automation-suite

2022.10

false

Importante :

A tradução automática foi aplicada parcialmente neste conteúdo. A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.

Guia do administrador do Automation Suite

Última atualização 22 de ago de 2025

Configuração da integração do Microsoft Entrada ID

Se sua organização estiver usando o Microsoft Entra ID ou Office 365, você pode conectar sua organização do Automation Suite diretamente ao seu tenant do Microsoft Entra ID para visualizar contas e grupos existentes em seu ambiente do Automation Suite .

Com a integração do Microsoft Entra ID, você pode continuar aproveitando o modelo de contas locais, enquanto inicializa sua organização com os benefícios adicionais de usar o modelo do Microsoft Entra ID. A integração do Microsoft Entrada ID foi projetada de tal forma que ativá-la e implementá-la pode acontecer gradualmente, sem nenhuma interrupção na produção para seus usuários existentes.

Se sua organização decidiu usar o modelo do Microsoft Entra ID, siga as instruções nesta página para configurar a integração.

Pré-requisitos

Para configurar a integração do Microsoft Entra ID, você precisa que:

Permissões de administrador no Automation Suitee no Microsoft Entra ID (podem ser pessoas diferentes)
uma conta Microsoft Entra ID com o mesmo endereço de email que a conta local UiPath do administrador da organização que realiza a integração. Observe que esta conta do Microsoft Entra ID é apenas para testar a integração e não precisa ter permissões de administrador no Azure
UiPath Studio e UiPath Assistant versão 2020.10.3 ou posterior
UiPath Studio e UiPath Assistant para usar a implantação recomendada
se você usou anteriormente contas de usuário locais, certifique-se de que todos os usuários do Microsoft Entra ID tenham o endereço de e-mail no campo E-mail . Ter o endereço de e-mail somente no campo Nome principal do usuário (UPN) não é suficiente. A integração do Microsoft Entra ID vincula as contas de usuário do diretório com as contas de usuário locais se os endereços de e-mail forem correspondentes. Isso permite que os usuários retenham as permissões quando fizerem a transição de entrar com sua conta de usuário local para a conta de usuário do diretório do Microsoft Entra ID.

Observação: a UiPath obedece ao protocolo OIDC para sua integração com o Microsoft Entra ID. No entanto, a integração não suporta o uso de chaves personalizadas do aplicativo por meio da reivindicação de um parâmetro de consulta appid em uma URL dedicada, conforme descrito na documentação de tokens de acesso da Microsoft .

Configuração do Azure para a Integração

Sua organização requer um cadastro de aplicativo no seu tenant Microsoft Entra ID e algumas configurações para que possa visualizar seus membros do AD para estabelecer a identidade da conta. Os detalhes de registro do aplicativo também são necessários para conectar posteriormente sua organização a seu tenant do Microsoft Entra ID.

Permissões: você tem que ser um administrador no Azure para executar as tarefas nesta seção. As seguintes funções de administrador do Azure têm os privilégios necessários: Global Administrator, Cloud Application Administrator ou Application Administrator.

Há duas maneiras de configurar seu tenant do Azure para a integração:

Adote as seguintes etapas para configurar manualmente um registro de aplicativo para a integração.
Use os scripts UiPath Microsoft Entra ID que criamos para essa tarefa, que estão disponíveis no GitHub: o script configAzureADconnection.ps1 realiza todas as ações descritas nesta seção e retorna os detalhes de registro do aplicativo. Em seguida, você pode executar o script testAzureADappRegistration.ps1 para garantir que o registro do aplicativo foi bem-sucedido.

Para configurar manualmente seu tenant do Azure, siga as seguintes etapas no Azure Portal:

Crie um cadastro de aplicativo para o Automation Suite. Para obter mais detalhes, consulte a documentação da Microsoft sobre Registrar um aplicativo.

Durante o cadastramento, selecione Apenas contas neste diretório organizacional e defina o Redirecionar o URI como https://{yourDomain}/identity_/signin-oidc.

Observação: se você já tiver um aplicativo registrado para sua organização, não há necessidade de criar um novo, mas certifique-se de que o aplicativo esteja configurado conforme descrito anteriormente.
Abra a página Visão geral do aplicativo, copie o ID do aplicativo (cliente) e o ID do diretório (tenant) e salve-os para uso posterior:
Acesse a página de Autenticação de seu aplicativo:
1. Em Redirecionar URIs, selecione Adicionar o URI para adicionar uma nova entrada.
2. Adicione https://{yourDomain}/portal_/testconnection à lista de Redirecionamento de URIs.
3. Na parte inferior, selecione a caixa de seleção tokens de ID.
4. Selecione Salvar.
Acesse a página de Configuração de tokens.
Selecione Adicionar pedido opcional.
Sob Tipo de token, selecione ID.
Marque as caixas de seleção para family_name, given_name e upn para adicioná-las como reivindicações opcionais:
Acesse a página de permissões da API.

Selecione Adicionar permissão e adicione as seguintes permissões delegadas da categoria Microsoft Graph :

Permissões do OpenId - email, openid, offline_access, profile
Permissões de membro do grupo : GroupMember.Read.All
Permissões de usuário - User.Read, User.ReadBasic.All, User.Read.All (requer consentimento administrativo)

A tabela a seguir descreve as permissões de API:

Permission	O que ele permite que você faça	O que fazemos com ele
`email`, `openid`, `profile`, `offline_access` e `User.Read`	Permite que o Microsoft Entra ID emita um token de usuário para o aplicativo do sistema	Permita que os usuários façam login no sistema usando um login com ID de entrada da Microsoft. Isso nos permite manter nosso objeto de usuário atualizado, garantindo a consistência desses atributos.
`User.ReadBasic.All`	Lê propriedades básicas de todos os usuários no diretório que o usuário conectado tem permissão para view	Quando um usuário atribui permissões a outros usuários no diretório para seus recursos, ele pode pesquisar esses usuários. A funcionalidade para gerenciamento/autorização de acesso está na experiência do usuário do sistema.
`User.Read.All` (requer consentimento do administrador)	Lê todas as propriedades do usuário no diretório que o usuário conectado tem permissão para view	Seu administrador pode querer importar essas propriedades do usuário adicionais para configurar permissões ou exibir informações personalizadas dentro dos serviços do sistema. Para clientes do Automation Hub que desejam obter o conjunto completo de atributos do ID de Entrada da Microsoft, é necessário conceder a permissão `User.Read.All` ao aplicativo.
`GroupMember.Read.All`	Lê as associações de grupo de todos os usuários aos quais o usuário conectado tem acesso	Se sua organização estiver usando grupos para gerenciar permissões no sistema, a plataforma precisará poder listar todos os grupos e descobrir os membros de um grupo. Isso permite o gerenciamento e a aplicação das permissões atribuídas ao grupo.

Selecione a caixa de seleção Conceder consentimento de administrador.

Nota: O administrador consente em nome de todos os usuários no active directory do tenant. Isso permite que o aplicativo acesse os dados de todos os usuários, sem que uma solicitação de consentimento seja enviada aos usuários. Para obter mais informações sobre permissões e consentimentos, consulte a documentação do Microsoft Entra ID da Microsoft.
Acesse a página Certificados e segredos para criar um novo segredo do cliente ou um novo certificado.
- Opção 1. Segredo do cliente. Para obter mais informações sobre os segredos do cliente, consulte a documentação da Microsoft sobre Como adicionar um novo segredo do cliente.
  Observação: o segredo do cliente criado não é permanente. Você deve atualizar o segredo do cliente após seu período de validade.
- Opção 2. Certificado. As etapas de alto nível para configurar certificados são descritas em . Para saber mais sobre certificados, consulte Configurar e recuperar um certificado do Azure Key Vault na documentação da Microsoft.
Forneça a seu administrador da organização os valores de ID do diretório (tenant), ID do aplicativo (cliente) . Se você escolheu a opção de segredo do cliente, compartilhe também o valor de Segredo do Cliente . Se você escolher a opção certificado, compartilhe os detalhes do certificado. Essas informações permitem que o administrador prossiga com a configuração.

Implantando a integração no Automation Suite

Após a configuração do Azure ser concluída, você pode se preparar para a integração, ativá-lo e então limpar as contas antigas. O processo é dividido em etapas, para que não haja nenhuma interrupção para seus usuários.

Observação:

Você deve ser um administrador da organização no Automation Suite para executar as tarefas nesta seção.

Limpe usuários inativos

Quando você conecta o Automation Suite ao Microsoft Entra ID ativando a integração, as contas com endereços de e-mail correspondentes são vinculadas, para que a conta do Microsoft Entra ID se beneficie das mesmas permissões que a conta local da UiPath correspondente.

Se sua organização pratica a reciclagem de e-mails, isso significa que um endereço de e-mail que foi usado no passado poderia ser atribuído a um novo usuário no futuro, isso pode levar a um alto risco de acesso.

Digamos que você já teve um funcionário cujo endereço de email era john.doe@example.com e esse funcionário tinha uma conta local na qual ele era administrador da organização. Porém, ele deixou a empresa e o endereço de email foi desativado, mas o usuário não foi removido.

Quando um novo funcionário que também se chama João entra na empresa, ele recebe o mesmo endereço de e-mail john.doe@example.com . Nesse caso, quando as contas são vinculadas como parte da integração com o Microsoft Entra ID, o João herda os privilégios de administrador da organização.

Para evitar essas situações, certifique-se de remover todos os usuários que não estão mais ativos da organização do Automation Suite antes de prosseguir para a próxima etapa. Você pode pular essa etapa se os endereços de e-mail inativos não forem reutilizados na sua organização.

Ativar a integração do Microsoft Entrada ID

Observação:

Antes de você começar:

certifique-se de que a configuração do Azure está completa;
obtenha os valores de ID do diretório (tenant), ID do aplicativo (cliente) e Segredo do cliente para o cadastro do aplicativo do Automation Suite no Azure a partir do seu administrador do Azure.

Para ativar a integração do Microsoft Entra ID, aplique as seguintes etapas no Automation Suite:

Acesse Admin e, se ainda não estiver selecionado, selecione a organização na parte superior do painel esquerdo.
Selecione Segurança para abrir as Configurações de segurança.
Na guia Configurações de autenticação, em Integração de diretório para SSO (Single Sign-On), selecione Configurar SSO.
Selecione Microsoft Entra ID no painel de configuração de SSO.
Preencha os campos com as informações recebidas de seu administrador do Azure.
Selecione a caixa de seleção para Entendo e aceito usuários adicionados e os usuários de Microsoft Entra ID com endereços de e-mail correspondentes terão suas contas vinculadas.
Selecione Testar conexão para validar se a integração foi configurada corretamente.
Quando solicitado, faça login com sua conta do Microsoft Entra ID.
Um login bem-sucedido indica que a integração foi configurada corretamente. Caso ele falhar, peça ao seu administrador do Azure para verificar se o Azure está configurado corretamente e depois tente novamente.
Selecione Salvar para ativar a integração para sua organização.
Depois de salvar suas alterações, as contas correspondentes são vinculadas automaticamente.
Faça logoff.
Navegue até a URL da organização (https://{yourDomain}/organizationID/) e faça login com sua conta do Microsoft Entra ID.

Agora, você pode trabalhar com os usuários e grupos no ID do Microsoft Entra do tenant vinculado. As contas e grupos do Directory não estão relacionadas nas páginas Usuários ou Grupos em Admin - Contas e grupos; você só pode encontrá-las por meio de pesquisa.

Testar a integração do Microsoft Entrada ID

Para verificar se a integração está sendo executada, faça login como administrador da organização com uma conta do Microsoft Entra ID e tente pesquisar usuários e grupos do Microsoft Entra ID em qualquer página relacionada, como o painel Editar Grupo no Automation Suite (Administrador > Contas e Grupos > Grupos > Editar).

Se você pode pesquisar por usuários e grupos que se originam no Microsoft Entra ID, isso significa que a integração está em andamento. Você pode identificar o tipo de usuário ou grupo através de seu ícone.

Se você encontrar um erro ao tentar pesquisar pelos usuários, conforme exibido no exemplo a seguir, isso indica que há algo errado com a configuração no Azure. Entre em contato com o administrador do Azure e peça que verifiquem se o Azure está configurado conforme descrito anteriormente na documentação Configuração do Azure para a Integração.

Conselho: Peça ao seu administrador do Azure para confirmar que eles selecionaram a caixa de seleção Conceder consentimento de administrador durante a configuração do Azure. Esta é uma causa comum de falha na integração.

Como concluir a transição para o ID Entrada da Microsoft

Depois que a integração estiver ativa, recomendamos que você siga as instruções nesta seção para assegurar que a criação de usuários e a atribuição de grupos seja transferida para o Microsoft Entra ID. Dessa forma, você pode criar em cima da sua infraestrutura de identidade e gerenciamento de acesso existente para facilitar a governança e o controle de gerenciamento de acesso sobre seus recursos da UiPath no Automation Suite.

Configurar Grupos para Permissões e Robôs (Opcional)

Você pode fazer isso para garantir que o administrador do Azure também possa inserir novos usuários com as mesmas permissões e a configuração de robôs que você configurou antes da integração. Isso pode ser feito adicionando quaisquer novos usuários a um grupo de IDs de entra da Microsoft se o grupo já tiver as funções necessárias atribuídas.

Você pode mapear seus grupos de usuários existentes do Automation Suite para grupos novos ou existentes no Microsoft Entra ID. Você pode fazer isso de várias maneiras, dependendo como de como você usa grupos no Microsoft Entra ID:

Se os usuários com as mesmas funções no Automation Suite já estão nos mesmos grupos no Microsoft Entra ID, o administrador da organização pode adicionar esses grupos do Microsoft Entra ID aos grupos de usuários em que esses usuários estavam. Isso garante que os usuários mantenham as mesmas permissões e configurações de robô.
Caso contrário, o administrador do Azure pode criar novos grupos no Microsoft Entra ID para corresponder aos do Automation Suite e adicionar os mesmos usuários que estão nos grupos de usuários da UiPath. Em seguida, o administrador da organização pode adicionar os novos grupos do Microsoft Entra ID aos grupos de usuários existentes para garantir que os mesmos usuários tenham as mesmas funções.

Certifique-se de verificar todas as funções atribuídas especificamente aos usuários, em todas as instâncias. Se possível, remova essas atribuições diretas de funções e adicione esses usuários aos grupos já atribuídos com essas funções.

Por exemplo, suponha que o grupo Administradores no Automation Suite inclua os usuários Anna, Tom e John. Esses mesmos usuários também estão em um grupo no Microsoft Entra ID chamado admins. O administrador da organização pode adicionar o grupo admins do Azure ao grupo Administradores no Automation Suite. Dessa forma, Anna, Tom e John, como membros do grupo admins do Microsoft Entra ID, se beneficiam das funções do grupo Administradores no Automation Suite.

Como o admins agora faz parte do grupo Administradores , quando você precisar integrar um novo administrador, o administrador do Azure poderá adicionar o novo usuário ao grupo admins no Azure, concedendo-lhe assim permissões de administração no Automation Suite sem ter que fazer nenhuma alteração no Automation Suite Suite .

Observação:

As alterações nas atribuições de grupo do Microsoft Entra ID se aplicam no Automation Suite quando o usuário faz login com sua conta do Microsoft Entra ID ou, se já estiver logado, dentro de uma hora.

Migrar Usuários Existentes

Para que as permissões atribuídas aos usuários e grupos do Microsoft Entra ID sejam aplicadas, os usuários devem fazer login pelo menos uma vez. Recomendamos que, após a integração estar em execução, você avise a todos os seus usuários para sairem de sua conta local e fazerem login novamente com sua conta do Microsoft Entra ID. Eles podem entrar com sua conta de ID Microsoft Entra:

Navegando para o URL específico da organização do Automation Suite , que no caso o tipo de login já está selecionado. O URL deve incluir o ID da organização e terminar em uma barra, tal como https://{yourDomain}/orgID/.
Selecionando Enterprise SSO na página de login principal. Certifique-se de fornecer o URL específico da sua organização ao Automation Suite para todos os seus usuários.

Os usuários migrados recebem as permissões combinadas atribuídas diretamente a eles no Automation Suite junto com aquelas de seus grupos do Microsoft Entra ID.

Para configurar o Studio e o Assistant para se conectar às contas de ID do Microsoft Entra:

No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
Selecione Sair.
Para o tipo de conexão, selecione URL do Serviço.
No campo da URL do Serviço , adicione a URL específica da organização A URL deve incluir o ID da organização e terminar em uma barra, tal como https://{yourDomain}/orgID/. Caso contrário, a conexão falha dizendo que o usuário não pertence a nenhuma organização.
Faça login novamente com a conta de ID do Microsoft Entra.

Importante: as permissões dos grupos de ID do Microsoft Entra não influenciam as automações de pastas clássicas ou os robôs que estão conectados usando a chave da máquina. Para operar sob as permissões baseadas em grupo, configure as automações nas pastas modernas e use a opção de URL do Serviço para se conectar ao UiPath Assistant ou ao Studio.

Parar de usar as contas locais do UiPath (Opcional)

Recomendamos que você remova o uso de contas locais para maximizar os benefícios centrais de conformidade e eficiência da integração completa entre o Automation Suite e o Microsoft Entra ID.

Importante: Apenas remova contas de não-administrador . É recomendável manter pelo menos uma conta local de administrador na organização para poder alterar as configurações de autenticação no futuro.

Após a migração de todos os usuários, você poderá remover os usuários não admin da guia Usuários , para que seus usuários não possam mais fazer login usando sua conta local. Você pode encontrar essas contas com base nos seus ícones de usuário.

Você também pode limpar as permissões individuais nos serviços da UiPath, como o serviço do Orchestrator, e remover usuários individuais de grupos, para que as permissões dependam exclusivamente da associação de grupos de ID de Entrada da Microsoft.

Funcionalidades avançadas

A seção a seguir descreve algumas dicas úteis para recursos avançados que você pode aproveitar agora que tem a integração do Microsoft Entra ID configurada.

Restringir o acesso à sua organização

Como a integração com o Microsoft Entra ID é realizada no nível do tenant do Azure, por padrão, todos os usuários do Microsoft Entra ID podem acessar o Automation Suite. A primeira vez que um usuário do Microsoft Entra ID faz login em sua organização da UiPath, ele é automaticamente incluído no grupo da UiPath Everyone, o que lhe concede a função User na organização que fornece o nível básico de acesso dentro do ecossistema da UiPath.

Se você quiser permitir que apenas alguns usuários acessem sua organização, você pode ativar a atribuição de usuários para o registro do aplicativo UiPath no Azure. Dessa forma, os usuários precisam ser atribuídos explicitamente ao aplicativo para poderem acessá-lo. Para obter instruções, consulte como restringir seu aplicativo a um conjunto de usuários na documentação do Microsoft Entra ID.

Restringir o acesso às redes ou dispositivos confiáveis

Se você quiser permitir que seus usuários possam acessar o Automation Suite apenas de uma rede confiável ou dispositivo confiável, pode usar a funcionalidade Acesso condicional do Microsoft Entra ID .

Governança para grupos no Microsoft Entra ID

Se você criou grupos no Microsoft Entra ID para facilitar a integração UiPath diretamente do Microsoft Entra ID, conforme descrito anteriormente em Configurar grupos para permissões e robôs, você pode usar as opções de segurança avançadas do gerenciamento de identidade privilegiada (PIM) para esses grupos para controlar o acesso solicitações para grupos da UiPath. Para obter detalhes, consulte a documentação da Microsoft no PIM.

Perguntas frequentes

O que muda para os meus usuários após a ativação da integração?

Os usuários podem fazer login imediatamente usando sua conta do Microsoft Entra ID existente e se beneficiar das mesmas permissões que tiveram em sua conta local.

Se você não tiver removido suas contas locais, os usuários também podem continuar a fazer login com sua conta local (ambos os métodos funcionam).

Para usar a conta do Microsoft Entra ID, os usuários devem navegar para o URL específico de sua organização, que é do formuláriohttps://{yourDomain}/orgID/ ou selecionar SSO empresarial na página de login principal.

Outra mudança que os usuários podem notar é que, se eles já estiverem logados em suas contas do Microsoft Entra ID usando outro aplicativo, eles são automaticamente logados quando navegarem para esta URL.

Quais são as funções de cada conta?

Conta Microsoft Entra ID: quando um usuário faz login com sua conta Microsoft Entra ID, ele se beneficia imediatamente de todas as funções que tinha em sua conta local, mais quaisquer funções atribuídas dentro da UiPath à conta Microsoft Entra ID ou aos grupos de Microsoft Entra ID as quais elas pertencem. Essas funções podem vir do usuário do Microsoft Entra ID ou do grupo do Microsoft Entra ID sendo incluído em grupos, ou de outros serviços onde as funções foram atribuídas ao usuário do Microsoft Entra ID ou ao grupo do Microsoft Entra ID.

Conta local: com a integração do Microsoft Entra ID ativa, para contas locais, isso depende:

Se o usuário não tiver feito login pelo menos uma vez com sua conta de ID de Microsoft Entra, ele terá apenas as funções da conta local.
Se os usuários fizerem login usando sua conta do Microsoft Entra ID, a conta local terá todas as funções que o usuário do Microsoft Entra ID tem dentro da UiPath, quer explicitamente atribuídas, quer herdadas das associações de grupos.

Preciso aplicar novamente as permissões para as contas do Microsoft Entra ID?

Não. Como as contas correspondentes são automaticamente vinculadas, suas permissões existentes também se aplicam quando logados com a conta Microsoft Entra ID. No entanto, se você decidir interromper o uso das contas locais, certifique-se de que as permissões apropriadas tenham sido previamente definidas para os usuários e grupos do Microsoft Entra ID.

Solução de problemas

O usuário não pode fazer logon - Aprovação necessária

Descrição: os usuários não podem fazer logon. A janela Aprovação necessária é exibida. Isso acontece quando o consentimento do administrador não é concedido para a integração solicitada e as permissões de usuário atuais não permitem consentimento independente.

Solução: marque a caixa de seleção Conceder consentimento de administrador ao configurar o Azure para a integração, nas configurações do aplicativo.

O usuário não pode fazer logon - A atribuição do usuário é necessária (AADSTS50105)

Descrição: os usuários não podem fazer login porque não foram atribuídos a nenhum grupo com acesso ao aplicativo nem receberam acesso explicitamente. O erro AADSTS50105 é gerado, informando o seguinte: “Seu administrador configurou o aplicativo {appName} ('{appId}') para bloquear usuários, a menos que eles tenham acesso especificamente ('atribuído') ao aplicativo. O usuário '{user}' conectado está bloqueado porque ele não é um membro direto de um grupo com acesso nem tem acesso atribuído por um administrador. Entre em contato com seu administrator para atribuir acesso a este aplicativo."

Solução: Atribua grupos ao aplicativo Azure ou a um grupo que tenha acesso ao aplicativo. Consulte gerenciamento de atribuição de usuários na documentação oficial da Microsoft.

O segredo do Microsoft Entra ID expirou (#230)

Descrição: os usuários não podem fazer login. Uma mensagem de erro é gerada informando que "Seu segredo do Microsoft Entra ID expirou ou é inválido. Peça que seu administrador do Microsoft Entra ID crie um novo segredo no Portal do Azure e o atualize no portal de administração da UiPath (#230)”.

Solução: crie um novo segredo do cliente no Azure e atualize o segredo na seção de administração. Consulte adicionar credenciais na documentação oficial da Microsoft.

Nesta página

Pré-requisitos
Configuração do Azure para a Integração
Implantando a integração no Automation Suite
Limpe usuários inativos
Ativar a integração do Microsoft Entrada ID
Testar a integração do Microsoft Entrada ID
Como concluir a transição para o ID Entrada da Microsoft
Configurar Grupos para Permissões e Robôs (Opcional)
Migrar Usuários Existentes
Parar de usar as contas locais do UiPath (Opcional)
Funcionalidades avançadas
Perguntas frequentes
Solução de problemas

Esta página foi útil?

AnteriorComo permitir ou restringir a autenticação básica

AvançarConfigurando a integração SAML