- 入门指南
- 主机管理
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- 外部应用程序
- 在您的组织中进行测试
- 通知
- 日志记录
- 故障排除
Automation Suite 管理页指南
如果您的组织使用的是 Microsoft Entra ID 或 Office 365,则可以将Automation Suite组织直接连接到 Microsoft Entra ID 租户,以查看Automation Suite环境中的现有帐户和组。
通过 Microsoft Entra ID 集成,您可以继续使用本地帐户模型,同时通过利用 Microsoft Entra ID 模型的其他优势来引导您的组织。Microsoft Entra ID 集成经过精心设计,您可以逐步激活和推出,而不会影响现有用户的生产。
如果您的组织已决定使用 Microsoft Entra ID 模型,请按照此页面上的说明设置集成。
要设置 Microsoft Entra ID 集成,您需要:
- Automation Suite和 Microsoft Entra ID 中的管理员权限(可以是不同的用户)
- 一个 Microsoft Entra ID 帐户,该帐户的电子邮件地址与执行集成的组织管理员的 UiPath 本地帐户相同。请注意,此 Microsoft Entra ID 帐户仅用于测试集成,不需要在 Azure 中具有管理员权限
- UiPath Studio 和 UiPath Assistant 2020.10.3 或更新版本
- UiPath Studio 和 UiPath Assistant,以使用推荐的部署
-
如果您以前使用过本地用户帐户,请确保所有 Microsoft Entra ID 用户在“邮件”字段中都有电子邮件地址。仅在用户主体名称 (UPN) 字段中包含电子邮件地址是不够的。如果电子邮件地址匹配,则 Microsoft Entra ID 集成会将目录用户帐户与本地用户帐户相关联。这允许用户在从使用其本地用户帐户登录转换为 Microsoft Entra ID 目录用户帐户时保留权限。
appid查询参数来使用应用程序自定义键,如Microsoft 访问令牌文档中所述。
您的组织要求在您的 Microsoft 门户租户中注册一个应用程序并进行一些配置,以便它可以查看您的 AD 成员以建立帐户身份。稍后在将组织连接到 Microsoft Entra ID 时,也需要提供应用程序注册详细信息。
权限:您必须是 Azure 中的管理员才能执行此部分中的任务。以下 Azure 管理员角色具有必需的权限:全局管理员、云端应用程序管理员或应用程序管理员。
有两种方法可以设置集成的 Azure 租户:
- 按照以下步骤为集成手动配置应用程序注册。
- 使用我们为此任务创建的 UiPath Microsoft Entra ID 脚本,这些脚本可在GitHub上找到:
configAzureADconnection.ps1脚本执行本节中描述的所有操作并返回应用程序注册详细信息。然后,您可以运行testAzureADappRegistration.ps1脚本以确保应用程序注册成功。
要手动配置 Azure 租户,请在 Azure 门户中执行以下步骤:
- 转到应用程序的“身份验证”页面:
- 在“重定向 URIs”下,选择“添加 URI”以添加新条目。
- 在“重定向 URIs”列表中添加
https://{yourDomain}/portal_/testconnection。 - 选中底部的“ID 令牌”复选框。
- 选择“保存”。
Azure 安装完成后,您可以为集成做准备,激活它,然后清理旧帐户。 流程分为多个阶段,因此不会给您的用户造成中断。
您必须是Automation Suite中的组织管理员才能执行此部分中的任务。
清理非活动用户
通过激活集成将Automation Suite连接到 Microsoft Entra ID 时,系统会链接具有匹配电子邮件地址的帐户,以便 Microsoft Entra ID 帐户具有与匹配的 UiPath 本地帐户相同的权限。
如果您的组织实行电子邮件回收,这意味着使用过的电子邮件地址日后可能会分配给新用户,这可能会增加访问的风险。
john.doe@example.com ,这名员工因曾是组织管理员,拥有本地帐户,他从公司离职后,其电子邮件地址遭停用,但不会删除此用户。
john.doe@example.com 。在这种情况下,当帐户作为与 Microsoft Entra ID 集成的一部分链接时,John Doe 将继承组织管理员权限。
为防止发生此类情况,请确保删除Automation Suite组织中所有不再活动的用户,然后再继续下一步。如果您的组织不会重复使用不活动的电子邮件地址,则可以跳过此步骤。
激活 Microsoft Entra ID 集成
- 确保完成Azure 配置;
- 从 Azure 管理员处获取在 Azure 中注册 Automation Suite 应用程序时需要的 目录(租户)ID 、 应用程序(客户端)ID 和 客户端密码的 值。
现在,您可以使用关联租户的 Microsoft Entra ID 中的用户和组。目录帐户和组未在“管理员 - 帐户和组” 下的“用户” 或“组” 页面中列出,您只能通过搜索找到它们。
测试 Microsoft Entra ID 集成
要检查集成是否正在运行,请以组织管理员身份使用 Microsoft Entra ID 帐户登录,并尝试在任何相关页面上 搜索 Microsoft Entra ID 用户和组,例如 中的“编辑组”Automation Suite 面板(“管理员” >“帐户” 然后选择“组” >“组” >“编辑” )。
如果您可以搜索到在 Microsoft Entra ID 中创建的用户和组,则表明集成正在运行。您可以通过图标区分用户或组的类型。
如果在尝试搜索用户时遇到错误(如以下示例所示),这表明 Azure 中的配置存在问题。 请与 Azure 管理员联系,请他们检查是否已按照“为集成配置 Azure”文档中的说明设置 Azure。
集成程序活动后,我们建议您按照本节中的说明进行操作,以确保将用户创建和组分配迁移到 Microsoft Entra ID。通过这种方式,您可以在现有身份和访问管理基础架构的基础上进行构建,以便更轻松地对Automation Suite中的 UiPath 资源进行监管和访问管理控制。
配置权限和机器人的组(可选)
您可以通过此操作确保 Azure 管理员也可以使用您在集成前设置的相同权限和机器人配置为新用户注册。为此,如果组具有已分配的必要角色,他们可以将任何新用户添加到 Microsoft 门户 ID 组中。
您可以将Automation Suite中的现有用户组映射到 Microsoft Entra ID 中的新组或现有组。您可以通过多种方式执行此操作,具体取决于您在 Microsoft Entra ID 中使用组的方式:
- 如果在Automation Suite中具有相同角色的用户已经在 Microsoft Entra ID 中相同的组,则组织管理员可以将这些 Microsoft Entra ID 组添加到这些用户已经加入的用户组。这可确保用户拥有相同的权限和机器人设置。
- 否则,Azure 管理员可以在 Microsoft Entra ID 中创建与Automation Suite中的组匹配的新组,并添加与 UiPath 用户组中相同的用户。然后,组织管理员可以将新的 Microsoft Entra ID 组添加到现有用户组中,以确保相同的用户具有相同的角色。
请务必在所有情况下验证明确分配给用户的任何角色。 如果可行,请删除这些直接角色分配,并将这些用户添加到已分配这些角色的组中。
例如,假设 Automation Suite 中的 Administrators 组包括用户 Assistant、Tom 和 John。这些用户也属于 Microsoft Entra ID 中名为admins 的组。组织管理员可以将 admins 组添加到 Automation Suite 中的 Administrators 组。这样,Anna、Tom 和 John 作为 admins Microsoft Entra ID 组的成员,都可以从 Automation Suite 中的 Administrators 组的角色中受益。
由于管理员现在属于Administrators组,因此当您需要加入新的管理员时,Azure 管理员可以将此新用户添加到 Azure 中的admins组中,从而在Automation Suite中向他们授予管理权限,而无需在Automation Suite中进行任何更改 。
当用户使用其 Microsoft Entra ID 帐户登录时(如果已登录,则在一小时内),系统会在Automation Suite中应用对 Microsoft Entra ID 组分配的更改。
迁移现有用户
如要应用分配给 Microsoft 门户用户和组的权限,用户必须至少登录一次。我们建议,在集成运行后,您可以与所有用户通信以注销其本地帐户并使用其 Microsoft Entra ID 帐户重新登录。他们可以通过以下方式使用 Microsoft Entra ID 帐户登录:
-
导航到特定于Automation Suite组织的 URL,在这种情况下,您必须先选择登录类型。URL 必须包含组织 ID,并以正斜杠结尾,例如
https://{yourDomain}/orgID/。 -
在主登录页面上选择“企业 SSO” 。确保提供适用于Automation Suite的特定于组织的 URL。
迁移的用户将收到在Automation Suite中直接分配给他们的组合权限,以及来自其 Microsoft Entra ID 组的权限。
如要设置 Studio 和 Assistant 以连接 Microsoft Entra ID 帐户,请执行以下操作:
- 在 Assistant 中,打开“首选项”,然后选择“Orchestrator 连接”选项卡。
- 选择“注销” 。
- 对于连接类型,请选择“服务 URL”。
-
在“服务 URL ” 字段中,添加特定于组织的 URL URL必须包含组织 ID,并以正斜杠结尾,例如
https://{yourDomain}/orgID/。 否则,连接将失败,表明用户不属于任何组织。 - 使用 Microsoft Entra ID 帐户重新登录。
停止使用 UiPath 本地帐户(可选)
我们建议您删除对本地帐户的使用,以最大程度地发挥Automation Suite和 Microsoft Entra ID 完全集成后在核心合规性和效率方面带来的优势。
迁移完所有用户后,您可以从“用户” 选项卡中删除非管理员用户,这样您的用户就无法再使用其本地帐户登录。 您可以根据他们的用户图标来查找这些帐户。
您还可以清理 UiPath 服务(如 Orchestrator 服务)中的个人权限,并从组中删除个人用户,以便权限仅依赖于 Microsoft Entra ID 的组成员身份。
设置 Microsoft Entra ID 集成后,以下部分介绍了一些有用的高级功能,您可以利用这些功能。
限制对您组织的访问
由于与 Microsoft Entra ID 的集成是在 Azure 租户级别执行,因此在默认情况下,所有 Microsoft Entra ID 用户都可以访问Automation Suite 。Microsoft Entra ID 用户首次登录其 UiPath 组织时,系统会自动将其纳入 UiPath 组Everyone ,从而向其授予组织中的 User 角色,该角色在 UiPath 生态系统中提供基本级别的访问权限。
如果您只允许某些用户访问您的组织,则可以在 Azure 中针对 UiPath 应用程序注册激活用户分配。如此一来,只有明确分配至应用程序的用户才能访问该应用程序。有关说明,请参阅 Microsoft 的 Microsoft Entra ID 文档中的如何将应用限制为一组用户。
限制对可信网络或设备的访问
如果您只允许用户从受信任的网络或受信任的设备访问Automation Suite ,则可以使用Microsoft Entra ID 条件访问功能。
Microsoft Entra ID 中的组监管
如果您已在 Microsoft Entra ID 中创建组,以直接从 Microsoft Entra ID 轻松导入 UiPath,如前在为权限和机器人配置组中所述,则可以对这些组使用特权身份管理 (PIM) 的高级安全选项来管理访问权限UiPath 组的请求。有关详细信息,请参阅有关PIM的 Microsoft 文档。
集成生效后,对我的用户而言会有哪些变化?
用户可以立即使用其现有的 Microsoft Entra ID 帐户登录,并享有与本地帐户相同的权限。
如果您尚未删除他们的本地帐户,则用户也可以继续使用其本地帐户登录,这两种方法均有效。
https://{yourDomain}/orgID/ ,或在主登录页面上选择“企业 SSO” 。
用户可能会注意到的另一个变化是,如果他们已经通过使用其他应用程序登录到 Microsoft Entra ID 帐户,则在导航到此 URL 时会自动登录。
每个帐户都有哪些角色?
Microsoft Entra ID 帐户:当用户使用其 Microsoft Entra ID 帐户登录时,他们将立即从其在本地帐户中拥有的所有角色,以及在 UiPath 中分配给 Microsoft Entra ID 帐户或 Microsoft Entra ID 组的任何角色受益它们所属的文件夹。这些角色可以来自组中包含的 Microsoft Entra ID 用户或 Microsoft Entra ID 组,也可以来自将角色分配给 Microsoft Entra ID 用户或 Microsoft Entra ID 组的其他服务。
本地帐户:在 Microsoft Entra ID 集成处于活动状态时,对于本地帐户,这取决于:
- 如果用户没有至少使用其 Microsoft Entra ID 帐户登录过一次,则他们仅拥有本地帐户的角色。
- 如果用户使用其 Microsoft Entra ID 帐户登录,则本地帐户拥有该 Microsoft Entra ID 用户在 UiPath 中拥有的所有角色,无论是显式分配的角色,还是从组成员身份继承的角色。
是否需要为 Microsoft Entra ID 帐户重新申请权限?
不需要。因为匹配帐户是自动关联的,所以在使用 Microsoft Entra ID 帐户登录时,其现有权限也适用。但是,如果您决定停止使用本地帐户,请事先确保已为 Microsoft Entra ID 中的用户和组设置适当的权限。
用户无法登录 - 需要批准
用户无法登录 - 需要进行用户分配(AADSTS50105)
说明:用户无法登录,因为他们未分配给任何有权访问应用程序的组,也没有被显式授予他们的访问权限。 系统会引发 ADSTS50105 错误,如下所示:“您的管理员已配置应用程序 {appName} ('{appId}'),以阻止用户,除非他们被明确授予 ('assigned') 访问应用程序的权限。 已阻止登录用户“{user}”,因为他们不是拥有访问权限的组的直接成员,也没有管理员直接分配的访问权限。 请联系管理员以分配此应用程序的访问权限。”
解决方案:将组分配给 Azure 应用程序或有权访问应用程序的组。 请参阅 Microsoft 官方文档中的管理用户分配。
Microsoft Entra ID 密码已过期 (#230)
说明:用户无法登录。引发错误消息,指出“您的 Microsoft Entra ID 密码已过期或无效。请让您的 Microsoft Entra ID 管理员在 Azure 门户中创建新密码,并在 UiPath 管理门户中更新密码 (#230)”。
解决方案:在 Azure 中创建新的客户端密码,并在“管理”部分更新密码。 请参阅 Microsoft 官方文档中的“添加凭据” 。
