orchestrator
2022.4
false
Importante :
A tradução automática foi aplicada parcialmente neste conteúdo.
UiPath logo, featuring letters U and I in white
Guia do usuário do Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 9 de out de 2024

Configuração da integração do Azure AD

Visão geral

Se sua organização estiver usando o Azure Active Directory (Azure AD) ou o Office 365, você pode conectar sua organização do Orchestrator diretamente ao seu tenant do Azure AD para ver as contas de usuário existentes no seu ambiente UiPath®.

A integração do Azure AD permite que você continue usando o modelo de usuário local, se você quiser, enquanto reinicia sua organização com os benefícios adicionais da utilização do Azure AD.

Se você decidiu usar o Azure AD para sua organização, siga as instruções nesta página para configurar a integração.

Conselho: A integração do Azure AD é projetada de tal forma que ativá-la e implementá-la pode acontecer gradualmente, sem nenhuma interrupção na produção para seus usuários existentes.

Pré-requisitos

Para configurar a integração do Azure AD, você precisa que:

  • Permissões de administrador no Orchestrator e no Azure AD (se não tiver permissões de administrador no Azure, colabore com um administrador do Azure para concluir o processo de configuração);
  • o administrador da organização UiPath deve ter uma conta do Azure AD com o mesmo endereço de e-mail de sua conta UiPath; a conta do Azure AD não requer permissões de administrador no Azure;
  • seus usuários precisam usar UiPath Studio e Assistant versão 2020.10.3 ou posterior;
  • O UiPath Studio and Assistant deve ser configurado para usar a implantação recomendada.
  • se você usou anteriormente as contas de usuário locais, certifique-se de que todos os usuários do Azure AD tenham o endereço de e-mail no campo E-mail; ter o endereço de e-mail somente no campo Nome principal do usuário (UPN) não é suficiente. A integração do Azure AD vincula as contas de usuário do diretório com as contas de usuário locais se os endereços de e-mail forem correspondentes. Isso permite que os usuários retenham as permissões quando fizerem a transição de entrar com sua conta de usuário local para a conta de usuário do diretório do Azure AD.

Configuração do Azure para a Integração

Permissões: você tem que ser um administrador no Azure para executar as tarefas nesta seção. As seguintes funções de administrador do Azure têm os privilégios necessários: Global Administrator, Cloud Application Administrator ou Application Administrator.

Para configurar seu tenant do Azure, faça o seguinte no Portal do Azure:

  1. Crie um cadastro de aplicativo para o Automation Suite.
    Durante o cadastramento, selecione Apenas contas neste diretório organizacional e defina o Redirecionar o URI como https://{baseURL}/identity_/signin-oidc.
    Observação: Se você já tiver um aplicativo registrado para o Automation Suite, não precisa criar um novo, mas certifique-se de que ele esteja configurado conforme descrito acima.
  2. Abra a página Visão geral do aplicativo, copie o ID do aplicativo (cliente) e o ID do diretório (tenant) e salve-os para uso posterior:


  3. Acesse a página de Autenticação de seu aplicativo:
    1. Em Redirecionar URIs, clique em Adicionar o URI para adicionar uma nova entrada.
    2. Adicione https://{baseURL}/portal_/testconnection à lista de Redirecionamento de URIs.
    3. Na parte inferior, selecione a caixa de seleção tokens de ID.
    4. Clique em Salvar na parte superior.


  4. Acesse a página de Configuração de tokens.
  5. Selecione Adicionar pedido opcional.
  6. Sob Tipo de token, selecione ID.
  7. Selecione as caixas de seleção para family_name, given_name e upn para adicioná-las como pedidos opcionais:


  8. Acesse a página de permissões da API.
  9. Clique em Adicionar permissão e adicione as seguintes permissões delegadas da categoria Microsoft Graph:
    • Permissões do OpenId - email, openid, offline_access, profile;
    • Permissões de membro do grupo - GroupMember.Read.All;
    • Permissões de usuário - User.Read, User.ReadBasic.All, User.Read.All (requer consentimento administrativo).
    docs image

    Permission

    O que ele permite que você faça

    O que fazemos com ele

    email, openid, profile, offline_access e User.ReadPermite que o AAD emita um token de usuário para o aplicativo do sistemaPermitir que os usuários façam login no sistema usando um login do AAD. Isso nos permite manter nosso objeto de usuário atualizado, garantindo a consistência desses atributos.
    User.ReadBasic.AllLê propriedades básicas de todos os usuários no diretório que o usuário conectado tem permissão para verQuando um usuário atribui permissões a outros usuários no diretório para seus recursos, ele pode pesquisar esses usuários. A funcionalidade para gerenciamento/autorização de acesso está na experiência do usuário do sistema.
    User.Read.All (requer consentimento do administrador) Lê todas as propriedades do usuário no diretório que o usuário conectado tem permissão para verSeu administrador pode querer importar essas propriedades do usuário adicionais para configurar permissões ou exibir informações personalizadas dentro dos serviços do sistema. Para clientes do Automation Hub que desejam obter o conjunto completo de atributos do AAD, é necessário conceder a permissão User.Read.All ao aplicativo.
    GroupMember.Read.AllLê as associações de grupo de todos os usuários aos quais o usuário conectado tem acessoSe sua organização estiver usando grupos para gerenciar permissões no sistema, a plataforma precisará poder listar todos os grupos e descobrir os membros de um grupo; isso permite o gerenciamento e a aplicação das permissões atribuídas ao grupo.

    Para saber mais sobre o acesso da UiPath com essas permissões, consulte nossa documentação de Criptografia.

  10. Selecione a caixa de seleção Conceder consentimento de administrador.
    Nota: O administrador consente em nome de todos os usuários no active directory do tenant. Isso permite que o aplicativo acesse os dados de todos os usuários, sem que uma solicitação de consentimento seja enviada aos usuários.
    Para obter mais informações sobre permissões e consentimentos, consulte a documentação do Azure AD.
  11. Acesse a página Certificados e segredos.
  12. Crie um novo segredo do cliente.
  13. Copie o Valor secreto do cliente e salve-o para uso posterior


  14. Compartilhe os valores de ID do diretório (tenant), ID de aplicativo (cliente) e Secredo do Cliente com o administrador da organização do Automation Suite para que ele possa proceder com a configuração do Automation Suite.

Implantação da integração no Orchestrator

Após a configuração do Azure ser concluída, você pode se preparar para a integração, ativá-lo e então limpar as contas antigas.

O processo é dividido em etapas, para que não haja nenhuma interrupção para seus usuários.

Permissões: você deve ser um administrador no Orchestrator para executar as tarefas nesta seção.

Limpe usuários inativos

Quando você conectar o Orchestrator ao Azure AD, ativando a integração, as contas com endereços de e-mail correspondentes são vinculadas para que a conta do Azure AD se beneficie das mesmas permissões da conta correspondente da UiPath.

Importante: Para que a associação de contas funcione corretamente, certifique-se de que todos os usuários Azure AD tenham um endereço de email adicionado no campo Email no Azure; o endereço de e-mail somente no campo Nome principal do usuário (UPN) não é suficiente.

Se sua organização pratica a reciclagem de e-mails, isso significa que um endereço de e-mail que foi usado no passado poderia ser atribuído a um novo usuário no futuro, isso pode levar a um alto risco de acesso.

Observação: Se os endereços de e-mail inativos não forem reutilizados em sua organização, você pode pular essa etapa.

Exemplo

Digamos que você já teve um funcionário cujo endereço de e-mail era john.doe@example.com e esse funcionário tinha uma conta UiPath da qual ele era administrador na organização. Porém, ele saiu da empresa e o endereço de e-mail foi desativado, mas o usuário não foi removido.
Quando um novo funcionário que também se chama João entra na empresa, ele recebe o mesmo endereço de e-mail john.doe@example.com. Nesse caso, João herda privilégios de administrador da organização.

Para evitar essas situações, certifique-se de remover todos os usuários que não estão mais ativos do Orchestrator antes de prosseguir para a próxima etapa.

Ativar a Integração do Azure AD

Antes de começar

  • Certifique-se de que a configuração do Azure esteja concluída, conforme descrito acima nesta página.
  • Obtenha os valores do ID do diretório (tenant), ID do aplicativo (cliente) e Segredo do cliente do seu administrador do Azure para o registro do aplicativo do Orchestrator.

Para ativar a integração do Azure AD, faça o seguinte no Orchestrator:

  1. Faça logon no portal de Gerenciamento como um administrador e acesse as Configurações de segurança.
  2. Na seção Provedores externos, clique em Configurar em Azure Active Directory.


    O painel Configurar Azure Active Directory abre à direita da janela.

  3. Preencha os campos com as informações recebidas de seu administrador do Azure.
  4. Marque a caixa de seleção.

    Isso é necessário porque após salvar suas alterações, as contas correspondentes são automaticamente vinculadas.

  5. Clique em Testar Conexão.
  6. Quando solicitado, faça login com sua conta do Azure AD.

    Um login bem-sucedido indica que a integração foi configurada corretamente. Caso ele falhar, peça ao seu administrador do Azure para verificar se o Azure está configurado corretamente e depois tente novamente.

  7. Clique em Salvar.

    A integração agora está ativa para sua organização.

  8. Acesse Administrador > Configurações da organização e copie o URL para sua organização.
  9. Faça logoff.
  10. Navegue até o URL para sua organização (https://orchestrator.mydomain.local) e faça login usando sua conta do Azure AD clicando em Continuar com SSO empresarial.

Agora você pode trabalhar com os usuários e grupos no tenant do Azure AD vinculado. Você pode encontrar usuários e grupos do Azure AD usando a pesquisa. Por exemplo, para adicionar um usuário a um grupo do Orchestrator que não está listado nem na página de Usuários, nem na de Grupos.

O que muda para os meus usuários após a ativação da integração?

Os usuários podem fazer login imediatamente usando a conta do Azure AD e se beneficiar das mesmas permissões que tiveram na sua conta da UiPath.

Se você não tiver removido suas contas de usuário da UiPath, os usuários também podem continuar a fazer login com sua conta da UiPath, ambos os métodos funcionam.

Para usar sua conta do Azure AD, eles devem navegar para o Orchestrator específico de sua organização, que é do formulário https://{baseURL}/myOrganization/ ou selecionar o Enterprise SSO na página de logon principal.

Outra mudança que os usuários podem notar é que, se eles já estiverem logados em suas contas do Azure AD usando outro aplicativo, eles são automaticamente logados quando navegarem para esta URL.

Quais são as funções de cada conta?

Conta do Azure AD: quando um usuário faz login com sua conta do Azure AD, ele se beneficia imediatamente de todas as funções que tinham na sua conta da UiPath, mais qualquer funções atribuídas dentro da UiPath para a conta do Azure AD ou aos grupos do Azure AD aos quais pertencem. Estas funções podem vir da inclusão do usuário do Azure AD ou do grupo do Azure AD nos grupos do Orchestrator, ou de outros serviços como o Orchestrator, onde as funções foram atribuídas ao usuário ou ao grupo do Azure AD.

Conta da UiPath: com a integração do Azure AD ativa, para as contas da UiPath isso depende:

  • Se o usuário não tiver feito login pelo menos uma vez com sua conta do Azure AD, ele terá apenas as funções da conta UiPath.
  • Se ele tiver feito logon anteriormente com a conta do Azure AD pelo menos uma vez, a conta da UiPath também terá quaisquer funções que o usuário do Azure AD tenha dentro da UiPath, quer explicitamente atribuídas, quer herdadas das associações de grupo do Orchestrator. A conta da UiPath não se beneficia de nenhuma das funções atribuídas aos grupos do Azure AD em que a conta do Azure AD está.
Preciso aplicar novamente as permissões para as contas do Azure AD?

Não. Como as contas correspondentes são automaticamente vinculadas, suas permissões existentes também se aplicam quando logados com a conta do Azure AD. No entanto, se decidir descontinuar o uso das contas da UiPath, certifique-se de que as permissões apropriadas tenham sido previamente definidas para usuários e grupos a partir do Azure.

Testar a integração do Azure AD

Para verificar se a integração está funcionando no Orchestrator, faça logon como um administrador da organização com uma conta do Azure AD e tente pesquisar por usuários e grupos do Azure AD em qualquer página relacionada, tal como o painel Editar grupo no Orchestrator (Administrador > Contas e grupos > Grupos > Editar).

  • Se você puder pesquisar usuários e grupos que se originam no Azure AD, isso significa que a integração está em execução. Você pode dizer o tipo de usuário ou grupo por seu ícone .

    Observação: Usuários e Grupos do Azure AD não estão listados na página Usuários ou na página Grupos, eles só estão disponíveis por meio da pesquisa.
  • Se você encontrar um erro ao tentar pesquisar usuários, conforme mostrado no exemplo abaixo, isso indica que há algo de errado com a configuração no Azure. Entre em contato com seu administrador do Azure e peça-lhe para verificar se o Azure está configurado conforme descrito em Configuração do Azure para a integração acima nesta página.

    Conselho: Peça ao seu administrador do Azure para confirmar que eles selecionaram a caixa de seleção Conceder consentimento de administrador durante a configuração do Azure. Esta é uma causa comum de falha na integração.

Completando a Transição para o Azure AD

Depois que a integração estiver ativa, recomendamos que você siga as instruções nesta seção para garantir que a criação de usuários e a atribuição de grupos seja entregue para o Azure AD. Dessa forma, você pode criar em cima da sua infraestrutura de identidade e gerenciamento de acesso existente para facilitar a governança e o controle de gerenciamento de acesso sobre os recursos de sua organização do Orchestrator.

Configurar Grupos para Permissões e Robôs (Opcional)

Você pode fazer isso para garantir que o administrador do Azure também possa inserir novos usuários com as mesmas permissões e a configuração de robôs para o Orchestrator e outros serviços que você tenha configurado antes da integração. Isso pode ser feito adicionando quaisquer novos usuários a um grupo do Azure AD se o grupo tiver as funções necessárias já atribuídas no Orchestrator.

Você pode mapear seus grupos de usuário existentes do Orchestrator para novos grupos ou grupos já existentes no Azure AD. Você pode fazer isso de várias maneiras, dependendo de como você usa grupos no Azure AD:

  • Se os usuários com as mesmas funções no Orchestrator já estão nos mesmos grupos no Azure AD, o administrador da organização pode adicionar esses grupos do Azure AD aos grupos de usuários do Orchestrator em que esses usuários estavam. Isso garante que os usuários mantenham as mesmas permissões e configurações de robô.
  • Caso contrário, o administrador do Azure pode criar novos grupos no Azure AD para corresponder aos do Orchestrator e adicionar os mesmos usuários que estão nos grupos de usuários do Orchestrator. Então, o administrador da organização pode adicionar os novos grupos do Azure AD aos grupos de usuários existentes para garantir que os mesmos usuários tenham as mesmas funções.

Em ambos os casos, certifique-se de verificar todas as funções que foram atribuídas às contas. Se possível, elimine as atribuições explícitas de funções adicionando esses usuários aos grupos que têm as funções que foram atribuídas explicitamente.

Exemplo: suponhamos que o grupo de Administradores no Orchestrator inclua os usuários Roger, Tom e Jerry. Esses mesmos usuários também estão em um grupo no Azure AD chamado admins. O administrador da organização pode adicionar o grupo de admins ao grupo de Administradores no Orchestrator. Dessa forma, Roger, Tom e Jerry, como membros do grupo admins do Azure AD, se beneficiam das funções do grupo Administradores.

Como o admins agora faz parte do grupo Administradores, quando você precisar integrar um novo administrador, o administrador do Azure poderá adicionar o novo usuário ao grupo admins no Azure, concedendo-lhe assim permissões de administração no Orchestrator sem ter que fazer nenhuma alteração no Orchestrator.

As alterações em atribuições de grupo do Azure AD serão aplicadas no Orchestrator quando o usuário fizer login com sua conta do Azure AD ou, se já estivar conectado, após uma hora.

Migrar Usuários Existentes

Login inicial: para que as permissões atribuídas aos usuários e grupos do Azure AD sejam aplicadas, os usuários devem fazer login pelo menos uma vez. Recomendamos que, após a integração estar em execução, você avise a todos os seus usuários para sairem da conta da UiPath e fazerem login novamente com sua conta do Azure AD. Eles podem fazer login com sua conta do Azure AD:

  • navegando para a URL específica da organização, que no caso o tipo de login já está selecionado;
  • selecionando Enterprise SSO na página de login principal.

    Observação: certifique-se de fornecer o URL específico da sua organização para o Orchestrator a todos os seus usuários. Apenas os administradores da organização podem ver essas informações no Orchestrator.

Os usuários migrados se beneficiam da união das permissões que lhes foram diretamente atribuídas e as dos seus grupos do Azure AD.

Configuração do Studio e Assistant para usuários: para configurar esses produtos para se conectar às contas do Azure AD:

  1. No Assistant, abra Preferências e selecione a aba Conexão do Orchestrator.
  2. Clique em Sair.
  3. Para o tipo de conexão, selecione URL do Serviço.
  4. No campo URL de serviço, adicione a URL específica da organização, por exemplo https://orchestrator.mydomain.local/.
  5. Faça o login novamente com a conta do Azure AD.
Important: As Permissões dos grupos do Azure AD não influenciam as automações de pastas clássicas ou os robôs que estão conectados usando a chave da máquina. Para operar sob as permissões baseadas em grupo, configure as automações nas pastas modernas e use a opção de URL do Serviço para se conectar ao UiPath Assistant ou ao Studio.

Descontinuar o uso de contas locais (opcional)

Embora opcional, recomendamos que você faça isso para maximizar os benefícios centrais de conformidade e eficiência da integração completa entre o Orchestrator e o Azure AD.

Depois que todos os usuários forem migrados, você pode remover os usuários que são baseados em contas locais pessoais da guia Usuários, para que seus usuários não possam mais fazer login usando suas contas da UiPath. Você pode encontrar essas contas com base em seus ícones de usuários .

Você também pode limpar as permissões individuais nos serviços da UiPath, como o serviço do Orchestrator, e remover usuários individuais de grupos do Orchestrator, para que as permissões dependam exclusivamente da associação de grupo do Azure AD.

Exceção

Se você decidir descontinuar o uso de contas locais, recomendamos que mantenha pelo menos uma conta local com a função de administrador da organização para ser usada se você precisar atualizar as configurações de autenticação para sua organização. Do contrário, as opções de Configurações de autenticação não ficarão ativas.

Melhores práticas

Aqui estão algumas dicas úteis para os recursos avançados que você pode aproveitar agora que tem a integração do Azure AD configurada.

Restringir o acesso ao Orchestrator

Because the integration with Azure AD is performed at the level of the Azure tenant, by default all Azure AD users can access the Orchestrator organization. The first time an Azure AD user signs in to Orchestrator, they are automatically included in the Orchestrator group Everyone, which grants them the User organization-level role .

Se você quiser permitir apenas que certos usuários acessem sua organização do Orchestrator, você pode ativar a atribuição de usuários para o registro de aplicativo do Orchestrator no Azure. Dessa forma, os usuários precisam ser atribuídos explicitamente ao aplicativo (Orchestrator) para poder acessá-lo. Para obter instruções, consulte este artigo na documentação do Azure AD.

Restringir o acesso às redes ou dispositivos confiáveis

Se você quiser permitir que seus usuários acessem o Orchestrator apenas a partir de uma rede confiável ou um dispositivo confiável, você pode usar a funcionalidade Acesso condicional do Azure AD .

Governança para grupos do Orchestrator no Azure AD

Se você tiver criado grupos no Azure AD para facilitar a integração do Orchestrator diretamente a partir do Azure AD, conforme descrito acima na seção Configurar grupos para permissões e UiPath Robots , você pode usar as opções avançadas de segurança do Gerenciamento de identidade privilegiada (PIM) para que esses grupos governem solicitações de acesso para grupos do Orchestrator.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.