- Introdução
- Sobre o Automation Suite
- Introdução à plataforma
- Explorando a interface do usuário
- Gerenciamento de preferências do usuário
- Compreensão dos modelos de autenticação
- Requisitos de software
- Administração do host
- Organizações
- Autenticação e segurança
- Licenciamento
- Contas e funções
- Aplicativos Externos
- Notificações
- Geração de logs
- Solução de problemas
Compreensão dos modelos de autenticação
Local user accounts represent each user's account and are internal to the UiPath platform. In this model, an organization administrator adds new users to the organization. It's suitable for scenarios where you want complete control over user management within the UiPath platform.
In UiPath, SSO settings are provisions that can be implemented at both the host level and the organization level.
SSO settings at the host level are used across all organizations tied to the host. This means any SSO settings you adjust on this level are applied to each organization under the host's umbrella. The SSO settings that can be managed at the host level include basic sign-in, Google SSO, Azure AD SSO, Active Directory and SAML SSO. Specific settings, such as the basic sign-in, can be overriden at the organization level.
This model is compatible with the directory accounts model.
The directory accounts model relies on a third-party directory that you integrate with UiPath platform. This lets you reuse your company's established identity scheme. Directory accounts are created and maintained in a directory which is external to the UiPath platform; they are only referenced in the UiPath platform and used as identities.
In UiPath, directory integration models can be configured at both the host and the organization levels.
-
At the host level, directory integration options include Active Directory. Settings here are applied consistently to all organizations under the host.
-
At the organization level, UiPath allows organization admins to override the host-level settings using Azure Active Directory (AAD) integration.
Active Directory is essential in coordinating authentication and access management policies for most companies. When establishing directory integration, your identity provider serves as the single source of truth for user identities.
By allowing settings at both the host and organization levels, UiPath's directory model effectively provides a balance of consistency and flexibility. It allows the use of unified directory integration services across the host while also providing custom settings at the organization level when necessary.
Choosing the identity provider for your organization affects the way users sign in, and how user and group accounts are created and managed. In the UiPath platform, administrators can choose the authentication and related security settings either globally (host level) for all organizations at once, or for each organization:
-
Global authentication settings (host level): As a system administrator, you can choose the authentication and related default security settings for your installation at the host level. We call these host authentication and security settings, and they are inherited by all organizations as default. Learn to configure host authentication and security settings.
- Organization-level authentication settings: As an organization administrator, you can choose the authentication and related security settings for your organization. Some settings are inherited from the host level, but you can override them if different settings should apply for your organization. Learn to configure organization-level authentication and security settings.
|
Nível de host do Azure AD |
Nível de organização do Azure AD |
Nível do host do SAML |
Nível de organização SAML | |
|
Integração do diretório |
Não |
Sim |
Não |
Sim |
|
Provisionamento automático |
Sim |
Sim |
Não |
Sim |
|
Provisionamento automático de grupo |
Não |
Não |
Não |
Sim |
O Automation Suite permite que você configure um provedor de identidade externo para controlar como seus usuários fazem login. A tabela a seguir fornece uma visão geral dos diferentes provedores externos de nível de host disponíveis:
|
Integração com provedor externo |
Autenticação |
Pesquisa de diretório |
Provisionamento de administradores |
|---|---|---|---|
|
Os administradores podem usar o SSO com autenticação do Windows usando o protocolo Kerberos |
Os Administradores podem pesquisar usuários a partir do Active Directory |
Para um usuário poder fazer login, o usuário ou um grupo no qual o usuário é um membro já deve ter sido adicionado ao Automation Suite. Os usuários e grupos do Active Directory estão disponíveis no Automation Suite através da pesquisa de diretórios. | |
|
Os administradores podem usar o SSO com o Azure AD usando o protocolo OpenID Connect |
Não Compatível |
Os usuários devem ser provisionados manualmente no Automation Suite. com um endereço de e-mail correspondente ao de sua conta do Azure AD. | |
|
Os usuários podem usar o SSO com o Google usando o protocolo OpenID Connect |
Não Compatível |
Os usuários devem ser provisionados manualmente na organização do Automation Suite com um endereço de e-mail correspondente ao de sua conta Google. | |
|
Os usuários podem usar o SSO com qualquer provedor de identidade compatível com SAML |
Não Compatível |
Os usuários devem ser provisionados manualmente na organização do Automation Suite com um nome de usuário/e-mail/provedor externo de chave (conforme definido em sua configuração de provedor de identidade externo) correspondentes aos de sua conta SAML. |
Diferenças entre a integração do Azure AD no nível do host e no nível da organização
O provedor externo de identidade do Azure AD no nível do host habilita apenas a funcionalidade SSO. Isso significa que o usuário deve ser provisionado manualmente na organização do Automation Suite com um endereço de e-mail correspondente ao de sua conta do Azure AD para que ele faça login na organização.
When organization-level is configured, users that sign in to the organization through Azure AD (SSO) will be automatically provisioned in the Automation Suite. In addition, logged in directory users can search for other users in Azure AD.
Modelo do Azure Active Directory
A integração com o Azure Active Directory (Azure AD) pode oferecer gerenciamento de usuários e de acesso escalável para sua organização, permitindo a conformidade em todos os aplicativos internos usados por seus funcionários. Se sua organização estiver usando o Azure AD ou Office 365, você pode conectar sua organização do Orchestrator diretamente ao seu tenant do Azure AD para obter os seguintes benefícios:
Integração automática de usuários com migração ininterrupta
- Todos os usuários e grupos do Azure AD estão prontamente disponíveis para receber permissões de qualquer serviço do Orchestrator, sem a necessidade de convidar e gerenciar os usuários do Azure AD no diretório da organização do Orchestrator.
- Você pode fornecer o Logon único para usuários cujo nome de usuário empresarial é diferente do seu endereço de e-mail, o que não é possível com o modelo por convite.
- Todos os usuários existentes com contas de usuário UiPath® têm suas permissões migradas automaticamente para sua conta conectada do Azure AD.
Experiência de login simplificada
-
Os usuários não têm que aceitar um convite ou criar uma conta de usuário da UiPath para acessar a organização do Orchestrator como no modelo padrão. Eles entram com sua conta do Azure AD, selecionando a opção SSO do Enterprise ou usando o URL específico da sua organização.
Se o usuário já estiver conectado no Azure AD ou no Office 365, eles serão automaticamente conectados.
- As versões 20.10.3 e posteriores do UiPath Assistant e do Studio podem ser pré-configuradas para usar uma URL personalizada do Orchestrator, o que leva à mesma experiência perfeita de conexão.
Governança escalável e gerenciamento de acesso com grupos existentes do Azure AD
- Os grupos de segurança do Azure AD ou grupos do Office 365, também conhecido como grupos de diretório, permitem que você aproveite a estrutura organizacional existente para gerenciar as permissões de escala. Você não precisa mais configurar permissões em serviços do Orchestrator para cada usuário.
- É possível combinar vários grupos de diretórios em um grupo do Orchestrator se você precisar gerenciá-los juntos.
-
Auditar o acesso do Orchestrator é simples. Após configurar as permissões em todos os serviços do Orchestrator usando os grupos do Azure AD, você pode utilizar seus processos de validação associados às associações de grupo do Azure AD.
Observação: No modelo Azure AD, você pode continuar usando todos os recursos do modelo padrão. Mas, para maximizar os benefícios, recomendamos confiar exclusivamente no gerenciamento de contas centralizado do Azure AD.Se você quiser usar o Azure Active Directory como o provedor de identidade para sua organização, siga as instruções em Configuração da integração do Azure AD.
Modelo SAML
Esse modelo permite que você conecte o Orchestrator ao seu provedor de identidade (IdP) escolhido para que:
- seus usuários podem se beneficiar do login único (SSO) e
- você possa gerenciar contas existentes do seu diretório no Orchestrator, sem precisar criar ou recriar identidades.
O Orchestrator pode conectar-se a qualquer provedor de identidade externo que use o padrão SAML 2.0 para obter os seguintes benefícios:
Integração automática de usuários
Todos os usuários do seu provedor de identidade externo são autorizados a fazer login com direitos básicos quando a integração SAML estiver ativa. Isso significa que:
- Os usuários podem fazer login na sua organização por meio do SSO usando sua conta da empresa existente, conforme definido no IdP.
- Sem qualquer outra configuração, elas podem acessar a organização por padrão. Para poder trabalhar na organização, os usuários precisam de funções e licenças, conforme apropriado para sua função.
Gerenciamento do usuário
Você pode adicionar usuários atribuindo-os diretamente a grupos. Para fazer isso, basta inserir o endereço de email do usuário ao adicionar usuários ao grupo.
Normalmente, os administradores gerenciam as contas locais a partir da guia Admin > Organização > Contas e grupos > Usuários. Mas os usuários SAML são contas de diretórios, portanto, não são visíveis nesta página.
Depois que um usuário é adicionado a um grupo ou faz login pelo menos uma vez (o que o adiciona automaticamente ao grupo Everyone), ele fica disponível na pesquisa em todos os serviços para atribuição direta de função ou licença.
Mapeamento de Atributos
Se você usa o UiPath Automation Hub, pode definir o mapeamento de atributo personalizado para propagar atributos de seu provedor de identidade para o Orchestrator. Por exemplo, quando uma conta é adicionada pela primeira vez ao Automation Hub, o nome, sobrenome, endereço de e-mail, cargo e departamento do usuário já são preenchidos.
Configuração
os administradores possam configurar e habilitar a integração SAML para toda a sua organização em Administrador > Configurações de segurança > Configurações de autenticação.
Para obter instruções, consulte .
Transição da integração do Azure AD para a integração do SAML
Depois de transicionar para a integração SAML, a integração do Azure AD é desabilitada. As atribuições de grupo do Azure AD não valerão mais, portanto, a associação de grupo do Orchestrator e as permissões herdadas do Azure AD não serão mais respeitadas.
