UiPath Documentation
test-cloud
latest
false
Guia do administrador do Test Cloud
Importante :
A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.

Sincronização de usuário do SCIM

Observação:

Visualização pública: o SCIM User Sync está em visualização pública.

Enterprise Essa funcionalidade está disponível no plano de licenciamento Enterprise.

Observação:

A disponibilidade de funcionalidades depende da oferta de nuvem que você usa. Para obter detalhes, consulte a página Disponibilidade de recursos.

A integração do diretório do SCIM (System for Cross-domain Identity Management) permite que as empresas sincronizem com segurança as identidades dos usuários e eventos do ciclo de vida entre a UiPath e seus provedores de identidade corporativa (IdPs).

Com base em integrações existentes do Microsoft Entra ID e Idioma de Marcação de Asserção de Segurança (SAML) baseado em SSO, o SCIM User Sync automatiza a criação, atualizações e desprovisionamento de usuários, eliminando o gerenciamento manual de identidade enquanto mantém o controle centralizado.

Principais recursos

Gerenciamento automatizado do ciclo de vida do usuário

Sincroniza a criação de usuários, atualizações e exclusão entre seu IdP e a UiPath.

Sincronização de atributo do usuário

Os atributos do usuário — nome, email, cargo, departamento e outros atributos — são atualizados automaticamente conforme orientado pelo diretório de origem do SCIM. As alterações são refletidas no UiPath sem exigir um novo login.

Desprovisionamento e conformidade

Garante o controle seguro de acesso e libera alocações de licenças quando os funcionários saem da organização, ajudando você a cumprir os requisitos de retenção de dados e auditoria.

Provedores de identidade compatíveis

  • Microsoft Entra ID (Azure AD)
  • OKTA

Operações do SCIM compatíveis

RecursoOperaçõesDescription
UsuáriosGET, POST, PUT, PATCH, DELETERecuperar, criar, modificar ou desativar usuários
GruposNão CompatívelOs grupos e as associações de grupo não são sincronizados pelo SCIM

O SCIM User Sync provisiona apenas usuários — grupos e associações de grupos não são sincronizados. Para saber como o acesso baseado em grupo se comporta em cada método SSO, consulte a seguinte seção Comparação de funcionalidades por método SSO .

O servidor SCIM 2.0 também expõe os pontos de extremidade de descoberta de serviço padrão em seu URL base do SCIM (o URL do SCIM da configuração, por exemplo https://cloud.uipath.com/{orgId}/identity_/api/scim/v2):

  • .../ServiceProviderConfig
  • .../ResourceTypes
  • .../Schemas

Esses pontos de extremidade aceitam solicitações autenticadas com seu token de autorização do SCIM e retornam os recursos do servidor, tipos de recursos e esquemas compatíveis.

Gerenciamento do ciclo de vida do usuário

O SCIM gerencia os seguintes eventos do ciclo de vida:

  • Provisionamento: quando um usuário é atribuído no diretório de origem, o IdP envia o usuário para a UiPath.
  • Atualizando: quando os atributos de um usuário mudam no diretório de origem, o IdP envia as atualizações para a UiPath.
  • Desprovisionamento:
    • Desativar: quando um usuário é desativado ou tem sua atribuição cancelada no diretório de origem, a UiPath o marca como desativado.
    • Excluir: quando um usuário é excluído do diretório de origem, a UiPath exclui o usuário.
  • Reativação: quando um usuário é reativado no diretório de origem, a UiPath o reativa. As licenças devem ser reatribuídas após a reativação.

A tabela a seguir descreve como cada evento de ciclo de vida afeta a UiPath:

CriarAtualizarDesativarExcluir
Admin — gerenciamento de usuários e gruposO usuário fica disponível para consultar e atribuir grupos, funções e permissões.Os atributos do usuário são atualizados.Todas as funções e permissões são preservadas.Todos os registros do usuário são excluídos.
Gerenciamento de LicençasA licença do usuário é liberada e retornada ao seu pool disponível.A licença do usuário é liberada e retornada ao seu pool disponível.
Serviços próprios (Orchestrator, Automation Hub, Task Mining)O usuário é marcado como inativo; os artefatos que fazem referência a eles mostram um indicador inativo.O usuário é removido; os artefatos que fazem referência a eles mostram um indicador inativo.
Outros ServiçosVersão futuraVersão futuraVersão futuraVersão futura
Observação:

Quando um usuário é desativado ou desabilitado em seu provedor de identidade — não apenas quando ele é excluído — a UiPath libera automaticamente sua licença e a retorna ao seu pool disponível para reatribuição. Isso permite que você recupere licenças de usuários encerrados ou inativos sem limpeza manual. Se o usuário for reativado posteriormente, as licenças deverão ser reatribuídas.

Métodos de autorização

Os seguintes métodos de autorização estão disponíveis, dependendo do seu provedor de identidade:

Método de autorizaçãoID de entradaOKTA
Token de portador de longa duraçãoSuportadoSuportado
Concessão de código de autorização do OAuthNão CompatívelSuportado
Concessão de credenciais do cliente do OAuthSuportadoNão Compatível

Comportamento do diretório com SCIM habilitado

Quando o SCIM está habilitado, a UiPath fornece usuários de diretório exclusivamente aos usuários provisionados por meio do SCIM. Apenas usuários provisionados pelo SCIM são retornados onde quer que os usuários do diretório sejam pesquisados ou consultados, incluindo quando você pesquisa usuários no portal de administrador da UiPath e por meio da API de diretório. Isso se aplica às integrações do Microsoft Entra ID e SAML:

  • Microsoft Entra ID: a UiPath não chama a API do Microsoft Graph para buscar usuários — os usuários são servidos a partir do diretório provisionado pelo SCIM. (A pesquisa de grupo ainda usa uma chamada de API do Graph em tempo real.)
  • SAML: os usuários que não foram provisionados por meio do SCIM são filtrados dos resultados do diretório.
Importante:

O conjunto de usuários que podem fazer login deve ser exatamente o mesmo que o conjunto de usuários provisionados por meio do SCIM. Como as consultas de diretório retornam apenas usuários provisionados pelo SCIM, um usuário que pode autenticar, mas não foi provisionado por meio do SCIM, não pode ser encontrado, ter permissões atribuídas ou, de outra forma, gerenciado na UiPath. Os usuários atribuídos ao seu aplicativo SSO e ao seu aplicativo SCIM devem ser idênticos.

Comparação de funcionalidades por método SSO

A tabela a seguir compara como o SCIM User Sync se comporta dependendo do método SSO configurado para sua organização:

Entra ID SSO + SCIMSAML SSO + SCIM
Como os usuários do diretório fazem login?Logon único usando o protocolo OpenID Connect (OIDC) por meio do URL específico da organização.Logon único usando o protocolo SAML 2.0 por meio do URL específico da organização.
Como e quando os usuários do diretório são provisionados?Os usuários são provisionados a partir do diretório de origem do SCIM para a UiPath após a configuração; as atualizações subsequentes são enviadas de forma assíncrona.Os usuários são provisionados a partir do diretório de origem do SCIM para a UiPath após a configuração; as atualizações subsequentes são enviadas de forma assíncrona.
Como e quando os atributos de usuário do diretório são atualizados?Os atributos do usuário são atualizados no UiPath de forma assíncrona conforme orientado pelo diretório de origem do SCIM.Os atributos do usuário são atualizados no UiPath de forma assíncrona conforme orientado pelo diretório de origem do SCIM.
Como e quando os usuários do diretório são desprovisionados ou desativados?Os usuários são desprovisionados ou desativados no UiPath de forma assíncrona, conforme orientado pelo diretório de origem do SCIM.Os usuários são desprovisionados ou desativados no UiPath de forma assíncrona, conforme orientado pelo diretório de origem do SCIM.
Como e quando os grupos do diretório são provisionados?Os grupos de diretório não são provisionados por meio do SCIM, mas são materializados em um diretório em cache após a atribuição de permissão ou função no UiPath.Os grupos do diretório não são provisionados por meio do SCIM.
Como a associação ao grupo de diretórios é avaliada?A associação ao grupo é avaliada com uma chamada de API do Microsoft Graph em tempo real.A associação ao grupo não é avaliada via SCIM. As regras de provisionamento just-in-time (JIT) podem colocar usuários em grupos UiPath locais com base em declarações SAML.
Como os usuários do diretório são pesquisados e atribuídos a permissões?Uma chamada é feita para o diretório em cache da UiPath de usuários provisionados pelo SCIM. Você deve entrar usando o Enterprise SSO para consultar os usuários do diretório.Uma chamada é feita para o diretório em cache da UiPath de usuários provisionados pelo SCIM. Você deve entrar usando o Enterprise SSO para consultar os usuários do diretório.
Como os grupos de diretórios são pesquisados e atribuídos a permissões?Uma chamada é feita para o diretório da UiPath para usuários locais e para o Entra ID para grupos de diretório por meio de uma chamada de API do Microsoft Graph em tempo real.Não é possível consultar os grupos de diretório. As regras de provisionamento do JIT podem ser configuradas para colocar automaticamente os usuários em grupos do UiPath locais.

Mapeamento de Atributos

A tabela a seguir mostra como os atributos do SCIM mapeiam para os atributos de usuário da UiPath. Seu provedor de identidade envia o atributo SCIM; A UiPath o armazena como o atributo de usuário da UiPath.

Atributo SCIMAtributo de usuário da UiPathRequired
externalIdIdentificador do diretório usado para corresponder e vincular o usuárioSim
userNameUsernameSim
displayNameNome de exibiçãoSim
emails[type eq "work"].valueEmail
name.givenNameNome
name.familyNameSobrenome
titleCargo
addresses[type eq "work"].localityCidade
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departmentDepartment
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organizationNome da Empresa
Observação:

externalId como a UiPath identifica e vincula cada usuário provisionado, portanto, deve ser estável e exclusivo — é armazenado como o ID do diretório do usuário. O Okta preenche externalId automaticamente; no Microsoft Entra ID, você deve mapeá-lo explicitamente (normalmente para o ID do objeto do usuário) nos mapeamentos de atributos do SCIM.

Os mapeamentos de atributos do seu provedor de identidade devem incluir esses campos obrigatórios antes que o provisionamento do SCIM seja habilitado.

Importante:

Os atributos que seu provedor de identidade envia devem mapear para os atributos de SCIM que a UiPath espera, conforme listado na tabela de mapeamento de atributos anterior. Quando o SAML SSO está em uso, os mapeamentos de atributo do SAML devem produzir esses valores — em particular, o userName enviado pelo SCIM deve corresponder ao identificador usado na asserção do SAML, para que um usuário provisionado e seu login do SSO sejam resolvidos para o mesmo UiPath usuário.

Limitações

  • Usuários obsoletos: usuários inativos existentes não são excluídos automaticamente. Uma atualização futura fornecerá ferramentas para limpar usuários inativos.
  • Sincronização de associação de grupo e grupo: não compatível.
  • Conjuntos de usuários consistentes: o conjunto de usuários configurados para SSO deve corresponder ao conjunto de usuários configurados para sincronização do SCIM.

Limites de taxa

As solicitações do SCIM são de taxa limitada por organização:

Tipo de SolicitaçãoLimite
Solicitações de leitura (GET)300 solicitações por 5 minutos
Solicitações de gravação (POST, PUT, PATCH, DELETE)160 solicitações por 5 minutos

As solicitações que excedem esses limites recebem uma resposta HTTP 429 Too Many Requests . Os conectores do provedor de identidade encerram e repetem solicitações limitadas automaticamente, assim o provisionamento continua sem intervenção manual.

Guias de configuração

O SSO deve ser configurado para seu provedor de identidade antes que a Sincronização de Usuário do SCIM possa ser habilitada. Os guias de configuração estão disponíveis para:

Esta página foi útil?

Conectar

Precisa de ajuda? Suporte

Quer aprender? Academia UiPath

Tem perguntas? Fórum do UiPath

Fique por dentro das novidades