Automation Cloud 公共部门管理员指南

上次更新日期 2025年11月11日

了解身份验证模型

本地帐户模式（基于邀请）

本地用户帐户代表每个用户的帐户，是 UiPath 平台的内部帐户。

本地帐户模型提供了一种独立的身份验证方法。新用户需要收到组织管理员的邀请才能加入。适用于要完全控制平台内用户管理的场景。

注意：此模型与目录帐户模型兼容。如果您选择使用目录模式，则可以通过邀请继续创建用户。

创建用户的流程如下：

组织管理员需要获取用户的电子邮件地址，并使用这些电子邮件地址邀请每位用户加入组织。您可以批量执行此操作。
每位受邀员工都可通过导航到邀请电子邮件中的链接来接受邀请，并创建一个 UiPath 用户帐户。

目录帐户模型

目录帐户模型依赖于您与 UiPath 平台集成的第三方目录。这使您可以在 UiPath 中重用公司已建立的身份方案。

Microsoft Entra ID：如果您订阅了 Microsoft Azure 或 Office 365，则可以将 Azure 与 UiPath 平台集成，以便在 UiPath 中使用 Microsoft Entra ID 中的现有用户和组。
SAML 2.0：允许您将 UiPath 平台与您选择的身份提供程序 (IdP) 集成。这使您的用户可以使用已在 IdP 中注册的帐户通过单点登录 (SSO) 连接到 UiPath。

目录用户帐户在 UiPath 外部的目录中创建和维护。目录帐户仅在 UiPath Platform 中引用并用作用户的身份。

Microsoft Entra ID

与 Microsoft Entra ID 集成后，可以为您的组织提供可扩展的用户和访问权限管理，从而确保您的员工使用的所有内部应用程序都合规。如果您的组织正在使用 Microsoft Entra ID 或 Office 365，则可以将组织直接连接到 Microsoft Entra ID 租户，以获得以下好处：

通过无缝迁移自动完成用户引导
- 任何 UiPath Platform 服务均可随时使用 Microsoft Entra ID 中的所有用户和组分配权限，而无需在组织目录中邀请和管理 Microsoft Entra ID 用户。
- 您可以为公司用户名与电子邮件地址不同的用户提供单点登录，而在基于邀请的模式中则无法实现。
- 系统会将拥有本地 UiPath 帐户的所有现有用户的权限自动迁移到已连接的 Microsoft Entra ID 帐户。
简化登录体验
- 用户不必接受邀请或创建 UiPath 用户帐户即可访问组织。通过选择企业 SSO 选项或使用特定于组织的 URL，就可以使用 Microsoft Entra ID 帐户登录。如果用户已登录 Microsoft Entra ID 或 Office 365，则系统会自动为其登录。
- UiPath Assistant 和 Studio 20.10.3 及更高版本可以预配置为使用自定义 Orchestrator URL，从而带来相同的无缝连接体验。
使用现有的 Microsoft Entra ID 组扩展监管和访问权限管理
- Microsoft Entra ID 安全组或 Office 365 组（也称为目录组）允许您利用现有的组织结构来大规模管理权限。您不再需要在服务中为每个用户配置权限。
- 如果需要一起管理多个目录组，可以将多个目录组合并为一个组。
- 审核访问权限非常简单。在使用 Microsoft Entra ID 组配置所有 UiPath Platform 服务中的权限后，您可以利用与 Microsoft Entra ID 组成员身份关联的现有验证流程。

SAML 2.0

此模型允许您将 UiPath 平台连接到所选的身份提供程序 (IdP)，以便：

您的用户可以从单点登录 (SSO) 中受益，
您可以在 UiPath 平台中管理目录中的现有帐户，而无需重新创建身份。

UiPath 平台可以连接到任何使用 SAML 2.0 标准的外部身份提供程序。

收益

自动引导用户至 UiPath 平台：当 SAML 集成处于活跃状态时，来自外部身份提供程序的所有用户都有权使用基本权限登录到 UiPath 组织。这意味着：
- 用户可以使用 IdP 中定义的现有公司帐户通过 SSO 登录到您的 UIPath 组织。
- 无需任何进一步的设置，他们将成为Everyone用户组的成员，默认情况下系统会向他们授予用户组织角色。为了能够在 UiPath Platform 中工作，用户需要适当的角色和许可证。
- 如果您只需要限制对部分用户的访问，则可以在身份提供程序中定义允许访问 UiPath 平台的用户集。
用户管理：您可以通过将用户直接分配到组来添加用户。为此，只需在将用户添加到组时输入他们的电子邮件地址。

通常，组织管理员从“管理员” > “帐户和组” > “用户”选项卡中管理本地帐户。但是，SAML 用户是 UiPath 生态系统中的目录帐户，因此在此页面上不可见。

将用户添加到组或至少登录一次后 (这会自动将其添加到“Everyone”组)，可以在所有 UiPath 服务中搜索到这些用户，以便直接分配角色或分配许可证。
属性映射：例如，如果您使用 UiPath Automation Hub，则可以定义自定义属性映射，以将属性从身份提供程序传播到 UiPath 平台。例如，首次将帐户添加到 Automation Hub 时，系统会填充用户的名字、姓氏、电子邮件地址、职位名称和部门。

身份验证的工作原理

系统将根据您的组织目录验证用户的身份。根据通过角色和组分配的用户权限，他们只需一组凭据就可以访问您所有的 UiPath Cloud 服务。下图介绍两个身份模式，并说明它们如何与各种用户身份一起使用以及如何实现联合。在基于邀请的模式中，将对组织目录中的用户引用执行身份管理，而用户仍将控制其帐户。如果与 Microsoft Entra ID 集成，则就像在 Microsoft Entra ID 中查看租户目录的内容一样简单，如下图中的橙色箭头所示。