- Démarrage
- Meilleures pratiques
- Modélisation de l'organisation dans Orchestrator
- Gestion de grands déploiements
- Meilleures pratiques d'automatisation
- Optimisation de l'infrastructure Unattended à l'aide de modèles de machine
- Organisation des ressources avec des balises
- Réplica Orchestrator en lecture seule
- Exportation des grilles dans l'arrière-plan
- Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Gestion des Robots
- Connexion des Robots à Orchestrator
- Enregistrement des identifiants du Robot dans CyberArk
- Stockage des mots de passe d'Unattended Robot dans Azure Key Vault (lecture seule)
- Stockage des informations d'identification de l'Unattended Robot dans HashiCorp Vault (lecture seule)
- Stockage des informations d'identification du robot Unattended dans AWS Secrets Manager (lecture seule)
- Suppression des sessions Unattended déconnectées et qui ne répondent pas
- Authentification du Robot
- Authentification du Robot avec les informations d'identification du client
- Audit
- Service de catalogue de ressources
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Administration de l'hôte
- Serveur d'identité
- Authentification
- Administration de l'organisation
- Autres configurations
- Intégrations
- Robots classiques
- Résolution des problèmes
Contournement de l'authentification et de la sécurité
En tant qu'Administrator, vous pouvez choisir l'authentification et les paramètres de sécurité associés pour votre organisation. Certains paramètres sont hérités du niveau de l'hôte, mais vous pouvez les remplacer si des paramètres différents s'appliquent à votre organisation.
Le choix du fournisseur d'identité pour votre organisation (Admin > Utilisateurs et groupes (Users and Groups) > Paramètres d'authentification (Authentication Settings)) affecte la façon dont les utilisateurs se connectent et la façon dont les comptes d'utilisateurs et de groupes sont créés et gérés dans Orchestrator.
Modèle Azure Active Directory
L'intégration avec Azure Active Directory (Azure AD) peut offrir une gestion évolutive des utilisateurs et des accès pour votre organisation, permettant la conformité de toutes les applications internes utilisées par vos employés. Si votre organisation utilise Azure AD ou Office 365, vous pouvez connecter votre organisation Orchestrator directement à votre locataire Azure AD pour obtenir les avantages suivants :
Intégration automatique des utilisateurs grâce à une migration fluide
- Tous les utilisateurs et groupes d'Azure AD sont facilement accessibles afin de leur attribuer des autorisations pour n'importe quel service Orchestrator, sans qu'il soit nécessaire d'inviter et de gérer les utilisateurs Azure AD dans l'annuaire d'organisation Orchestrator.
- Vous pouvez fournir une authentification unique pour les utilisateurs dont le nom d'utilisateur d'entreprise diffère de leur adresse e-mail, ce qui n'est pas possible avec le modèle d'invitation.
- Tous les utilisateurs existants possédant des comptes d'utilisateur UiPath voient leurs autorisations migrer automatiquement vers leur compte Azure AD connecté.
Expérience de connexion simplifiée
-
Les utilisateurs n'ont pas besoin d'accepter une invitation ou de créer un compte utilisateur UiPath pour accéder à l'organisation Orchestrator comme dans le modèle par défaut. Ils se connectent avec leur compte Azure AD en sélectionnant l'option Enterprise SSO ou en utilisant l'URL spécifique à leur organisation.
Si l'utilisateur est déjà connecté à Azure AD ou Office 365, il est automatiquement connecté.
- UiPath Assistant et Studio versions 20.10.3 et plus récentes peuvent être préconfigurés pour utiliser une URL Orchestrator personnalisée, ce qui permet de profiter de la même expérience de connexion fluide.
Gouvernance évolutive et gestion des accès avec les groupes Azure AD existants
- Les groupes de sécurité Azure AD ou les groupes Office 365, également appelés groupes d'annuaires, vous permettent de tirer parti de votre structure organisationnelle existante pour gérer les autorisations à grande échelle. Vous n'avez plus besoin de configurer les autorisations dans les services Orchestrator pour chaque utilisateur.
- Vous pouvez combiner plusieurs groupes d'annuaires en un seul groupe Orchestrator si vous devez les gérer ensemble.
-
Auditer l'accès à Orchestrator est simple. Après avoir configuré les autorisations dans tous les services Orchestrator utilisant des groupes Azure AD, vous utilisez vos processus de validation existants associés à l'appartenance au groupe Azure AD.
Remarque : Sur le modèle Azure AD, vous pouvez continuer à utiliser toutes les fonctionnalités du modèle par défaut. Mais pour maximiser les avantages, nous vous recommandons de vous fier exclusivement à la gestion de compte centralisée d'Azure AD.Si vous souhaitez utiliser Azure Active Directory comme fournisseur d'identité pour votre organisation, suivez les instructions de la section Configuration de l'intégration Azure AD.
Modèle SAML
Ce modèle vous permet de connecter Orchestrator au fournisseur d'identité (IdP) de votre choix afin que :
- vos utilisateurs peuvent bénéficier de l'authentification unique (SSO) et
- vous puissiez gérer des comptes existants à partir de votre répertoire dans Orchestrator, sans avoir à recréer des identités.
Orchestrator peut se connecter à n'importe quel fournisseur d'identité (IdP) externe qui utilise la norme SAML 2.0.
Bénéfices
Intégration automatique des utilisateurs à Orchestrator
Tous les utilisateurs de votre fournisseur d'identité externe sont autorisés à se connecter à Orchestrator avec des droits de base lorsque l'intégration SAML est active. Cela signifie que :
- Les utilisateurs peuvent se connecter à votre organisation Orchestrator par authentification unique à l'aide de leur compte d'entreprise existant, tel que défini dans l'IdP.
- Sans autre configuration, ils peuvent accéder à Orchestrator par défaut. Pour pouvoir travailler dans Orchestrator, les utilisateurs ont besoin de rôles et de licences, en fonction de leur rôle.
Si vous devez limiter l'accès à certains de vos utilisateurs uniquement, vous pouvez définir l'ensemble d'utilisateurs autorisés à accéder à Orchestrator dans votre fournisseur d'identité.
Gestion des utilisateurs
Vous pouvez ajouter des utilisateurs en les affectant directement aux groupes Orchestrator. Pour ce faire, il vous suffit de saisir leur adresse e-mail lors de l'ajout d'utilisateurs au groupe.
En règle générale, les administrateurs gèrent les comptes locaux à partir de Admin > organisation > Comptes et groupes > onglet Utilisateurs (Users). Mais les utilisateurs SAML sont des comptes de répertoire dans Orchestrator, ils ne sont donc pas visibles sur cette page.
Une fois qu'un utilisateur a été ajouté à un groupe ou qu'il s'est connecté au moins une fois (ce qui l'ajoute automatiquement au groupe Everyone), il peut être recherché dans tous les services d'Orchestrator pour une attribution directe de rôle ou de licence.
Mappage des attributs
Si vous utilisez UiPath Automation Hub, vous pouvez définir un mappage personnalisé des attributs pour propager les attributs de votre fournisseur d'identité dans Orchestrator. Par exemple, lorsqu'un compte est ajouté pour la première fois à Automation Hub, le prénom, le nom, l'adresse e-mail, l'intitulé de poste et le service de l'utilisateur sont déjà renseignés.
Configuration
Les Administrators peuvent configurer et activer l'intégration SAML pour l'ensemble de votre organisation depuis Admin > Paramètres de sécurité (Security Settings) > Paramètres d'authentification (Authentification Settings).
Pour obtenir des instructions, consultez Configurer l'intégration SAML (Configuring the SAML integration).
Transition de l'intégration Azure AD vers l'intégration SAML
Après le passage à l'intégration SAML, l'intégration Azure AD est désactivée. Les attributions de groupe Azure AD ne s'appliquent plus, l'appartenance au groupe Orchestrator et les autorisations héritées d'Azure AD ne sont donc plus respectées.
L'authentification de base fait référence à la connexion avec le nom d'utilisateur et le mot de passe d'un compte local.
Si l'authentification de base est restreinte, vos utilisateurs ne peuvent se connecter qu'avec leur compte d'annuaire, tel que défini dans le fournisseur d'identité externe. Sinon, les utilisateurs peuvent se connecter à la fois avec leurs comptes locaux, le cas échéant, et leurs comptes de répertoire.
Voir également Niveaux de configuration et héritage (Configuration levels and inheritance) pour plus d'informations sur ce paramètre.
Définition de l'authentification de base au niveau de l'organisation
Lorsqu'il est défini au niveau de l'organisation, le paramètre s'applique à tous les comptes de l'organisation.
Pour les exceptions, l'authentification de base peut également être définie au niveau du compte auquel vous souhaitez que ce paramètre s'applique différemment.
Pour autoriser ou restreindre l'authentification de base pour votre organisation :
Pour configurer les options de sécurité pour votre organisation, accédez à Admin > Comptes et groupes (Accounts and Groups) > Paramètres d'authentification (Authentication Settings) et modifiez les options selon vos besoins.
Champ |
Description |
---|---|
Caractères spéciaux |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère spécial dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
Caractères minuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en minuscule dans leur mot de passe. Cette case est cochée par défaut. |
Caractères majuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en majuscule dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
Chiffres |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un chiffre dans leur mot de passe. Cette case est cochée par défaut. |
Longueur minimale du mot de passe |
Spécifiez le nombre minimum de caractères qu'un mot de passe doit contenir. Celui-ci est fixé à 8 par défaut. Il ne peut être inférieur à 6, ni supérieur à 14. |
Jours avant l'expiration du mot de passe |
Spécifiez le nombre de jours pendant lesquels le mot de passe est disponible. Après cette période, le mot de passe expire et doit être modifié. La valeur minimale acceptée est de 0 (le mot de passe n’expire jamais), et la valeur maximale est de 120 jours. |
Nombre de réutilisations d'un mot de passe |
La valeur minimale acceptée est de 0 (ne jamais autoriser la réutilisation d'un mot de passe), tandis que la valeur maximale est de 10. |
Modifier le mot de passe lors de la première connexion |
Si défini sur Requis (Required), les utilisateurs qui se connectent pour la première fois doivent modifier leur mot de passe avant d'être autorisés à accéder à Orchestrator. S'il est défini sur Non requis, les utilisateurs peuvent se connecter et continuer à utiliser le mot de passe défini par l'administrateur jusqu'à son expiration. |
Champ |
Description |
---|---|
BasculeActivé ou Désactivé |
Si cette option est activée, elle verrouille le compte pendant un nombre spécifique de secondes après un nombre spécifique de tentatives de connexion infructueuses. Cela s'applique également à la fonctionnalité de modification du mot de passe. |
Durée du verrouillage du compte |
Le nombre de secondes qu'un utilisateur doit attendre avant d'être autorisé à se connecter à nouveau après avoir dépassé le nombre de Tentatives de connexion consécutives avant verrouillage. La valeur par défaut est de 5 minutes. La valeur minimale acceptée est de 0 (aucune durée de verrouillage) et la valeur maximale est de 2592 000 (1 mois). |
Tentatives de connexion consécutives avant verrouillage |
Le nombre de tentatives de connexion avortées autorisé avant que le compte ne soit verrouillé. La valeur par défaut est de 10 tentatives. Vous pouvez définir une valeur entre 2 et 10. |