- Visão geral
- Segurança de dados e conformidade
- Organizações
- Tenants
- Licenciamento
- Contas e funções
- Aplicativos Externos
- Geração de logs
- Migrating to Automation Cloud™
Configuração da integração do Azure AD
Essa funcionalidade só estará disponível se você estiver no plano de licenciamento Enterprise.
If your organization is using Azure Active Directory (Azure AD) or Office 365, you can connect your Automation Cloud™ organization directly to your Azure AD tenant to see existing user accounts and groups in your UiPath® cloud environment.
A integração do Azure AD permite que você continue usando o modelo de gerenciamento de usuários baseado em convite, se você quiser, enquanto reinicia sua organização com os benefícios adicionais da utilização do modelo do Azure AD.
Se sua organização decidiu usar o modelo do Azure AD, siga as instruções nesta página para configurar a integração.
Para configurar a integração do Azure AD, você precisa que:
- uma organização do Automation Cloud com uma licença Enterprise
- permissões de administrador tanto no Automation Cloud quanto no Azure AD (podem ser pessoas diferentes);
- o administrador da organização precisa de uma conta do Azure AD que use o mesmo endereço de email da conta local do Automation Cloud; a conta do Azure AD só é necessária para testar a integração, para que o usuário do Azure AD não precise de permissões do administrador no Azure;
- UiPath Studio e UiPath Assistant versão 202.10.3 ou posterior;
- UiPath Studio e UiPath Assistant para usar a implantação recomendada.
Sua organização requer um cadastro de aplicativo no seu tenant do Azure AD e algumas configurações para que possa visualizar seus membros do Active Directory para estabelecer a identidade do usuário. Os detalhes de registro do aplicativo também são necessários para conectar posteriormente sua organização a seu tenant do Azure AD.
Permissões: você tem que ser um administrador no Azure para executar as tarefas nesta seção. As seguintes funções de administrador têm os privilégios necessários: Administrador Global, Administrador de Aplicativo de Nuvem ou Administrador de Aplicativos.
Há duas maneiras de configurar seu tenant do Azure para a integração:
- Siga as instruções abaixo para configurar manualmente um registro de aplicativo para a integração.
- Use os scripts do Azure AD da UiPath que criamos para essa tarefa, os quais estão disponíveis no GitHub: o script configAzureADconnection.ps1 realiza todas as ações descritas nesta seção e retorna os detalhes de registro do aplicativo. Assim, você pode executar o script testAzureADappRegistration.ps1 para garantir que o registro do aplicativo foi bem-sucedido.
Para configurar manualmente seu tenant do Azure, faça o seguinte no Azure Portal:
Após a configuração do Azure ser concluída, você pode se preparar para a integração, ativá-lo e então limpar as contas antigas.
O processo é dividido em etapas, para que não haja nenhuma interrupção para seus usuários.
Você deve ser um organization administrator para executar as tarefas nesta seção.
Quando você conectar o Automation Cloud ao Azure AD, ativando a integração, as contas com endereços de e-mail correspondentes são vinculadas para que a conta do Azure AD se beneficie das mesmas permissões da conta de Automation Cloud correspondente (conta local).
Se sua organização pratica a reciclagem de e-mails, isso significa que um endereço de e-mail que foi usado no passado poderia ser atribuído a um novo usuário no futuro, isso pode levar a um alto risco de acesso.
Exemplo
john.doe@example.com
e esse funcionário tinha uma conta local na qual ele era administrador da organização. Porém, ele deixou a empresa e o endereço de email foi desativado, mas o usuário não foi removido do Automation Cloud.
john.doe@example.com
. Nesse caso, quando as contas são vinculadas para a integração do Automation Cloud com o Azure AD, o João herda os privilégios de administrador da organização.
Para evitar essas situações, certifique-se de remover todos os usuários que não estão mais ativos do Automation Cloud antes de prosseguir para a próxima etapa.
Antes de começar
- Certifique-se de que a
configuração do Azure está completa. - Obtenha os valores do ID do diretório (tenant), ID do aplicativo (cliente) e Segredo do cliente para o registro do aplicativo no Azure do seu administrador do Azure.
Agora, você pode trabalhar com os usuários e grupos no Azure do tenant vinculado. Você pode encontrar usuários e grupos do Azure AD usando a pesquisa, por exemplo, para adicionar um usuário a um grupo. Consulte também as perguntas Frequentes abaixo para obter mais informações sobre quais mudanças ocorrerão após a integração estar ativa.
Perguntas frequentes
O que muda para os meus usuários após a ativação da integração?
Os usuários podem fazer login imediatamente usando sua conta do Azure AD e se beneficiar das mesmas permissões que tiveram em sua conta local.
Se você não tiver removido suas contas de usuário da UiPath, os usuários também podem continuar a fazer login com sua conta local (ambos os métodos funcionam).
https://cloud.uipath.com/orgID/
, ou selecionar o Enterprise SSO na página de logon principal.
Outra mudança que os usuários podem notar é que, se eles já estiverem logados em suas contas do Azure AD usando outro aplicativo, eles são automaticamente logados quando navegarem para esta URL.
Quais são as funções de cada conta?
Conta do Azure AD: quando um usuário faz login com sua conta do Azure AD, ele se beneficia imediatamente de todas as funções que tinha na conta local, além de qualquer função atribuída dentro da UiPath para a conta do Azure AD ou aos grupos do Azure AD aos quais pertence . Estas funções podem vir da inclusão do usuário do Azure AD ou do grupo do Azure AD nos grupos, ou de outros serviços em que as funções foram atribuídas ao usuário ou ao grupo do Azure AD.
Conta local: com a integração do Azure AD ativa, para contas locais, ela depende de:
- Se o usuário não tiver feito login pelo menos uma vez com sua conta do Azure AD, ele terá apenas as funções da conta local.
- Se os usuários fizerem login usando sua conta do Azure AD, a conta local terá todas as funções que o usuário do AAD tem dentro da UiPath, quer explicitamente atribuídas, quer herdadas das associações de grupos.
Preciso aplicar novamente as permissões para as contas do Azure AD?
Não. Como as contas correspondentes são automaticamente vinculadas, suas permissões existentes também se aplicam quando logados com a conta do Azure AD. Entretanto, se você decidir interromper o uso das contas locais, certifique-se de que as permissões apropriadas tenham sido previamente definidas para os usuários e grupos do Azure AD.
Para verificar se a integração está sendo executada a partir da Automation Cloud, faça login como administrador da organização com uma conta do Azure AD e tente pesquisar os usuários e grupos no Azure AD em qualquer página relacionada, como o painel Editar Grupo na Automation Cloud em (Admin > Contas e Grupos > Grupos > Editar).
-
Se você pode pesquisar por usuários e grupos que se originam no Azure AD, isso significa que a integração está em andamento. Você pode identificar o tipo de usuário ou grupo através de seu ícone.
Nota: Os usuários e grupos do Azure AD não estão listados nas páginas Usuários ou Grupos; eles só estão disponíveis por meio de pesquisa. -
Se você encontrar um erro ao tentar pesquisar pelos usuários, conforme exibido no exemplo abaixo, isso indica que há algo errado com a configuração no Azure. Entre em contato com o administrador do Azure e peça que verifiquem se o Azure está configurado conforme descrito na Configuração do Azure para a Integração.
Conselho: Peça ao seu administrador do Azure para confirmar que eles selecionaram a caixa de seleção Conceder consentimento de administrador durante a configuração do Azure. Esta é uma causa comum de falha na integração.
Solução de problemas
Os administradores do Azure podem usar o script de teste do Azure AD da UiPath testAzureADappRegistration.ps1, que está disponível no GitHub, para encontrar e corrigir qualquer problema de configuração quando a causa não estiver clara, como no caso abaixo:
Depois que a integração estiver ativa, recomendamos que você siga as instruções nesta seção para assegurar que a criação de usuários e a atribuição de grupos seja transferida para o Azure AD. Dessa forma, você pode criar em cima da sua infraestrutura de identidade e gestão de acesso existente para facilitar a governança e o controle de gerenciamento de acesso sobre seus recursos da Automation Cloud.
Você pode fazer isso para garantir que o administrador do Azure também possa inserir novos usuários com as mesmas permissões e a configuração de robôs para o Automation Cloud e outros serviços que você tenha configurado antes da integração. Eles podem fazer isso adicionando quaisquer novos usuários a um grupo do Azure AD se o grupo tiver as funções necessárias já atribuídas no Automation Cloud.
Você pode mapear seus grupos de usuários existentes do Automation Cloud para grupos novos ou existentes no Azure AD. Você pode fazer isso de várias maneiras, dependendo como de como você usa grupos no Azure AD:
- Se os usuários com as mesmas funções no Automation Cloud já estão nos mesmos grupos no Azure AD, o administrador da organização pode adicionar esses grupos do Azure AD aos grupos de usuários do Automation Cloud em que esses usuários estavam. Isso garante que os usuários mantenham as mesmas permissões e configurações de robô.
- Caso contrário, o administrador do Azure pode criar novos grupos no Azure AD para corresponder aos do Automation Cloud e adicionar os mesmos usuários que estão nos grupos de usuários do Automation Cloud. Então o administrador da organização pode adicionar os novos grupos do Azure AD aos grupos de usuários existentes para garantir que os mesmos usuários tenham as mesmas funções.
Em ambos os casos, certifique-se de verificar se existem funções que foram explicitamente atribuídas aos usuários. Se possível, elimine as atribuições explícitas de funções adicionando esses usuários aos grupos que têm as funções que foram atribuídas explicitamente.
Exemplo: digamos que o grupo de Administradores no Automation Cloud inclui os usuários Roger, Tom e Jaime. Esses mesmos usuários também estão em um grupo no Azure AD chamado admins. O administrador da organização pode adicionar o grupo de admins ao grupo de Administradores no Automation Cloud. Dessa forma, Roger, Tom e Jerry, como membros do grupo admins do Azure AD, se beneficiam das funções do grupo Administradores.
Como os admins agora fazem parte do grupo de Administradores, quando você precisar integrar um novo administrador, o administrador do Azure pode adicionar o novo usuário ao grupo de admins no Azure, concedendo-lhe assim permissões de administração no Automation Cloud sem ter que fazer nenhuma alteração no Automation Cloud.
As alterações nas atribuições do grupo do Azure AD se aplicam no Automation Cloud quando o usuário faz login com sua conta do Azure AD ou se já estiver logado, dentro de uma hora.
Login inicial: para que as permissões atribuídas aos usuários e grupos do Azure AD sejam aplicadas, os usuários devem fazer login pelo menos uma vez. Recomendamos que, após a integração estar em execução, você avise a todos os seus usuários para saírem de sua conta local e fazerem login novamente com sua conta do Azure AD. Eles podem fazer login com sua conta do Azure AD:
-
navegando para a URL específica da organização, que no caso o tipo de login já está selecionado;
Nota: A URL deve incluir o ID da organização e terminar em uma barra, tal comohttps://cloud.uipath.com/orgID/
. -
selecionando Enterprise SSO na página de login principal.
Nota: Certifique-se de fornecer a URL específica da sua organização para a Automation Cloud para todos os seus usuários. Apenas os administradores de organização podem ver essa informação no Automation Cloud.
Os usuários migrados se beneficiam da união das permissões que lhes foram diretamente atribuídas e as dos seus grupos do Azure AD.
Configuração do Studio e Assistant para usuários: para configurar esses produtos para se conectar às contas do Azure AD:
- No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
- Clique em Sair.
- Para o tipo de conexão, selecione URL do Serviço.
-
No campo Service URL, adicione a URL específica da organização
Nota: A URL deve incluir o ID da organização e terminar em uma barra, tal comohttps://cloud.uipath.com/orgID/
. Caso contrário, a conexão falha dizendo que o usuário não pertence a nenhuma organização. - Faça o login novamente com a conta do Azure AD.
Embora opcional, recomendamos que você remova o uso das contas locais para maximizar os benefícios de conformidade principal e eficiência da integração completa entre o Automation Cloud e o Azure AD.
Após a migração de todos os usuários, você poderá remover os usuários não admin da guia Usuários, para que seus usuários não possam mais fazer login usando sua conta local. Você pode encontrar essas contas com base nos seus ícones de usuário.
Você também pode limpar as permissões individuais nos serviços de nuvem da UiPath, como o serviço do Orchestrator e remover os usuários individuais dos grupos da Automation Cloud para que as permissões dependam exclusivamente da associação aos grupos do Azure AD.
Exceções
Se você decidir interromper o uso das contas locais, tenha em mente o seguinte:
- Gerenciamento de Configurações de Autenticação no Automation Cloud: para alternar para uma configuração de autenticação diferente ou para atualizar o segredo de aplicativos do Azure AD, é necessária uma conta de usuário da UiPath com a função de administrador de organização. Do contrário, as opções de Configurações de Autenticação não estarão ativas.
-
Acesso de API: se você tiver processos implementados que dependem das informações obtidas clicando em Acesso de API (Admin > página Tenants) para fazer chamadas de API para um serviço, você precisa de uma conta local, porque o botão não está disponível quando logado com uma conta do Azure AD.
Alternativamente, você pode optar por usar o OAuth para a autorização; neste caso as informações do Acesso de API não são mais necessárias.
Aqui estão algumas dicas úteis para os recursos avançados que você pode aproveitar agora que tem a integração do Azure AD configurada.
Como a integração com o Azure AD é realizada ao nível do tenant do Azure, por padrão todos os usuários do Azure AD podem acessar a Automation Cloud. Na primeira vez que um usuário do Azure AD entra na Automation Cloud, ele é automaticamente incluído no grupo Todos da Automation Cloud, que concede a ele a função User ao nível de organização.
Se você quiser permitir que apenas alguns usuários acessem a Automation Cloud, você pode ativar a atribuição de usuários para o registro do aplicativo da Automation Cloud no Azure. Dessa forma, os usuários precisam ser atribuídos explicitamente ao aplicativo (Automation Cloud) para poder acessa-lo. Para obter instruções, consulte este artigo na documentação do Azure AD.
Se você quiser permitir que apenas seus usuários acessem a Automation Cloud a partir de uma rede ou um dispositivo confiável, você pode usar o recurso Acesso Condicional do Azure AD.
Se você criou grupos no Azure AD para fácil integração na Automation Cloud diretamente do Azure AD, conforme descrito em Configurar grupos para permissões e robôs, você pode usar as opções de segurança avançadas do Privileged Identity Management (PIM) para esses grupos para controlar as solicitações de acesso para grupos da Automation Cloud.
- Visão geral
- Pré-requisitos
- Configuração do Azure para a Integração
- Implantando a integração na Automation Cloud
- Limpe usuários inativos
- Ativar a Integração do Azure AD
- Testar a integração do Azure AD
- Completando a Transição para o Azure AD
- Configurar Grupos para Permissões e Robôs (Opcional)
- Migrar Usuários Existentes
- Parar de usar as contas locais do UiPath (Opcional)
- Melhores práticas
- Restringir o acesso à Automation Cloud
- Restringir o acesso às redes ou dispositivos confiáveis
- Governança para os grupos da Automation Cloud no Azure AD