- Erste Schritte
- Best Practices
- Organisationsmodellierung im Orchestrator
- Verwalten großer Bereitstellungen
- Beste Praktiken für die Automatisierung (Automation Best Practices)
- Optimieren von Unattended-Infrastruktur mithilfe von Maschinenvorlagen
- Organisieren von Ressourcen mit Tags
- Schreibgeschütztes Orchestrator-Replikat
- Exportieren von Rastern im Hintergrund
- Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Verwaltung von Robotern
- Verbindung von Robotern mit Orchestrator
- Speicherung von Roboterzugangsdaten in CyberArk
- Speichern von Unattended-Roboterkennwörtern in Azure Key Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im HashiCorp Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im AWS Secrets Manager (schreibgeschützt)
- Löschen von getrennten und nicht reagierenden Unattended-Sitzungen
- Roboter-Authentifizierung
- Roboter-Authentifizierung mit Client-Anmeldeinformationen
- Zuweisen von Rollen
- Verwaltung von Rollen
- Standardrollen
- Konfigurieren des Zugriffs für Konten
- Aktivieren von Benutzern zum Ausführen persönlicher Automatisierungen
- Ermöglichen der Ausführung von Automatisierungen für Benutzer in einer Unattended-Infrastruktur über Unattended-Roboter
- Konfigurieren von Roboterkonten zum Ausführen von Unattended-Automatisierungen
- Audit
- Ressourcenkatalogdienst
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Hostverwaltung
- Identity Server
- Authentication
- Organisationsadministration
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Fehlersuche und ‑behebung
Überschreiben von Authentifizierung und Sicherheit
Als Administrator können Sie die Authentifizierung und die damit verbundenen Sicherheitseinstellungen für Ihre Organisation festlegen. Einige Einstellungen werden von der Hostebene übernommen; Sie können sie aber überschreiben, wenn für Ihre Organisation andere Einstellungen gelten sollen.
Die Auswahl des Identitätsanbieters für Ihre Organisation (Administrator > Benutzer und Gruppen > Authentifizierungseinstellungen) wirkt sich auf die Art und Weise aus, wie Benutzer- und Gruppenkonten im Orchestrator erstellt und verwaltet werden.
Azure Active Directory-Modell
Die Integration mit dem Azure Active Directory (Azure AD) kann eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation bieten und ermöglicht die Compliance für alle internen Anwendungen, die von Ihren Mitarbeitern genutzt werden. Wenn Ihre Organisation Azure AD oder Office 365 verwendet, können Sie Ihre Orchestrator-Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen von Azure AD sind für jeden Orchestrator-Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Azure AD-Benutzer in das Organisationsverzeichnis des Orchestrator eingeladen und verwaltet werden müssen.
- Sie können das einmalige Anmelden für Benutzer bereitstellen, deren Unternehmensbenutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit UiPath-Benutzerkonten werden automatisch zu ihrem verbundenen Azure AD-Konto migriert.
Vereinfachte Anmeldung
-
Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Orchestrator-Organisation zugreifen zu können, wie im Standardmodell. Sie melden sich mit ihrem Azure AD-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden.
Wenn der Benutzer bereits bei Azure AD oder Office 365 angemeldet ist, wird er automatisch angemeldet.
- UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Orchestrator-URL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Azure AD-Gruppen
- Mit Azure AD-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Umfang zu verwalten. Sie müssen keine Berechtigungen mehr in Orchestrator-Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Gruppe des Orchestrator kombinieren, wenn Sie sie zusammen verwalten müssen.
-
Es ist einfach, den Zugriff auf den Orchestrator zu prüfen. Nachdem Sie Berechtigungen in allen Orchestrator-Diensten mithilfe von Azure AD-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Azure AD-Gruppenmitgliedschaft in Verbindung stehen.
Hinweis: Bei Nutzung des Azure AD-Modells können Sie weiterhin alle Funktionen des Standard-Modells verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung von Azure AD zu verlassen.Wenn Sie das Azure Active Directory als Identitätsanbieter für Ihre Organisation verwenden möchten, befolgen Sie die Anweisungen unter Einrichten der Azure AD-Integration.
SAML-Modell
Mit diesem Modell können Sie den Orchestrator mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von der einmaligen Anmeldung (SSO) profitieren können und
- Sie bestehende Konten von Ihrem Verzeichnis im Orchestrator aus verwalten können, ohne Identitäten neu erstellen zu müssen.
Der Orchestrator kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet.
Vorteile
Automatisches Onboarding von Benutzern zum Orchestrator
Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich beim Orchestrator mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Dies bedeutet:
- Benutzer können sich bei Ihrer Orchestrator-Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einrichtung können sie standardmäßig auf den Orchestrator zugreifen. Um im Orchestrator arbeiten zu können, benötigen Benutzer Rollen und Lizenzen, die für ihre Rolle geeignet sind.
Wenn Sie den Zugriff auf einige Ihrer Benutzer einschränken müssen, können Sie die Gruppe der Benutzer, die auf Orchestrator zugreifen dürfen, in Ihrem Identitätsanbieter definieren.
Protokolle
Sie können Benutzer durch direkte Zuweisung zu Orchestrator-Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.
In der Regel verwalten Administratoren lokale Konten über die Registerkarte „Administrator“ > „Organisation“ > „Konten und Gruppen“ > „Benutzer“. SAML-Benutzer sind jedoch Verzeichniskonten im Orchestrator, sodass sie auf dieser Seite nicht sichtbar sind.
Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen Diensten des Orchestrators für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
Attributzuordnung
Beim Verwenden des UiPath Automation Hub können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter in den Orchestrator zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.
Einrichten
Administratoren können die SAML-Integration für Ihre gesamte Organisation über Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen konfigurieren und aktivieren.
Anweisungen finden Sie unter Konfigurieren der SAML-Integration.
Übergang von der Azure AD-Integration zur SAML-Integration
Nach dem Wechsel zur SAML-Integration ist die Azure AD-Integration deaktiviert. Die Gruppenzuweisungen von Azure AD gelten nicht mehr, so dass die Gruppenmitgliedschaft des Orchestrators und die von Azure AD geerbten Berechtigungen nicht mehr berücksichtigt werden.
Die Standardauthentifizierung bezieht sich auf die Anmeldung mit dem Benutzernamen und dem Kennwort eines lokalen Kontos.
Wenn die Standardauthentifizierung eingeschränkt ist, können sich Ihre Benutzer nur mit ihrem Verzeichniskonto anmelden, wie im externen Identitätsanbieter definiert. Andernfalls können sich Benutzer sowohl mit ihren lokalen Konten (sofern vorhanden) als auch mit ihren Verzeichniskonten anmelden.
Weitere Informationen zu dieser Einstellung finden Sie auch unter Konfigurationsstufen und Vererbung.
Festlegen der einfachen Authentifizierung auf Organisationsebene
Wenn sie auf Organisationsebene festgelegt ist, gilt die Einstellung für alle Konten in der Organisation.
Für Ausnahmen kann die einfache Authentifizierung auch auf Kontoebene festgelegt werden, bei der diese Einstellung anders angewendet werden soll.
So erlauben oder beschränken Sie die einfache Authentifizierung für Ihre Organisation:
Um Sicherheitsoptionen für Ihre Organisation zu konfigurieren, wechseln Sie zu Administrator > Konten und Gruppen > Authentifizierungseinstellungen und bearbeiten Sie die Optionen nach Bedarf.
|
Feld |
Beschreibung |
|---|---|
|
Sonderzeichen |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens ein Sonderzeichen in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen deaktiviert. |
|
Kleinbuchstaben |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens einen Kleinbuchstaben in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen aktiviert. |
|
Großbuchstaben |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens einen Großbuchstaben in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen deaktiviert. |
|
Ziffern |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens eine Ziffer in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen aktiviert. |
|
Mindestlänge des Kennworts |
Geben Sie die Mindestanzahl von Zeichen an, die ein Kennwort enthalten soll. Standardmäßig sind es 8 Zeichen. Es können nicht weniger als 6 bzw. mehr als 14 Zeichen sein |
|
Tage vor Ablauf des Kennworts |
Geben Sie die Anzahl der Tage an, für die das Kennwort verfügbar ist. Nach diesem Zeitraum läuft das Kennwort ab und muss geändert werden. Der akzeptierte Mindestwert ist 0 (das Kennwort läuft nie ab), das Maximum beträgt 120 Tage. |
|
Wie oft ein Kennwort wiederverwendet werden kann |
Der akzeptierte Mindestwert ist 0 (keine Wiederverwendung eines Kennworts zulassen), während der Höchstwert 10 ist. |
|
Kennwort bei der ersten Anmeldung ändern |
Wenn Erforderlich festgelegt ist, müssen Benutzer, die sich zum ersten Mal anmelden, ihr Kennwort ändern, bevor sie auf den Orchestrator zugreifen können. Wenn Nicht erforderlichfestgelegt ist, können sich Benutzer anmelden und das vom Administrator definierte Kennwort weiterhin verwenden, bis es abläuft. |
|
Feld |
Beschreibung |
|---|---|
|
Umschalter „Aktiviert“ oder „ Deaktiviert “ |
Wenn diese Option aktiviert ist, wird das Konto nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche für eine bestimmte Anzahl von Sekunden gesperrt. Dies gilt auch für die Funktion zur Kennwortänderung. |
|
Dauer der Kontosperrung |
Die Anzahl der Sekunden, die ein Benutzer warten muss, bevor er sich erneut anmelden darf, nachdem er die Anzahl der aufeinanderfolgenden Anmeldeversuche vor der Sperrungüberschritten hat. Der Standardwert ist 5 Minuten. Der akzeptierte Mindestwert ist 0 (keine Sperrdauer) und der Höchstwert 2592000 (1 Monat). |
|
Aufeinanderfolgende Anmeldeversuche vor der Sperrung |
Die Anzahl der fehlgeschlagenen Anmeldeversuche, die erlaubt sind, bevor das Konto gesperrt wird. Der Standardwert beträgt 10 Versuche. Sie können einen Wert zwischen 2 und 10 festlegen. |
