- Introdução
- Melhores práticas
- Tenant
- Sobre o contexto do tenant
- Pesquisa de recursos em um tenant
- Gerenciamento de robôs
- Conectar Robôs ao Orchestrator
- Armazenamento de credenciais do robô no CyberArk
- Armazenando senhas de Unattended Robots no Azure Key Vault (somente leitura)
- Armazenamento de credenciais de robôs não assistidos no HashiCorp Vault (somente leitura)
- Armazenando credenciais de Unattended Robots no AWS Secrets Manager (somente leitura)
- Exclusão de sessões não assistidas desconectadas e não responsivas
- Autenticação do robô
- Autenticação de robôs com credenciais de cliente
- Atribuição de funções
- Gerenciamento de funções
- Funções padrão
- Configuring access for accounts
- Habilitando usuários para executar automações pessoais
- Habilitando usuários para executar automações em infraestrutura Unattended por meio de Unattended Robots
- Configurando contas de Robôs para executar automações Unattended
- Auditar
- Serviço Catálogo de recursos
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Administração do host
- Servidor de Identidade
- Autenticação
- Administração da organização
- Outras configurações
- Integrações
- Robôs Clássicos
- Solução de problemas
Como substituir a autenticação e segurança
Como administrador, você pode escolher a autenticação e as configurações de segurança relacionadas para a sua organização. Algumas configurações são herdadas do nível do host, mas você pode substituí-las se configurações diferentes forem aplicadas à sua organização.
A escolha do provedor de identidade para sua organização (Administrador > Usuários e grupos > Configurações de autenticação) afeta a forma como os usuários fazem login e como as contas de usuários e grupos são criadas e gerenciadas no Orchestrator.
Modelo do Azure Active Directory
A integração com o Azure Active Directory (Azure AD) pode oferecer gerenciamento de usuários e de acesso escalável para sua organização, permitindo a conformidade em todos os aplicativos internos usados por seus funcionários. Se sua organização estiver usando o Azure AD ou Office 365, você pode conectar sua organização do Orchestrator diretamente ao seu tenant do Azure AD para obter os seguintes benefícios:
Integração automática de usuários com migração ininterrupta
- Todos os usuários e grupos do Azure AD estão prontamente disponíveis para receber permissões de qualquer serviço do Orchestrator, sem a necessidade de convidar e gerenciar os usuários do Azure AD no diretório da organização do Orchestrator.
- Você pode fornecer o Logon único para usuários cujo nome de usuário empresarial é diferente do seu endereço de e-mail, o que não é possível com o modelo por convite.
- Todos os usuários existentes com contas de usuários da UiPath têm suas permissões migradas automaticamente para a sua conta conectada do Azure AD.
Experiência de login simplificada
-
Os usuários não têm que aceitar um convite ou criar uma conta de usuário da UiPath para acessar a organização do Orchestrator como no modelo padrão. Eles entram com sua conta do Azure AD, selecionando a opção SSO do Enterprise ou usando o URL específico da sua organização.
Se o usuário já estiver conectado no Azure AD ou no Office 365, eles serão automaticamente conectados.
- As versões 20.10.3 e posteriores do UiPath Assistant e do Studio podem ser pré-configuradas para usar uma URL personalizada do Orchestrator, o que leva à mesma experiência perfeita de conexão.
Governança escalável e gerenciamento de acesso com grupos existentes do Azure AD
- Os grupos de segurança do Azure AD ou grupos do Office 365, também conhecido como grupos de diretório, permitem que você aproveite a estrutura organizacional existente para gerenciar as permissões de escala. Você não precisa mais configurar permissões em serviços do Orchestrator para cada usuário.
- É possível combinar vários grupos de diretórios em um grupo do Orchestrator se você precisar gerenciá-los juntos.
-
Auditar o acesso do Orchestrator é simples. Após configurar as permissões em todos os serviços do Orchestrator usando os grupos do Azure AD, você pode utilizar seus processos de validação associados às associações de grupo do Azure AD.
Observação: No modelo Azure AD, você pode continuar usando todos os recursos do modelo padrão. Mas, para maximizar os benefícios, recomendamos confiar exclusivamente no gerenciamento de contas centralizado do Azure AD.Se você quiser usar o Azure Active Directory como o provedor de identidade para sua organização, siga as instruções em Configuração da integração do Azure AD.
Modelo SAML
Esse modelo permite que você conecte o Orchestrator ao seu provedor de identidade (IdP) escolhido para que:
- seus usuários podem se beneficiar do login único (SSO) e
- você possa gerenciar contas existentes do seu diretório no Orchestrator, sem precisar criar ou recriar identidades.
o Automation Cloud possa se conectar a qualquer provedor de identidade externo que use o padrão SAML 2.0.
Benefícios
Integração automática de usuários para o Orchestrator
Todos os usuários do seu provedor de identidade externo são autorizados a entrar no Orchestrator com direitos básicos quando a integração do SAML está ativa. Isso significa que:
- Os usuários podem entrar em sua organização do Orchestrator via SSO usando a conta existente de sua empresa, conforme definido no IdP.
- Sem nenhuma configuração adicional, eles podem acessar o Orchestrator por padrão. Para poder trabalhar no Orchestrator, os usuários precisam de funções e licenças, conforme apropriado para sua função.
Se você precisar restringir o acesso a apenas alguns de seus usuários, defina o conjunto de usuários que têm permissão para acessar o Orchestrator em seu provedor de identidade.
Gerenciamento do usuário
É possível adicionar usuários diretamente, atribuindo-os a grupos do Orchestrator — para fazer isso, tudo o que você precisa fazer é inserir o endereço de e-mail do usuário ao adicioná-lo ao grupo.
Normalmente, os administradores gerenciam as contas locais a partir da guia Admin > Organização > Contas e grupos > Usuários. Mas os usuários SAML são contas de diretório no Orchestrator, portanto, não são visíveis nesta página.
Depois que um usuário é adicionado a um grupo ou entra pelo menos uma vez (o que o adiciona automaticamente ao grupo Everyone), ele fica disponível na pesquisa em todos os serviços do Orchestrator para atribuição direta de função ou licença.
Mapeamento de Atributos
Se você usa o UiPath Automation Hub, pode definir o mapeamento de atributo personalizado para propagar atributos de seu provedor de identidade para o Orchestrator. Por exemplo, quando uma conta é adicionada pela primeira vez ao Automation Hub, o nome, sobrenome, endereço de e-mail, cargo e departamento do usuário já são preenchidos.
Configuração
os administradores possam configurar e habilitar a integração SAML para toda a sua organização em Administrador > Configurações de segurança > Configurações de autenticação.
Para obter instruções, consulte Configuração da integração com o SAML.
Transição da integração do Azure AD para a integração do SAML
Depois de transicionar para a integração SAML, a integração do Azure AD é desabilitada. As atribuições de grupo do Azure AD não valerão mais, portanto, a associação de grupo do Orchestrator e as permissões herdadas do Azure AD não serão mais respeitadas.
Autenticação básica refere-se ao login com o nome de usuário e senha de uma conta local.
Se a autenticação básica for restrita, seus usuários poderão efetuar login apenas com sua conta de diretório, conforme definido no provedor de identidade externo. Caso contrário, os usuários podem efetuar login com suas contas locais, se houver, e suas contas de diretório.
Consulte também Níveis de configuração e herança para obter mais informações sobre essa configuração.
Configuração da autenticação básica no nível de organização
Quando definida no nível da organização, a configuração se aplica a todas as contas na organização.
Para exceções, a autenticação básica também pode ser definida no nível da conta à qual você deseja que essa configuração seja aplicada de forma diferente.
Para permitir ou restringir a autenticação básica para a sua organização:
Para configurar as opções de segurança para sua organização, acesse Administrador > Contas e grupos > Configurações de autenticação e edite as opções conforme a necessidade.
|
Campo |
Description |
|---|---|
|
Caracteres especiais |
Selecione para forçar os usuários a incluir pelo menos um caractere especial em sua senha. Por padrão, essa caixa de seleção não está marcada. |
|
Caracteres minúsculos |
Selecione para forçar os usuários a incluir pelo menos um caractere minúsculo em sua senha. Por padrão, essa caixa de seleção está marcada. |
|
Caracteres maiúsculos |
Selecione para forçar os usuários a incluir pelo menos um caractere maiúsculo em sua senha. Por padrão, essa caixa de seleção não está marcada. |
|
Números |
Selecione para forçar os usuários a incluir pelo menos um dígito em sua senha. Por padrão, essa caixa de seleção está marcada. |
|
Tamanho mínimo da senha |
Especifique o número mínimo de caracteres que uma senha deve conter. Por padrão, é 8. O comprimento não pode ser menor do que 6 ou maior do que 14. |
|
Dias antes da senha expirar |
Especifique o número de dias durante os quais a senha estará disponível. Após este período, a senha expira e precisa ser alterada. O valor mínimo aceito é 0 (a senha nunca expira), e o máximo é 120 dias. |
|
Número de vezes que uma senha pode ser reutilizada |
O valor mínimo aceito é 0 (nunca permitir a reutilização de uma senha), enquanto o máximo é 10. |
|
Altere a senha no primeiro logon |
Se definido como Obrigatório, os usuários que fizerem login pela primeira vez deverão alterar sua senha antes de ter permissão para acessar o Orchestrator. Se definido como Não obrigatório, os usuários podem efetuar logon e continuar a usar a senha definida pelo administrador até que ela expire. |
|
Campo |
Description |
|---|---|
|
Botão de alternância Habilitado ou Desabilitado |
Se habilitado, bloqueia a conta por uma quantidade definida de segundos após uma quantidade específica de tentativas de logon malsucedidas. Isso também se aplica ao recurso de alteração de senha. |
|
Duração do bloqueio da conta |
O número de segundos que um usuário precisa esperar antes de ter permissão para fazer logon novamente após exceder as tentativas de logon consecutivas antes do bloqueio. O valor padrão é 5 minutos. O valor mínimo aceito é 0 (sem duração de bloqueio) e o máximo é 2592000 (1 mês). |
|
Tentativas de logon consecutivas antes do bloqueio |
O número de tentativas de logion malsucedidas permitidas antes de a conta ser bloqueada. O valor padrão é 10 tentativas. Você pode definir um valor entre 2 e 10. |
