UiPath Documentation
test-cloud
latest
false
Guide de l'administrateur de Test Cloud
Important :
La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.

Synchronisation des utilisateurs SCIM

Remarque :

Aperçu public: SCIM User Sync est en aperçu public.

Enterprise Cette fonctionnalité est disponible avec le plan de licence Entreprise.

Remarque :

La disponibilité des fonctionnalités dépend de l'offre Cloud que vous utilisez. Pour de plus amples informations, consultez la page Disponibilité des fonctionnalités.

L'intégration du répertoire SCIM permet aux entreprises de synchroniser en toute sécurité les identités des utilisateurs et les événements du cycle de vie entre UiPath et leurs fournisseurs d'identité d'entreprise.

S’appuyant sur les intégrations Microsoft Entra ID et l’authentification unique basées sur le langage de SAML, SCIM User Sync automatise la création, les mises à jour et le désenregistrement des utilisateurs, éliminant la gestion manuelle des identités tout en maintenant le contrôle centralisé.

Capacités clés

Gestion automatisée du cycle de vie des utilisateurs

Synchronise la création, les mises à jour et la suppression d'utilisateurs entre votre IdP et UiPath.

Synchronisation des attributs utilisateur

Les attributs utilisateur — nom, adresse e-mail, intitulé de poste, service et autres attributs — sont automatiquement mis à jour selon les instructions du répertoire source SCIM. Les modifications sont prises en compte dans UiPath sans nécessiter de reconnexion.

Annulation de l'enregistrement et mise en conformité

Assure le contrôle des accès sécurisés et publie les attributions de licences lorsque les employés quittent l’organisation, ce qui vous aide à vous conformer aux exigences de conservation des données et d’audit.

Fournisseurs d’identité pris en charge

  • Microsoft Entra ID (Azure AD)
  • Okta

Opérations SCIM prises en charge

RessourceOpérationsDescription
UtilisateursGET, POST, PUT, PATCH, DELETERécupérer, créer, modifier ou désactiver des utilisateurs
GroupesNon pris en chargeLes groupes et les appartenances aux groupes ne sont pas synchronisés via SCIM

Processus de synchronisation des utilisateurs SCIM uniquement - les groupes et les appartenances aux groupes ne sont pas synchronisés. Pour connaître le comportement de l'accès basé sur les groupes sous chaque méthode d'authentification unique, consultez la section Comparaison des fonctionnalités par méthode d'authentification unique .

Le serveur SCIM 2.0 expose également les points de terminaison de découverte de service standard sous votre URL de base SCIM (l' URL SCIM de la configuration, par exemple https://cloud.uipath.com/{orgId}/identity_/api/scim/v2):

  • .../ServiceProviderConfig
  • .../ResourceTypes
  • .../Schemas

Ces points de terminaison acceptent les demandes authentifiées avec votre jeton d’autorisation SCIM et renvoient les fonctionnalités du serveur, les types de ressources et les schémas pris en charge.

Gestion du cycle de vie des utilisateurs

SCIM gère les événements de cycle de vie suivants:

  • Enregistrement: lorsqu'un utilisateur est affecté dans le répertoire source, l'IdP le transmet à UiPath.
  • Mise à jour: lorsque les attributs d'un utilisateur changent dans le répertoire source, l'IdP transmet les mises à jour à UiPath.
  • Annulation de l'enregistrement:
    • Désactiver: lorsqu’un utilisateur est désactivé ou désaffecté dans le répertoire source, UiPath le marque comme désactivé.
    • Supprimer: lorsqu'un utilisateur est supprimé du répertoire source, UiPath supprime l'utilisateur.
  • Réactivation: lorsqu'un utilisateur est réactivé dans le répertoire source, UiPath le réactive. Les licences doivent être réattribuées après leur réactivation.

La table suivante décrit comment chaque événement de cycle de vie affecte UiPath:

Créer (Create)Mettre à jour (Update)DésactiverSupprimer (Delete)
Administrateur — Gestion des utilisateurs et des groupesL’utilisateur devient disponible pour interroger et attribuer des groupes, des rôles et des autorisations.Les attributs utilisateur sont mis à jour.L’ensemble des rôles et autorisations est conservé.Tous les enregistrements de l’utilisateur sont supprimés.
Gestion des licencesLa licence de l'utilisateur est libérée et renvoyée à votre pool disponible.La licence de l'utilisateur est libérée et renvoyée à votre pool disponible.
Services propriétaires (Orchestrator, Automation Hub, Task Mining)L'utilisateur est marqué comme inactif; les artefacts qui y font référence affichent un indicateur inactif.L'utilisateur est supprimé; les artefacts qui y font référence affichent un indicateur inactif.
Autres servicesVersion futureVersion futureVersion futureVersion future
Remarque :

Lorsqu'un utilisateur est désactivé ou désactivé dans votre fournisseur d'identité, et pas seulement lorsqu'il est supprimé, UiPath publie automatiquement sa licence et la renvoie à votre pool disponible pour la réattribution. Cela vous permet de récupérer les licences des utilisateurs au départ ou inactifs sans nettoyage manuel. Si l’utilisateur est réactivé ultérieurement, les licences doivent être réattribuées.

Méthodes d'autorisation

Les méthodes d'autorisation suivantes sont disponibles en fonction de votre fournisseur d'identité:

Méthode d’autorisationEntra IDOkta
Jeton de porteur (longue durée)Pris en chargePris en charge
Octroi de code d’autorisation OAuthNon pris en chargePris en charge
Octroi d’informations d’identification du client OAuthPris en chargeNon pris en charge

Comportement du répertoire avec SCIM activé

Lorsque SCIM est activé, UiPath source les utilisateurs de l'annuaire exclusivement à partir des utilisateurs enregistrés via SCIM. Seuls les utilisateurs enregistrés SCIM sont renvoyés partout où les utilisateurs de l'annuaire sont recherchés ou interrogés, y compris lorsque vous recherchez des utilisateurs dans le portail d'administration UiPath et via l'API d'annuaire. Cela s’applique aux intégrations Microsoft Entra ID et SAML:

  • Microsoft Entra ID: UiPath n'appelle pas l'API Microsoft Graph pour récupérer les utilisateurs, les utilisateurs sont servis à partir du répertoire enregistré pour SCIM. (La recherche de groupe utilise toujours un appel d'API Graph en temps réel.)
  • SAML: les utilisateurs qui n’ont pas été enregistrés via SCIM sont filtrés des résultats du répertoire.
Important :

L’ensemble d’utilisateurs qui peuvent se connecter doit être exactement le même que l’ensemble d’utilisateurs enregistrés via SCIM. Étant donné que les requêtes d'annuaire renvoient uniquement les utilisateurs enregistrés par SCIM, un utilisateur qui peut s'authentifier mais n'a pas été enregistré via SCIM ne peut pas être trouvé, les autorisations attribuées ou autrement gérées dans UiPath. Les utilisateurs affectés à votre application SSO et à votre application SCIM doivent être identiques.

Comparaison des fonctionnalités par méthode SSO

La table suivante compare le comportement de SCIM User Sync en fonction de la méthode SSO configurée pour votre organisation:

SSO + SCIMSAML SSO + SCIM
Comment les utilisateurs de l'annuaire sont-ils connectés?Authentification unique à l’aide du protocole OpenID Connect via l’URL spécifique à l’organisation.Authentification unique à l’aide du protocole SAML 2.0 via l’URL spécifique à l’organisation.
Comment et quand les utilisateurs de l'annuaire sont-ils enregistrés?Les utilisateurs sont enregistrés depuis le répertoire source SCIM vers UiPath lors de la configuration; les mises à jour suivantes sont transmises de manière asynchrone.Les utilisateurs sont enregistrés depuis le répertoire source SCIM vers UiPath lors de la configuration; les mises à jour suivantes sont transmises de manière asynchrone.
Comment et quand les attributs des utilisateurs de l'annuaire sont-ils mis à jour?Les attributs utilisateur sont mis à jour dans UiPath de manière asynchrone, conformément aux instructions du répertoire source SCIM.Les attributs utilisateur sont mis à jour dans UiPath de manière asynchrone, conformément aux instructions du répertoire source SCIM.
Comment et quand les utilisateurs de l'annuaire sont-ils retirés ou désactivés?Les utilisateurs sont retirés ou désactivés dans UiPath de manière asynchrone, comme indiqué par le répertoire source SCIM.Les utilisateurs sont retirés ou désactivés dans UiPath de manière asynchrone, comme indiqué par le répertoire source SCIM.
Comment et quand les groupes de répertoires sont-ils enregistrés?Les groupes de répertoires ne sont pas enregistrés via SCIM, mais sont matérialisés dans un répertoire mis en cache lors de l’attribution de l’autorisation ou du rôle dans UiPath.Les groupes de répertoire ne sont pas enregistrés via SCIM.
Comment l'appartenance à un groupe de répertoires est-elle évaluée?L'appartenance à un groupe est évaluée via un appel API Microsoft Graph en temps réel.L’appartenance à un groupe n’est pas évaluée via SCIM. Les règles d'enregistrement « juste à temps» peuvent placer les utilisateurs dans des groupes UiPath locaux basés sur des revendications SAML.
Comment les utilisateurs de l’annuaire sont-ils recherchés et attribués?Un appel est effectué vers le répertoire mis en cache d’UiPath d’utilisateurs enregistrés pour SCIM. Vous devez être connecté à l’aide de l’authentification unique d’entreprise pour interroger les utilisateurs du répertoire.Un appel est effectué vers le répertoire mis en cache d’UiPath d’utilisateurs enregistrés pour SCIM. Vous devez être connecté à l’aide de l’authentification unique d’entreprise pour interroger les utilisateurs du répertoire.
Comment les groupes de répertoires sont-ils recherchés et les autorisations attribuées?Un appel est effectué vers le répertoire d’UiPath pour les utilisateurs locaux et vers Entra ID pour les groupes de répertoires via un appel API Microsoft Graph en temps réel.Les groupes de l’annuaire ne peuvent pas être interrogés. Les règles d'enregistrement JIT peuvent être configurées pour placer automatiquement les utilisateurs dans des groupes UiPath locaux.

Mappage des attributs

Le tableau suivant montre comment les attributs SCIM correspondent aux attributs utilisateur UiPath. Votre fournisseur d’identité envoie l’ attribut SCIM; UiPath le stocke comme l' attribut utilisateur UiPath.

Attribut SCIMAttribut d’utilisateur UiPathRequis
externalIdIdentifiant de répertoire utilisé pour faire correspondre et lier l’utilisateurOui (Yes)
userNameNom d'utilisateur (Username)Oui (Yes)
displayNameNom affichéOui (Yes)
emails[type eq "work"].valueE-mail (Email)
name.givenNamePrénom
name.familyNameNom de famille
titleIntitulé de poste
addresses[type eq "work"].localityVille
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departmentDepartment
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organizationNom de la société
Remarque :

externalId est la façon dont UiPath identifie et lie chaque utilisateur enregistré, il doit donc être stable et unique - il est stocké en tant qu'ID de répertoire de l'utilisateur. Okta remplit automatiquement externalId ; dans Microsoft Entra ID, vous devez le mapper explicitement (généralement à l’ID de l’objet de l’utilisateur) dans les mappages d’attributs SCIM.

Les mappages d’attributs de votre fournisseur d’identité doivent inclure ces champs obligatoires avant que l’enregistrement SCIM ne soit activé.

Important :

Les attributs envoyés par votre fournisseur d’identité doivent correspondre aux attributs SCIM attendus par UiPath, comme dans le tableau de mappage des attributs précédent. Lorsque l'authentification unique SAML est utilisée, les mappages d'attributs SAML doivent produire ces valeurs - en particulier, le userName envoyé via SCIM doit correspondre à l'identifiant utilisé dans l'assertion SAML, de sorte qu'un utilisateur enregistré et sa connexion SSO se résolvent vers le même UiPath utilisateur.

Limitations

  • Utilisateurs obsolètes: les utilisateurs inactifs existants ne sont pas automatiquement supprimés. Une mise à jour future fournira des outils pour nettoyer les utilisateurs inactifs.
  • Synchronisation du groupe et des appartenances au groupe: non prise en charge.
  • Ensembles d’utilisateurs cohérents: l’ensemble d’utilisateurs configuré pour l’authentification unique doit correspondre à l’ensemble d’utilisateurs configuré pour la synchronisation SCIM.

Limites de débit

Le débit des requêtes SCIM est limité par organisation:

Type de requêteLimite
Lire les requêtes (GET)300 requêtes par 5 minutes
Écrire des requêtes (POST, PUT, PATCH, DELETE)160 requêtes par 5 minutes

Les requêtes qui dépassent ces limites reçoivent une réponse HTTP 429 Too Many Requests . Les connecteurs du fournisseur d'identité se désactivent automatiquement et réessaient les requêtes limitées, de sorte que l'enregistrement se poursuit sans intervention manuelle.

Guides de configuration

L’authentification unique doit être configurée pour votre fournisseur d’identité avant que SCIM User Sync puisse être activé. Les guides de configuration sont disponibles pour:

Cette page vous a-t-elle été utile ?

Connecter

Besoin d'aide ? Assistance

Vous souhaitez apprendre ? UiPath Academy

Vous avez des questions ? UiPath Forum

Rester à jour