Konfigurieren von Identitätsanbietern
Die Auswahl des Identitätsanbieters für Ihre Organisation (Administrator > Benutzer und Gruppen > Authentifizierungseinstellungen) wirkt sich auf die Art und Weise aus, wie Benutzer- und Gruppenkonten im Orchestrator erstellt und verwaltet werden.
Modelle
Azure Active Directory-Modell
Die Integration mit dem Azure Active Directory (Azure AD) kann eine skalierbare Benutzer- und Zugriffsverwaltung für Ihre Organisation bieten und ermöglicht die Compliance für alle internen Anwendungen, die von Ihren Mitarbeitern genutzt werden. Wenn Ihre Organisation Azure AD oder Office 365 verwendet, können Sie Ihre Orchestrator-Organisation direkt mit Ihrem Azure AD-Mandanten verbinden, um die folgenden Vorteile zu erhalten:
Automatisches Benutzer-Onboarding mit nahtloser Migration
- Alle Benutzer und Gruppen von Azure AD sind für jeden Orchestrator-Dienst zum Zuweisen von Berechtigungen verfügbar, ohne dass Azure AD-Benutzer in das Organisationsverzeichnis des Orchestrator eingeladen und verwaltet werden müssen.
- Sie können das einmalige Anmelden für Benutzer bereitstellen, deren Unternehmensbenutzername von ihrer E-Mail-Adresse abweicht, was mit dem einladungsbasierten Modell nicht möglich ist.
- Die Berechtigungen aller vorhandenen Benutzer mit UiPath-Benutzerkonten werden automatisch zu ihrem verbundenen Azure AD-Konto migriert.
Vereinfachte Anmeldung
- Benutzer müssen keine Einladung annehmen oder ein UiPath-Benutzerkonto erstellen, um auf die Orchestrator-Organisation zugreifen zu können, wie im Standardmodell. Sie melden sich mit ihrem Azure AD-Konto an, indem sie die Option „Enterprise SSO“ auswählen oder ihre organisationsspezifische URL verwenden.
Wenn der Benutzer bereits bei Azure AD oder Office 365 angemeldet ist, wird er automatisch angemeldet. - UiPath Assistant- und Studio-Versionen 20.10.3 und höher können für die Verwendung einer benutzerdefinierten Orchestrator-URL vorkonfiguriert werden, was dieselbe nahtlose Verbindung bietet.
Skalierbare Governance- und Zugriffsverwaltung mit vorhandenen Azure AD-Gruppen
- Mit Azure AD-Sicherheitsgruppen oder Office 365-Gruppen, auch Verzeichnisgruppen genannt, können Sie Ihre vorhandene Organisationsstruktur nutzen, um Berechtigungen in großem Umfang zu verwalten. Sie müssen keine Berechtigungen mehr in Orchestrator-Diensten für jeden einzelnen Benutzer konfigurieren.
- Sie können mehrere Verzeichnisgruppen in einer Gruppe des Orchestrator kombinieren, wenn Sie sie zusammen verwalten müssen.
- Es ist einfach, den Zugriff auf den Orchestrator zu prüfen. Nachdem Sie Berechtigungen in allen Orchestrator-Diensten mithilfe von Azure AD-Gruppen konfiguriert haben, verwenden Sie Ihre vorhandenen Validierungsprozesse, die mit einer Azure AD-Gruppenmitgliedschaft in Verbindung stehen.
Hinweis:
Bei Nutzung des Azure AD-Modells können Sie weiterhin alle Funktionen des Standard-Modells verwenden. Um die Vorteile zu maximieren, empfehlen wir jedoch, sich ausschließlich auf die zentralisierte Kontoverwaltung von Azure AD zu verlassen.
If you would like to use Azure Active Directory as the identity provider for your organization, follow the instructions in Setting up the Azure AD integration.
SAML-Modell
Mit diesem Modell können Sie den Orchestrator mit dem von Ihnen gewählten Identitätsanbieter (IdP) verbinden, sodass:
- Ihre Benutzer von der einmaligen Anmeldung (SSO) profitieren können und
- Sie bestehende Konten von Ihrem Verzeichnis im Orchestrator aus verwalten können, ohne Identitäten neu erstellen zu müssen.
Der Orchestrator kann sich mit jedem externen Identitätsanbieter verbinden, der den SAML 2.0 Standard verwendet.
Vorteile
Automatisches Onboarding von Benutzern zum Orchestrator
Alle Benutzer Ihres externen Identitätsanbieters sind berechtigt, sich beim Orchestrator mit grundlegenden Rechten anzumelden, wenn die SAML-Integration aktiv ist. Dies bedeutet:
- Benutzer können sich bei Ihrer Orchestrator-Organisation über SSO mit ihrem vorhandenen Firmenkonto anmelden, wie im IdP definiert.
- Ohne weitere Einrichtung können sie standardmäßig auf den Orchestrator zugreifen. Um im Orchestrator arbeiten zu können, benötigen Benutzer Rollen und Lizenzen, die für ihre Rolle geeignet sind.
Wenn Sie den Zugriff auf einige Ihrer Benutzer einschränken müssen, können Sie die Gruppe der Benutzer, die auf Orchestrator zugreifen dürfen, in Ihrem Identitätsanbieter definieren.
Protokolle
Sie können Benutzer durch direkte Zuweisung zu Orchestrator-Gruppen hinzufügen. Dazu müssen Sie nur die E-Mail-Adresse der Benutzer eingeben, wenn Sie sie der Gruppe hinzufügen.
In der Regel verwalten Administratoren lokale Konten über die Registerkarte „Administrator“ > „Organisation“ > „Konten und Gruppen“ > „Benutzer“. SAML-Benutzer sind jedoch Verzeichniskonten im Orchestrator, sodass sie auf dieser Seite nicht sichtbar sind.
Nachdem ein Benutzer zu einer Gruppe hinzugefügt wurde oder sich mindestens einmal angemeldet hat (wodurch er automatisch der Gruppe „Everyone“ hinzugefügt wird), steht er in allen Diensten des Orchestrators für die direkte Zuweisung von Rollen oder Lizenzen zur Verfügung.
Attributzuordnung
Beim Verwenden des UiPath Automation Hub können Sie benutzerdefinierte Attributzuordnungen definieren, um Attribute von Ihrem Identitätsanbieter in den Orchestrator zu übertragen. Wenn zum Beispiel ein Konto zum ersten Mal zum Automation Hub hinzugefügt wird, sind Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung und Abteilung des Benutzers bereits ausgefüllt.
Setup
Administratoren können die SAML-Integration für Ihre gesamte Organisation über Administrator > Sicherheitseinstellungen > Authentifizierungseinstellungen konfigurieren und aktivieren.
For instructions, see Configuring the SAML integration.
Übergang von der Azure AD-Integration zur SAML-Integration
Nach dem Wechsel zur SAML-Integration ist die Azure AD-Integration deaktiviert. Die Gruppenzuweisungen von Azure AD gelten nicht mehr, so dass die Gruppenmitgliedschaft des Orchestrators und die von Azure AD geerbten Berechtigungen nicht mehr berücksichtigt werden.
Allowing or restricting basic authentication
Basic authentication refers to signing in with the username and password of a local account.
If basic authentication is restricted, your users can only log in with their directory account, as defined in the external identity provider. Otherwise, users can log in with both their local accounts, if any, and their directory accounts.
Also see Configuration levels and inheritance for more information about this setting.
Festlegen der einfachen Authentifizierung auf Organisationsebene
This setting is only available if an external provider integration is enabled at the host or organization level.
Wenn sie auf Organisationsebene festgelegt ist, gilt die Einstellung für alle Konten in der Organisation.
Für Ausnahmen kann die einfache Authentifizierung auch auf Kontoebene festgelegt werden, bei der diese Einstellung anders angewendet werden soll.
So erlauben oder beschränken Sie die einfache Authentifizierung für Ihre Organisation:
- Melden Sie sich als Administrator beim Verwaltungsportal auf Organisationsebene unter
https://<server>/identity/managementan. - Gehen Sie zu den Sicherheitseinstellungen.
- Under External Providers, click the Disable basic authentication for the organizations toggle to restrict or allow sign in using basic authentication:
- If off (left toggle position, gray toggle), basic authentication is allowed.
- If on (right toggle position, blue toggle), basic authentication is restricted. While restricted, the Allow basic authentication for the host administrators toggle is available.
- At the bottom-right of the External Providers section, click Save to apply your changes.
Konfigurieren von Sicherheitsoptionen
Um Sicherheitsoptionen für Ihre Organisation zu konfigurieren, wechseln Sie zu Administrator > Konten und Gruppen > Authentifizierungseinstellungen und bearbeiten Sie die Optionen nach Bedarf.
Passwortkomplexität
Das Bearbeiten der Einstellungen für die Kennwortkomplexität wirkt sich nicht auf vorhandene Kennwörter aus.
| Field | Description |
|---|---|
| Special characters | Select to force users to include at least one special character in their password. By default, this checkbox is not selected. |
| Lowercase characters | Select to force users to include at least one lowercase character in their password. By default, this checkbox is selected. |
| Uppercase characters | Select to force users to include at least one uppercase character in their password. By default, this checkbox is not selected. |
| Digits | Select to force users to include at least one digit in their password. By default, this checkbox is selected. |
| Minimum password length | Specify the minimum number of characters a password should contain. By default, it is 8. The length cannot be smaller than 1 or greater than 256 characters. |
| Days before password expiration | Specify the number of days for which the password is available. After this period, the password expires and needs to be changed. The minimum accepted value is 0 (the password never expires), and the maximum is 1000 days. |
| Number of times a password can be reused | The minimum accepted value is 0 (never allow reusing a password), while the maximum is 10. |
| Change password on the first login | If set to Required, users that log in for the first time must change their password before being allowed to access Orchestrator. If set to Not required, users can log in and continue to use the admin-defined password until it expires. |
Kontosperrung
| Field | Description |
|---|---|
| Enabled or Disabled toggle | If enabled, locks the account for a specific amount of seconds after a specific amount of failed login attempts. This also applies to the password change feature. |
| Account lockout duration | The number of seconds a user needs to wait before being allowed to log in again after exceeding the Consecutive login attempts before lockout. The default value is 5 minutes. The minimum accepted value is 0 (no lockout duration), and the maximum is 2592000 (1 month). |
| Consecutive login attempts before lockout | The number of failed login attempts allowed before the account is locked. The default value is 10 attempts. You can set a value between 2 and 10. |
Vor etwa einem Monat aktualisiert