- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Migrer de Test Suite vers Test Cloud
- Migration de licence
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Test dans votre organisation
- Résolution des problèmes
- Migrer vers Test Cloud
Guide de l'administrateur de Test Cloud
Applications OAuth
Les applications OAuth externes existent en dehors de la plate-forme UiPath® et s'intègrent à elle pour étendre ses capacités. Les applications externes peuvent accéder en toute sécurité à vos ressources UiPath sans vous obliger à partager vos informations d'identification, via l'infrastructure OAuth qui permet de déléguer l'autorisation à ces entités externes.
En enregistrant des applications externes auprès d’UiPath, elles peuvent effectuer des appels d’API pour accéder aux ressources UiPath.
Types d'applications
UiPath classe les applications externes OAuth en deux catégories principales : confidentielles et non confidentielles. Le type d'application détermine son flux d'authentification, le niveau d'accès aux ressources et la façon dont elle communique avec l'Identity Server d'UiPath.
- Applications confidentielles avec étendues d’application : les applications confidentielles avec des étendues d’application sont destinées à être utilisées dans les cas où l’application peut stocker en toute sécurité des informations d’identification. Par exemple, un programme qui stocke le mot de passe dans un coffre.
- Applications confidentielles avec étendues d'utilisateur: les applications confidentielles avec des étendues d'utilisateur sont destinées à être utilisées dans les cas où l'application peut stocker en toute sécurité des informations d'identification et agir au nom d'un utilisateur. Par exemple une application CRM qui crée des éléments de file d'attente dans Orchestrator. Il le fait au nom de l'utilisateur, mais il stocke également les informations d'identification qu'il utilise dans une base de données.
- Applications non confidentielles avec des étendues d’utilisateur: les applications non confidentielles ne reposent pas sur des informations d’identification stockées en toute sécurité. Au lieu de cela, elles reposent sur l'authentification de l'utilisateur auprès d'une application et la délégation de l'accès à l'application via des informations d'identification temporaires. Les informations d'identification sont de courte durée et l'utilisateur peut avoir à réauthentifier l'application périodiquement. Cette option est préférable pour les automatisations Attended ou les automatisations où un utilisateur est disponible pour s'authentifier à nouveau l'application. Par exemple, un utilisateur dispose d'une automatisation Attended qui exécute une automatisation à l'aide d'activités O365 pour accéder à SharePoint. La première fois qu'il s'exécute, il invite l'utilisateur à autoriser l'application (l'automatisation). Période à l'expiration des informations d'identification, l'utilisateur peut devoir autoriser à nouveau l'application après l'expiration des informations d'identification.
Étendues
Lorsqu'une application externe est configurée pour s'intégrer à UiPath, des autorisations et un accès spécifiques lui sont attribués, appelés « étendues ». Fondamentalement, les étendues définissent ce qu'une application peut et ne peut pas faire ou accéder dans UiPath.
Lorsque vous accordez l'accès à des applications externes, fournissez toujours les autorisations minimales nécessaires au fonctionnement de l'application. Cette mesure permet de limiter les pertes potentielles en rendant moins probable l’accès non autorisé.
Au niveau de l'organisation, une étendue est définie au format Service.Resource.Accesslevel ou Service.Resource. Par exemple, avec OR.Machines.Read, l'application externe dispose d'un accès en lecture aux machines dans Orchestrator dans tous les dossiers et locataires de l'organisation, avec OR.Machines l'application externe dispose d'un accès en lecture et en écriture à tous les dossiers et locataires de l'organisation.
Pour les applications confidentielles, UiPath permet l'attribution d'étendues affinées qui s'appliquent spécifiquement aux ressources d'Orchestrator. Ces autorisations spécifiques permettent à un administrateur de contrôler et de personnaliser l'accès jusqu'au niveau du dossier du locataire.
L'affectation affinée se produit lorsque l'administrateur d'une organisation affecte l'application confidentielle externe à un locataire spécifique ou à un dossier dans Orchestrator et l'associe à un rôle particulier.
Les étendues sont soit adaptées à un utilisateur (étendue de l'utilisateur), soit à l'application elle-même (étendue de l'application).
- Les étendues d'application accordent à l'application une identité propre, dans laquelle elle exécute des fonctions en tant qu'entité autonome.
- Dans les étendues des utilisateurs, l'application exécute des fonctions pour le compte d'un utilisateur authentifié et les actions sont donc limitées par les autorisations de l'utilisateur. Par exemple, l'application ne peut accéder qu'aux ressources auxquelles l'utilisateur est autorisé à accéder.
Implémentation
Le processus d'utilisation des applications externes UiPath couvre différentes étapes, de la création et la configuration par un administrateur à son intégration et son utilisation par un développeur.
A. Création et configuration par l’administrateur
-
Enregistrement d'application externe: la première étape consiste à ajouter une application externe à l'organisation. L'administrateur définit des détails tels que le nom, l'URL de redirection et sélectionne le type d'application approprié. Une fois l'application avec ses étendues créée au niveau de l'administrateur, elle obtient ces autorisations au niveau de l'organisation. L'administrateur peut configurer des autorisations affinées pour les applications confidentielles en leur attribuant un rôle au niveau du locataire et du dossier dans Orchestrator.
-
Affectation de l'utilisateur: dans le cas d'applications non confidentielles ou confidentielles avec des étendues d'utilisateur, l'administrateur doit s'assurer que les utilisateurs qui doivent utiliser l'application ont accès au système, en attribuant à l'utilisateur un rôle au niveau de l'organisation, du locataire ou du dossier .
-
Stockage des détails de l'application: après avoir terminé la configuration, l'administrateur récupère les détails de l'application, tels que l'ID de l'application. Pour les applications confidentielles, une clé secrète d'application est également générée. L'administrateur stocke ces informations en toute sécurité et les partage ultérieurement avec les développeurs.
B. Intégration et utilisation par le développeur
-
Authentification et autorisation: le développeur utilise l'ID d'application fourni par l'administrateur pour lancer une demande de jeton d'accès OAuth 2.0 à UiPath Identity Server. Ce faisant, le développeur inclut les étendues nécessaires dans la requête. Le flux OAuth 2.0 est réussi lorsque le serveur valide l'ID de l'application, sa clé secrète (pour les applications confidentielles) et approuve les étendues spécifiées.
Remarque :Pour les applications externes avec des étendues d'utilisateurs, la validation de l'identité de l'utilisateur a également lieu. Il s'agit d'une couche de sécurité supplémentaire garantissant que les requêtes proviennent réellement d'utilisateurs authentifiés et autorisés.
-
Génération de jeton d'accès : une fois que le serveur authentifie avec succès l'application et les étendues, il renvoie un jeton d'accès au développeur. Ce jeton d'accès représente l'autorisation de l'application à accéder aux étendues spécifiées.
-
Intégration de l'application externe : le développeur utilise le jeton d'accès reçu dans l'en-tête des appels d'API effectués vers UiPath. Cela accorde le niveau d’accès spécifié aux ressources demandées, intégrant ainsi l’application externe aux ressources UiPath.
Pour de plus amples informations sur l'authentification et l'autorisation d'applications externes en tant que développeur, consultez la section Apps externes du guide de l'API.