- Démarrage
- Meilleures pratiques
- Locataire
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Autres configurations
- Intégrations
- Robots classiques
- Administration de l'hôte
- À propos du niveau de l’hôte
- Gestion des administrateurs système
- Gestion des locataires
- Configuration des notifications par e-mail du système
- Journaux d'audit pour le portail hôte
- Mode de Maintenance
- Administration de l'organisation
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
Configuration de l’intégration d’Azure AD
Si l'intégration d'Azure Active Directory est active au niveau de l'hôte (vous voyez AzureAD comme une option sur la page Connexion (Login)), vous ne pouvez pas la configurer au niveau du locataire.
Si votre organisation utilise Azure Active Directory (Azure AD) ou Office 365, vous pouvez connecter votre organisation Orchestrator directement à votre locataire Azure AD pour voir les comptes utilisateur existants dans votre environnement UiPath.
L'intégration Azure AD vous permet de continuer à tirer parti du modèle d'utilisateur local, si vous le souhaitez, tout en amorçant votre organisation avec les avantages supplémentaires offerts par l'utilisation d'Azure AD.
Si vous avez décidé d'utiliser Azure AD pour votre organisation, suivez les instructions de cette page pour configurer l'intégration.
Pour configurer l'intégration Azure AD, vous avez besoin de :
- des autorisations d'Administrator dans Orchestrator et Azure AD (si vous n'avez pas d'autorisations d'Administrator dans Azure, collaborez avec un Administrator Azure pour terminer le processus de configuration) ;
- d'un compte UiPath d'administrateur d'organisation qui utilise la même adresse e-mail qu'un utilisateur Azure AD ; l'utilisateur Azure AD n'a pas besoin d'autorisations d'administrateur dans Azure ;
- d'UiPath Studio et Assistant version 2020.10.3 ou ultérieure ;
- UiPath Studio et Assistant pour utiliser le déploiement recommandé .
- si vous utilisiez auparavant des comptes d'utilisateurs locaux, assurez-vous que tous vos utilisateurs Azure AD disposent de l'adresse e-mail dans le champ Courrier (Mail) ; avoir l'adresse e-mail dans le champ Nom principal de l'utilisateur (User Principle Name ou UPN) seul ne suffit pas. L'intégration d'Azure AD lie les comptes d'utilisateurs de l'annuaire aux comptes d'utilisateurs locaux si les adresses e-mail correspondent. Cela permet aux utilisateurs de conserver les autorisations lorsqu'ils passent de la connexion avec leur compte d'utilisateur local au compte d'utilisateur de l'annuaire Azure AD.
Autorisations (Permissions) : vous devez être administrateur dans Azure pour effectuer les tâches de cette section. Les rôles d'administrateur Azure suivants disposent des privilèges requis : Administrateur général, Administrateur d'applications cloud ou Administrateur d'applications.
Pour configurer votre locataire Azure, procédez comme suit dans le portail Azure :
Une fois l'installation d'Azure terminée, vous pouvez préparer l'intégration, l'activer, puis nettoyer les anciens comptes.
Le processus est décomposé en étapes afin qu'il n'y ait pas de perturbation pour vos utilisateurs.
Autorisations (Permissions) : vous devez être Administrator dans Orchestrator pour effectuer les tâches de cette section.
Si les adresses e-mail inactives ne sont pas réutilisées dans votre organisation, vous pouvez ignorer cette étape.
Lorsque vous connectez Orchestrator à Azure AD en activant l'intégration, les comptes avec des adresses e-mail correspondantes sont liés afin que le compte Azure AD reçoive les mêmes autorisations que le compte UiPath correspondant.
Si votre organisation pratique le recyclage des e-mails, cela signifie qu'une adresse e-mail qui a été utilisée dans le passé pourrait être attribuée à un nouvel utilisateur à l'avenir, ce qui peut entraîner un risque d'accès élevé.
Exemple
john.doe@example.com
et que cet employé avait un compte UiPath où il était administrateur de l'organisation, mais a depuis quitté l'entreprise et l'adresse e-mail a été désactivée, mais l'utilisateur n'a pas été supprimé d'Orchestrator.
john.doe@example.com
adresse e-mail. Dans un tel cas, lorsque les comptes sont reliés pour l'intégration d'Automation Suite avec Azure AD, John Doe hérite des privilèges d'administrateur de l'organisation.
Pour éviter de telles situations, assurez-vous de supprimer tous les utilisateurs inactifs d'Orchestrator avant de passer à l'étape suivante.
Avant de commencer
- Assurez-vous qu'Azure est configuré comme décrit ci-dessus dans Configuration d'Azure pour l'intégration.
- Obtenez les valeurs ID d'annuaire (locataire) (Directory (tenant) ID), ID d'application (client) (Application (client) ID) et Clé secrète du client (Client Secret) pour l'inscription de l'application Orchestrator dans Azure auprès de votre administrateur Azure.
Pour activer l'intégration Azure AD, procédez comme suit dans Orchestrator :
https://{baseURL}/tenant/
) et vous connecter à l'aide de votre compte Azure AD en cliquant sur Continuer avec l'authentification unique d'entreprise ( Continue with Enterprise SSO ) en bas de la boîte de connexion :
Vous pouvez désormais travailler avec les utilisateurs et les groupes dans le locataire Azure AD lié.
Vous pouvez trouver des utilisateurs et des groupes Azure AD à l'aide de la recherche, par exemple pour ajouter un utilisateur à un groupe Orchestrator, mais ils ne sont pas répertoriés sur les pages Utilisateurs (Users) ou Groupes (Groups).
Quels changements pour mes utilisateurs une fois l'intégration active ?
Les utilisateurs peuvent se connecter immédiatement à l'aide de leur compte Azure AD existant et bénéficier des mêmes autorisations qu'ils avaient sur leur compte UiPath.
Si vous n'avez pas supprimé leurs comptes d'utilisateurs UiPath, les utilisateurs peuvent également continuer à se connecter avec leur compte UiPath, les deux méthodes fonctionnent.
https://{baseURL}/myOrganization/
, ou sélectionner Enterprise SSO sur la page de connexion principale.
Un autre changement que les utilisateurs peuvent remarquer est que s'ils sont déjà connectés à leurs comptes Azure AD à partir d'une autre application, ils sont automatiquement connectés lorsqu'ils accèdent à cette URL.
Quels rôles possède chaque compte ?
Compte Azure AD (Azure AD account) : lorsqu'un utilisateur se connecte avec son compte Azure AD, il bénéficie immédiatement de tous les rôles qu'il possédait sur son compte UiPath, ainsi que de tous les rôles attribués dans UiPath au compte Azure AD ou aux groupes Azure AD auxquels il appartient. Ces rôles peuvent provenir de l'utilisateur Azure AD ou du groupe Azure AD inclus dans les groupes Orchestrator, ou d'autres services tels que Orchestrator où les rôles ont été attribués à l'utilisateur Azure AD ou au groupe Azure AD.
Compte UiPath : avec l'intégration Azure AD activée, pour les comptes UiPath, cela dépend des éléments suivants :
- si l'utilisateur ne s'est pas connecté au moins une fois avec son compte Azure AD, il ne possèdera que les rôles du compte UiPath ;
- S'il s'est déjà connecté avec le compte Azure AD au moins une fois, le compte UiPath possèdera également tous les rôles que l'utilisateur Azure AD a dans UiPath, soit explicitement attribués, soit hérités des appartenances au groupe Orchestrator. Le compte UiPath ne bénéficie d'aucun des rôles attribués aux groupes Azure AD dans lesquels se trouve le compte Azure AD.
Dois-je attribuer de nouveau les autorisations pour les comptes Azure AD ?
Non. Étant donné que les comptes correspondants sont automatiquement liés, leurs autorisations existantes le sont également lorsque la connexion est effectuée avec le compte Azure AD. Toutefois, si vous décidez d'interrompre l'utilisation des comptes UiPath, assurez-vous au préalable que les autorisations appropriées ont été définies pour les utilisateurs et les groupes à partir d'Azure AD.
Pour vérifier que l'intégration s'exécute à partir d'Orchestrator, connectez-vous en tant qu'administrateur avec un compte Azure AD et essayez de rechercher des utilisateurs et des groupes Azure AD sur n'importe quelle page associée, telle que la page Attribuer des rôles (Attribuer des rôles) dans Orchestrator (Gérer l'accès > Attribuer des rôles > Attribuer un rôle).
-
Si vous pouvez rechercher des utilisateurs et des groupes provenant d'Azure AD, cela signifie que leur intégration est en cours d'exécution. Vous pouvez identifier le type d'utilisateur ou de groupe par son icône.
Remarque : Les utilisateurs et les groupes Azure AD ne sont pas répertoriés dans la page Utilisateurs (Users) ou la page Groupes (Groups), ils sont uniquement disponibles en effectuant une recherche. -
Si vous rencontrez une erreur en essayant de rechercher des utilisateurs, comme illustré dans l'exemple ci-dessous, cela indique qu'il y a un problème avec la configuration dans Azure. Contactez votre administrateur Azure et demandez-lui de vérifier qu'Azure est configuré comme décrit dans la section Configuration d'Azure pour l'intégration.
Astuce : Demandez à votre administrateur Azure de confirmer qu'il a coché la case Accorder le consentement de l'administrateur (Grant admin consent) lors de la configuration d'Azure. C'est une cause fréquente d'échec de l'intégration.
Une fois l'intégration active, nous vous recommandons de suivre les instructions de cette section pour vous assurer que les affectations de création d'utilisateur et de groupe sont transférées à Azure AD. De cette façon, vous pouvez vous appuyer sur votre infrastructure existante de gestion des identités et des accès pour faciliter la gouvernance et le contrôle de la gestion des accès sur vos ressources de votre organisation Orchestrator.
Vous pouvez le faire pour vous assurer que l'administrateur Azure peut également intégrer de nouveaux utilisateurs avec les mêmes autorisations et la même configuration de Robot pour Orchestrator et d'autres services que vous aviez configurés avant l'intégration. Il peut procéder en ajoutant de nouveaux utilisateurs à un groupe Azure AD si le groupe dispose des rôles requis déjà attribués dans Orchestrator.
Vous pouvez mapper vos groupes d'utilisateurs existants depuis Orchestrator vers des groupes nouveaux ou existants dans Azure AD. Vous pouvez le faire de plusieurs manières, selon la façon dont vous utilisez les groupes dans Azure AD :
- Si des utilisateurs avec les mêmes rôles dans Orchestrator sont déjà dans les mêmes groupes dans Azure AD, l'administrateur de l'organisation peut ajouter ces groupes Azure AD aux groupes d'utilisateurs Orchestrator auxquels ces utilisateurs appartenaient. Cela garantit que les utilisateurs conservent les mêmes autorisations et la même configuration de Robot.
- Sinon, l'administrateur Azure peut créer des dans Azure AD pour correspondre à ceux d'Orchestrator et ajouter les mêmes utilisateurs que ceux des groupes d'utilisateurs Orchestrator. Ensuite, l'administrateur de l'organisation peut ajouter les nouveaux groupes Azure AD aux groupes d'utilisateurs existants pour s'assurer que les mêmes utilisateurs ont les mêmes rôles.
Dans les deux cas, assurez-vous de vérifier tous les rôles qui ont été explicitement attribués aux utilisateurs. Si possible, éliminez les attributions de rôles explicites en ajoutant ces utilisateurs aux groupes possédant les rôles ayant été explicitement attribués.
Exemple : supposons que le groupe Administrators dans Orchestrator comprend les utilisateurs Roger, Tom et Jerry. Ces mêmes utilisateurs font également partie d'un groupe dans Azure AD appelé admins. L'administrateur de l'organisation peut ajouter le groupe admins au groupe Administrators dans Orchestrator. De cette façon, Roger, Tom et Jerry, en tant que membres du groupe admins Azure AD, bénéficient tous des rôles du groupe Administrators.
Parce que admins fait maintenant partie du groupe Administrators, lorsque vous avez besoin d'intégrer un nouvel Administrator, l'administrateur Azure peut ajouter le nouvel utilisateur au groupe Azure admins, lui accordant ainsi des autorisations d'administration dans Orchestrator sans avoir à faire des changements dans Orchestrator.
Les modifications apportées aux attributions de groupe Azure AD s'appliquent dans Orchestrator lorsque l'utilisateur se connecte avec son compte Azure AD, ou s'il s'est déjà connecté au cours de la dernière heure.
Connexion initiale : pour que les autorisations attribuées aux utilisateurs et groupes Azure AD s'appliquent, les utilisateurs doivent se connecter au moins une fois. Nous vous recommandons, une fois l'intégration en cours d'exécution, de demander à tous vos utilisateurs de se déconnecter de leur compte UiPath et de se reconnecter avec leur compte Azure AD. Ils peuvent se connecter avec leur compte Azure AD en :
-
naviguant vers l'URL spécifique à l'organisation, auquel cas le type de connexion est déjà sélectionné ;
Remarque : L'URL doit inclure l'ID de l'organisation et se terminer par une barre oblique, comme par exemplehttps://{baseURL}/orgID/
. -
en sélectionnant Enterprise SSO sur la page de connexion principale.
Remarque : Assurez-vous de fournir l'URL spécifique à votre organisation pour Orchestrator à tous vos utilisateurs. Seuls les administrateurs d'organisation peuvent voir ces informations dans Orchestrator.
Les utilisateurs migrés bénéficient de l'union des autorisations qui leur ont été directement attribuées et de celles de leurs groupes Azure AD.
Configuration de Studio et Assistant pour les utilisateurs : pour configurer ces produits afin de les connecter aux comptes Azure AD :
Bien que facultatif, nous vous recommandons de le faire afin de profiter pleinement des principaux avantages de conformité et d'efficacité de l'intégration complète entre Orchestrator et Azure AD.
Une fois tous les utilisateurs migrés, vous pouvez supprimer les utilisateurs basés sur des comptes locaux personnels dans l'onglet Utilisateurs (Users), afin que vos utilisateurs ne puissent plus se connecter à l'aide de leurs comptes UiPath. Vous pouvez identifier ces comptes en vous basant sur leurs icônes d'utilisateur.
Vous pouvez également nettoyer les autorisations individuelles dans les services UiPath, tels que le service Orchestrator, et supprimer des utilisateurs individuels des groupes Orchestrator afin que les autorisations reposent exclusivement sur l'appartenance au groupe Azure AD.
Exception
Si vous décidez de ne plus utiliser les comptes locaux, nous vous recommandons de conserver au moins un compte local avec le rôle d'administrateur d'organisation à utiliser si vous devez mettre à jour les paramètres d'authentification de votre organisation. Sinon, les options Paramètres d'authentification (Authentication Settings) ne sont pas actives.
Voici quelques conseils utiles sur les fonctionnalités avancées que vous pouvez exploiter maintenant que vous avez configuré l'intégration Azure AD.
Étant donné que l'intégration avec Azure AD est effectuée au niveau du locataire Azure, par défaut, tous les utilisateurs Azure AD peuvent accéder à l'organisation Orchestrator. La première fois qu'un utilisateur Azure AD se connecte à Orchestrator, il est automatiquement inclus dans le groupe Orchestrator Everyone, qui lui accorde le rôle d'utilisateur au niveau de l'organisation.
Si vous souhaitez autoriser uniquement certains utilisateurs à accéder à l'organisation Orchestrator, vous pouvez activer l'attribution d'utilisateurs pour l'enregistrement de l'application Orchestrator dans Azure. De cette façon, les utilisateurs doivent être explicitement affectés à l'application (Orchestrator) pour pouvoir y accéder. Pour prendre connaissance des instructions, consultez cet article de la documentation Azure AD.
Si vous souhaitez autoriser uniquement vos utilisateurs à accéder à Orchestrator à partir d'un réseau ou d'un appareil approuvé, vous pouvez utiliser la fonctionnalité Accès sous conditions à Azure AD (Azure AD Conditional Access).
Si vous avez créé des groupes dans Azure AD pour faciliter l'intégration d'Orchestrator directement à partir d'Azure AD, comme décrit ci-dessus dans Configurer les groupes pour les autorisations et les robots, vous pouvez utiliser les options de sécurité avancées de Privileged Identity Management (PIM) pour ces groupes afin de gérer les demandes d'accès pour Groupes Orchestrator.
- Vue d'ensemble (Overview)
- Prérequis
- Configuration d'Azure pour l'intégration
- Déploiement de l'intégration sur Orchestrator
- Nettoyer les utilisateurs inactifs
- Activer l'intégration Azure AD
- Tester l'intégration Azure AD
- Terminer la transition vers Azure AD
- Configurer des groupes pour les autorisations et les robots (facultatif)
- Migrer les utilisateurs existants
- Abandonner l'utilisation des comptes locaux (facultatif)
- Meilleures pratiques
- Restreindre l'accès à Orchestrator
- Restreindre l'accès aux réseaux ou appareils de confiance
- Gouvernance pour les groupes Orchestrator dans Azure AD