- Introdução
- Administração do host
- Organizações
- Autenticação e segurança
- Como permitir ou restringir a autenticação básica
- Configuração da integração do Azure AD
- Configuração de chave de criptografia por tenant
- Licenciamento
- Tenants e serviços
- Contas e funções
- Aplicativos Externos
- Notificações
- Geração de logs
- Solução de problemas

Guia do administrador do Automation Suite
Configuração da integração do Azure AD
Se sua organização estiver usando o Azure Active Directory (Azure AD) ou Office 365, você pode conectar sua organização do Automation Suite diretamente ao seu tenant do Azure AD para visualizar contas e grupos existentes em seu ambiente do Automation Suite .
Com a integração do Azure AD, você pode continuar aproveitando o modelo de contas locais, enquanto inicializa sua organização com os benefícios adicionais de usar o modelo do Azure AD. A integração do Azure AD é projetada de tal forma que ativá-la e implementá-la pode acontecer gradualmente, sem nenhuma interrupção na produção para seus usuários existentes.
Se sua organização decidiu usar o modelo do Azure AD, siga as instruções nesta página para configurar a integração.
Para configurar a integração do Azure AD, você precisa que:
- permissões de administrador tanto no Automation Suitequanto no Azure AD (podem ser pessoas diferentes);
- uma conta do Azure AD com o mesmo endereço de e-mail que a conta local da UiPath do administrador da organização que realiza a integração. Observe que essa conta do Azure AD é apenas para testar a integração e não precisa ter permissões de administrador no Azure;
- UiPath Studio e UiPath Assistant versão 202.10.3 ou posterior;
- UiPath Studio e UiPath Assistant para usar a implantação recomendada.
-
se você usou anteriormente as contas de usuário locais, certifique-se de que todos os usuários do Azure AD tenham o endereço de e-mail no campo Email; ter o endereço de e-mail somente no campo Nome principal do usuário (UPN) não é suficiente. A integração do Azure AD vincula as contas de usuário do diretório com as contas de usuário locais se os endereços de e-mail forem correspondentes. Isso permite que os usuários retenham as permissões quando fizerem a transição de entrar com sua conta de usuário local para a conta de usuário do diretório do Azure AD.
appid
em uma URL dedicada, conforme descrito na documentação de tokens de acesso da Microsoft .
Sua organização exige um registro de aplicativo no seu tenant do Azure AD e alguma configuração para que possa visualizar seus membros do AD para estabelecer a identidade da conta. Os detalhes de registro do aplicativo também são necessários para conectar posteriormente sua organização a seu tenant do Azure AD.
Permissões: você tem que ser um administrador no Azure para executar as tarefas nesta seção. As seguintes funções de administrador do Azure têm os privilégios necessários: Global Administrator, Cloud Application Administrator ou Application Administrator.
Há duas maneiras de configurar seu tenant do Azure para a integração:
- Adote as seguintes etapas para configurar manualmente um registro de aplicativo para a integração.
- Use os scripts do Azure AD da UiPath que criamos para essa tarefa, os quais estão disponíveis no GitHub: o script
configAzureADconnection.ps1
realiza todas as ações descritas nesta seção e retorna os detalhes de registro do aplicativo. Em seguida, você pode executar o scripttestAzureADappRegistration.ps1
para garantir que o registro do aplicativo foi bem-sucedido.
Para configurar manualmente seu tenant do Azure, siga as seguintes etapas no Azure Portal:
Após a configuração do Azure ser concluída, você pode se preparar para a integração, ativá-lo e então limpar as contas antigas. O processo é dividido em etapas, para que não haja nenhuma interrupção para seus usuários.
Você deve ser um administrador da organização no Automation Suite para executar as tarefas nesta seção.
Quando você conecta o Automation Suite ao Azure AD ativando a integração, as contas com endereços de e-mail correspondentes são vinculadas, para que a conta do Azure AD se beneficie das mesmas permissões da conta local do UiPath correspondente.
Se sua organização pratica a reciclagem de e-mails, isso significa que um endereço de e-mail que foi usado no passado poderia ser atribuído a um novo usuário no futuro, isso pode levar a um alto risco de acesso.
john.doe@example.com
e esse funcionário tinha uma conta local na qual ele era administrador da organização. Porém, ele deixou a empresa e o endereço de email foi desativado, mas o usuário não foi removido.
john.doe@example.com
. Nesse caso, quando as contas são vinculadas como parte da integração com o Azure AD, o João herda os privilégios de administrador da organização.
Para evitar essas situações, certifique-se de remover todos os usuários que não estão mais ativos da organização do Automation Suite antes de prosseguir para a próxima etapa. Você pode pular essa etapa se os endereços de e-mail inativos não forem reutilizados em sua organização.
- certifique-se de que a configuração do Azure está completa;
- obtenha os valores do ID do diretório (tenant), ID do aplicativo (cliente) e Segredo do Cliente para o cadastro do aplicativo do Automation Suite no Azure a partir do seu administrador do Azure.
Agora, você pode trabalhar com os usuários e grupos no Azure AD do tenant vinculado. As contas e grupos do Directory não estão relacionadas nas páginas Usuários ou Grupos em Admin - Contas e grupos; você só pode encontrá-las por meio de pesquisa.
Para verificar se a integração está funcionando, faça login como administrador da organização com uma conta do Azure AD e tente pesquisar os usuários e grupos no Azure AD em qualquer página relacionada, como o painel Editar grupo no Automation Suite (Administrador > Contas e grupos > Grupos > Editar).
Se você puder pesquisar usuários e grupos que se originam no Azure AD, isso significa que a integração está em execução. Você pode identificar o tipo de usuário ou grupo através de seu ícone.
Se você encontrar um erro ao tentar pesquisar pelos usuários, conforme exibido no exemplo a seguir, isso indica que há algo errado com a configuração no Azure. Entre em contato com o administrador do Azure e peça que verifiquem se o Azure está configurado conforme descrito anteriormente na documentação Configuração do Azure para a Integração.
Depois que a integração estiver ativa, recomendamos que você siga as instruções nesta seção para assegurar que a criação de usuários e a atribuição de grupos seja transferida para o Azure AD. Dessa forma, você pode criar em cima da sua infraestrutura de identidade e gerenciamento de acesso existente para facilitar a governança e o controle de gerenciamento de acesso sobre seus recursos da UiPath no Automation Suite.
Você pode fazer isso para garantir que o administrador do Azure também possa inserir novos usuários com as mesmas permissões e a configuração de robôs que você configurou antes da integração. Isso pode ser feito adicionando quaisquer novos usuários a um grupo do Azure AD se o grupo já tiver as funções necessárias atribuídas.
Você pode mapear seus grupos de usuários existentes do Automation Suite para grupos novos ou existentes no Azure AD. Você pode fazer isso de várias maneiras, dependendo como de como você usa grupos no Azure AD:
- Se os usuários com as mesmas funções no Automation Suite já estão nos mesmos grupos no Azure AD, o administrador da organização pode adicionar esses grupos do Azure AD aos grupos de usuários em que esses usuários estavam. Isso garante que os usuários mantenham as mesmas permissões e configurações de robô.
- Caso contrário, o administrador do Azure pode criar novos grupos no Azure AD para corresponder aos do Automation Suite e adicionar os mesmos usuários que estão nos grupos de usuários da UiPath. Então o administrador da organização pode adicionar os novos grupos do Azure AD aos grupos de usuários existentes para garantir que os mesmos usuários tenham as mesmas funções.
Certifique-se de verificar todas as funções atribuídas especificamente aos usuários, em todas as instâncias. Se possível, remova essas atribuições diretas de funções e adicione esses usuários aos grupos já atribuídos com essas funções.
Por exemplo, digamos que o grupo Administradores no Automation Suite inclua os usuários Ana, Tom e John. Esses mesmos usuários também estão em um grupo no Azure AD chamado admins. O administrador da organização pode adicionar o grupo admins do Azure ao grupo Administradores no Automation Suite. Dessa forma, Ana, Tom e John, como membros do grupo admins do Azure AD, se beneficiam das funções do grupo Administradores no Automation Suite.
Como o admins agora faz parte do grupo Administrators , quando você precisar integrar um novo administrador, o administrador do Azure poderá adicionar o novo usuário ao grupo admins no Azure, concedendo-lhe assim permissões de administração no Automation Suite sem ter que fazer nenhuma alteração no Automation Pacote.
As alterações nas atribuições de grupo do Azure AD se aplicam no Automation Suite quando o usuário faz login com sua conta do Azure AD, ou se já estiver logado, dentro de uma hora.
Para que as permissões atribuídas aos usuários e grupos do Azure AD sejam aplicadas, os usuários devem fazer login pelo menos uma vez. Recomendamos que, após a integração estar em execução, você avise a todos os seus usuários para sairem de sua conta local e fazerem login novamente com sua conta do Azure AD. Eles podem fazer login com sua conta do Azure AD:
-
Navegando para o URL específico da organização do Automation Suite , que no caso o tipo de login já está selecionado. O URL deve incluir o ID da organização e terminar em uma barra, tal como
https://{yourDomain}/orgID/
. -
Selecionando o Enterprise SSO na página de login principal. Certifique-se de fornecer o URL específico da sua organização ao Automation Suite para todos os seus usuários.
Os usuários migrados recebem as permissões combinadas atribuídas diretamente a eles no Automation Suite , juntamente com aquelas dos seus grupos do Azure AD.
Para configurar o Studio e o Assistant para se conectar às contas do Azure AD:
- No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
- Selecione Sair.
- Para o tipo de conexão, selecione URL do Serviço.
-
No campo da URL do Serviço , adicione a URL específica da organização A URL deve incluir o ID da organização e terminar em uma barra, tal como
https://{yourDomain}/orgID/
. Caso contrário, a conexão falha dizendo que o usuário não pertence a nenhuma organização. - Faça o login novamente com a conta do Azure AD.
Recomendamos que você remova o uso de contas locais para maximizar os benefícios centrais de conformidade e eficiência da integração completa entre o Automation Suite e o Azure AD.
Após a migração de todos os usuários, você poderá remover os usuários não admin da guia Usuários , para que seus usuários não possam mais fazer login usando sua conta local. Você pode encontrar essas contas com base nos seus ícones de usuário.
Você também pode limpar as permissões individuais nos serviços da UiPath, como o serviço do Orchestrator, e remover usuários individuais de grupos para que as permissões dependam exclusivamente da associação de grupo do Azure AD.
Aqui estão algumas dicas úteis para os recursos avançados que você pode aproveitar agora que tem a integração do Azure AD configurada.
Restringir o acesso à sua organização
Como a integração com o Azure AD é realizada ao nível do tenant do Azure, por padrão todos os usuários do Azure AD podem acessar o Automation Suite. A primeira vez que um usuário do Azure AD faz login em sua organização da UiPath, eles são automaticamente incluídos no grupo Everyone do UiPath, que concede a eles a função de User na organização, que fornece o nível básico de acesso dentro do ecossistema da UiPath.
Se você quiser permitir que apenas alguns usuários acessem sua organização, você pode ativar a atribuição de usuários para o registro do aplicativo UiPath no Azure. Dessa forma, os usuários precisam ser atribuídos explicitamente ao aplicativo para poderem acessá-lo. Para obter instruções, consulte como restringir seu aplicativo a um conjunto de usuários na documentação do Azure AD da Microsoft.
Restringir o acesso às redes ou dispositivos confiáveis
Se você quiser permitir que seus usuários possam acessar o Automation Suite apenas de uma rede confiável ou dispositivo confiável, pode usar a funcionalidade Acesso condicional do Azure AD .
Governança para grupos no Azure AD
Se você criou grupos no Azure AD para uma fácil integração da UiPath diretamente do Azure AD conforme descrito anteriormente em Configurar grupos para permissões e robôs, pode usar as opções de segurança avançadas do gerenciamento de identidade privilegiada (PIM) para esses grupos para governar as solicitações de acesso para Grupos do UiPath. Para obter detalhes, consulte a documentação da Microsoft no PIM.
O que muda para os meus usuários após a ativação da integração?
Os usuários podem fazer login imediatamente usando sua conta do Azure AD e se beneficiar das mesmas permissões que tiveram em sua conta local.
Se você não tiver removido suas contas locais, os usuários também podem continuar a fazer login com sua conta local (ambos os métodos funcionam).
https://{yourDomain}/orgID/
, ou selecionar o Enterprise SSO na página de logon principal.
Outra mudança que os usuários podem notar é que, se eles já estiverem logados em suas contas do Azure AD usando outro aplicativo, eles são automaticamente logados quando navegarem para esta URL.
Quais são as funções de cada conta?
Conta do Azure AD: quando um usuário faz login com sua conta do Azure AD, ele se beneficia imediatamente de todas as funções que tinha na conta local, além de qualquer função atribuída dentro da UiPath para a conta do Azure AD ou aos grupos do Azure AD aos quais pertence . Estas funções podem vir da inclusão do usuário do Azure AD ou do grupo do Azure AD nos grupos, ou de outros serviços em que as funções foram atribuídas ao usuário ou ao grupo do Azure AD.
Conta local: com a integração do Azure AD ativa, para contas locais, ela depende de:
- Se o usuário não tiver feito login pelo menos uma vez com sua conta do Azure AD, ele terá apenas as funções da conta local.
- Se os usuários fizerem login usando sua conta do Azure AD, a conta local terá todas as funções que o usuário do AAD tem dentro da UiPath, quer explicitamente atribuídas, quer herdadas das associações de grupos.
Preciso aplicar novamente as permissões para as contas do Azure AD?
Não. Como as contas correspondentes são automaticamente vinculadas, suas permissões existentes também se aplicam quando logados com a conta do Azure AD. Entretanto, se você decidir interromper o uso das contas locais, certifique-se de que as permissões apropriadas tenham sido previamente definidas para os usuários e grupos do Azure AD.
O usuário não pode fazer logon - Aprovação necessária
O usuário não pode fazer logon - A atribuição do usuário é necessária (AADSTS50105)
Descrição: os usuários não podem fazer login porque não foram atribuídos a nenhum grupo com acesso ao aplicativo nem receberam acesso explicitamente. O erro AADSTS50105 é gerado, informando o seguinte: “Seu administrador configurou o aplicativo {appName} ('{appId}') para bloquear usuários, a menos que eles tenham acesso especificamente ('atribuído') ao aplicativo. O usuário '{user}' conectado está bloqueado porque ele não é um membro direto de um grupo com acesso nem tem acesso atribuído por um administrador. Entre em contato com seu administrator para atribuir acesso a este aplicativo."
Solução: Atribua grupos ao aplicativo Azure ou a um grupo que tenha acesso ao aplicativo. Consulte gerenciamento de atribuição de usuários na documentação oficial da Microsoft.
O segredo do Azure AD expirou (#230)
Descrição: os usuários não podem fazer logon. Uma mensagem de erro é exibida informando que “Seu segredo do Azure AD expirou ou é inválido. Peça que o administrador do Azure AD crie um novo segredo no Portal do Azure e atualize o segredo no portal de administração da UiPath (#230)".
Solução: crie um novo segredo do cliente no Azure e atualize o segredo na seção de administração. Consulte adicionar credenciais na documentação oficial da Microsoft.
- Pré-requisitos
- Configuração do Azure para a Integração
- Implantando a integração no Automation Suite
- Limpe usuários inativos
- Ativar a Integração do Azure AD
- Testar a integração do Azure AD
- Completando a Transição para o Azure AD
- Configurar Grupos para Permissões e Robôs (Opcional)
- Migrar Usuários Existentes
- Parar de usar as contas locais do UiPath (Opcional)
- Funcionalidades avançadas
- Perguntas frequentes
- Solução de problemas