de la réauthentification fréquente.
• Appliquez les exigences MFA lors de la connexion interactive, et non lors de l’actualisation du jeton.
• Surveiller l’événement d’audit Effacer le jeton d’utilisateur Entra ID mis en cache . Les occurrences fréquentes pour le même utilisateur indiquent généralement qu'une stratégie Accès conditionnel empêche l'actualisation du jeton. Voir Événements d'audit.

Événements d'audit​

Configuration automatisée avec l’application Microsoft Entra ID gérée par UiPath (recommandé)​

1. Accorder le consentement de Microsoft Entra ID​

• Accès délégué et uniquement à l'application (Recommandé):
  • Multi-locataire : https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
  • Locataire unique : https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
• Accès délégué uniquement :
  • Multi-locataire : https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234
  • Locataire unique : https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}

2. Configurer l'intégration dans votre organisation​

1. Dans votre organisation, accédez à Admin > Sécurité > Paramètres d'authentification > Intégration d'annuaire et authentification unique.
2. Sélectionnez Microsoft Entra ID.
3. Choisissez l' application multi-locataires gérée par UiPath (Recommandé).
4. Sélectionnez l'étendue d'accès pour laquelle le consentement a été accordé :
   • Accès délégué et uniquement par l'application (recommandé): fournit une évaluation complète du groupe, y compris les automatisations non assistées et les scénarios de service à service.
   • Accès délégué : limite les évaluations aux sessions où l'utilisateur est présent.
   Remarque :

   L'accès délégué et 'application uniquement' est disponible uniquement pour Automation Cloud. Pour en savoir plus sur la disponibilité des fonctionnalités, consultez la section Disponibilité des fonctionnalités.

5. Si vous avez sélectionné Accès délégué, l’option Utiliser des jetons utilisateur mis en cache pour les vérifications d’appartenance au groupe dans les automatisations Unattended s’affiche. Sélectionnez-la afin d’étendre l’évaluation de l’appartenance au groupe aux automatisations Unattended et aux scénarios S2S à l’aide de jetons Microsoft Entra ID mis en cache. Lorsque cette option est activée, l’accès délégué fournit une couverture similaire à l’accès délégué et uniquement par l’application sans nécessiter d’autorisations uniquement pour l’application. Pour plus d’informations, consultez Utiliser des jetons utilisateur mis en cache pour les vérifications de l’appartenance à un groupe.
6. Si vous avez sélectionné Accès délégué et à l'application uniquement, entrez l'ID de l'annuaire (locataire) fourni par votre administrateur Microsoft Entra ID.
7. Cochez Je comprends et accepte que les comptes des utilisateurs existants et des utilisateurs de Microsoft Entra ID avec des adresses e-mail correspondantes seront liés.
8. Sélectionnez Enregistrer pour activer l’intégration.

Configuration manuelle avec enregistrement d’application Microsoft Entra ID personnalisée​

Configuration de Microsoft Entra ID​

Option A : utilisation des scripts PowerShell​

1. Téléchargez les scripts de configuration Microsoft Entra ID.
2. Exécutez configAzureADconnection.ps1 pour configurer automatiquement votre locataire Entra.
3. Exécutez testAzureADappRegistration.ps1 pour vérifier la configuration.

1. Créez l’inscription d’application :

   1. Accédez au centre d'administration Microsoft Entra > Inscriptions d'application > Nouvelle inscription.
   2. Définir un nom préféré.
   3. Choisissez uniquement les comptes figurant dans cet annuaire d'entreprise.
   4. Définir l’URI de redirection pour votre plateforme :
      • https://cloud.uipath.com/identity_/signin-oidc
      • https://govcloud.uipath.us/identity_/signin-oidc

2. Configurer l'authentification :

   1. Naviguez vers Authentification.
   2. Ajoutez l’URI de redirection suivant pour votre plateforme :
      • https://cloud.uipath.com/portal_/testconnection
      • https://govcloud.uipath.us/portal_/testconnection
   3. Sous Flux d'octroi implicite et flux hybrides, sélectionnez Jetons d'ID. Cette intégration exploite le flux hybride de Microsoft.
   4. Enregistrez vos modifications.

3. Ajouter des revendications de jeton :

   1. Accédez à Configuration du jeton > Ajouter une demande facultative.
   2. Sélectionnez ID comme type de jeton.
   3. Choisissez les revendications suivantes : family_name, given_name et upn.

   Ces revendications sont utilisées pour mettre à jour les informations de l'utilisateur lors de la connexion.

   4. Enregistrez vos modifications.

4. Définir les autorisations d'API :

   1. Accédez à Autorisations d'API > Ajouter une autorisation.
   2. Sélectionnez Microsoft Graph.
   3. Dans Quel type d'autorisations votre application nécessite-t-elle ? Sélectionnez les types d'autorisation en fonction de l'étendue d'accès UiPath que vous souhaitez configurer. Avant de sélectionner des autorisations, tenez compte de ce qui suit :

      • Bien que vous puissiez configurer uniquement l’accès délégué, nous vous recommandons d’utiliser un accès délégué et aux applications combinés.

      • Les tableaux ci-dessous répertorient les autorisations requises pour chaque étendue d'accès que vous souhaitez configurer. Certaines autorisations s'affichent dans les deux listes, mais elles doivent être ajoutées séparément, car leurs types d'autorisations diffèrent.

        Remarque :

        Pour utiliser des propriétés telles que City, Job Title et Department dans Automation Hub, l'autorisation User.Read.All est requise.

        • Pour Automation Cloud : quelle que soit l'étendue d'accès que vous souhaitez configurer, vous devez ajouter les autorisations suivantes à partir du menu Autorisations déléguées :

          Autorisation d’ID d’entrée Microsoft	Type d'autorisation	Objectif
          email, openid, profile, offline_access, et User.Read	Délégué	Permet aux utilisateurs de se connecter avec l'ID Microsoft Entra et permet à Automation Cloud de récupérer les revendications dans la demande d'autorisation.
          User.ReadBasic.All ou User.Read.All	Délégué	Permet à Automation Cloud de rechercher des utilisateurs dans Microsoft Entra ID, d'attribuer des autorisations et de mettre à jour les attributs utilisateur.
          GroupMember.Read.All	Délégué	Permet à Automation Cloud d'évaluer l'appartenance à un groupe et d'appliquer des contrôles d'accès basés sur les groupes de répertoires.

      • Si vous souhaitez configurer l’étendue d’accès délégué et à l'application uniquement, vous devez également ajouter les autorisations suivantes à partir du menu Autorisations de l’application :

        Autorisation d’ID d’entrée Microsoft	Type d'autorisation	Objectif
        User.ReadBasic.All ou User.Read.All	Application	Permet à Automation Cloud de rechercher des utilisateurs dans Microsoft Entra ID, d'attribuer des autorisations et de maintenir les attributs utilisateur mis à jour dans les automatisations Unattended.
        GroupMember.Read.All	Application	Permet à Automation Cloud d'évaluer l'appartenance à un groupe et d'appliquer des contrôles d'accès basés sur le groupe de répertoires dans les automatisations Unattended.

      • Pour Automation Cloud pour le secteur public, utilisez les autorisations suivantes :

        • Autorisations OpenID : email, openid, offline_access, profile.
        • Autorisations utilisateur : User.Read, User.ReadBasic.All ou User.Read.All.
        • Autorisations de groupe : GroupMember.Read.All.
   4. Sélectionnez Accorder le consentement de l’administrateur pour (votre organisation). Cette étape permet à l’application d’accéder aux données de tous les utilisateurs sans nécessiter d’invites de consentement individuelles. Pour de plus amples informations, consultez la documentation de Microsoft.

5. Créer des identifiants : vous pouvez utiliser un secret client ou un certificat :

   • Pour créer une clé secrète de client :
     1. Accédez à Certificats et secrets.
     2. Sélectionnez Nouveau secret client, puis enregistrez la valeur du secret.
   • Pour créer un certificat :
     1. Ouvrez un nouvel onglet et accédez à Azure Key Vault.
     2. Créer un certificat :
        • Objet : CN=uipath.com
        • Type de contenu : PEM
        • Taille maximale : moins de 10 ko
     3. Téléchargez le certificat au format .pem . Le fichier téléchargé contient deux sections: une section BEGIN PRIVATE KEY/END PRIVATE KEY contenant la clé privée et une section BEGIN CERTIFICATE/END CERTIFICATE contenant le certificat public.
     4. Ouvrez le fichier .pem dans un éditeur de texte et copiez uniquement la section entre BEGIN CERTIFICAT et END CERTIFICAT, y compris ces lignes d'en-tête et de pied de page.
     5. Créez un nouveau fichier .pem qui contient uniquement la section de certificat copiée à l'étape précédente.
     6. Dans le centre d’administration Microsoft Entra, accédez à Certificats et clés secrètes et téléchargez le fichier .pem créé à l’étape 5. Microsoft Entra ID requiert uniquement le certificat public pour ce chargement. Ne téléchargez pas le fichier .pem complet qui inclut la clé privée.
     7. Conservez le fichier .pem d’origine téléchargé à l’étape 3. La configuration d'Automation Cloud nécessite le contenu PEM complet, y compris les sections BEGIN PRIVATE KEY/END PRIVATE KEY et BEGIN CERTIFICATE/END CERTIFICATE . N'utilisez pas le fichier de certificat uniquement créé à l'étape 5 à cette fin.
     Avertissement :

     L'utilisation du fichier certificat uniquement (de l'étape 5) lors de la configuration d'Automation Cloud entraîne des échecs d'authentification. Le test de connexion échoue sans message d’erreur indiquant un problème de format de certificat. Utilisez le fichier .pem d'origine téléchargé à partir d'Azure Key Vault, qui contient à la fois la clé privée et le certificat.

     Remarque :

     La plupart des types d'identifiants finissent par expirer. Pour éviter les problèmes de connexion de l'utilisateur, mettez à jour la configuration avant l'expiration des identifiants. Pour éviter cette surcharge, utilisez la configuration automatisée avec l’application Microsoft Entra ID gérée par UiPath.

6. Collectez les détails d’intégration suivants et partagez-les avec l'administrateur de votre organisation :

   • ID d'application (client)
   • ID de répertoire (locataire)
   • Clé secrète ou certificat du client

Activation de l'intégration dans votre organisation​

1. Accédez à Admin > Sécurité > Paramètres d'authentification > Intégration de l'annuaire et authentification unique (SSO).
2. Sélectionnez Microsoft Entra ID.
3. Choisissez l’ ID et le secret de l’enregistrement de l’application personnalisée.
4. Sélectionnez l'étendue d'accès de votre choix :
   • Accès délégué et uniquement par l'application (recommandé): fournit une évaluation complète du groupe, y compris pour les automatisations sans assistance et les scénarios de service à service.
   • Accès délégué : limite les évaluations aux sessions où l'utilisateur est présent.
5. Si vous avez sélectionné Accès délégué, l’option Utiliser des jetons utilisateur mis en cache pour les vérifications d’appartenance au groupe dans les automatisations Unattended s’affiche. Sélectionnez-la afin d’étendre l’évaluation de l’appartenance au groupe aux automatisations Unattended et aux scénarios S2S à l’aide de jetons Microsoft Entra ID mis en cache. Lorsque cette option est activée, l’accès délégué fournit une couverture similaire à l’accès délégué et uniquement par l’application sans nécessiter d’autorisations uniquement pour l’application. Pour plus d’informations, consultez Utiliser des jetons utilisateur mis en cache pour les vérifications de l’appartenance à un groupe.
6. Saisissez les valeurs suivantes fournies par votre administrateur Entra ID :
   • ID de répertoire (locataire)
   • ID d'application (client)
   • Clé secrète ou certificat du client:
     • Si vous utilisez une clé secrète de client: collez la valeur de la clé secrète.
     • Si vous utilisez un certificat: collez le contenu complet du fichier .pem d'origine téléchargé depuis Azure Key Vault. Le fichier doit inclure à la fois les sections BEGIN PRIVATE KEY/END PRIVATE KEY et BEGIN CERTIFICATE/END CERTIFICATE . N’utilisez pas le fichier de certificat uniquement qui a été téléchargé dans le centre d’administration Microsoft Entra.
7. Cochez Je comprends et accepte que les comptes des utilisateurs existants et des utilisateurs de Microsoft Entra ID avec des adresses e-mail correspondantes seront liés.
8. Sélectionnez Tester la connexion, puis connectez-vous avec votre compte Microsoft Entra ID.
   • Une connexion réussie indique que l’intégration a été configurée correctement.
   • Si la connexion échoue, demandez à votre administrateur de Microsoft Entra ID de vérifier la configuration et réessayez.
9. Sélectionnez Enregistrer pour activer l'intégration.

1. Déconnectez-vous de votre compte local.

2. Connectez-vous avec votre compte utilisateur d'annuaire en utilisant l'une des méthodes suivantes :

   • Accédez à l'URL spécifique à votre organisation pour votre plate-forme :
     • https://cloud.uipath.com/{organizationName}/
     • https://govcloud.uipath.us/{organizationName}/
   • Ou accédez à la page de connexion principale et sélectionnez Continuer avec Enterprise SSO.
   Remarque :

   Pour confirmer que vous vous êtes connecté avec un compte d'annuaire, accédez à la page d'accueil à :

   • https://cloud.uipath.com/{organizationName}/portal_/home
   • https://govcloud.uipath.us/{organizationName}/portal_/home

   Si vous ne voyez pas un Warning indiquant que vous êtes connecté avec un compte utilisateur local, vous êtes connecté avec un compte utilisateur d'annuaire.

3. Naviguez vers Comptes et groupes locaux et essayez d’ajouter des utilisateurs ou des groupes d'annuaire à partir de Microsoft Entra ID à un groupe local. Les utilisateurs et les groupes Microsoft Entra ID ont des icônes distinctes pour les différencier des comptes locaux.

   Remarque :

   Les utilisateurs et les groupes Microsoft Entra ID ne sont pas répertoriés par défaut sur les pages Comptes d'utilisateur ou Groupes locaux. Vous pouvez les trouver uniquement en utilisant la fonction de recherche.

Étape 4.1 : configuration des autorisations de groupe​

Étape 4.2 : Migration des utilisateurs existants​

• Accédez à l'URL spécifique à votre organisation pour votre plate-forme :
  • https://cloud.uipath.com/{organizationName}/
  • https://govcloud.uipath.us/{organizationName}/
• Ou sélectionnez Continuer avec Enterprise SSO sur la page de connexion principale.

1. Ouvrez l'Assistant UiPath.
2. Naviguez vers Préférences > Connexion à Orchestrator.
3. Déconnectez-vous de la session en cours.
4. Définissez le type de connexion sur URL du service.
5. Entrez l’URL de l'organisation de votre plateforme :
   • https://cloud.uipath.com/{organizationName}/
   • https://govcloud.uipath.us/{organizationName}/
6. Connectez-vous à l'aide de votre compte Microsoft Entra ID.

Étape 4.3 : Suppression progressive des comptes locaux​

• Ils n'héritent pas des autorisations de groupe d'annuaire.
• Ils ne peuvent pas rechercher ou affecter des utilisateurs ou des groupes à partir du répertoire d’ID Microsoft Entra.

Restriction de l'accès à des utilisateurs spécifiques​

1. Dans le centre d’administration Microsoft Entra, accédez à l’application que vous avez créée pour l’intégration à l’étape 2 : Configuration de l’intégration Microsoft Entra ID.
2. Accédez à Applications d'entreprise > Propriétés.
3. Définissez Affectation de l’utilisateur requise ? sur Oui.
4. Dans Utilisateurs et groupes, affectez les utilisateurs ou les groupes qui doivent avoir accès.

Implémenter des restrictions réseau​

• Emplacement du réseau (par exemple, réseau d'entreprise uniquement)
• Conformité des appareils
• Niveau de risque

Gestion des accès privilégiés​

• Activez la gestion des identités à privilèges (PIM) dans Microsoft Entra ID.
• Configurez des workflows d'accès et d'approbation « juste à temps ».
• Configurez des examens d'accès réguliers pour valider l'adhésion et les autorisations.

Quels changements pour mes utilisateurs après l'intégration ?​

• Accédez à l’URL spécifique à l’organisation de votre plateforme :
  • https://cloud.uipath.com/{organizationName}/
  • https://govcloud.uipath.us/{organizationName}/
• Sur la page de connexion principale, sélectionnez Continuer avec Enterprise SSO.

Pourquoi ne puis-je pas rechercher des utilisateurs ou des groupes après avoir configuré l'intégration ?​

Dois-je attribuer de nouveau les autorisations ?​

Quels attributs Microsoft Entra ID sont mappés aux comptes utilisateur de l'annuaire UiPath, et quand sont-ils mis à jour ?​

Quel est le délai d’application des modifications apportées au groupe d’ID Microsoft Entra ?​

Puis-je revenir aux comptes locaux après l'intégration ?​

1. Inviter à nouveau les comptes d'utilisateurs locaux.
2. Migrez toutes les autorisations basées sur le groupe de l'annuaire vers les affectations directes sur les comptes locaux correspondants.
3. Demandez aux utilisateurs de se déconnecter, puis de se connecter avec leur compte utilisateur local.

Puis-je migrer de l'intégration de Microsoft Entra ID vers l'intégration SAML ?​

Pourquoi l'intégration utilise-t-elle le flux d'octroi de code d'autorisation OAuth 2.0 hybride de Microsoft Entra ID ?​