- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Migrer de Test Suite vers Test Cloud
- Migration de licence
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Exporter des données
- Test dans votre organisation
- Résolution des problèmes
- Migrer vers Test Cloud
Aperçu public: SCIM User Sync est en aperçu public.
Cette fonctionnalité est disponible avec le plan de licence Entreprise.
La disponibilité des fonctionnalités dépend de l'offre Cloud que vous utilisez. Pour de plus amples informations, consultez la page Disponibilité des fonctionnalités.
L'intégration du répertoire SCIM permet aux entreprises de synchroniser en toute sécurité les identités des utilisateurs et les événements du cycle de vie entre UiPath et leurs fournisseurs d'identité d'entreprise.
S’appuyant sur les intégrations Microsoft Entra ID et l’authentification unique basées sur le langage de SAML, SCIM User Sync automatise la création, les mises à jour et le désenregistrement des utilisateurs, éliminant la gestion manuelle des identités tout en maintenant le contrôle centralisé.
Capacités clés
Gestion automatisée du cycle de vie des utilisateurs
Synchronise la création, les mises à jour et la suppression d'utilisateurs entre votre IdP et UiPath.
Synchronisation des attributs utilisateur
Les attributs utilisateur — nom, adresse e-mail, intitulé de poste, service et autres attributs — sont automatiquement mis à jour selon les instructions du répertoire source SCIM. Les modifications sont prises en compte dans UiPath sans nécessiter de reconnexion.
Annulation de l'enregistrement et mise en conformité
Assure le contrôle des accès sécurisés et publie les attributions de licences lorsque les employés quittent l’organisation, ce qui vous aide à vous conformer aux exigences de conservation des données et d’audit.
Fournisseurs d’identité pris en charge
- Microsoft Entra ID (Azure AD)
- Okta
Opérations SCIM prises en charge
| Ressource | Opérations | Description |
|---|---|---|
| Utilisateurs | GET, POST, PUT, PATCH, DELETE | Récupérer, créer, modifier ou désactiver des utilisateurs |
| Groupes | Non pris en charge | Les groupes et les appartenances aux groupes ne sont pas synchronisés via SCIM |
Processus de synchronisation des utilisateurs SCIM uniquement - les groupes et les appartenances aux groupes ne sont pas synchronisés. Pour connaître le comportement de l'accès basé sur les groupes sous chaque méthode d'authentification unique, consultez la section Comparaison des fonctionnalités par méthode d'authentification unique .
Le serveur SCIM 2.0 expose également les points de terminaison de découverte de service standard sous votre URL de base SCIM (l' URL SCIM de la configuration, par exemple https://cloud.uipath.com/{orgId}/identity_/api/scim/v2):
.../ServiceProviderConfig.../ResourceTypes.../Schemas
Ces points de terminaison acceptent les demandes authentifiées avec votre jeton d’autorisation SCIM et renvoient les fonctionnalités du serveur, les types de ressources et les schémas pris en charge.
Gestion du cycle de vie des utilisateurs
SCIM gère les événements de cycle de vie suivants:
- Enregistrement: lorsqu'un utilisateur est affecté dans le répertoire source, l'IdP le transmet à UiPath.
- Mise à jour: lorsque les attributs d'un utilisateur changent dans le répertoire source, l'IdP transmet les mises à jour à UiPath.
- Annulation de l'enregistrement:
- Désactiver: lorsqu’un utilisateur est désactivé ou désaffecté dans le répertoire source, UiPath le marque comme désactivé.
- Supprimer: lorsqu'un utilisateur est supprimé du répertoire source, UiPath supprime l'utilisateur.
- Réactivation: lorsqu'un utilisateur est réactivé dans le répertoire source, UiPath le réactive. Les licences doivent être réattribuées après leur réactivation.
La table suivante décrit comment chaque événement de cycle de vie affecte UiPath:
| Créer (Create) | Mettre à jour (Update) | Désactiver | Supprimer (Delete) | |
|---|---|---|---|---|
| Administrateur — Gestion des utilisateurs et des groupes | L’utilisateur devient disponible pour interroger et attribuer des groupes, des rôles et des autorisations. | Les attributs utilisateur sont mis à jour. | L’ensemble des rôles et autorisations est conservé. | Tous les enregistrements de l’utilisateur sont supprimés. |
| Gestion des licences | — | — | La licence de l'utilisateur est libérée et renvoyée à votre pool disponible. | La licence de l'utilisateur est libérée et renvoyée à votre pool disponible. |
| Services propriétaires (Orchestrator, Automation Hub, Task Mining) | — | — | L'utilisateur est marqué comme inactif; les artefacts qui y font référence affichent un indicateur inactif. | L'utilisateur est supprimé; les artefacts qui y font référence affichent un indicateur inactif. |
| Autres services | Version future | Version future | Version future | Version future |
Lorsqu'un utilisateur est désactivé ou désactivé dans votre fournisseur d'identité, et pas seulement lorsqu'il est supprimé, UiPath publie automatiquement sa licence et la renvoie à votre pool disponible pour la réattribution. Cela vous permet de récupérer les licences des utilisateurs au départ ou inactifs sans nettoyage manuel. Si l’utilisateur est réactivé ultérieurement, les licences doivent être réattribuées.
Méthodes d'autorisation
Les méthodes d'autorisation suivantes sont disponibles en fonction de votre fournisseur d'identité:
| Méthode d’autorisation | Entra ID | Okta |
|---|---|---|
| Jeton de porteur (longue durée) | Pris en charge | Pris en charge |
| Octroi de code d’autorisation OAuth | Non pris en charge | Pris en charge |
| Octroi d’informations d’identification du client OAuth | Pris en charge | Non pris en charge |
Comportement du répertoire avec SCIM activé
Lorsque SCIM est activé, UiPath source les utilisateurs de l'annuaire exclusivement à partir des utilisateurs enregistrés via SCIM. Seuls les utilisateurs enregistrés SCIM sont renvoyés partout où les utilisateurs de l'annuaire sont recherchés ou interrogés, y compris lorsque vous recherchez des utilisateurs dans le portail d'administration UiPath et via l'API d'annuaire. Cela s’applique aux intégrations Microsoft Entra ID et SAML:
- Microsoft Entra ID: UiPath n'appelle pas l'API Microsoft Graph pour récupérer les utilisateurs, les utilisateurs sont servis à partir du répertoire enregistré pour SCIM. (La recherche de groupe utilise toujours un appel d'API Graph en temps réel.)
- SAML: les utilisateurs qui n’ont pas été enregistrés via SCIM sont filtrés des résultats du répertoire.
L’ensemble d’utilisateurs qui peuvent se connecter doit être exactement le même que l’ensemble d’utilisateurs enregistrés via SCIM. Étant donné que les requêtes d'annuaire renvoient uniquement les utilisateurs enregistrés par SCIM, un utilisateur qui peut s'authentifier mais n'a pas été enregistré via SCIM ne peut pas être trouvé, les autorisations attribuées ou autrement gérées dans UiPath. Les utilisateurs affectés à votre application SSO et à votre application SCIM doivent être identiques.
Comparaison des fonctionnalités par méthode SSO
La table suivante compare le comportement de SCIM User Sync en fonction de la méthode SSO configurée pour votre organisation:
| SSO + SCIM | SAML SSO + SCIM | |
|---|---|---|
| Comment les utilisateurs de l'annuaire sont-ils connectés? | Authentification unique à l’aide du protocole OpenID Connect via l’URL spécifique à l’organisation. | Authentification unique à l’aide du protocole SAML 2.0 via l’URL spécifique à l’organisation. |
| Comment et quand les utilisateurs de l'annuaire sont-ils enregistrés? | Les utilisateurs sont enregistrés depuis le répertoire source SCIM vers UiPath lors de la configuration; les mises à jour suivantes sont transmises de manière asynchrone. | Les utilisateurs sont enregistrés depuis le répertoire source SCIM vers UiPath lors de la configuration; les mises à jour suivantes sont transmises de manière asynchrone. |
| Comment et quand les attributs des utilisateurs de l'annuaire sont-ils mis à jour? | Les attributs utilisateur sont mis à jour dans UiPath de manière asynchrone, conformément aux instructions du répertoire source SCIM. | Les attributs utilisateur sont mis à jour dans UiPath de manière asynchrone, conformément aux instructions du répertoire source SCIM. |
| Comment et quand les utilisateurs de l'annuaire sont-ils retirés ou désactivés? | Les utilisateurs sont retirés ou désactivés dans UiPath de manière asynchrone, comme indiqué par le répertoire source SCIM. | Les utilisateurs sont retirés ou désactivés dans UiPath de manière asynchrone, comme indiqué par le répertoire source SCIM. |
| Comment et quand les groupes de répertoires sont-ils enregistrés? | Les groupes de répertoires ne sont pas enregistrés via SCIM, mais sont matérialisés dans un répertoire mis en cache lors de l’attribution de l’autorisation ou du rôle dans UiPath. | Les groupes de répertoire ne sont pas enregistrés via SCIM. |
| Comment l'appartenance à un groupe de répertoires est-elle évaluée? | L'appartenance à un groupe est évaluée via un appel API Microsoft Graph en temps réel. | L’appartenance à un groupe n’est pas évaluée via SCIM. Les règles d'enregistrement « juste à temps» peuvent placer les utilisateurs dans des groupes UiPath locaux basés sur des revendications SAML. |
| Comment les utilisateurs de l’annuaire sont-ils recherchés et attribués? | Un appel est effectué vers le répertoire mis en cache d’UiPath d’utilisateurs enregistrés pour SCIM. Vous devez être connecté à l’aide de l’authentification unique d’entreprise pour interroger les utilisateurs du répertoire. | Un appel est effectué vers le répertoire mis en cache d’UiPath d’utilisateurs enregistrés pour SCIM. Vous devez être connecté à l’aide de l’authentification unique d’entreprise pour interroger les utilisateurs du répertoire. |
| Comment les groupes de répertoires sont-ils recherchés et les autorisations attribuées? | Un appel est effectué vers le répertoire d’UiPath pour les utilisateurs locaux et vers Entra ID pour les groupes de répertoires via un appel API Microsoft Graph en temps réel. | Les groupes de l’annuaire ne peuvent pas être interrogés. Les règles d'enregistrement JIT peuvent être configurées pour placer automatiquement les utilisateurs dans des groupes UiPath locaux. |
Mappage des attributs
Le tableau suivant montre comment les attributs SCIM correspondent aux attributs utilisateur UiPath. Votre fournisseur d’identité envoie l’ attribut SCIM; UiPath le stocke comme l' attribut utilisateur UiPath.
| Attribut SCIM | Attribut d’utilisateur UiPath | Requis |
|---|---|---|
externalId | Identifiant de répertoire utilisé pour faire correspondre et lier l’utilisateur | Oui (Yes) |
userName | Nom d'utilisateur (Username) | Oui (Yes) |
displayName | Nom affiché | Oui (Yes) |
emails[type eq "work"].value | E-mail (Email) | |
name.givenName | Prénom | |
name.familyName | Nom de famille | |
title | Intitulé de poste | |
addresses[type eq "work"].locality | Ville | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | Department | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | Nom de la société |
externalId est la façon dont UiPath identifie et lie chaque utilisateur enregistré, il doit donc être stable et unique - il est stocké en tant qu'ID de répertoire de l'utilisateur. Okta remplit automatiquement externalId ; dans Microsoft Entra ID, vous devez le mapper explicitement (généralement à l’ID de l’objet de l’utilisateur) dans les mappages d’attributs SCIM.
Les mappages d’attributs de votre fournisseur d’identité doivent inclure ces champs obligatoires avant que l’enregistrement SCIM ne soit activé.
Les attributs envoyés par votre fournisseur d’identité doivent correspondre aux attributs SCIM attendus par UiPath, comme dans le tableau de mappage des attributs précédent. Lorsque l'authentification unique SAML est utilisée, les mappages d'attributs SAML doivent produire ces valeurs - en particulier, le userName envoyé via SCIM doit correspondre à l'identifiant utilisé dans l'assertion SAML, de sorte qu'un utilisateur enregistré et sa connexion SSO se résolvent vers le même UiPath utilisateur.
Limitations
- Utilisateurs obsolètes: les utilisateurs inactifs existants ne sont pas automatiquement supprimés. Une mise à jour future fournira des outils pour nettoyer les utilisateurs inactifs.
- Synchronisation du groupe et des appartenances au groupe: non prise en charge.
- Ensembles d’utilisateurs cohérents: l’ensemble d’utilisateurs configuré pour l’authentification unique doit correspondre à l’ensemble d’utilisateurs configuré pour la synchronisation SCIM.
Limites de débit
Le débit des requêtes SCIM est limité par organisation:
| Type de requête | Limite |
|---|---|
Lire les requêtes (GET) | 300 requêtes par 5 minutes |
Écrire des requêtes (POST, PUT, PATCH, DELETE) | 160 requêtes par 5 minutes |
Les requêtes qui dépassent ces limites reçoivent une réponse HTTP 429 Too Many Requests . Les connecteurs du fournisseur d'identité se désactivent automatiquement et réessaient les requêtes limitées, de sorte que l'enregistrement se poursuit sans intervention manuelle.
Guides de configuration
L’authentification unique doit être configurée pour votre fournisseur d’identité avant que SCIM User Sync puisse être activé. Les guides de configuration sont disponibles pour:
- Capacités clés
- Fournisseurs d’identité pris en charge
- Opérations SCIM prises en charge
- Gestion du cycle de vie des utilisateurs
- Méthodes d'autorisation
- Comportement du répertoire avec SCIM activé
- Comparaison des fonctionnalités par méthode SSO
- Mappage des attributs
- Limitations
- Limites de débit
- Guides de configuration