- Introdução
- Segurança de dados e conformidade
- Organizações
- Autenticação e segurança
- Licenciamento
- Sobre as licenças
- Preço unificado: estrutura do plano de licenciamento
- Ativar sua licença Enterprise
- Migre do Test Suite para o Test Cloud
- Migração de licença
- Atribuição de Licenças a Tenants
- Atribuição de licenças aos usuários
- Desalocando licenças de usuário
- Monitoring license allocation
- Atribuição excessiva de licenças
- Notificações de licenciamento
- Gerenciamento de Licenças de Usuário
- Tenants e serviços
- Contas e funções
- AI Trust Layer
- Aplicativos Externos
- Notificações
- Geração de logs
- Exportação de dados
- Testes em sua organização
- Solução de problemas
- Migração para o Test Cloud
Visualização pública: o SCIM User Sync está em visualização pública.
Essa funcionalidade está disponível no plano de licenciamento Enterprise.
A disponibilidade de funcionalidades depende da oferta de nuvem que você usa. Para obter detalhes, consulte a página Disponibilidade de recursos.
A integração do diretório do SCIM (System for Cross-domain Identity Management) permite que as empresas sincronizem com segurança as identidades dos usuários e eventos do ciclo de vida entre a UiPath e seus provedores de identidade corporativa (IdPs).
Com base em integrações existentes do Microsoft Entra ID e Idioma de Marcação de Asserção de Segurança (SAML) baseado em SSO, o SCIM User Sync automatiza a criação, atualizações e desprovisionamento de usuários, eliminando o gerenciamento manual de identidade enquanto mantém o controle centralizado.
Principais recursos
Gerenciamento automatizado do ciclo de vida do usuário
Sincroniza a criação de usuários, atualizações e exclusão entre seu IdP e a UiPath.
Sincronização de atributo do usuário
Os atributos do usuário — nome, email, cargo, departamento e outros atributos — são atualizados automaticamente conforme orientado pelo diretório de origem do SCIM. As alterações são refletidas no UiPath sem exigir um novo login.
Desprovisionamento e conformidade
Garante o controle seguro de acesso e libera alocações de licenças quando os funcionários saem da organização, ajudando você a cumprir os requisitos de retenção de dados e auditoria.
Provedores de identidade compatíveis
- Microsoft Entra ID (Azure AD)
- OKTA
Operações do SCIM compatíveis
| Recurso | Operações | Description |
|---|---|---|
| Usuários | GET, POST, PUT, PATCH, DELETE | Recuperar, criar, modificar ou desativar usuários |
| Grupos | Não Compatível | Os grupos e as associações de grupo não são sincronizados pelo SCIM |
O SCIM User Sync provisiona apenas usuários — grupos e associações de grupos não são sincronizados. Para saber como o acesso baseado em grupo se comporta em cada método SSO, consulte a seguinte seção Comparação de funcionalidades por método SSO .
O servidor SCIM 2.0 também expõe os pontos de extremidade de descoberta de serviço padrão em seu URL base do SCIM (o URL do SCIM da configuração, por exemplo https://cloud.uipath.com/{orgId}/identity_/api/scim/v2):
.../ServiceProviderConfig.../ResourceTypes.../Schemas
Esses pontos de extremidade aceitam solicitações autenticadas com seu token de autorização do SCIM e retornam os recursos do servidor, tipos de recursos e esquemas compatíveis.
Gerenciamento do ciclo de vida do usuário
O SCIM gerencia os seguintes eventos do ciclo de vida:
- Provisionamento: quando um usuário é atribuído no diretório de origem, o IdP envia o usuário para a UiPath.
- Atualizando: quando os atributos de um usuário mudam no diretório de origem, o IdP envia as atualizações para a UiPath.
- Desprovisionamento:
- Desativar: quando um usuário é desativado ou tem sua atribuição cancelada no diretório de origem, a UiPath o marca como desativado.
- Excluir: quando um usuário é excluído do diretório de origem, a UiPath exclui o usuário.
- Reativação: quando um usuário é reativado no diretório de origem, a UiPath o reativa. As licenças devem ser reatribuídas após a reativação.
A tabela a seguir descreve como cada evento de ciclo de vida afeta a UiPath:
| Criar | Atualizar | Desativar | Excluir | |
|---|---|---|---|---|
| Admin — gerenciamento de usuários e grupos | O usuário fica disponível para consultar e atribuir grupos, funções e permissões. | Os atributos do usuário são atualizados. | Todas as funções e permissões são preservadas. | Todos os registros do usuário são excluídos. |
| Gerenciamento de Licenças | — | — | A licença do usuário é liberada e retornada ao seu pool disponível. | A licença do usuário é liberada e retornada ao seu pool disponível. |
| Serviços próprios (Orchestrator, Automation Hub, Task Mining) | — | — | O usuário é marcado como inativo; os artefatos que fazem referência a eles mostram um indicador inativo. | O usuário é removido; os artefatos que fazem referência a eles mostram um indicador inativo. |
| Outros Serviços | Versão futura | Versão futura | Versão futura | Versão futura |
Quando um usuário é desativado ou desabilitado em seu provedor de identidade — não apenas quando ele é excluído — a UiPath libera automaticamente sua licença e a retorna ao seu pool disponível para reatribuição. Isso permite que você recupere licenças de usuários encerrados ou inativos sem limpeza manual. Se o usuário for reativado posteriormente, as licenças deverão ser reatribuídas.
Métodos de autorização
Os seguintes métodos de autorização estão disponíveis, dependendo do seu provedor de identidade:
| Método de autorização | ID de entrada | OKTA |
|---|---|---|
| Token de portador de longa duração | Suportado | Suportado |
| Concessão de código de autorização do OAuth | Não Compatível | Suportado |
| Concessão de credenciais do cliente do OAuth | Suportado | Não Compatível |
Comportamento do diretório com SCIM habilitado
Quando o SCIM está habilitado, a UiPath fornece usuários de diretório exclusivamente aos usuários provisionados por meio do SCIM. Apenas usuários provisionados pelo SCIM são retornados onde quer que os usuários do diretório sejam pesquisados ou consultados, incluindo quando você pesquisa usuários no portal de administrador da UiPath e por meio da API de diretório. Isso se aplica às integrações do Microsoft Entra ID e SAML:
- Microsoft Entra ID: a UiPath não chama a API do Microsoft Graph para buscar usuários — os usuários são servidos a partir do diretório provisionado pelo SCIM. (A pesquisa de grupo ainda usa uma chamada de API do Graph em tempo real.)
- SAML: os usuários que não foram provisionados por meio do SCIM são filtrados dos resultados do diretório.
O conjunto de usuários que podem fazer login deve ser exatamente o mesmo que o conjunto de usuários provisionados por meio do SCIM. Como as consultas de diretório retornam apenas usuários provisionados pelo SCIM, um usuário que pode autenticar, mas não foi provisionado por meio do SCIM, não pode ser encontrado, ter permissões atribuídas ou, de outra forma, gerenciado na UiPath. Os usuários atribuídos ao seu aplicativo SSO e ao seu aplicativo SCIM devem ser idênticos.
Comparação de funcionalidades por método SSO
A tabela a seguir compara como o SCIM User Sync se comporta dependendo do método SSO configurado para sua organização:
| Entra ID SSO + SCIM | SAML SSO + SCIM | |
|---|---|---|
| Como os usuários do diretório fazem login? | Logon único usando o protocolo OpenID Connect (OIDC) por meio do URL específico da organização. | Logon único usando o protocolo SAML 2.0 por meio do URL específico da organização. |
| Como e quando os usuários do diretório são provisionados? | Os usuários são provisionados a partir do diretório de origem do SCIM para a UiPath após a configuração; as atualizações subsequentes são enviadas de forma assíncrona. | Os usuários são provisionados a partir do diretório de origem do SCIM para a UiPath após a configuração; as atualizações subsequentes são enviadas de forma assíncrona. |
| Como e quando os atributos de usuário do diretório são atualizados? | Os atributos do usuário são atualizados no UiPath de forma assíncrona conforme orientado pelo diretório de origem do SCIM. | Os atributos do usuário são atualizados no UiPath de forma assíncrona conforme orientado pelo diretório de origem do SCIM. |
| Como e quando os usuários do diretório são desprovisionados ou desativados? | Os usuários são desprovisionados ou desativados no UiPath de forma assíncrona, conforme orientado pelo diretório de origem do SCIM. | Os usuários são desprovisionados ou desativados no UiPath de forma assíncrona, conforme orientado pelo diretório de origem do SCIM. |
| Como e quando os grupos do diretório são provisionados? | Os grupos de diretório não são provisionados por meio do SCIM, mas são materializados em um diretório em cache após a atribuição de permissão ou função no UiPath. | Os grupos do diretório não são provisionados por meio do SCIM. |
| Como a associação ao grupo de diretórios é avaliada? | A associação ao grupo é avaliada com uma chamada de API do Microsoft Graph em tempo real. | A associação ao grupo não é avaliada via SCIM. As regras de provisionamento just-in-time (JIT) podem colocar usuários em grupos UiPath locais com base em declarações SAML. |
| Como os usuários do diretório são pesquisados e atribuídos a permissões? | Uma chamada é feita para o diretório em cache da UiPath de usuários provisionados pelo SCIM. Você deve entrar usando o Enterprise SSO para consultar os usuários do diretório. | Uma chamada é feita para o diretório em cache da UiPath de usuários provisionados pelo SCIM. Você deve entrar usando o Enterprise SSO para consultar os usuários do diretório. |
| Como os grupos de diretórios são pesquisados e atribuídos a permissões? | Uma chamada é feita para o diretório da UiPath para usuários locais e para o Entra ID para grupos de diretório por meio de uma chamada de API do Microsoft Graph em tempo real. | Não é possível consultar os grupos de diretório. As regras de provisionamento do JIT podem ser configuradas para colocar automaticamente os usuários em grupos do UiPath locais. |
Mapeamento de Atributos
A tabela a seguir mostra como os atributos do SCIM mapeiam para os atributos de usuário da UiPath. Seu provedor de identidade envia o atributo SCIM; A UiPath o armazena como o atributo de usuário da UiPath.
| Atributo SCIM | Atributo de usuário da UiPath | Required |
|---|---|---|
externalId | Identificador do diretório usado para corresponder e vincular o usuário | Sim |
userName | Username | Sim |
displayName | Nome de exibição | Sim |
emails[type eq "work"].value | ||
name.givenName | Nome | |
name.familyName | Sobrenome | |
title | Cargo | |
addresses[type eq "work"].locality | Cidade | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | Department | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | Nome da Empresa |
externalId como a UiPath identifica e vincula cada usuário provisionado, portanto, deve ser estável e exclusivo — é armazenado como o ID do diretório do usuário. O Okta preenche externalId automaticamente; no Microsoft Entra ID, você deve mapeá-lo explicitamente (normalmente para o ID do objeto do usuário) nos mapeamentos de atributos do SCIM.
Os mapeamentos de atributos do seu provedor de identidade devem incluir esses campos obrigatórios antes que o provisionamento do SCIM seja habilitado.
Os atributos que seu provedor de identidade envia devem mapear para os atributos de SCIM que a UiPath espera, conforme listado na tabela de mapeamento de atributos anterior. Quando o SAML SSO está em uso, os mapeamentos de atributo do SAML devem produzir esses valores — em particular, o userName enviado pelo SCIM deve corresponder ao identificador usado na asserção do SAML, para que um usuário provisionado e seu login do SSO sejam resolvidos para o mesmo UiPath usuário.
Limitações
- Usuários obsoletos: usuários inativos existentes não são excluídos automaticamente. Uma atualização futura fornecerá ferramentas para limpar usuários inativos.
- Sincronização de associação de grupo e grupo: não compatível.
- Conjuntos de usuários consistentes: o conjunto de usuários configurados para SSO deve corresponder ao conjunto de usuários configurados para sincronização do SCIM.
Limites de taxa
As solicitações do SCIM são de taxa limitada por organização:
| Tipo de Solicitação | Limite |
|---|---|
Solicitações de leitura (GET) | 300 solicitações por 5 minutos |
Solicitações de gravação (POST, PUT, PATCH, DELETE) | 160 solicitações por 5 minutos |
As solicitações que excedem esses limites recebem uma resposta HTTP 429 Too Many Requests . Os conectores do provedor de identidade encerram e repetem solicitações limitadas automaticamente, assim o provisionamento continua sem intervenção manual.
Guias de configuração
O SSO deve ser configurado para seu provedor de identidade antes que a Sincronização de Usuário do SCIM possa ser habilitada. Os guias de configuração estão disponíveis para:
- Principais recursos
- Provedores de identidade compatíveis
- Operações do SCIM compatíveis
- Gerenciamento do ciclo de vida do usuário
- Métodos de autorização
- Comportamento do diretório com SCIM habilitado
- Comparação de funcionalidades por método SSO
- Mapeamento de Atributos
- Limitações
- Limites de taxa
- Guias de configuração