- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 故障排除
- 迁移到 Automation Cloud™
OAuth Apps
外部 OAuth 应用程序存在于 UiPath™ 平台之外,可以与平台集成以扩展其功能。 外部应用程序可以通过允许向这些外部实体委派授权的 OAuth 框架安全地访问您的 UiPath 资源,而无需您共享凭据。
通过向 UiPath 注册外部应用程序,他们能够进行 API 调用以访问UiPath 资源。
UiPath 将 OAuth 外部应用程序分为两个主要类别 - 机密和非机密。 应用程序类型决定了其身份验证流程、对资源的访问级别以及与 UiPath Identity Server 的通信方式。
-
具有应用程序作用域的机密应用程序:具有应用程序作用域的机密应用程序适用于应用程序可以安全存储凭据的情况。 例如,将密码存储在保险库中的程序。
-
具有用户作用域的机密应用程序 :具有用户作用域的机密应用程序旨在用于应用程序可以安全存储凭据并代表用户执行操作的情况。 例如,在 Orchestrator 中创建队列项目的 CRM 应用程序。 它代表用户执行此操作,但也会将使用的凭据存储在数据库中。
-
具有用户作用域的非机密应用程序 :非机密应用程序不依赖安全存储的凭据。 相反,它们依赖于用户对应用程序进行身份验证,并通过临时凭据委派对应用程序的访问权限。 凭据的有效期很短,用户可能必须定期对应用程序重新进行身份验证。 最适合有人值守的自动化或用户可对应用程序重新进行身份验证的自动化。 例如,用户有一个有人值守的自动化,该自动化使用 O365 活动以访问 SharePoint 来执行自动化。 它首次运行时,会提示用户授权应用程序(自动化)。 在凭据过期后,用户可能必须定期重新授权应用程序。
当外部应用程序设置为与 UiPath 集成时,系统会为其分配特定的权限和访问权限,称为“作用域”。 本质上,作用域定义了应用程序在 UiPath 中可以执行或访问的内容,以及不可以执行的操作。
向外部应用程序授予访问权限时,请始终提供应用程序运行所需的最低权限。 此措施可降低未经授权的访问,从而有助于限制潜在的损失。
Service.Resource.Accesslevel
或Service.Resource
格式定义作用域。 例如,对于OR.Machines.Read
,外部应用程序将对组织中所有文件夹和租户的 Orchestrator 中的计算机具有读取权限,对于OR.Machines
,外部应用程序将对组织中的所有文件夹和租户具有读取和写入权限。
对于机密应用程序,UiPath 允许分配专门适用于 Orchestrator 资源的细化作用域。 这些特定权限使管理员能够控制和自定义细至租户文件夹级别的访问权限。
当组织的管理员将外部机密应用程序分配给 Orchestrator 中的特定租户或文件夹,并将其与特定角色相关联时,就会发生精细分配。
作用域可以针对用户(用户作用域),也可以针对应用程序本身(应用程序作用域)。
-
应用程序作用域向应用程序授予其自己的身份,并在其中作为独立实体执行功能。
-
在用户作用域中,应用程序代表经过身份验证的用户执行功能,因此操作受用户权限的限制。 例如,应用程序只能访问允许用户访问的资产。
使用 UiPath 外部应用程序的流程涵盖不同阶段,从管理员的创建和设置到开发者的集成和使用。
A. 由管理员创建和设置
-
外部应用程序注册:第一步涉及向组织添加外部应用程序。 管理员设置名称、重定向 URL 等详细信息,并选择合适的应用程序类型。 在管理员级别创建具有作用域的应用程序后,它将在组织级别获得这些权限。 管理员可以通过在 Orchestrator 中的租户级别和文件夹级别为机密应用程序分配角色,从而为机密应用程序配置精细的权限。
-
用户分配:如果是非机密或具有用户作用域的机密应用程序,管理员必须通过在组织、租户或文件夹级别为用户分配角色,以确保需要使用应用程序的用户有权访问系统。
-
存储应用程序详细信息:完成设置后,管理员检索应用程序详细信息,例如应用程序 ID。 对于机密应用程序,还会生成应用程序密码。 管理员安全地存储这些详细信息,稍后与开发者共享。
B. 开发者的集成和使用
-
身份验证和授权:开发者使用管理员提供的应用程序 ID(和机密应用程序的密码)向 UiPath 身份服务器发起 OAuth 2.0 访问令牌请求。 为此,开发者在请求中添加了必要的作用域。 当服务器验证应用程序的 ID、其密码(适用于机密应用程序)并批准指定的作用域时,OAuth 2.0 流程成功。
备注:对于具有用户作用域的外部应用程序,还将进行用户身份验证。 这是额外的安全层,可确保请求合法来自经过身份验证和授权的用户。
-
访问令牌生成:服务器成功对应用程序和作用域进行身份验证后,会向开发者返回访问令牌。 此访问令牌表示应用程序访问指定作用域的授权。
-
集成外部应用程序:开发者在对 UiPath 进行 API 调用的标头中使用收到的访问令牌。 这将授予对所请求资源的指定访问权限级别,从而将外部应用程序与 UiPath 资源集成。
有关如何以开发者身份对外部应用程序进行身份验证和授权的更多详细信息,请参阅 API 指南中的外部应用程序。