automation-cloud
latest
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。 新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

Automation Cloud admin guide

上次更新日期 2025年1月24日

设置 Azure AD 集成

企业版许可计划在其中提供此功能。

If your organization is using Azure Active Directory (Azure AD) or Office 365, you can connect your Automation Cloud organization directly to your Azure AD tenant to view existing accounts and groups in your Automation Cloud environment.

借助 Azure AD 集成,您可以继续使用本地帐户模型,同时通过利用 Azure AD 模型的其他优势来引导组织。 Azure AD 集成经过精心设计,您可以逐步激活和推出,而不会影响现有用户的生产。

如果您的组织已决定使用 Azure AD 模型,请按照此页面上的说明设置集成。

先决条件

要设置 Azure AD 集成,您需要:

  • 具有企业版许可的组织
  • Automation Cloud和 Azure AD(可为不同对象)中的管理员权限;
  • Azure AD 帐户,其电子邮件地址与执行集成的组织管理员的 UiPath 本地帐户相同。 请注意,此 Azure AD 帐户仅用于测试集成,不需要在 Azure 中具有管理员权限;
  • UiPath Studio 和 UiPath Assistant 2020.10.3 或更新版本;
  • UiPath Studio 和 UiPath Assistant,以使用推荐的部署
注意: UiPath 遵循 OIDC 协议与 Azure AD 集成。 但是,集成不支持通过在专用 URL 中声明appid查询参数来使用应用程序自定义键,如Microsoft 访问令牌文档中所述。

配置 Azure 以进行集成

您的组织要求在您的 Azure AD 租户中注册一个应用程序并进行一些配置,以便它可以查看您的 AD 成员,建立帐户身份。稍后在将组织连接到您的 Azure AD 租户时,也需要提供应用程序注册详细信息。

权限:您必须是 Azure 中的管理员才能执行此部分中的任务。以下 Azure 管理员角色具有必需的权限:全局管理员、云端应用程序管理员或应用程序管理员。

有两种方法可以设置集成的 Azure 租户:

  • Take the following steps to manually configure an app registration for the integration.
  • 使用我们为此任务创建的 UiPath Azure AD 脚本,这些脚本可在GitHub上找到: configAzureADconnection.ps1脚本执行本节中描述的所有操作并返回应用程序注册详细信息。 然后,您可以运行testAzureADappRegistration.ps1脚本以确保应用程序注册成功。

To manually configure your Azure tenant, take the following steps in Azure Portal:

  1. Create an app registration for Automation Cloud. For details, refer to Microsoft's documentation about Registering an application.
    在注册过程中,选择“仅此组织目录中的帐户”,并将“重定向 URI”设置为 https://cloud.uipath.com/identity_/signin-oidc
    Note: If you already have a registered application for your organization, there is no need to create a new one, but make sure that the app is set up as previously described.

  2. 打开应用程序的“概述”页面,复制应用程序(客户端)ID目录(租户)ID,并保存以备后用:


  3. 转到应用程序的“身份验证”页面:
    1. Under Redirect URIs, select Add URI to add a new entry.
    2. 在“重定向 URIs”列表中添加 https://cloud.uipath.com/portal_/testconnection
    3. 选中底部的“ID 令牌”复选框。
    4. 选择“保存”
    docs image
  4. 转到“令牌配置”页面。
  5. 选择“添加可选声明”
  6. 在“令牌类型”下,选择“ ID”
  7. 选中family_namegiven_nameupn的复选框,以将其添加为可选声明:


  8. 转到“API 权限”页面。
  9. Select Add permission and add the following delegated permissions from the Microsoft Graph category:
    • OpenID 权限 -emailopenidoffline_accessprofile
    • 组成员权限 - GroupMember.Read.All
    • 用户权限 - User.ReadUser.ReadBasic.AllUser.Read.All(需要管理员同意)。


    权限

    它允许您执行的操作

    我们如何使用它

    emailopenidprofileoffline_accessUser.Read允许 AAD 向系统应用程序颁发用户令牌允许用户使用 AAD 登录名登录系统。这使我们能够让用户对象保持更新,确保这些属性的一致性。
    User.ReadBasic.AllReads basic properties of all users in the directory that the logged in user is allowed to

    view

    当某一用户为目录中的其他用户分配对其资源的权限时,该用户可以搜索这些用户。访问管理/授权功能位于系统用户体验中。
    User.Read.All (需要管理员同意) Reads all user properties in the directory that the logged in user is allowed to

    view

    您的管理员可能想要导入这些其他用户属性,以便在系统服务中配置权限或显示自定义信息。对于 Automation Hub 以及希望从 AAD 获取全套属性的客户,有必要向应用程序授予 User.Read.All 权限。
    GroupMember.Read.All读取已登录用户有权访问的所有用户的组成员身份如果您的组织使用组来管理系统中的权限,则平台需要能够列出所有组并发现组成员;这允许管理和强制执行组分配的权限。

    To learn more about UiPath's access with these permissions, refer to our Encryption documentation.

  10. 选中“授予管理员同意”复选框。
    Note: The administrator consents on behalf of all users in the tenant active directory. This allows the application to access the data of all users, without users being prompted to consent. For more information about permissions and consent, refer to Microsoft's Azure AD documentation.
  11. Go to the Certificates & secrets page to create a new client secret or a new certificate.
  12. Provide your organization administrator with the Directory (tenant) ID, Application (client) ID values. If you chose the client secret option, also share the Client Secret value. If you chose the certificate option, share the certificate details. This information enables the administrator to proceed with the configuration.

为 UiPath 设置 Azure 密钥保险库证书

This section outlines the high-level steps for configuration with a certificate. You can also use a client secret. For more details about setting up certificates, check setting and retrieving a certificate from Azure Key Vault in the Microsoft documentation. Follow these high-level steps to set up a certificate:

  1. 登录到 Azure 密钥保险库,然后导航至“证书”部分。

  2. Create a certificate with the Subject as CN=uipath.com and Content Type as PEM .
    docs image
  3. After creation, download the certificate in PFX/PEM format.

  4. 使用文本编辑器打开.pem文件。 它应包含两个部分: BEGIN PRIVATE KEY/END PRIVATE KEYBEGIN CERTIFICATE/END CERTIFICATE
  5. 创建一个新的.pem文件,仅包含BEGIN CERTIFICATEEND CERTIFICATE.之间的行。
  6. 在 Azure 门户中,找到“应用注册”中的“证书和密码”选项卡,然后上传新的.pem文件。
  7. As part of the Automation CloudTM configuration, you need to add the entire content of the downloaded .pem certificate from Azure Key Vault in the Client secret or certificate field.
    备注:

    The maximum permitted size for certificates is 10KB.

将集成部署到Automation Cloud

Azure 安装完成后,您可以为集成做准备,激活它,然后清理旧帐户。 流程分为多个阶段,因此不会给您的用户造成中断。

备注:

您必须是Automation Cloud中的组织管理员才能执行此部分中的任务。

清理非活动用户

通过激活集成将Automation Cloud连接到 Azure AD 时,系统会链接具有匹配电子邮件地址的帐户,以便 Azure AD 帐户具有与匹配的 UiPath 本地帐户相同的权限。

如果您的组织实行电子邮件回收,这意味着使用过的电子邮件地址日后可能会分配给新用户,这可能会增加访问的风险。

假设您之前有一位员工的电子邮件地址为john.doe@example.com ,这名员工因曾是组织管理员,拥有本地帐户,他从公司离职后,其电子邮件地址遭停用,但不会删除此用户。
当另一位名为 John Doe 的新员工加入公司时,他会收到相同的电子邮件地址john.doe@example.com 。 在这种情况下,如果在与 Azure AD 集成的过程中链接帐户,John Doe 将继承组织管理员权限。

为防止发生此类情况,请确保删除Automation Cloud组织中所有不再活动的用户,然后再继续下一步。 如果您的组织不会重复使用不活动的电子邮件地址,则可以跳过此步骤。

激活 Azure AD 集成

备注:
在开始之前:
  • 确保完成Azure 配置
  • 从 Azure 管理员处获取在 Azure 中注册 Automation Cloud 应用程序时所需的 目录(租户)ID ”、“ 应用程序(客户端)ID ” 和“客户端密码” 的值。
要激活 Azure AD 集成,请在Automation Cloud中应用以下步骤:
  1. 转到“管理员”页面,如果尚未选择,请在左窗格顶部选择组织。
  2. 选择“安全性”,以打开“安全设置”
  3. 在“身份验证设置”选项卡上,选择“配置 SSO ”。
  4. 从 SSO 配置面板中选择“ Azure Active Directory ”。
  5. 使用从 Azure 管理员处收到的信息填写这些字段。
  6. 选中“我理解并接受已添加的用户”的复选框,即可关联电子邮件地址匹配的 Azure AD 用户的帐户。 保存更改后,系统会自动关联匹配的帐户。​
  7. 选择“测试连接”以验证是否已正确配置集成。
  8. 出现提示时,使用您的 Azure AD 帐户登录。
    如登录成功,则表示集成已正确配置。万一失败,请让您的 Azure 管理员检查 Azure 的配置是否正确,然后重试。
  9. 选择“保存” 为您的组织激活集成。
  10. 注销。
  11. 导航到组织 URL ( https://cloud.uipath.com/organizationID/ ) 并使用您的 Azure AD 帐户登录。

现在,您可以使用关联租户中的 Azure AD 用户和组了。 目录帐户和组未在 “ 管理员 - 帐户和组” 下的“ 用户”或“ 组”页面中列出,您只能通过搜索找到它们。

测试 Azure AD 集成

要检查集成是否正在运行,请以组织管理员身份使用 Azure AD 帐户登录,并尝试在任何相关页面上 搜索 Azure AD 用户和组,例如 Automation Cloud 中的“ 编辑组”面板(“ 管理”>“ 帐户和组” >“组” >“编辑” )。

如果您可以搜索到在 Azure AD 中创建的用户和组,则表明集成正在运行。您可以通过图标区分用户或组的类型。

If you encounter an error while trying to search for users, as shown in the following example, this indicates that there is something wrong with the configuration in Azure. Reach out to your Azure administrator and ask them to check that Azure is set up as described earlier in the documentation on Configuring Azure for the Integration.

提示:请您的 Azure 管理员确认他们在配置 Azure 期间是否选中了“授予管理员同意”复选框。这是导致集成失败的常见原因。
在原因不明确的情况下,Azure 管理员可以使用GitHub 上提供的 UiPath Azure AD 测试脚本testAzureADappRegistration.ps1查找并修复任何配置问题。


完成向 Azure AD 的转换

集成程序活动后,我们建议您按照本节中的说明进行操作,以确保将用户创建和组分配迁移到 Azure AD。 通过这种方式,您可以在现有身份和访问管理基础架构的基础上进行构建,以便更轻松地对Automation Cloud中的 UiPath 资源进行监管和访问管理控制。

配置权限和机器人的组(可选)

您可以通过此操作确保 Azure 管理员也可以使用您在集成前设置的相同权限和机器人配置为新用户注册。 为此,如果组已分配了必要的角色,他们可以将任何新用户添加到 Azure AD 组中。

您可以将Automation Cloud中的现有用户组映射到 Azure AD 中的新组或现有组。 您可以通过多种方式执行此操作,具体取决于您在 Azure AD 中使用组的方式:

  • 如果在Automation Cloud中具有相同角色的用户已经在 Azure AD 中相同的组内,则组织管理员可以将这些 Azure AD 组添加至这些用户所属的用户组。 这可确保用户拥有相同的权限和机器人设置。
  • 否则,Azure 管理员可以在 Azure AD 中创建与Automation Cloud中的组匹配的新组,并添加与 UiPath 用户组中相同的用户。 然后,组织管理员可以将新的 Azure AD 组添加到现有用户组中,以确保相同的用户具有相同的角色。

请务必在所有情况下验证明确分配给用户的任何角色。 如果可行,请删除这些直接角色分配,并将这些用户添加到已分配这些角色的组中。

例如,假设 Automation Cloud 中的 Administrators 组包括用户 Assistant、Tom 和 John。这些用户也属于 Azure AD 中名为admins的组。 组织管理员可以将 Azure admins 组添加到 Automation Cloud 中的 Administrators 组。这样,Ana、Tom 和 John 作为 Azure AD 中 admins 组的成员,都可以从 Automation Cloud 中的 Administrators 组的角色中受益。

由于管理员现在属于Administrators组,因此当您需要加入新的管理员时,Azure 管理员可以将此新用户添加到 Azure 中的admins组中,从而在 Automation Cloud 中向他们授予管理权限,而无需在Automation Cloud中进行任何更改

备注:

当用户使用 Azure AD 帐户登录时(如果已登录,则在一小时内),系统会在Automation Cloud中应用对 Azure AD 组分配的更改。

迁移现有用户

要应用分配给 Azure AD 用户和组的权限,用户必须至少登录一次。 我们建议,在集成运行后,您可以与所有用户通信以注销其本地帐户并使用其 Azure AD 帐户重新登录。 他们可以通过以下方式使用 Azure AD 帐户登录:

  • 导航到特定于Automation Cloud组织的 URL,在这种情况下,您必须先选择登录类型。 URL 必须包含组织 ID,并以正斜杠结尾,例如https://cloud.uipath.com/orgID/
  • 通过在主登录页面上选择“企业 SSO ”。 确保提供适用于Automation Cloud的特定于组织的 URL。

迁移的用户将收到在Automation Cloud中直接分配给他们的组合权限,以及来自其 Azure AD 组的权限。

要设置 Studio 和 Assistant 以连接到 Azure AD 帐户,请执行以下操作:

  1. 在 Assistant 中,打开“首选项”,然后选择“Orchestrator 连接”选项卡。
  2. 选择“注销”
  3. 对于连接类型,请选择“服务 URL”
  4. 在“服务 URL ” 字段中,添加特定于组织的 URL URL必须包含组织 ID,并以正斜杠结尾,例如https://cloud.uipath.com/orgID/ 。 否则,连接将失败,表明用户不属于任何组织。
  5. 使用 Azure AD 帐户重新登录。
注意:Azure AD 组的权限不影响传统文件夹中的自动化或使用计算机密钥连接的机器人。要在基于组的权限下操作,请在新式文件夹中配置自动化,然后使用“服务 URL”选项连接到 UiPath Assistant 或 Studio。

停止使用 UiPath 本地帐户(可选)

我们建议您不再使用本地帐户,以最大程度地发挥Automation Cloud和 Azure AD 之间完全集成后在核心合规性和效率方面带来的优势。

注意:仅删除“非管理员”帐户。 建议保留至少一个组织管理员本地帐户,以便将来能够更改身份验证设置。

迁移完所有用户后,您可以从“用户” 选项卡中删除非管理员用户,这样您的用户就无法再使用其本地帐户登录。 您可以根据他们的用户图标来查找这些帐户。

您还可以清理 UiPath 服务(如 Orchestrator 服务)中的个人权限,并从组中删除个人用户,这样权限就仅依赖于 Azure AD 的组成员身份。

异常

如果您决定停止使用本地帐户,请记住,如果有依赖 API 密钥身份验证(“管理员”>“租户”页面)来对服务进行 API 调用的流程,则您需要一个本地帐户,因为该按钮不是使用 Azure AD 帐户登录时可用。

对 API 密钥身份验证的支持将于 2025 年 3 月结束。 我们建议您改用 OAuth 或个人访问令牌进行授权,在这种情况下,不再需要API 访问中的信息。

高级功能

以下这些实用建议介绍了设置 Azure AD 集成后可以使用的高级功能。

限制对您组织的访问

由于与 Azure AD 的集成是在 Azure 租户级别执行,因此在默认情况下,所有 Azure AD 用户都可以访问Automation Cloud 。 Azure AD 用户首次登录 UiPath 组织时,系统会自动将其纳入 UiPath 组Everyone ,从而在组织中向他们授予 User 角色,该角色在 UiPath 生态系统中提供基本级别的访问权限。

If you want to only allow certain users to access your organization, you can activate user assignment for the UiPath app registration in Azure. This way, users need to be explicitly assigned to the app to be able to access it. For instructions, refer to how to restrict your app to a set of users in Microsoft's Azure AD documentation.

限制对可信网络或设备的访问

如果您只允许用户从受信任的网络或受信任的设备访问Automation Cloud ,则可以使用Azure AD 条件访问功能。

Azure AD 中对组的监管

If you have created groups in Azure AD for easy UiPath onboarding directly from Azure AD, as described earlier in Configure groups for permissions and robots, you can use the advanced security options of privileged identity management (PIM) for these groups to govern access requests for UiPath groups. For details, refer to the Microsoft documentation on PIM.

常见问题

集成生效后,对我的用户而言会有哪些变化?

用户可以立即使用其现有的 Azure AD 帐户登录,并享有与本地帐户相同的权限。

如果您尚未删除他们的本地帐户,则用户也可以继续使用其本地帐户登录,这两种方法均有效。

要使用 Azure AD 帐户,他们必须导航到特定于您组织的 URL,其格式为https://cloud.uipath.com/orgID/ ,或在主登录页面上选择“企业 SSO ”。

用户可能会注意到的另一个变化是,如果他们已经通过使用其他应用程序登录到 Azure AD 帐户,则在导航到此 URL 时会自动登录。

每个帐户都有哪些角色?

Azure AD 帐户”:当用户使用 Azure AD 帐户登录时,他们将立即受益于其在本地帐户中拥有的所有角色,以及在 UiPath 中分配给 Azure AD 帐户或他们所属 Azure AD 组的任何角色。 这些角色可以来自组中包含的 Azure AD 用户或 Azure AD 组,也可以来自将角色分配给 Azure AD 用户或 Azure AD 组的其他服务。

本地帐户:在 Azure AD 集成处于活动状态时,对于本地帐户,这取决于:

  • 如果用户没有至少使用其 Azure AD 帐户登录过一次,则他们仅拥有本地帐户的角色。
  • 如果用户使用其 Azure AD 帐户登录,则本地帐户拥有 AAD 用户在 UiPath 中拥有的所有角色,无论是显式分配的角色,还是从组成员身份继承的角色。

是否需要为 Azure AD 帐户重新申请权限?

不需要。因为匹配帐户是自动关联的,所以在使用 Azure AD 帐户登录时,其现有权限也适用。但是,如果您决定停止使用本地帐户,请事先确保已为 Azure AD 中的用户和组设置适当的权限。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2025 UiPath。保留所有权利。