- Démarrage
- À propos d’Automation Suite
- Premiers pas avec la plate-forme
- Exploration de l'interface utilisateur
- Gestion des préférences utilisateur
- Comprendre les modèles d'authentification
- Prérequis logiciels
- Administration de l'hôte
- Organisations
- Locataires et services
- Authentification et sécurité
- Licences
- À propos des licences
- Activation de votre licence
- Demander un essai de service
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Comptes et rôles
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes
Guide d'administration d'Automation Suite
Les comptes utilisateurs locaux représentent les comptes de chaque utilisateur et sont internes à Automation Suite. Dans ce modèle, un administrateur d'organisation ajoute de nouveaux utilisateurs à l'organisation. Il est adapté aux scénarios où vous souhaitez un contrôle total sur la gestion des utilisateurs dans Automation Suite.
Dans UiPath, les paramètres SSO sont des dispositions qui peuvent être implémentées à la fois au niveau de l'hôte et de l'organisation.
Les paramètres SSO au niveau de l'hôte sont utilisés dans toutes les organisations liées à l'hôte. Cela signifie que tous les paramètres SSO que vous ajustez à ce niveau sont appliqués à chaque organisation sous l'autorité de l'hôte.
Les paramètres SSO pouvant être gérés au niveau de l'hôte incluent la connexion de base, l'authentification unique Google, l'authentification unique Azure AD, Active Directory et l'authentification unique SAML. Des paramètres spécifiques, tels que la connexion de base, peuvent être remplacés au niveau de l'organisation.
Ce modèle est compatible avec le modèle de comptes d'annuaire.
Le modèle de comptes d'annuaire repose sur un annuaire tiers que vous intégrez à la plate-forme UiPath. Cela vous permet de réutiliser le schéma d'identité établi de votre entreprise. Les comptes d'annuaire sont créés et conservés dans un annuaire externe à la plate-forme UiPath ; elles sont uniquement référencées dans la plate-forme UiPath et utilisées comme identités.
Dans UiPath, les modèles d'intégration d'annuaire peuvent être configurés au niveau de l'hôte et de l'organisation.
-
Au niveau de l'hôte, les options d'intégration d'annuaire incluent SAML 2.0 et Active Directory. Ces paramètres sont appliqués de manière cohérente à toutes les organisations sous l'hôte.
-
Au niveau de l'organisation, UiPath permet aux administrateurs de l'organisation de remplacer les paramètres au niveau de l'hôte à l'aide de l'intégration SAML 2.0 et Azure Active Directory (AAD).
Active Directory est essentiel pour coordonner les politiques d'authentification et de gestion des accès pour la plupart des entreprises. Lors de l'établissement de l'intégration de l'annuaire, votre fournisseur d'identité sert de source centralisée de données pour les identités des utilisateurs.
En autorisant les paramètres au niveau de l’hôte et de l’organisation, le modèle d’annuaire d’UiPath fournit efficacement un équilibre entre cohérence et flexibilité. Elle permet l'utilisation de services d'intégration de répertoires unifiés sur l'hôte tout en fournissant des paramètres personnalisés au niveau de l'organisation, le cas échéant.
Active Directory est essentiel pour coordonner les politiques d'authentification et de gestion des accès de la plupart des entreprises. Lors de l'établissement de l'intégration d'annuaire, votre fournisseur d'identité (IDP) sert de source unique de vérité pour les identités des utilisateurs.
Le choix du fournisseur d'identité de votre organisation affecte la façon dont les utilisateurs se connectent et dont les comptes d'utilisateur et de groupe sont créés et gérés. Dans Automation Suite, les administrateurs peuvent choisir l'authentification et les paramètres de sécurité associés globalement pour toutes les organisations à la fois, ou par organisation.
|
| Niveau d'hôte Azure AD | Niveau de l’organisation Azure AD | Niveau d'hôte SAML | Niveau de l'organisation SAML |
|---|---|---|---|---|
|
Intégration de l'annuaire |
Non (No) |
Oui (Yes) |
Non (No) |
Oui (Yes) |
|
Approvisionnement automatique |
Oui (Yes) |
Oui (Yes) |
Non (No) |
Oui (Yes) |
|
Approvisionnement automatique de groupe |
Non (No) |
Non (No) |
Non (No) |
Oui (Yes) |
Paramètres d’authentification globaux (au niveau de l’hôte)
Automation Suite vous permet de configurer un fournisseur d'identité externe pour contrôler la façon dont vos utilisateurs se connectent. Ces paramètres s'appliquent à toutes les organisations.
Le tableau suivant donne un aperçu des différents fournisseurs externes disponibles au niveau de l'hôte :
|
Intégration du fournisseur externe |
Authentification |
Recherche dans l'annuaire |
Enregistrement des administrateurs |
|---|---|---|---|
|
Authentification Active Directory et Windows |
Les administrateurs peuvent utiliser l'authentification SSO avec l'authentification Windows à l'aide du protocole Kerberos |
Les administrateurs peuvent rechercher des utilisateurs à partir d'Active Directory |
Pour qu’un utilisateur puisse se connecter, l’utilisateur ou un groupe dont l’utilisateur est membre doit déjà être ajouté à la plate-forme UiPath. Les utilisateurs et les groupes Active Directory sont disponibles sur la plate-forme UiPath via la recherche dans l’annuaire. |
|
Azure Active Directory |
Les administrateurs peuvent utiliser SSO avec Azure AD à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l’organisation UiPath avec une adresse e-mail correspondant à leur compte Azure AD. |
|
|
Les utilisateurs peuvent utiliser l'authentification unique avec Google à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l’organisation UiPath avec une adresse e-mail correspondant à leur compte Google. |
|
SAML 2.0 |
Les utilisateurs peuvent utiliser l'authentification unique avec n'importe quel fournisseur d'identité qui prend en charge SAML |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l’organisation UiPath avec un nom d’utilisateur/une adresse e-mail/une clé de fournisseur externe (tel que configuré dans la configuration de leur fournisseur d’identité externe) correspondant à leur compte SAML. |
Authentification de l’organisation
Modèle Azure Active Directory
L'intégration avec Azure Active Directory (Azure AD) offre une gestion évolutive des utilisateurs et des accès pour votre organisation, permettant la conformité de toutes les applications internes utilisées par vos employés. Si votre organisation utilise Azure AD ou Office 365, vous pouvez connecter votre Automation Suite directement à votre locataire Azure AD pour obtenir les avantages suivants :
Intégration automatique des utilisateurs grâce à une migration fluide
- Tous les utilisateurs et groupes d'Azure AD sont facilement accessibles afin de leur attribuer des autorisations pour n'importe quel service, sans qu'il soit nécessaire d'inviter et de gérer les utilisateurs Azure AD dans l'annuaire de l'organisation.
- Vous pouvez fournir une authentification unique pour les utilisateurs dont le nom d'utilisateur d'entreprise diffère de leur adresse e-mail, ce qui n'est pas possible avec le modèle d'invitation.
- Tous les utilisateurs existants possédant des comptes d’utilisateur UiPath® voient leurs autorisations migrer automatiquement vers leur compte Azure AD connecté.
Expérience de connexion simplifiée
-
Les utilisateurs n'ont pas besoin d'accepter une invitation ou de créer un compte utilisateur UiPath pour accéder à l'organisation comme dans le modèle par défaut. Ils se connectent avec leur compte Azure AD en sélectionnant l'option Enterprise SSO ou en utilisant l'URL spécifique à leur organisation.
Si l'utilisateur est déjà connecté à Azure AD ou Office 365, il est automatiquement connecté.
- UiPath Assistant et Studio versions 20.10.3 et plus récentes peuvent être préconfigurés pour utiliser une URL Automation Suitepersonnalisée, ce qui permet de profiter de la même expérience de connexion fluide.
Gouvernance évolutive et gestion des accès avec les groupes Azure AD existants
- Les groupes de sécurité Azure AD ou les groupes Office 365, également appelés groupes d'annuaires, vous permettent de tirer parti de votre structure organisationnelle existante pour gérer les autorisations à grande échelle. Vous n'avez plus besoin de configurer les autorisations dans les services Automation Suite pour chaque utilisateur.
- Vous pouvez combiner plusieurs groupes d'annuaires en un seul groupe Automation Suite si vous devez les gérer ensemble.
-
Auditer l'accès à Automation Suite est simple. Après avoir configuré les autorisations dans tous les services Orchestrator utilisant des groupes Azure AD, vous utilisez vos processus de validation existants associés à l'appartenance au groupe Azure AD.
Remarque : Sur le modèle Azure AD, vous pouvez continuer à utiliser toutes les fonctionnalités du modèle par défaut. Mais pour maximiser les avantages, nous vous recommandons de vous fier exclusivement à la gestion de compte centralisée d'Azure AD.Si vous souhaitez utiliser Azure Active Directory comme fournisseur d'identité pour votre organisation, suivez les instructions de la section Configuration de l'intégration Azure AD.
Modèle SAML
Ce modèle vous permet de connecter Automation Suite au fournisseur d'identité (IdP) de votre choix afin que :
- vos utilisateurs peuvent bénéficier de l'authentification unique et
- vous puissiez gérer des comptes existants à partir de votre répertoire dans Automation Suite, sans avoir à recréer des identités.
Automation Suite peut se connecter à n'importe quel fournisseur d'identité (IdP) externe qui utilise la norme SAML 2.0 pour obtenir les avantages suivants :
Intégration automatique des utilisateurs
Tous les utilisateurs de votre fournisseur d’identité externe sont autorisés à se connecter à avec des droits de base lorsque l’intégration SAML est active. Cela signifie que :
- Les utilisateurs peuvent se connecter à votre organisation par authentification unique à l’aide de leur compte d’entreprise existant, tel que défini dans l’IdP.
- Ils peuvent accéder à l’organisation par défaut sans configuration supplémentaire. Afin de pouvoir travailler dans l’organisation, les utilisateurs ont besoin de rôles et de licences correspondant à leur rôle.
Gestion des utilisateurs
Vous pouvez ajouter des utilisateurs en les affectant directement aux groupes. Pour ce faire, il vous suffit de saisir leur adresse e-mail lors de l’ajout d’utilisateurs au groupe.
Généralement, les Administrators gèrent les comptes locaux à partir de l'onglet Admin > Organisation (Organization) > Comptes et groupes (Accounts & Groups) > Utilisateurs (Users) . Mais les utilisateurs SAML sont considérés comme des comptes d'annuaire, ils ne sont donc pas visibles sur cette page.
Une fois qu’un utilisateur a été ajouté à un groupe ou qu’il s’est connecté au moins une fois (ce qui l’ajoute automatiquement au groupe Everyone), il peut être recherché dans tous les services pour une attribution directe de rôle ou de licence.
Mappage des attributs
Si vous utilisez UiPath Automation Hub, vous pouvez définir un mappage personnalisé des attributs pour propager les attributs de votre fournisseur d'identité dans Automation Suite. Par exemple, lorsqu'un compte est ajouté pour la première fois à Automation Hub, le prénom, le nom, l'adresse e-mail, le poste et le service de l'utilisateur sont déjà renseignés.
Configuration
Les Administrators peuvent configurer et activer l'intégration SAML pour l'ensemble de votre organisation depuis Admin > Paramètres de sécurité (Security Settings) > Paramètres d'authentification (Authentification Settings).
Pour obtenir des instructions, consultez.
Transition de l'intégration Azure AD vers l'intégration SAML
Après le passage à l'intégration SAML, l'intégration Azure AD est désactivée. Les attributions de groupe Azure AD ne s'appliquent plus, l'appartenance au groupe Orchestrator et les autorisations héritées d'Azure AD ne sont donc plus respectées.
