- Démarrage
- À propos d’Automation Suite
- Premiers pas avec la plate-forme
- Exploration de l'interface utilisateur
- Gestion des préférences utilisateur
- Comprendre les modèles d'authentification
- Prérequis logiciels
- Administration de l'hôte
- Gestion des administrateurs système
- Journaux d'audit pour le portail hôte
- Organisations
- Authentification et sécurité
- Licences
- Locataires et services
- Comptes et rôles
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes

Guide d'administration d'Automation Suite
Comprendre les modèles d'authentification
Les comptes utilisateurs locaux représentent les comptes de chaque utilisateur et sont internes à UiPath Platform. Dans ce modèle, un administrateur d'organisation ajoute de nouveaux utilisateurs à l'organisation. Il est adapté aux scénarios où vous souhaitez un contrôle total de la gestion des utilisateurs sur la plate-forme UiPath.
Dans UiPath, les paramètres SSO sont des dispositions qui peuvent être implémentées à la fois au niveau de l'hôte et de l'organisation.
Les paramètres SSO au niveau de l'hôte sont utilisés dans toutes les organisations liées à l'hôte. Cela signifie que tous les paramètres SSO que vous ajustez à ce niveau sont appliqués à chaque organisation sous l'autorité de l'hôte. Les paramètres SSO pouvant être gérés au niveau de l'hôte incluent la connexion de base, l'authentification unique Google, l'authentification unique Azure AD, Active Directory et l'authentification unique SAML. Des paramètres spécifiques, tels que la connexion de base, peuvent être remplacés au niveau de l'organisation.
Ce modèle est compatible avec le modèle de comptes d'annuaire.
Le modèle de comptes d'annuaire repose sur un annuaire tiers que vous intégrez à la plate-forme UiPath. Cela vous permet de réutiliser le schéma d'identité établi de votre entreprise. Les comptes d'annuaire sont créés et conservés dans un annuaire externe à la plate-forme UiPath ; elles sont uniquement référencées dans la plate-forme UiPath et utilisées comme identités.
Dans UiPath, les modèles d'intégration d'annuaire peuvent être configurés au niveau de l'hôte et de l'organisation.
-
Au niveau de l'hôte, les options d'intégration d'annuaire incluent SAML 2.0 et Active Directory. Les paramètres ici sont appliqués de manière cohérente à toutes les organisations sous l'hôte.
-
Au niveau de l'organisation, UiPath permet aux administrateurs de l'organisation de remplacer les paramètres au niveau de l'hôte à l'aide de l'intégration SAML 2.0 et Azure Active Directory (AAD).
Active Directory est essentiel pour coordonner les politiques d'authentification et de gestion des accès pour la plupart des entreprises. Lors de l'établissement de l'intégration de l'annuaire, votre fournisseur d'identité sert de source centralisée de données pour les identités des utilisateurs.
En autorisant les paramètres au niveau de l’hôte et de l’organisation, le modèle d’annuaire d’UiPath fournit efficacement un équilibre entre cohérence et flexibilité. Elle permet l'utilisation de services d'intégration de répertoires unifiés sur l'hôte tout en fournissant des paramètres personnalisés au niveau de l'organisation, le cas échéant.
Le choix du fournisseur d'identité pour votre organisation affecte la façon dont les utilisateurs se connectent et la façon dont les comptes d'utilisateurs et de groupes sont créés et gérés. Sur la plate-forme UiPath, les administrateurs peuvent choisir l'authentification et les paramètres de sécurité associés soit globalement (au niveau de l'hôte) pour toutes les organisations à la fois, soit pour chaque organisation :
-
Paramètres d'authentification globaux (au niveau de l'hôte) : en tant qu'administrateur système, vous pouvez choisir l'authentification et les paramètres de sécurité par défaut associés pour votre installation au niveau de l'hôte. Nous parlons de paramètres d'authentification et de sécurité de l'hôte, et ils sont hérités par défaut par toutes les organisations. Découvrez comment configurer l'authentification de l'hôte et les paramètres de sécurité.
- Paramètres d'authentification au niveau de l'organisation : en tant qu'administrateur d'organisation, vous pouvez choisir l'authentification et les paramètres de sécurité associés pour votre organisation. Certains paramètres sont hérités du niveau de l'hôte, mais vous pouvez les remplacer si des paramètres différents s'appliquent à votre organisation. Découvrez comment configurer l'authentification et les paramètres de sécurité au niveau de l'organisation.
Niveau d'hôte Azure AD |
Niveau de l’organisation Azure AD |
Niveau d'hôte SAML |
Niveau de l'organisation SAML | |
Intégration de l'annuaire |
Non (No) |
Oui (Yes) |
Non (No) |
Oui (Yes) |
Approvisionnement automatique |
Oui (Yes) |
Oui (Yes) |
Non (No) |
Oui (Yes) |
Approvisionnement automatique de groupe |
Non (No) |
Non (No) |
Non (No) |
Oui (Yes) |
La plate-forme vous permet de configurer un fournisseur d'identité externe pour contrôler la façon dont vos utilisateurs se connectent. Les paramètres ici s'appliquent à toutes les organisations.
Le tableau suivant donne un aperçu des différents fournisseurs externes disponibles au niveau de l'hôte :
Intégration du fournisseur externe |
Authentification |
Recherche dans l'annuaire |
Enregistrement des administrateurs |
---|---|---|---|
|
Les administrateurs peuvent utiliser l'authentification SSO avec l'authentification Windows à l'aide du protocole Kerberos |
Les administrateurs peuvent rechercher des utilisateurs à partir d'Active Directory |
Pour qu’un utilisateur puisse se connecter, l’utilisateur ou un groupe dont l’utilisateur est membre doit déjà être ajouté à la plate-forme UiPath. Les utilisateurs et les groupes Active Directory sont disponibles sur la plate-forme UiPath via la recherche dans l’annuaire. |
|
Les administrateurs peuvent utiliser SSO avec Azure AD à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l’organisation UiPath avec une adresse e-mail correspondant à leur compte Azure AD. |
|
Les utilisateurs peuvent utiliser l'authentification unique avec Google à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l’organisation UiPath avec une adresse e-mail correspondant à leur compte Google. |
|
Les utilisateurs peuvent utiliser l'authentification unique avec n'importe quel fournisseur d'identité qui prend en charge SAML |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l’organisation UiPath avec un nom d’utilisateur/une adresse e-mail/une clé de fournisseur externe (tel que configuré dans la configuration de leur fournisseur d’identité externe) correspondant à leur compte SAML. |
Modèle Azure Active Directory
L'intégration avec Azure Active Directory (Azure AD) peut offrir une gestion évolutive des utilisateurs et des accès pour votre organisation, permettant la conformité de toutes les applications internes utilisées par vos employés. Si votre organisation utilise Azure AD ou Office 365, vous pouvez connecter votre organisation Orchestrator directement à votre locataire Azure AD pour obtenir les avantages suivants :
Intégration automatique des utilisateurs grâce à une migration fluide
- Tous les utilisateurs et groupes d'Azure AD sont facilement accessibles afin de leur attribuer des autorisations pour n'importe quel service Orchestrator, sans qu'il soit nécessaire d'inviter et de gérer les utilisateurs Azure AD dans l'annuaire d'organisation Orchestrator.
- Vous pouvez fournir une authentification unique pour les utilisateurs dont le nom d'utilisateur d'entreprise diffère de leur adresse e-mail, ce qui n'est pas possible avec le modèle d'invitation.
- Tous les utilisateurs existants possédant des comptes d’utilisateur UiPath® voient leurs autorisations migrer automatiquement vers leur compte Azure AD connecté.
Expérience de connexion simplifiée
-
Les utilisateurs n'ont pas besoin d'accepter une invitation ou de créer un compte utilisateur UiPath pour accéder à l'organisation Orchestrator comme dans le modèle par défaut. Ils se connectent avec leur compte Azure AD en sélectionnant l'option Enterprise SSO ou en utilisant l'URL spécifique à leur organisation.
Si l'utilisateur est déjà connecté à Azure AD ou Office 365, il est automatiquement connecté.
- UiPath Assistant et Studio versions 20.10.3 et plus récentes peuvent être préconfigurés pour utiliser une URL Orchestrator personnalisée, ce qui permet de profiter de la même expérience de connexion fluide.
Gouvernance évolutive et gestion des accès avec les groupes Azure AD existants
- Les groupes de sécurité Azure AD ou les groupes Office 365, également appelés groupes d'annuaires, vous permettent de tirer parti de votre structure organisationnelle existante pour gérer les autorisations à grande échelle. Vous n'avez plus besoin de configurer les autorisations dans les services Orchestrator pour chaque utilisateur.
- Vous pouvez combiner plusieurs groupes d'annuaires en un seul groupe Orchestrator si vous devez les gérer ensemble.
-
Auditer l'accès à Orchestrator est simple. Après avoir configuré les autorisations dans tous les services Orchestrator utilisant des groupes Azure AD, vous utilisez vos processus de validation existants associés à l'appartenance au groupe Azure AD.
Remarque : Sur le modèle Azure AD, vous pouvez continuer à utiliser toutes les fonctionnalités du modèle par défaut. Mais pour maximiser les avantages, nous vous recommandons de vous fier exclusivement à la gestion de compte centralisée d'Azure AD.Si vous souhaitez utiliser Azure Active Directory comme fournisseur d'identité pour votre organisation, suivez les instructions dans .
Modèle SAML
Ce modèle vous permet de connecter Orchestrator au fournisseur d'identité (IdP) de votre choix afin que :
- vos utilisateurs peuvent bénéficier de l'authentification unique (SSO) et
- vous puissiez gérer des comptes existants à partir de votre répertoire dans Orchestrator, sans avoir à recréer des identités.
Orchestrator peut se connecter à n’importe quel fournisseur d’identité externe qui utilise la norme SAML 2.0 afin de bénéficier des avantages suivants :
Intégration automatique des utilisateurs
Tous les utilisateurs de votre fournisseur d’identité externe sont autorisés à se connecter à avec des droits de base lorsque l’intégration SAML est active. Cela signifie que :
- Les utilisateurs peuvent se connecter à votre organisation par authentification unique à l’aide de leur compte d’entreprise existant, tel que défini dans l’IdP.
- Ils peuvent accéder à l’organisation par défaut sans configuration supplémentaire. Afin de pouvoir travailler dans l’organisation, les utilisateurs ont besoin de rôles et de licences correspondant à leur rôle.
Gestion des utilisateurs
Vous pouvez ajouter des utilisateurs en les affectant directement aux groupes. Pour ce faire, il vous suffit de saisir leur adresse e-mail lors de l’ajout d’utilisateurs au groupe.
Généralement, les Administrators gèrent les comptes locaux à partir de l’onglet Admin > organisation > Comptes et groupes > Utilisateurs. Les utilisateurs SAML sont cependant considérés comme des comptes d’annuaire : ils ne sont donc pas visibles sur cette page.
Une fois qu’un utilisateur a été ajouté à un groupe ou qu’il s’est connecté au moins une fois (ce qui l’ajoute automatiquement au groupe Everyone), il peut être recherché dans tous les services pour une attribution directe de rôle ou de licence.
Mappage des attributs
Si vous utilisez UiPath Automation Hub, vous pouvez définir un mappage personnalisé des attributs pour propager les attributs de votre fournisseur d'identité dans Orchestrator. Par exemple, lorsqu'un compte est ajouté pour la première fois à Automation Hub, le prénom, le nom, l'adresse e-mail, l'intitulé de poste et le service de l'utilisateur sont déjà renseignés.
Configuration
Les Administrators peuvent configurer et activer l'intégration SAML pour l'ensemble de votre organisation depuis Admin > Paramètres de sécurité (Security Settings) > Paramètres d'authentification (Authentification Settings).
Pour obtenir des instructions, consultez.
Transition de l'intégration Azure AD vers l'intégration SAML
Après le passage à l'intégration SAML, l'intégration Azure AD est désactivée. Les attributions de groupe Azure AD ne s'appliquent plus, l'appartenance au groupe Orchestrator et les autorisations héritées d'Azure AD ne sont donc plus respectées.