- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- Allowing or restricting basic authentication
- 适用于 Automation Cloud 和 Automation Cloud 公共部门的 Microsoft Entra ID 集成
- Microsoft Entra ID 集成,适用于 Automation Cloud (专属)
- 本地用户密码复杂性要求
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 在您的组织中进行测试
- 故障排除
- 迁移到 Automation Cloud
Automation Cloud 管理员指南
适用于 Automation Cloud 和 Automation Cloud 公共部门的 Microsoft Entra ID 集成
此过程仅适用于 Automation Cloud 和 Automation Cloud 公共部门
入门指南
收益
将 Microsoft Entra ID 与 UiPath 集成可带来以下优势:
- 单点登录 (SSO):允许用户使用其 Microsoft Entra ID 凭据访问组织。
- 简化的用户管理:使用现有的 Microsoft Entra ID 用户和组管理访问权限。
- 增强的安全性:应用多重身份验证、条件访问和特权身份管理等 Microsoft Entra ID 功能。
- 无缝过渡:只要电子邮件地址匹配,就可以不间断地从本地帐户迁移。
限制和注意事项
使用 Microsoft Entra ID 集成时,请记住以下限制:
- UiPath 仅支持与 Microsoft Azure 商业云中的 Microsoft Entra ID 服务集成。不支持 Microsoft Azure Government 云版本的 Microsoft Entra ID。
- 当集成仅将委派访问用作其访问作用域时,Microsoft Entra ID 需要用户在目录评估期间在场。由于无人值守自动化和个人访问令牌在无用户在场的情况下运行,因此适用以下限制:
- 在运行无人值守自动化或使用个人访问令牌时,Microsoft Entra ID 目录用户无法继承基于组的权限。
- 如果通过 Microsoft Entra ID 组限制对组织的访问,无人值守机器人将无法代表用户访问该组织。
- 用户账户管理:您只能在 Microsoft Entra ID 中管理目录用户和组。这些账户仅在您搜索或分配权限时,才会显示在您的组织中。
- 应用程序自定义密钥:Microsoft Entra ID 集成使用 OIDC 协议,但不支持通过
appid查询参数传递的应用程序自定义密钥,如Microsoft 访问令牌文档中所述。 - 不得将本地 UiPath 组命名为与 Microsoft Entra ID 目录组相同的名称。这样做可能会导致权限评估和基于组的访问权限分配发生冲突。
在开始之前
在配置 Microsoft Entra ID 集成之前,请确保您具备以下条件:
- 持有企业版许可证的组织,无论属于标准层级还是企业层级。
- 满足以下许可要求之一的组织:
- Unified Pricing:需要企业版或标准版计划
- Flex:需要企业计划,标准层或企业计划均可
- 组织中的管理员权限。
- 与具有以下角色之一的 Microsoft Entra ID 管理员协调:
- 一个与您的 UiPath 管理员账户使用相同电子邮件地址的 Microsoft Entra ID 账户(用于测试)。
- UiPath Studio 和 Assistant 的受支持版本,详见产品生命周期文档。
步骤 1:让您的组织为帐户关联做好准备
启用 Microsoft Entra ID 集成后,UiPath 会自动关联电子邮件地址相匹配的账户。用户首次使用 Microsoft Entra ID 登录时,UiPath 会创建一个目录用户账户,并为其分配与对应的本地账户相同的权限。
启用 Microsoft Entra ID 集成之前,请先从组织中移除任何非活动用户。这有助于防止在将这些电子邮件地址重新分配给组织中的其他用户时出现权限提升问题。
步骤 2:配置 Microsoft Entra ID 集成
功能可用性取决于您使用的云平台。有关详细信息,请参阅功能可用性页面。
此 Microsoft Entra ID 集成结合使用 OAuth 2.0 授权代码授权流程和 OAuth 2.0 客户端凭据流程,同时支持委派访问和应用程序专用访问两种模式。
配置 Microsoft Entra 集成后,UiPath 可执行以下操作:
- 让使用 Microsoft Entra ID 凭据的用户登录。
- 从您的 Microsoft Entra ID 目录读取用户配置文件和组成员身份。
- 根据 Microsoft 门户 ID 组分配应用访问控制。
要与 Microsoft Entra ID 集成,您必须在 Microsoft Entra ID 租户中设置代表您组织的 Microsoft Entra ID 应用程序。
配置方法
要与 Microsoft Entra ID 集成,您必须在 Microsoft Entra ID 租户中配置代表您组织的 Microsoft Entra ID 应用程序。
您可以选择以下配置方法之一:
- (推荐方案)自动设置:通过使用 UiPath 托管的 Microsoft Entra ID 应用程序(多租户模型),可获得以下优势:
- 没有要管理的密码或证书。
- 设置快速可靠。
- UiPath 为您维护 Microsoft Entra ID 申请。
- 通过自定义 Microsoft Entra ID 应用程序注册进行手动设置:使用您自己的 Microsoft Entra ID 应用程序并手动管理其配置,但要注意以下事项:
- 您必须创建和管理应用程序凭据。
- 凭据会过期,需要定期更新。
- 如果凭据未在过期前更新,系统将阻止用户登录。
您可以选择以下访问作用域之一:
- 委派访问与应用程序专用访问(推荐):允许 UiPath 服务在用户在场时以及无人值守自动化等离线场景下均能评估组成员身份。
- 委派访问:将组评估限制在交互式会话范围内。只有在用户主动登录时,才能验证权限。
关于 UiPath 管理的 Microsoft Entra ID 应用程序
UiPath 使用预注册的多租户 Microsoft Entra ID 应用程序。您无需创建和维护自己的应用程序注册和凭据。此应用程序的详细信息为:
- 名称:UiPath Entra ID 集成
- 客户端 ID:
4ca9aa42-b0ea-4ceb-b2b1-17fa40827280 - 应用程序作用域:
- Entra ID:
email、openid、profile、GroupMember.Read.All、User.Read、User.ReadBasic.All、User.Read.All、(可选)。 - CMK Entra ID 集成:
email、openid、profile和offline access。
- Entra ID:
- 重定向 URI:
https://cloud.uipath.com/portal/grant-consenthttps://govcloud.uipath.us/portal/grant-consent
- 同意 URL(用于管理员批准):如果您看到“需要管理员批准”消息,则 Microsoft Entra ID 管理员可以通过导航到以下 URL 之一来授予租户范围内的同意:
- 委派且仅限应用程序访问(多租户):
https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default - 委派且仅限应用程序访问(单租户):
https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default - 委派访问(多租户):
https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234 - 委派访问(单租户):
https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}
备注:对于单租户配置,请将
{TENANT_ID}替换为您的目录(租户)ID,并将{APPLICATION_ID}替换为您的应用程序(客户端)ID。 - 委派且仅限应用程序访问(多租户):
使用 UiPath 管理的 Microsoft Entra ID 应用程序进行自动化设置(推荐)
要使用 UiPath 托管应用程序配置 Microsoft ID 集成,在完成组织设置之前,必须由 Microsoft Entra ID 管理员授予同意。
如果要简化配置并避免管理密码或证书,请使用此方法。UiPath 建议大多数组织使用此方法。
1. 授予 Microsoft Entra ID 同意
请让 Microsoft Entra ID 管理员前往以下任一 URL 并登录以授予同意。登录期间,管理员须代表您的组织选择“同意”,然后选择“接受”。
使用与您计划在组织中配置的访问作用域相对应的 URL:
如果您的 Microsoft Entra ID 租户允许同意请求,组织管理员可以使用这些 URL 触发同意请求。在这种情况下,Microsoft Entra ID 管理员必须批准请求,然后才能继续配置。
- 委派的仅应用程序访问(推荐) :
- 多租户:
https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default - 单租户:
https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
- 多租户:
- 仅限委派访问:
- 多租户:
https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234 - 单租户:
https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}
- 多租户:
对于单租户配置,请将{TENANT_ID}替换为您的目录(租户)ID,并将{APPLICATION_ID}替换为您的应用程序(客户端)ID。
在授予委派访问与应用程序专用访问后,Microsoft Entra ID 管理员必须将以下值共享给组织管理员:目录(租户)ID。此值为完成配置所必需。
2. 在您的组织中配置集成
作为组织管理员,请按以下步骤完成设置:
- 在您的组织中,转到“管理员” > “安全” > “身份验证设置” > “目录集成和单点登录 (SSO)” 。
- 选择“Microsoft Entra ID” 。
- 选择“UiPath 托管的多租户应用程序(推荐)”(推荐) 。
- 选择已授予同意的访问作用域:
- 委派且仅限应用程序访问(推荐) :提供完整的组评估,包括 Unattended 场景。
- 委派访问:将评估限制在用户在场的会话范围内。
备注:委派访问权限和仅限应用程序访问仅适用于 Automation Cloud。有关功能可用性的更多详细信息,请参阅功能可用性
- 如果您选择了委派访问与应用程序专用访问,请输入由 Microsoft Entra ID 管理员提供的目录(租户)ID。
- 检查我理解并接受以下事实:现有用户和 Microsoft Entra ID 用户的电子邮件地址一致,将会关联其帐户。
- 选择“保存” 以激活集成。
如激活成功,则表示集成配置正确。如果激活失败,请验证是否已正确授予同意,然后重试。
如果您使用 Automation Hub,并希望从 Microsoft Entra ID 中同步“城市”、“职务”和“部门”的字段信息,则需要申请额外权限。请联系您的 Microsoft Entra ID 管理员,通过包含所需作用域的高级管理员同意 URL来完成授权确认。
使用自定义 Microsoft Entra ID 应用程序注册进行手动设置
如果您更喜欢配置自己的 Microsoft Entra ID 应用程序,而不是使用 UiPath 托管的多租户应用程序,请执行以下步骤。此选项需要您管理自己的凭据,并随着时间的推移对这些凭据进行维护。
通过手动设置创建的凭据会定期过期。请在过期前及时更新这些凭据,以避免服务中断。为降低此运营开销,建议将自动设置与 UiPath 托管的 Entra ID 应用程序配合使用。
配置 Microsoft Entra ID
作为 Microsoft Entra ID 管理员,您可以使用 PowerShell 脚本或 Microsoft Entra 管理中心配置应用程序。
选项 A:使用 PowerShell 脚本
如果要以最少的手动配置自动化设置过程,请执行以下步骤:
-
运行
configAzureADconnection.ps1以自动设置您的 Entra 租户。 -
运行
testAzureADappRegistration.ps1以验证设置。选项 B:使用 Microsoft Entra 管理中心
如果您更喜欢通过用户界面手动配置应用程序注册,请执行以下步骤:
-
创建应用程序注册:
- 前往 Microsoft Entra 管理中心 > 应用程序注册 > 新注册。
- 设置首选名称。
- 请选择仅限此组织目录中的账户。
- 为您的平台设置重定向 URI:
https://cloud.uipath.com/identity_/signin-oidchttps://govcloud.uipath.us/identity_/signin-oidc
-
配置身份验证:
- 前往“身份验证”。
- 为您的平台添加以下重定向 URI:
https://cloud.uipath.com/portal_/testconnectionhttps://govcloud.uipath.us/portal_/testconnection
- 在“隐式授权和混合流”下,选择 ID 令牌。此集成使用 Microsoft 混合流。
- 保存更改。
-
添加令牌声明:
- 转到令牌配置 > 添加可选声明。
- 选择 ID 作为令牌类型。
- 选择以下声明:
family_name、given_name和upn。
这些声明用于在登录时更新用户信息。
- 保存更改。
-
设置 API 权限:
- 转到 API 权限 > 添加权限。
- 选择 Microsoft Graph。
- 在“您的应用程序需要什么类型的权限?”下根据您要配置的 UiPath 访问作用域选择相应的权限类型。在选择权限之前,请考虑以下事项:
-
虽然您可以仅配置“委派”访问,但我们建议将“委派”访问和“应用程序”访问权限结合使用。
-
下表列出了您要配置的每个访问作用域所需的权限。有些权限同时会在两个列表中显示,但由于其权限类型不同,因此必须单独添加。
备注:要在 Automation Hub 中使用
City、Job Title和Department等属性,需要User.Read.All权限。-
对于 Automation Cloud:无论要配置何种访问作用域,都必须从“委派权限”菜单中添加以下权限:
Microsoft Entra ID 权限 权限类型 用途 email、openid、profile、offline_access和User.Read已委派 允许用户使用 Microsoft Entra ID 登录,并使 Automation Cloud 能够在授权请求中检索声明。 User.ReadBasic.All或User.Read.All已委派 允许 Automation Cloud 在 Microsoft Entra ID 中搜索用户、分配权限并随时更新用户属性。 GroupMember.Read.All已委派 允许 Automation Cloud 评估组成员身份并强制执行基于目录组的访问控制。
-
-
若要配置委派访问与应用程序专用访问作用域,还须从“应用程序权限”菜单中额外添加以下权限:
Microsoft Entra ID 权限 权限类型 用途 User.ReadBasic.All或User.Read.All应用程序 允许 Automation Cloud 在 Microsoft Entra ID 中搜索用户、分配权限以及在 Unattended 自动化中更新用户属性。 GroupMember.Read.All应用程序 允许 Automation Cloud 评估组成员身份,并在 Unattended 自动化中强制执行基于目录组的访问控制。 -
对于 Automation Cloud 公共部门,请使用以下权限:
- OpenID 权限:
email、openid、offline_access、profile。 - 用户权限:
User.Read、User.ReadBasic.All或User.Read.All。 - 组权限:
GroupMember.Read.All。
- OpenID 权限:
-
- 选择为(您的组织)授予管理员同意。此步骤允许应用程序访问所有用户的数据,而无需逐一征得个人同意。有关更多信息,请参阅 Microsoft 文档。
-
创建凭据:您可以使用客户端密钥或证书:
- 要创建客户端密码,请执行以下操作:
- 前往证书和密钥。
- 选择“新建客户端密钥”,然后保存密钥值。
- 要创建证书,请执行以下操作:
- 打开新选项卡,并前往 Azure 密钥保险库。
- 创建证书:
- 主题:
CN=uipath.com - 内容类型:
PEM - 大小上限: 小于 10 KB
- 主题:
- 下载
.pem格式的证书。 - 在文本编辑器中打开
.pem文件,然后找到在 BEGIN CERTIFICATE 和 END CERTIFICATE 之间的内容。 - 创建仅包含此证书部分的新
.pem文件。 - 在 Microsoft Entra 管理中心中,前往“证书和密钥”,然后上传新的
.pem文件。 - 保留该
.pem文件。您将需要该文件来完成组织中的集成。
备注:大多数凭据类型最终会过期。为避免用户登录出现问题,请在凭据过期之前更新配置。为避免此类开销,建议将自动设置与 UiPath 托管的 Microsoft Entra ID 应用程序配合使用。
- 要创建客户端密码,请执行以下操作:
-
收集以下集成详情,并共享给您的组织管理员:
- 应用程序 (客户端) ID
- 目录 (租户) ID
- 客户端密码或证书
在组织中激活集成
作为组织管理员,请使用 Microsoft Entra ID 管理员提供的值,按以下步骤完成组织中的设置:
- 前往管理员 > 安全 > 身份验证设置 > 目录集成和单点登录 (SSO)。
- 选择“Microsoft Entra ID” 。
- 选择自定义应用程序注册 ID 和密码。
- 选择所需的访问范围:
- 委派访问与应用程序专用访问(推荐):提供完整的组评估,包括无人值守的场景。
- 委派访问:将评估限制在用户在场的会话范围内。
- 输入 Entra ID 管理员提供的以下值:
- 目录 (租户) ID
- 应用程序 (客户端) ID
- 客户端密码或证书
- 检查我理解并接受以下事实:现有用户和 Microsoft Entra ID 用户的电子邮件地址一致,将会关联其帐户。
- 选择测试连接,然后使用您的 Microsoft Entra ID 账户登录。
- 如登录成功,则表示集成已正确配置。
- 如果登录失败,请让您的 Microsoft Entra ID 管理员验证配置,然后重试。
- 选择“保存”以激活集成。
步骤 3:使用并验证集成
激活 Microsoft Entra ID 集成后,请通过使用目录用户帐户登录并确认对 Microsoft Entra ID 用户和组的访问权限,来验证其是否正常工作。为此,请执行以下步骤:
-
注销您的本地帐户。
-
使用以下方法之一以目录用户帐户登录:
- 导航到平台的特定于组织的 URL:
https://cloud.uipath.com/{organizationName}/https://govcloud.uipath.us/{organizationName}/
- 或转到主登录页面,然后选择“继续使用企业 SSO”。
备注:要确认您是否使用目录账户登录,请转到主页:
https://cloud.uipath.com/{organizationName}/portal_/homehttps://govcloud.uipath.us/{organizationName}/portal_/home
若未看到有关使用本地用户账户登录的警告,则说明您已成功使用目录用户账户登录。
- 导航到平台的特定于组织的 URL:
-
前往“账户和本地组”,尝试将 Microsoft Entra ID 中的目录用户和组添加到本地组。Microsoft Entra ID 的用户和组使用不同的图标,以便与本地账户加以区分。
备注:Microsoft Entra ID 用户和组默认不会在“用户账户”或“本地组”页面上列出。您只能通过搜索功能找到它们。
步骤 4:完成转移
步骤 4.1:配置组权限
要允许目录用户根据其组成员身份继承权限,请将相关的 Microsoft Entra ID 组添加到您组织的本地组中。
例如,将您的 UiPath Admins Entra ID 组添加到您组织中的“管理员”组。
我们建议删除个人用户权限,并依靠目录组成员身份在组织扩展时简化权限管理。
步骤 4.2:迁移现有用户
要确保用户能够继承在组织、Studio 和 Assistant 中通过 Microsoft Entra ID 组成员资格分配的权限,请执行以下步骤:
对于您的组织:
要求用户通过以下方式之一注销并使用其目录帐户登录:
- 导航到平台的特定于组织的 URL:
https://cloud.uipath.com/{organizationName}/https://govcloud.uipath.us/{organizationName}/
- 或在主登录页面选择“继续使用企业 SSO”。
对于 Studio 和 Assistant:
- 打开 UiPath Assistant。
- 前往“首选项”>“Orchestrator 连接”。
- 从当前会话中注销。
- 将连接类型设置为“服务 URL”。
- 输入您平台的组织 URL:
https://cloud.uipath.com/{organizationName}/https://govcloud.uipath.us/{organizationName}/
- 使用您的 Microsoft Entra ID 帐户登录。
步骤 4.3:逐步淘汰本地帐户
在您删除所有用户的本地帐户之前,请确保已使用其 Microsoft Entra ID 帐户登录至少一次。帐户链接仅在首次登录目录时发生。如果在用户使用其目录帐户登录之前删除本地帐户,则系统会改为创建一个新的目录身份,用户将无法访问其之前的工作,包括项目和解决方案。此操作无法撤销。
我们建议删除本地用户帐户,以确保一致性并简化用户体验。
如果用户继续使用本地帐户而非目录帐户登录,则将面临以下限制:
- 它们不会继承目录组权限。
- 他们无法从 Microsoft Entra ID 目录中搜索或分配用户或组。
下表总结了已链接的本地帐户和目录帐户的预期行为:
| 功能 | 链接的本地用户帐户 | 链接目录用户帐户 |
|---|---|---|
| 继承直接分配给用户的权限 | 是 | 是 |
| 继承分配给目录组的权限 | 否 | 是 |
| 在您的组织中搜索目录用户和组,并为其分配权限或资源 | 否 | 是 |
若使用手动设置方式配置 Microsoft Entra ID 集成,必须至少保留一个具有管理员权限的本地用户账户来管理该集成。
高级配置
限制对特定用户的访问
默认情况下,Microsoft Entra ID 租户中的所有用户都可以访问您的 Automation Cloud 组织。要将访问权限限制为特定用户或组,请执行以下步骤:
- 在 Microsoft Entra 管理中心,前往您在“步骤 2:配置 Microsoft Entra ID 集成”中为该集成创建的应用程序。
- 前往企业应用程序 > 属性。
- 将“需要进行用户分配?”设置为“是”。
- 在“用户和组”中,分配应拥有访问权限的用户或组。
您租户中的所有用户和组均可在 Automation Cloud 中搜索,但只有分配到应用程序的用户才能登录。有关更多详细信息,请参阅有关用户分配的 Microsoft 文档。
实施网络限制
使用 Microsoft Entra ID 条件访问策略,根据以下条件限制访问:
- 网络位置(例如,仅限公司网络)
- 设备合规性
- 风险级别
有关这些策略的具体配置方法,请参阅 Microsoft 文档中有关“条件访问”的相关说明。
管理特权访问
对于用于管理 UiPath 管理员访问的 Microsoft 入口ID 组,请实施以下访问管理实践:
- 在 Microsoft Entra ID 中启用特权身份管理 (PIM)。
- 配置即时访问和批准工作流。
- 设置定期访问审核,以验证成员资格和权限。
如需配置指导,请参阅 Microsoft 文档中有关“特权身份管理”的相关说明。
常见问题
集成后,我的用户发生了哪些变化?
完成集成后,用户可以使用其 Microsoft Entra ID 帐户登录,并保留其现有权限。如果本地用户帐户仍处于活动状态,则两种登录方法都可用。
要使用目录帐户登录,用户可以执行以下一项操作:
- 前往您平台的组织专属 URL:
https://cloud.uipath.com/{organizationName}/https://govcloud.uipath.us/{organizationName}/
- 在主登录页面上,选择“继续使用企业 SSO” 。
为什么在配置集成后无法搜索用户或组?
如果使用本地用户帐户而不是目录帐户登录,则您将无法搜索组织中的用户或组。
要了解本地帐户和目录帐户之间的区别,请参阅“逐步淘汰本地帐户” 。
要解决此问题,请确保您使用 Microsoft Entra ID 帐户登录。
是否需要重新分配权限?
否,您不需要重新分配权限。关联帐户后,您的组织会自动将现有权限应用于相应的 Microsoft Entra ID 帐户。目录用户帐户通过直接分配和目录组成员身份获得权限。
哪些 Microsoft Entra ID 属性映射到 UiPath 目录用户帐户?何时更新?
UiPath 仅将一组有限的 Microsoft Entra ID 属性映射到目录用户帐户。下表总结了可用属性。
在登录期间以及搜索用户或为用户分配对 UiPath 组织中的资源的访问权限期间,所有用户属性都会更新。
| UiPath 组织属性 | Microsoft Entra ID 属性 | 用途 |
|---|---|---|
| 用户名 | user.userPrincipalName | 唯一标识符。创建用户时,此属性为必填,无法在更新期间清除。 |
| 显示名称 | user.displayName | 用户的全名,通常是名字和姓氏的组合。创建用户时,此属性为必填,无法在更新期间清除。 |
| 名字 | user.givenName | 用户的名字。 |
| 姓氏 | user.surName | 用户的姓氏。 |
| 电子邮件 | user.Mail | 用户的电子邮件地址创建用户时,此属性为必填项,无法在更新过程中清除。 |
| 职位名称1 | user.JobTitle | 用户的职位名称。 |
| 部门1 | user.Department | 用户所在部门。 |
| 城市1 | user.City | 用户所在城市。 |
| 公司名称1 | user.CompanyName | 用户的公司名称。 |
1Automation Hub 是唯一利用 Microsoft Entra ID 中 “城市” 、 “职位名称” 、 “部门”和“公司名称”值的服务。如果您需要这些属性,则必须请求更高特权,如配置 Microsoft Entra ID 集成中所述。
有关 Microsoft Entra ID 属性的说明,请参阅Microsoft 文档。
Microsoft Entra ID 组成员身份更改应用的速度需要多快?
对 Microsoft Entra ID 组成员身份的更改将在下一次登录时生效,对于已登录的用户则在一小时内生效。
集成后,是否可以还原为本地帐户?
是的,与 Microsoft Entra ID 集成后,您可以还原为本地帐户。组织管理员必须完成以下步骤:
- 重新邀请本地用户帐户。
- 迁移所有目录基于组的权限,以直接分配相应的本地帐户。
- 请用户注销,然后使用其本地用户帐户登录。
我可以从 Microsoft Entra ID 集成迁移到 SAML 集成吗?
是的,您可以从 Microsoft Entra ID 集成迁移到 SAML 集成。组织管理员必须确保两个身份验证系统对每个用户使用相同的电子邮件地址。管理员还必须将通过 Microsoft Entra ID 组分配的所有权限迁移到 SAML 配置规则。
为什么集成使用 Microsoft Entra ID 的混合 OAuth 2.0 授权代码授权流程?
UiPath 使用混合流程从授权端点获取 ID 令牌并减少身份验证延迟,如Microsoft Entra ID 文档中所述。
- 入门指南
- 收益
- 限制和注意事项
- 在开始之前
- 步骤 1:让您的组织为帐户关联做好准备
- 步骤 2:配置 Microsoft Entra ID 集成
- 配置方法
- 关于 UiPath 管理的 Microsoft Entra ID 应用程序
- 使用 UiPath 管理的 Microsoft Entra ID 应用程序进行自动化设置(推荐)
- 使用自定义 Microsoft Entra ID 应用程序注册进行手动设置
- 步骤 3:使用并验证集成
- 步骤 4:完成转移
- 步骤 4.1:配置组权限
- 步骤 4.2:迁移现有用户
- 步骤 4.3:逐步淘汰本地帐户
- 高级配置
- 限制对特定用户的访问
- 实施网络限制
- 管理特权访问
- 常见问题
- 集成后,我的用户发生了哪些变化?
- 为什么在配置集成后无法搜索用户或组?
- 是否需要重新分配权限?
- 哪些 Microsoft Entra ID 属性映射到 UiPath 目录用户帐户?何时更新?
- Microsoft Entra ID 组成员身份更改应用的速度需要多快?
- 集成后,是否可以还原为本地帐户?
- 我可以从 Microsoft Entra ID 集成迁移到 SAML 集成吗?
- 为什么集成使用 Microsoft Entra ID 的混合 OAuth 2.0 授权代码授权流程?