- Démarrage
- Administration de l'hôte
- Gestion des administrateurs système
- Journaux d'audit pour le portail hôte
- Organisations
- Authentification et sécurité
- Licences
- Locataires et services
- Comptes et rôles
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes
Guide d'administration d'Automation Suite
Configuration de l'authentification et de la sécurité
En tant qu'administrateur d'organisation, vous pouvez choisir l'authentification et les paramètres de sécurité associés pour votre organisation. Certains paramètres sont hérités du niveau de l'hôte, mais vous pouvez les remplacer si des paramètres différents s'appliquent à votre organisation.
Cet article vous guide à travers les étapes de configuration des paramètres au niveau de l'organisation, c'est-à-dire des paramètres qui s'appliquent à une organisation. Si vous souhaitez configurer les paramètres globaux d'authentification et de sécurité, consultez la documentation sur les paramètres d'authentification de l'hôte.
Le choix du fournisseur d'identité pour votre organisation affecte la façon dont les utilisateurs se connectent, ainsi que la façon dont les comptes d'utilisateurs et de groupes sont créés et gérés pour Automation Suite.
Même si nous offrons plusieurs paramètres d'authentification pour contrôler l'accès à votre instance Automation Suite, ils sont tous basés sur deux modèles principaux : le modèle par défaut et le modèle Azure Active Directory (Azure AD), qui vous permet d'exploiter des capacités de gestion des identités plus avancées.
Autoriser n'importe quel utilisateur à se connecter à l'aide de l'authentification de base (modèle par défaut)
Avec ce modèle, les administrateurs de l'organisation créent des comptes d'utilisateur pour les employés dans Automation Suite afin qu'ils puissent se connecter.
Les comptes créés peuvent représenter un nouveau compte dans Automation Suite ou un utilisateur dans le fournisseur d'annuaire externe configuré au niveau de l'hôte (comme documenté dans Paramètres d'authentification et de sécurité de l'hôte).
Activer l'authentification unique d'entreprise avec Microsoft Azure Active Directory (modèle Azure Active Directory)
L'intégration avec Azure Active Directory (Azure AD) peut offrir une gestion évolutive des utilisateurs et des accès pour votre organisation, permettant la conformité de toutes les applications internes utilisées par vos employés. Si votre organisation utilise Azure AD ou Office 365, vous pouvez connecter votre organisation Automation Suite directement à votre locataire Azure AD pour obtenir les avantages suivants :
Intégration automatique des utilisateurs grâce à une migration fluide :
- Tous les utilisateurs et groupes d'Azure AD sont facilement accessibles afin de leur attribuer des autorisations pour n'importe quel service Automation Suite, sans qu'il soit nécessaire d'inviter et de gérer les utilisateurs Azure AD dans l'annuaire d'organisation Automation Suite.
- Vous pouvez fournir une authentification unique pour les utilisateurs dont le nom d'utilisateur d'entreprise diffère de leur adresse e-mail, ce qui n'est pas possible avec le modèle d'invitation.
- Tous les utilisateurs existants possédant des comptes d’utilisateur UiPath® voient leurs autorisations migrer automatiquement vers leur compte Azure AD connecté.
Expérience de connexion simplifiée :
-
Les utilisateurs n'ont pas besoin d'accepter une invitation ou de créer un compte utilisateur UiPath pour accéder à l'organisation Automation Suite comme dans le modèle par défaut. Ils se connectent avec leur compte Azure AD en sélectionnant l'option Enterprise SSO ou en utilisant l'URL spécifique à leur organisation.
Si l'utilisateur est déjà connecté à Azure AD ou Office 365, il est automatiquement connecté.
- Les versions 20.10.3 et ultérieures de l’Assistant UiPath et de Studio peuvent être préconfigurées pour utiliser une URL Automation Suite personnalisée, ce qui permet la même expérience de connexion transparente.
Gouvernance évolutive et gestion des accès avec les groupes Azure AD existants :
- Les groupes de sécurité Azure AD ou les groupes Office 365, également appelés groupes d'annuaires, vous permettent de tirer parti de votre structure organisationnelle existante pour gérer les autorisations à grande échelle. Vous n'avez plus besoin de configurer les autorisations dans les services Automation Suite pour chaque utilisateur.
- Vous pouvez combiner plusieurs groupes d'annuaires en un seul groupe Automation Suite si vous devez les gérer ensemble.
-
Effectuer l'audit d'Automation Suite est simple. Après avoir configuré les autorisations dans tous les services Automation Suite utilisant des groupes Azure AD, vous utilisez vos processus de validation existants associés à l'appartenance au groupe Azure AD.
Si vous souhaitez utiliser Azure Active Directory comme fournisseur d'identité pour votre organisation, suivez les instructions de la section Configuration de l'intégration Azure AD.
Modèle SAML
Ce modèle vous permet de connecter Automation Suite au fournisseur d'identité (IdP) de votre choix afin que :
- vos utilisateurs peuvent bénéficier de l'authentification unique (SSO) et
- vous pouvez gérer des comptes existants à partir de votre annuaire dans Automation Suite, sans avoir à recréer des identités.
Automation Suite peut se connecter à n'importe quel fournisseur d'identité externe qui utilise la norme SAML 2.0.
Bénéfices
Intégration automatique des utilisateurs à Automation Suite :
Tous les utilisateurs de votre fournisseur d'identité externe sont autorisés à se connecter à Automation Suite avec les droits de base lorsque l'intégration SAML est active. Cela signifie que :
- Les utilisateurs peuvent se connecter à votre organisation Automation Suite via l'authentification unique à l'aide de leur compte d'entreprise existant, tel que défini dans l'IdP.
-
Sans configuration supplémentaire, ils deviennent membres du groupe d'utilisateurs Everyone, qui leur accorde par défaut le rôle Utilisateur de l'organisation (User organization role). Pour pouvoir travailler dans Automation Suite, les utilisateurs ont besoin de rôles et de licences, en fonction de leur poste.
Si vous devez restreindre l'accès à certains de vos utilisateurs uniquement, vous pouvez définir l'ensemble d'utilisateurs autorisés à accéder à Automation Suite dans votre fournisseur d'identité.
Gestion des utilisateurs :
Vous pouvez ajouter des utilisateurs en les affectant directement à des groupes Automation Suite. Pour ce faire, il vous suffit de saisir leur adresse e-mail lors de l'ajout d'utilisateurs au groupe.
Généralement, les Administrators gèrent les comptes locaux à partir de l'onglet Admin > Comptes et groupes (Accounts & Groups) > Utilisateurs (Users). Mais les utilisateurs SAML sont considérés comme des comptes d'annuaire dans Automation Suite, ils ne sont donc pas visibles sur cette page.
Une fois qu'un utilisateur a été ajouté à un groupe ou qu'il s'est connecté au moins une fois (ce qui l'ajoute automatiquement au groupe Tout le monde), il est disponible dans la recherche dans tous les services d'Automation Suite pour une attribution directe de rôle ou de licence.
Mappage des attributs :
Si vous utilisez UiPath Automation Hub, vous pouvez définir un mappage d'attributs personnalisé pour propager les attributs de votre fournisseur d'identité vers Automation Suite. Par exemple, lorsqu'un compte est ajouté pour la première fois à Automation Hub, le prénom, le nom, l'adresse e-mail, le poste et le service de l'utilisateur sont déjà renseignés.
Configuration
Les administrateurs peuvent configurer et activer l'intégration SAML pour l'ensemble de votre organisation.
Pour obtenir des instructions, consultez Configurer l'intégration SAML (Configuring the SAML integration).
Transition de l'intégration Azure AD vers l'intégration SAML
Après le passage à l'intégration SAML, l'intégration Azure AD est désactivée. Les attributions de groupe Azure AD ne s'appliquent plus, donc l'appartenance au groupe Automation Suite et les autorisations héritées d'Azure AD ne sont plus respectées.
L'authentification de base, ou connexion de base, fait référence à la connexion avec le nom d'utilisateur et le mot de passe d'un compte local.
Si l'authentification de base est restreinte, vos utilisateurs ne peuvent se connecter qu'avec leur compte d'annuaire, tel que défini dans le fournisseur d'identité externe. Sinon, les utilisateurs peuvent se connecter à la fois avec leurs comptes locaux, le cas échéant, et leurs comptes de répertoire.
Voir également Niveaux de configuration et héritage (Configuration levels and inheritance) pour plus d'informations sur ce paramètre.
Définition de l'authentification de base au niveau de l'organisation
Lorsqu'il est défini au niveau de l'organisation, le paramètre s'applique à tous les comptes de l'organisation.
Pour les exceptions, l'authentification de base peut également être définie au niveau du compte auquel vous souhaitez que ce paramètre s'applique différemment.
Pour autoriser ou restreindre l'authentification de base pour votre organisation :
- Connectez-vous au portail de gestion au niveau de l'organisation à l'adresse
https://<server>/identity/management
en tant qu'administrateur de l'organisation. - Accédez à Admin et assurez-vous que l'organisation est sélectionnée en haut du volet de gauche.
-
Cliquez sur Sécurité (Security).
La page Paramètres de sécurité (Security Settings) de l'organisation s'affiche dans l'onglet Paramètres d'authentification (Authentication Settings).
-
Cliquez sur le bouton bascule Connexion de base (Basic sign-in) pour restreindre ou autoriser la connexion à l'aide de l'authentification de base :
- Si cette option est activée (position de la bascule à droite, bascule bleue), l'authentification de base est autorisée.
- Si cette option est activée (position de la bascule gauche, bascule grise), l'authentification de base est restreinte.
- En bas à droite, cliquez sur Enregistrer (Save) pour appliquer vos modifications.
Ancienne expérience d’administrateur
Si vous utilisez toujours l'ancienne expérience d'administrateur, suivez plutôt ces instructions :
- Connectez-vous au portail de gestion au niveau de l'organisation à l'adresse
https://<server>/identity/management
en tant qu'administrateur de l'organisation. - Accédez à Admin et sélectionnez Paramètres de sécurité (Security Settings).
-
Sous Fournisseurs externes ( External Providers), cliquez sur le bouton bascule Désactiver l'authentification de base pour les organisations pour restreindre ou autoriser la connexion à l'aide de l'authentification de base :
- Si cette option est désactivée (position de basculement gauche, bascule grise), l'authentification de base est autorisée.
- Si cette option est activée (position de la bascule à droite, bascule bleue), l'authentification de base est restreinte.
- En bas à droite de la section Fournisseurs externes ( External Providers ), cliquez sur Enregistrer ( Save ) pour appliquer vos modifications.
Pour configurer les options de sécurité de votre organisation, accédez à Admin > Organisation (Organization) > Sécurité (Security) et, sous Connexion de base (Basic sign-in), cliquez sur Modifier la stratégie de mot de passe (Edit password policy), où vous pouvez modifier les options selon vos besoins.
Afin de configurer les paramètres de complexité du mot de passe pour les utilisateurs locaux de votre organisation, accédez à Admin > Organisation (Organization) > Sécurité (Security) et, sous Connexion de base ( Basic sign-in), cliquez sur Modifier la politique de mot de passe ( Edit password policy).
Champ |
Description |
---|---|
Caractères spéciaux |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère spécial dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
Caractères minuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en minuscule dans leur mot de passe. Cette case est cochée par défaut. |
Caractères majuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en majuscule dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
Chiffres |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un chiffre dans leur mot de passe. Cette case est cochée par défaut. |
Longueur minimale du mot de passe |
Spécifiez le nombre minimum de caractères qu'un mot de passe doit contenir. Celui-ci est fixé à 8 par défaut. Il ne peut être inférieur à 1, ni supérieur à 256 caractères. |
Jours avant l'expiration du mot de passe |
Spécifiez le nombre de jours pendant lesquels le mot de passe est disponible. Après cette période, le mot de passe expire et doit être modifié. La valeur minimale acceptée est de 0 (le mot de passe n’expire jamais), et la valeur maximale est de 1 000 jours. |
Nombre de réutilisations d'un mot de passe |
La valeur minimale acceptée est de 0 (ne jamais autoriser la réutilisation d'un mot de passe), tandis que la valeur maximale est de 10. |
Modifier le mot de passe lors de la première connexion |
Si défini sur Requis (Required), les utilisateurs qui se connectent pour la première fois doivent modifier leur mot de passe avant d'être autorisés à accéder à Automation Suite. S'il est défini sur Non requis, les utilisateurs peuvent se connecter et continuer à utiliser le mot de passe défini par l'administrateur jusqu'à son expiration. |
Pour configurer les paramètres de verrouillage de compte pour les utilisateurs locaux de votre organisation, accédez à Admin > Organisation (Organization) > Sécurité (Security) et, sous Connexion de base ( Basic sign-in), cliquez sur Modifier la politique de mot de passe ( Edit password policy).
Champ |
Description |
---|---|
BasculeActivé ou Désactivé |
Si cette option est activée, elle verrouille le compte pendant un nombre spécifique de secondes après un nombre spécifique de tentatives de connexion infructueuses. Cela s'applique également à la fonctionnalité de modification du mot de passe. |
Durée du verrouillage du compte |
Le nombre de secondes qu'un utilisateur doit attendre avant d'être autorisé à se connecter à nouveau après avoir dépassé le nombre de Tentatives de connexion consécutives avant verrouillage. La valeur par défaut est de 5 minutes. La valeur minimale acceptée est de 0 (aucune durée de verrouillage) et la valeur maximale est de 2592 000 (1 mois). |
Tentatives de connexion consécutives avant verrouillage |
Le nombre de tentatives de connexion avortées autorisé avant que le compte ne soit verrouillé. La valeur par défaut est de 10 tentatives. Vous pouvez définir une valeur entre 2 et 10. |