Automation Suite
2022.4
False
Automation Suite 管理页指南
Last updated 2024年5月20日

为您的组织配置身份验证和安全性

作为组织管理员,您可以为组织选择身份验证和相关的安全设置。某些设置是从主机级别继承的,但如果应为您的组织应用不同的设置,则可以覆盖它们。

备注:

本文将引导您完成配置组织级别设置(即应用于一个组织的设置)的步骤。 如果要配置全局身份验证和安全设置,请参阅有关 主机身份验证设置的文档。

配置身份提供程序

为您的组织选择身份提供程序(“管理员 ”> “安全设置”)会影响用户的登录方式,以及在 Automation Suite 中创建和管理用户和组帐户的方式。

模型

虽然我们提供了多种身份验证设置供您控制对 Automation Suite 实例的访问,但它们均基于两个主要模型:默认模型和 Azure Active Directory (Azure AD) 模型,后者可让您利用更高级的身份验证设置身份管理功能。

允许任何用户使用基本身份验证登录(默认模式)

使用此模型,组织管理员可以在 Automation Suite 中为员工创建用户帐户,以便他们可以登录。

创建的用户可能代表 Automation Suite 中的一个本地帐户,也可能代表在主机级别配置的外部目录提供程序中的用户(如主机身份验证和安全性设置中所述)。

通过 Microsoft Azure Active Directory 启用企业 SSO(Azure Active Directory 模式)

与 Azure Active Directory (Azure AD) 集成后,可以为您的组织提供可扩展的用户和访问权限管理,从而确保您的员工使用的所有内部应用程序都合规。如果您的组织使用的是 Azure AD 或 Office 365,可以将 Automation Suite 组织直接连接到 Azure AD 租户,以获得以下好处:

通过无缝迁移自动完成用户引导

  • 任何 Automation Suite 服务均可随时使用 Azure AD 中的所有用户和组分配权限,而无需在 Automation Suite 组织目录中邀请和管理 Azure AD 用户。
  • 您可以为公司用户名与电子邮件地址不同的用户提供单点登录,而在基于邀请的模式中则无法实现。
  • 所有拥有 UiPath 用户帐户的现有用户,其权限都将自动迁移到已连接的 Azure AD 帐户。

简化登录体验

  • 用户不必像默认模式那样接受邀请或创建 UiPath 用户帐户即可访问 Automation Suite 组织。通过选择企业 SSO 选项或使用特定于组织的 URL,就可以使用 Azure AD 帐户登录。 如果用户已登录 Azure AD 或 Office 365,则系统会自动为其登录。

  • UiPath Assistant 和 Studio 20.10.3 及更高版本可以预配置为使用自定义 Automation Suite URL,从而带来相同的无缝连接体验。

使用现有的 Azure AD 组扩展监管和访问权限管理

  • Azure AD 安全组或 Office 365 组(也称为目录组)允许您利用现有的组织结构来大规模管理权限。您不再需要在 Automation Suite 服务中为每个用户配置权限。
  • 如果需要一起管理多个目录组,可以将多个目录组组合到一个 Automation Suite 组中。
  • 审核 Automation Suite 访问权限非常简单。在使用 Azure AD 组配置所有 Automation Suite 服务中的权限后,您可以利用与 Azure AD 组成员身份关联的现有验证流程。

注意:在使用 Azure AD 模式时,您可以继续使用默认模式的所有功能。但是,为了最大限度地利用这些优势,我们建议您完全使用 Azure AD 的集中式帐户管理功能。

如果您想使用 Azure Active Directory 作为组织的身份提供程序,请按照设置 Azure AD 集成中的说明进行操作。

SAML 模式

此模型允许您将 Automation Suite 连接到所选的身份提供程序 (IdP),以便:

  • 您的用户可以从单点登录 (SSO) 中受益,
  • 您可以从 Automation Suite 中的目录管理现有帐户,而无需重新创建身份。

Automation Suite 可以连接到使用 SAML 2.0 标准的任何外部身份提供程序。

收益

自动引导用户至 Automation Suite

当 SAML 集成处于活动状态时,外部身份提供程序中的所有用户都有权使用基本权限登录 Automation Suite。 这意味着:

  • 用户可以使用 IdP 中定义的现有公司帐户通过 SSO 登录您的 Automation Suite 组织。
  • 无需任何进一步的设置,他们将成为 Everyone 用户组的成员,默认情况下会向他们授予 用户组织角色 。 为了能够在 Automation Suite 中工作,用户需要适当的角色和许可证。

如果您需要将访问权限限制为仅部分用户,则可以在身份提供程序中定义允许访问 Automation Suite 的用户集。

用户管理

您可以通过直接将用户分配到 Automation Suite 组来添加用户,为此,您只需在将用户添加到组时输入其电子邮件地址即可。

通常,管理员从“管理员”>“帐户和组”>“用户”选项卡管理本地帐户。但 SAML 用户是 Automation Suite 中的目录帐户,因此在此页面上不可见。

将用户添加到组或至少登录一次(这会自动将其添加到“Everyone” 组)后,可以在 Automation Suite 的所有服务中搜索他们,以直接分配角色或许可证。

属性映射

如果您使用 UiPath Automation Hub,则可以定义自定义属性映射,以将身份提供程序中的属性传播到 Automation Suite。 例如,首次将帐户添加到 Automation Hub 时,系统已填充用户的名字、姓氏、电子邮件地址、职位名称和部门。



设置

管理员可以从“ 管理员 ” > “安全设置”为整个组织配置和启用 SAML 集成。

有关说明,请参阅配置 SAML 集成

从 Azure AD 集成转换为 SAML 集成

切换到 SAML 集成后,Azure AD 集成将被禁用。 Azure AD 组分配不再适用,因此 Automation Suite 组成员身份和从 Azure AD 继承的权限不再适用。

允许或限制基本身份验证

基本身份验证 是指使用本地帐户的用户名和密码登录。

如果基本身份验证受到限制,则您的用户只能使用外部身份提供程序中定义的目录帐户登录。 否则,用户可以使用其本地帐户(如果有)和目录帐户登录。

另请参阅配置级别和继承,以获取有关此设置的更多信息。

在组织级别设置基本身份验证

注意:仅当在主机级别或组织级别启用外部提供程序集成时,此设置才可用。

在组织级别设置时,该设置将应用于组织中的所有帐户。

对于例外情况,您也可以在帐户级别设置基本身份验证,以便以不同方式应用此设置。

要允许或限制组织的基本身份验证,请执行以下操作:

  1. 以管理员身份登录到位于 https://<server>/identity/management 的组织级别管理门户。
  2. 前往安全性设置
  3. 在“ 外部提供程序” 下,单击“ 禁用组织的基本身份验证” 开关,以限制或允许使用基本身份验证进行登录:

    • 如果关闭(左侧切换位置,灰色切换),则允许基本身份验证。
    • 如果打开(向右切换位置,蓝色切换),则限制基本身份验证。 在受限状态下,“ 允许对主机管理员进行基本身份验证” 开关可用。
  4. 在“ 外部提供程序 ” 部分的右下角,单击“ 保存 ” 以应用更改。

配置安全选项

要为您的组织配置安全选项,请转到“ 管理员 ” > “安全设置” ,然后根据需要编辑选项。

密码复杂性

注意: 编辑 密码复杂性 设置不会影响现有密码。

字段

描述

特殊字符

选择以强制用户在其密码中至少加入一个特殊字符。

默认情况下,该复选框处于未选中状态。

小写字符

选择以强制用户在其密码中至少加入一个小写字符。

默认情况下,该复选框处于选中状态。

大写字符

选择以强制用户在其密码中至少加入一个大写字符。

默认情况下,该复选框处于未选中状态。

数字

选择以强制用户在其密码中至少加入一位数字。

默认情况下,该复选框处于选中状态。

最小密码长度

指定密码应包含的最少字符数。

默认情况下为 8。长度不能少于 1 个字符,且不能多于 256 个字符。

密码到期前的天数

指定密码的有效天数。密码将在此段时间后过期,需要更改。

可接受的最小值为 0(密码永不过期),最大值为 1000 天。

密码可重复使用的次数

接受的最小值为 0(不允许重复使用密码),最大值为 10。

首次登录时更改密码

如果设置为“必填”,则首次登录的用户必须先更改其密码,然后才能访问 Automation Suite。

如果设置为 “不需要”,则用户可以登录并继续使用管理员定义的密码,直到密码过期。

帐户锁定

字段

描述

启用禁用 切换

如果启用,则在特定数量的登录尝试失败后将帐户锁定特定秒数。 这也适用于密码更改功能。

帐户锁定持续时间

超过 锁定前的连续登录尝试次数后,用户在被允许再次登录之前需要等待的秒数。

默认值为 5 分钟。 接受的最小值为 0(无锁定持续时间),最大值为 2592000(1 个月)。

锁定前连续尝试登录

锁定帐户前允许的失败登录尝试次数。

默认值为 10 次。您可以设置一个介于 2 到 10 之间的值。

  • 配置身份提供程序
  • 模型
  • 允许或限制基本身份验证
  • 配置安全选项
  • 密码复杂性
  • 帐户锁定

此页面是否有帮助?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath 白色徽标
信任与安全
© 2005-2024 UiPath. All rights reserved.