- Primeira configuração
- Administração do host
- Administração da organização
- Gerenciando sua organização
- Gerenciamento das licenças de sua organização
- Substituição de notificações de e-mail do sistema
- Configuração da integração do Azure AD
- Configurando a integração SAML
- Restringindo o acesso a um conjunto de usuários
- Política de sessão
- Tenants e serviços
- Configuração de chave de criptografia por tenant
- Gerenciamento de tags
- Contas e funções
- Licenciamento
- Notificações
Configuração da integração do Azure AD
Se sua organização estiver usando o Azure Active Directory (Azure AD) ou o Office 365, você pode conectar sua organização do Automation Suite diretamente ao seu tenant do Azure AD para ver as contas de usuário existentes no seu ambiente UiPath®.
A integração do Azure AD permite que você continue usando o modelo de usuário local, se você quiser, enquanto reinicia sua organização com os benefícios adicionais da utilização do Azure AD. Para mais informações sobre as diferenças, consulte Autoridade sobre contas e grupos.
Se você decidiu usar o Azure AD para sua organização, siga as instruções nesta página para configurar a integração.
Para configurar a integração do Azure AD, você precisa que:
- permissões de administrador no Automation Suite e no Azure AD (se você não tiver permissões de administrador no Azure, colabore com um administrador do Azure para concluir o processo de configuração);
- uma conta de administrador da organização da UiPath que usa o mesmo endereço de e-mail que um usuário do Azure AD; o usuário do Azure AD não precisa de permissões de administrador no Azure;
- UiPath Studio e Assistant com versão 202.10.3 ou posterior;
- UiPath Studio e UiPath Assistant para usar a implantaçãorecomendada..
- se você usou anteriormente contas de usuárioslocais,, certifique-se de que todos os seus usuários do Azure AD tenham o endereço de email no campo Email; ter o endereço de email no campo Nome do princípio de usuário (UPN) por si só não é suficiente. A integração do Azure AD vincula as contas de usuário do diretório com as contas de usuário locais se os endereços de e-mail forem correspondentes. Isso permite que os usuários retenham as permissões quando fizerem a transição de entrar com sua conta de usuário local para a conta de usuário do diretório do Azure AD.
appid
em um URL dedicado, conforme descrito na documentação de tokens de acesso da Microsoft .
Sua organização exige um registro de aplicativo no seu tenant do Azure AD e alguma configuração para que possa visualizar seus membros do AD para estabelecer a identidade da conta. Os detalhes de registro do aplicativo também são necessários para conectar posteriormente sua organização a seu tenant do Azure AD.
Permissões: você tem que ser um administrador no Azure para executar as tarefas nesta seção. As seguintes funções de administrador do Azure têm os privilégios necessários: Global Administrator, Cloud Application Administrator ou Application Administrator.
Há duas maneiras de configurar seu tenant do Azure para a integração:
- Siga as instruções abaixo para configurar manualmente um registro de aplicativo para a integração.
- Use os scripts do Azure AD da UiPath que criamos para essa tarefa, os quais estão disponíveis no GitHub: o script configAzureADconnection.ps1 realiza todas as ações descritas nesta seção e retorna os detalhes de registro do aplicativo. Então você pode executar o script testAzureADappRegistration.ps1 para garantir que o registro do aplicativo foi bem-sucedido.
Para configurar manualmente seu tenant do Azure, faça o seguinte no Azure Portal:
Após a configuração do Azure ser concluída, você pode se preparar para a integração, ativá-lo e então limpar as contas antigas.
O processo é dividido em etapas, para que não haja nenhuma interrupção para seus usuários.
Permissões: você deve ser um administrador da organização no Automation Suite para executar as tarefas nesta seção.
Quando você conecta o Automation Suite ao Azure AD ativando a integração, as contas com endereços de e-mail correspondentes são vinculadas para que a conta do Azure AD se beneficie das mesmas permissões que a conta da UiPath correspondente.
Se sua organização pratica a reciclagem de e-mails, isso significa que um endereço de e-mail que foi usado no passado poderia ser atribuído a um novo usuário no futuro, isso pode levar a um alto risco de acesso.
Mais informações...
john.doe@example.com
e esse funcionário tinha uma conta UiPath na qual ele era administrador da organização. Porém, ele deixou a empresa e o endereço de email foi desativado, mas o usuário não foi removido do Automation Suite. Quando um novo funcionário que também se chama João entra na empresa, ele recebe o mesmo endereço de e-mail john.doe@example.com
. Nesse caso, quando as contas são vinculadas para a integração do Automation Suite com o Azure AD, João Silva herda os privilégios de administrador da organização.
Para evitar essas situações, certifique-se de remover todos os usuários que não estão mais ativos do Automation Suite antes de prosseguir para a próxima etapa.
Antes de começar
- Certifique-se de que a configuração do Azure esteja concluída, conforme descrito acima.
- Obtenha os valores do ID do diretório (tenant), ID do aplicativo (cliente) e Segredo do Cliente para o cadastro do aplicativo do Automation Suite no Azure a partir do seu administrador do Azure.
Para ativar a integração do Azure AD, faça o seguinte no Automation Suite:
Agora você pode trabalhar com os usuários e grupos no tenant do Azure AD vinculado. Você pode localizar usuários e grupos do Azure AD usando a pesquisa, como por exemplo, para adicionar um usuário a um grupo do Automation Suite.
O que muda para os meus usuários após a ativação da integração?
Os usuários podem fazer login imediatamente usando a conta do Azure AD e se beneficiar das mesmas permissões que tiveram na sua conta da UiPath.
Se você não tiver removido suas contas de usuário da UiPath, os usuários também podem continuar a fazer login com sua conta da UiPath, ambos os métodos funcionam.
https://{baseURL}/myOrganization/
, ou selecionar SSO empresarial na página de login principal.
Outra mudança que os usuários podem notar é que, se eles já estiverem logados em suas contas do Azure AD usando outro aplicativo, eles são automaticamente logados quando navegarem para esta URL.
Quais são as funções de cada conta?
Conta do Azure AD: quando um usuário faz login com sua conta do Azure AD, ele se beneficia imediatamente de todas as funções que tinham na sua conta da UiPath, mais qualquer funções atribuídas dentro da UiPath para a conta do Azure AD ou aos grupos do Azure AD aos quais pertencem. Estas funções podem vir do usuário do Azure AD ou do grupo do Azure AD sendo incluído nos grupos do Automation Suite, ou de outros serviços como o Orchestrator onde as funções foram atribuídas ao usuário ou ao grupo do Azure AD.
Conta da UiPath: com a integração do Azure AD ativa, para as contas da UiPath isso depende:
- Se o usuário não tiver feito login pelo menos uma vez com sua conta do Azure AD, ele terá apenas as funções da conta UiPath.
- Se ele tiver feito login anteriormente com a conta do Azure AD pelo menos uma vez, a conta da UiPath também terá quaisquer funções que o usuário do Azure AD tenha dentro da UiPath, quer explicitamente atribuídas, quer herdadas das associações de grupo do Automation Suite. A conta da UiPath não se beneficia de nenhuma das funções atribuídas aos grupos do Azure AD em que a conta do Azure AD está.
Preciso aplicar novamente as permissões para as contas do Azure AD?
Não. Como as contas correspondentes são automaticamente vinculadas, suas permissões existentes também se aplicam quando logados com a conta do Azure AD. No entanto, se decidir descontinuar o uso das contas da UiPath, certifique-se de que as permissões apropriadas tenham sido previamente definidas para usuários e grupos a partir do Azure.
Para verificar se a integração está sendo executada a partir do Automation Suite, faça login como administrador da organização com uma conta do Azure AD e tente pesquisar os usuários e grupos no Azure AD em qualquer página relacionada, como o painel Editar grupo no Automation Suite em (Administrador > organização > Usuários e grupos > Grupos > Editar).
-
Se você pode pesquisar por usuários e grupos que se originam no Azure AD, isso significa que a integração está em andamento. Você pode identificar o tipo de usuário ou grupo através de seu ícone.
Observação: Usuários e Grupos do Azure AD não estão listados na página Usuários ou na página Grupos, eles só estão disponíveis por meio da pesquisa. -
Se você encontrar um erro ao tentar pesquisar usuários, conforme mostrado no exemplo abaixo, isso indica que há algo errado com a configuração no Azure. Entre em contato com o administrador do Azure e peça para verificar se o Azure está configurado conforme descrito acima em Configurando o Azure para a integração.
Conselho: Peça ao seu administrador do Azure para confirmar que eles selecionaram a caixa de seleção Conceder consentimento de administrador durante a configuração do Azure. Esta é uma causa comum de falha na integração.
Depois que a integração estiver ativa, recomendamos que você siga as instruções nesta seção para garantir que a criação de usuários e a atribuição de grupos seja entregue para o Azure AD. Dessa forma, você pode criar em cima da sua infraestrutura de identidade e gerenciamento de acesso existente para facilitar a governança e o controle de gerenciamento de acesso sobre os recursos de sua organização do Automation Suite.
Você pode fazer isso para garantir que o administrador do Azure também possa inserir novos usuários com as mesmas permissões e a configuração de robôs para o Automation Suite e outros serviços que você tenha configurado antes da integração. Eles podem fazer isso adicionando quaisquer novos usuários a um grupo do Azure AD se o grupo tiver as funções necessárias já atribuídas no Automation Suite.
Você pode mapear seus grupos de usuários existentes do Automation Suite para grupos novos ou existentes no Azure AD. Você pode fazer isso de várias maneiras, dependendo como de como você usa grupos no Azure AD:
- Se os usuários com as mesmas funções no Automation Suite já estão nos mesmos grupos no Azure AD, o administrador da organização pode adicionar esses grupos do Azure AD aos grupos de usuários do Automation Suite em que esses usuários estavam. Isso garante que os usuários mantenham as mesmas permissões e configurações de robô.
- Caso contrário, o administrador do Azure pode criar novos grupos no Azure AD para corresponder aos do Automation Suite e adicionar os mesmos usuários que estão nos grupos de usuários do Automation Suite. Então o administrador da organização pode adicionar os novos grupos do Azure AD aos grupos de usuários existentes para garantir que os mesmos usuários tenham as mesmas funções.
Em ambos os casos, certifique-se de verificar todas as funções que foram atribuídas às contas. Se possível, elimine as atribuições explícitas de funções adicionando esses usuários aos grupos que têm as funções que foram atribuídas explicitamente.
Exemplo: digamos que o grupo Administradores no Automation Suite inclua os usuários Roger, Tom e Jerry. Esses mesmos usuários também estão em um grupo no Azure AD chamado admins. O administrador da organização pode adicionar o grupo admins ao grupo Administradores no Automation Suite. Dessa forma, Roger, Tom e Jerry, como membros do grupo admins do Azure AD, se beneficiam das funções do grupo Administradores.
Como o admins agora faz parte do grupo Administradores, quando você precisar integrar um novo administrador, o administrador do Azure poderá adicionar o novo usuário ao grupo admins no Azure, concedendo-lhe assim permissões de administração no Automation Suite sem ter que fazer nenhuma alteração no Automation Suite.
As alterações nas atribuições de grupo do Azure AD se aplicam no Automation Suite quando o usuário faz login com sua conta do Azure AD, ou se já estiver logado, dentro de uma hora.
Login inicial: para que as permissões atribuídas aos usuários e grupos do Azure AD sejam aplicadas, os usuários devem fazer login pelo menos uma vez. Recomendamos que, após a integração estar em execução, você avise a todos os seus usuários para sairem da conta da UiPath e fazerem login novamente com sua conta do Azure AD. Eles podem fazer login com sua conta do Azure AD:
-
navegando para a URL específica da organização, que no caso o tipo de login já está selecionado;
Nota: A URL deve incluir o ID da organização e terminar em uma barra, tal comohttps://{baseURL}/orgID/
. -
selecionando Enterprise SSO na página de login principal.
Nota: forneça o URL específico da organização para Automation Suite para todos os seus usuários. Apenas os administradores da organização podem ver essa informação no Automation Suite.
Os usuários migrados se beneficiam da união das permissões que lhes foram diretamente atribuídas e as dos seus grupos do Azure AD.
Configuração do Studio e Assistant para usuários: para configurar esses produtos para se conectar às contas do Azure AD:
Embora opcional, recomendamos que você faça isso para maximizar os benefícios centrais de conformidade e eficiência da integração completa entre o Automation Suite e o Azure AD.
Após a migração de todos os usuários, você pode remover os que são baseados em contas pessoais locais da aba de Usuários, para que seus usuários não possam mais fazer login usando suas contas da UiPath. Você pode encontrar essas contas com base nos seus ícones de usuário.
Você também pode limpar as permissões individuais nos serviços da UiPath, como o serviço do Orchestrator, e remover usuários individuais de grupos do Automation Suite, para que as permissões dependam exclusivamente da associação de grupo do Azure AD.
Aqui estão algumas dicas úteis para os recursos avançados que você pode aproveitar agora que tem a integração do Azure AD configurada.
Como a integração com o Azure AD é realizada ao nível do tenant do Azure, por padrão, todos os usuários do Azure AD podem acessar o Automation Suite. A primeira vez que um usuário do Azure AD faz login no Automation Suite, ele é automaticamente incluído no grupo Everyone do Automation Suite, que concede a ele a função de usuário ao nível de organização.
Se você quiser permitir apenas que determinados usuários acessem sua organização do Automation Suite, pode ativar a atribuição de usuários para o cadastro do aplicativo do Automation Suite no Azure. Dessa forma, os usuários precisam ser atribuídos explicitamente ao aplicativo (Automation Suite) para poder acessá-lo. Para obter instruções, consulte este artigo na documentação do Azure AD.
Se você quiser permitir que seus usuários possam acessar o Automation Suite apenas de uma rede confiável ou dispositivo confiável, pode usar a funcionalidade Acesso condicional do Azure AD.
Se você criou grupos no Azure AD para facilitar a integração de usuários ao Automation Suite diretamente do Azure AD conforme descrito em Configurar grupos para permissões e robôs, você pode usar as opções de segurança avançadas do Gerenciamento de identidade privilegiada (PIM) para esses grupos para governar as solicitações de acesso para grupos do Automation Suite.
- Visão geral
- Pré-requisitos
- Configuração do Azure para a Integração
- Implantando a integração no Automation Suite
- Limpe usuários inativos
- Ativar a Integração do Azure AD
- Testar a integração do Azure AD
- Completando a Transição para o Azure AD
- Configurar Grupos para Permissões e Robôs (Opcional)
- Migrar Usuários Existentes
- Descontinuar o uso de contas locais (opcional)
- Melhores práticas
- Restringir o acesso ao Automation Suite
- Restringir o acesso às redes ou dispositivos confiáveis
- Governança para os grupos do Automation Suite no Azure AD