automation-suite
2021.10
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。 新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white
不在支持范围内

Automation Suite 管理页指南

上次更新日期 2024年11月11日

了解身份验证模型

本地帐户模型

本地用户帐户代表每个用户的帐户,是 UiPath 平台的内部帐户。 在此模型中,组织管理员向组织添加新用户。 适用于您要在 UiPath 平台内完全控制用户管理的场景。

在 UiPath 中,SSO 设置是指可以在主机级别和组织级别实施的规定。

主机级别的 SSO 设置用于与主机绑定的所有组织。 这意味着您在此级别调整的任何 SSO 设置将应用于主机下的每个组织。 可以在主机级别管理的 SSO 设置包括基本登录、Google SSO、Azure AD SSO、Active Directory 和 SAML SSO。 特定设置(例如基本登录)可以在组织级别覆盖。

备注:

此模型与目录帐户模型兼容。

目录帐户模型

目录帐户模型依赖于您与 UiPath 平台集成的第三方目录。 这使您可以重用公司已建立的身份方案。 目录帐户在 UiPath 平台外部的目录中创建和维护;它们仅在 UiPath 平台中引用并用作身份。

在 UiPath 中,可以在主机级别和组织级别配置目录集成模型。

  • 在主机级别,目录集成选项包括 Active Directory。 此处的设置将以一致的方式应用于该主机下的所有组织。

  • 在组织级别,UiPath 允许组织管理员使用 Azure Active Directory (AAD) 集成覆盖主机级别设置。

对于大多数公司来说,Active Directory 对于协调身份验证和访问管理策略都至关重要。 建立目录集成时,您的身份提供程序可作为用户身份的单一事实来源。

通过允许在主机级别和组织级别进行设置,UiPath 的目录模型有效地在一致性和灵活性之间取得了平衡。 它允许跨主机使用统一目录集成服务,同时必要时还在组织级别提供自定义设置。

身份验证级别和继承

为您的组织选择身份提供程序会影响用户登录的方式以及创建和管理用户帐户和组帐户的方式。 在 UiPath 平台中,管理员可以一次为所有组织全局(主机级别)选择身份验证和相关的安全设置,也可以为每个组织选择:

  • 全局身份验证设置(主机级别):作为系统管理员,您可以在主机级别为安装选择身份验证和相关的默认安全设置。 我们将这些称为“主机身份验证和安全设置”,默认情况下,所有组织都将继承这些设置。 了解如何配置主机身份验证和安全设置。

  • 组织级别的身份验证设置:作为组织管理员,您可以为组织选择身份验证和相关的安全设置。 某些设置是从主机级别继承的,但如果应为您的组织应用不同的设置,则可以覆盖它们。 了解如何配置组织级别的身份验证和安全设置。
 

Azure AD 主机级别

Azure AD 组织级别

SAML 主机级别

SAML 组织级别

目录集成

自动配置

自动组配置

关于外部提供程序

Automation Suite 允许您配置外部身份提供程序以控制用户的登录方式。下表概述了可用的不同主机级外部提供程序:

外部提供程序集成

身份验证

目录搜索

管理员配置

管理员可以使用 Kerberos 协议将 SSO 与 Windows 身份验证结合使用

管理员可以从 Active Directory 搜索用户

为了使用户能够登录,用户或用户所属的组应该已经添加到 Automation Suite。通过目录搜索,您可以在 Automation Suite 中找到 Active Directory 用户和组。

管理员可以使用 OpenID Connect 协议将 SSO 与 Azure AD 结合使用

不支持

必须手动将用户配置到 Automation Suite 中。其电子邮件地址与其 Azure AD 帐户匹配。

用户可以使用 OpenID Connect 协议将 SSO 与 Google 一起使用

不支持

必须使用与其 Google 帐户匹配的电子邮件地址手动将用户配置到 Automation Suite 组织中。

用户可以将 SSO 与任何支持 SAML 的身份提供程序一起使用

不支持

必须使用与其 SAML 帐户匹配的用户名/电子邮件/外部提供程序密钥(如其外部身份提供程序配置中所配置)手动将用户配置到 Automation Suite 组织中。

备注:

在主机级别和组织级别集成 Azure AD 之间的区别

主机级 Azure AD 外部身份提供程序仅启用 SSO 功能。这意味着必须使用与其 Azure AD 帐户匹配的电子邮件地址手动将用户配置到 Automation Suite 组织中,以便他们登录到组织。

配置组织级别后,将在 Automation Suite 中自动配置通过 Azure AD (SSO) 登录到组织的用户。 此外,已登录的目录用户可以在 Azure AD 中搜索其他用户。

组织身份验证

Azure Active Directory 模式

与 Azure Active Directory (Azure AD) 集成后,可以为您的组织提供可扩展的用户和访问权限管理,从而确保您的员工使用的所有内部应用程序都合规。如果您的组织使用的是 Azure AD 或 Office 365,可以将 Orchestrator 组织直接连接到 Azure AD 租户,以获得以下好处:

通过无缝迁移自动完成用户引导

  • 任何 Orchestrator 服务均可随时使用 Azure AD 中的所有用户和组分配权限,而无需在 Orchestrator 组织目录中邀请和管理 Azure AD 用户。
  • 您可以为公司用户名与电子邮件地址不同的用户提供单点登录,而在基于邀请的模式中则无法实现。
  • 所有拥有 UiPath™ 用户帐户的现有用户,其权限都将自动迁移到已连接的 Azure AD 帐户。

简化登录体验

  • 用户不必像默认模式那样接受邀请或创建 UiPath 用户帐户即可访问 Orchestrator 组织。通过选择企业 SSO 选项或使用特定于组织的 URL,就可以使用 Azure AD 帐户登录。

    如果用户已登录 Azure AD 或 Office 365,则系统会自动为其登录。

  • UiPath Assistant 和 Studio 20.10.3 及更高版本可以预配置为使用自定义 Orchestrator URL,从而带来相同的无缝连接体验。

使用现有的 Azure AD 组扩展监管和访问权限管理

  • Azure AD 安全组或 Office 365 组(也称为目录组)允许您利用现有的组织结构来大规模管理权限。您不再需要在 Orchestrator 服务中为每个用户配置权限。
  • 如果需要一起管理多个目录组,可以将多个目录组组合到一个 Orchestrator 组中。
  • 审核 Orchestrator 访问权限非常简单。在使用 Azure AD 组配置所有 Orchestrator 服务中的权限后,您可以利用与 Azure AD 组成员身份关联的现有验证流程。

    注意:在使用 Azure AD 模式时,您可以继续使用默认模式的所有功能。但是,为了最大限度地利用这些优势,我们建议您完全使用 Azure AD 的集中式帐户管理功能。

    如果您想使用 Azure Active Directory 作为组织的身份提供程序,请按照设置 Azure AD 集成中的说明进行操作。

SAML 模式

此模型允许您将 Orchestrator 连接到所选的身份提供程序 (IdP),以便:

  • 您的用户可以从单点登录 (SSO) 中受益,
  • 您可以在 Orchestrator 中管理目录中的现有帐户,而无需重新创建身份。

Orchestrator 可以连接到任何使用 SAML 2.0 标准的外部身份提供程序,以获得以下好处:

自动引导用户

当 SAML 集成处于活动状态时,来自外部身份提供程序的所有用户都有权使用基本权限登录。这意味着:

  • 用户可以使用 IdP 中定义的现有公司帐户通过 SSO 登录到您的组织。
  • 无需任何进一步的设置,默认情况下用户就可以访问组织。为了能够在组织中使用,用户需要适当的角色和许可证。

用户管理

您可以通过将用户直接分配到组来添加用户,为此,您只需在将用户添加到组时输入其电子邮件地址。

通常,管理员从“管理员”>“组织”>“帐户和组”>“用户”选项卡管理本地帐户。但 SAML 用户是目录帐户,因此在此页面上不可见。

将用户添加到组或至少登录一次后(这会自动将其添加到“Everyone”组),可以在所有服务中搜索到这些用户,以便直接分配角色或分配许可证。

属性映射

如果您使用 UiPath Automation Hub,则可以定义自定义属性映射,以将属性从身份提供程序传播到 Orchestrator。例如,首次将帐户添加到 Automation Hub 时,系统会填充用户的名字、姓氏、电子邮件地址、职位名称和部门。



设置

管理员可以通过“管理员”>“安全设置”>“身份验证设置”为整个组织配置和启用 SAML 集成。

有关说明,请参阅 。

从 Azure AD 集成转换为 SAML 集成

切换到 SAML 集成后,Azure AD 集成将被禁用。Azure AD 组分配不再适用,因此 Orchestrator 组成员身份和从 Azure AD 继承的权限不再适用。

  • 本地帐户模型
  • 目录帐户模型
  • 身份验证级别和继承
  • 关于外部提供程序
  • 组织身份验证

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2025 UiPath。保留所有权利。