- 入门指南
- 最佳实践
- 租户
- 文件夹上下文
- 自动化
- 流程
- 作业
- 触发器
- 日志
- 监控
- 队列
- 资产
- 存储桶
- Test Suite - Orchestrator
- 其他配置
- 集成
- 传统机器人
- 主机管理
- 组织管理
- 故障排除
设置 Azure AD 集成
如果 Azure Active Directory 集成在主机级别处于活动状态(您会在登录页面上看到“AzureAD”选项),则无法在租户级别设置 Azure Active Directory 集成。
如果您的公司使用的是 Azure Active Directory (Azure AD) 或 Office 365,则可以将 Orchestrator 组织直接连接到 Azure AD 租户,以查看 UiPath 环境中的现有目录帐户和组。
如果需要,Azure AD 集成允许您继续使用本地用户模式,同时通过利用 Azure AD 模式的其他优势来引导组织。
如果您已决定为组织使用 Azure AD,请按照此页面上的说明设置集成。
要设置 Azure AD 集成,您需要:
- Orchestrator 和 Azure AD 中的管理员权限(如果您在 Azure 中没有管理员权限,请与 Azure 管理员协作完成设置流程);
- 一个使用与 Azure AD 用户相同的电子邮件地址的组织管理员 UiPath 帐户;Azure AD 用户在 Azure 中不需要管理员权限;
- UiPath Studio 和 Assistant 2020.10.3 版或更高版本;
- UiPath Studio 和 Assistant,以使用推荐的部署。
- 如果您以前使用过本地用户帐户,请确保所有 Azure AD 用户的“邮件”字段中都有电子邮件地址;仅在“用户主体名称”(UPN) 字段中包含电子邮件地址是不够的。如果电子邮件地址匹配,则 Azure AD 集成会将目录用户帐户与本地用户帐户相关联。这允许用户在从使用其本地用户帐户登录转换为 Azure AD 目录用户帐户时保留权限。
权限:您必须是 Azure 中的管理员才能执行此部分中的任务。以下 Azure 管理员角色具有必需的权限:全局管理员、云端应用程序管理员或应用程序管理员。
要配置 Azure 租户,请在 Azure 门户中执行以下操作:
Azure 安装完成后,您可以为集成做准备,激活它,然后清理旧帐户。
流程分为多个阶段,因此不会给您的用户造成中断。
权限:您必须是 Orchestrator 中的管理员才能执行此部分中的任务。
如果您的组织不会重复使用不活动的电子邮件地址,则可以跳过此步骤。
通过激活集成将 Orchestrator 连接到 Azure AD 时,系统会链接具有匹配电子邮件地址的帐户,以便 Azure AD 帐户具有与匹配的 UiPath 帐户相同的权限。
如果您的组织实行电子邮件回收,这意味着使用过的电子邮件地址日后可能会分配给新用户,这可能会增加访问的风险。
示例
john.doe@example.com
,这名员工因曾是组织管理员,拥有本地帐户,他从公司离职后,其电子邮件地址遭停用,但系统并未从 Orchestrator 中删除此用户。
john.doe@example.com
。在这种情况下,如果 Orchestrator 与 Azure AD 集成的帐户也相同,John Doe 将继承组织管理员权限。
为防止发生此类情况,请确保删除 Orchestrator 中所有不再活动的帐户,然后再继续下一步。
在开始之前
- 确保按照上述 为集成配置 Azure 中的说明配置 Azure。
- 从 Azure 管理员处获取在 Azure 中注册 Orchestrator 应用程序时要使用的目录(租户)ID、应用程序(客户端)ID 和客户端密码的值。
要激活 Azure AD 集成,请在 Orchestrator 中执行以下操作:
https://{baseURL}/tenant/
),并通过单击登录框底部的“ 使用企业 SSO 继续 ”,使用 Azure AD 帐户登录:
此外,您现在可以使用链接的 Azure AD 租户中的用户和组。
您可以通过搜索找到 Azure AD 用户和组,例如将用户添加到 Orchestrator 本地组,但“用户”或“组”页面中不会列出这些用户和组。
集成生效后,对我的用户而言会有哪些变化?
用户可以立即使用其现有的 Azure AD 帐户登录,并享有与 UiPath 帐户相同的权限。
如果您尚未删除他们的 UiPath 用户帐户,则用户也可以继续使用其 UiPath 帐户登录,这两种方法均有效。
https://{baseURL}/myOrganization/
,或在主登录页面上选择“企业 SSO”。
用户可能会注意到的另一个变化是,如果他们已经通过使用其他应用程序登录到 Azure AD 帐户,则在导航到此 URL 时会自动登录。
每个帐户都有哪些角色?
Azure AD 帐户:当用户使用 Azure AD 帐户登录时,他们将立即受益于其在 UiPath 帐户中拥有的所有角色,以及在 UiPath 中分配给 Azure AD 帐户或他们所属 Azure AD 组的任何角色。这些角色可以来自 Orchestrator 组中包含的 Azure AD 用户或 Azure AD 组,也可以来自将角色分配给 Azure AD 用户或 Azure AD 组的其他服务(如 Orchestrator)。
UiPath 帐户:在 Azure AD 集成处于活动状态时,对于 UiPath 帐户而言,取决于:
- 如果用户没有至少使用其 Azure AD 帐户登录过一次,则他们仅拥有 UiPath 帐户的角色。
- 如果他们以前至少使用 Azure AD 帐户登录过一次,则 UiPath 帐户还拥有 Azure AD 用户在 UiPath 中拥有的任何角色,无论是显式分配的角色,还是继承自 Orchestrator 组成员资格的角色。UiPath 帐户无法从已分配给 Azure AD 帐户所属 Azure AD 组的任何角色中受益。
是否需要为 Azure AD 帐户重新申请权限?
不需要。因为匹配帐户是自动关联的,所以在使用 Azure AD 帐户登录时,其现有权限也适用。但是,如果您决定停止使用 UiPath 帐户,请事先确保已为 Azure AD 中的用户和组设置适当的权限。
要检查集成是否从 Orchestrator 运行,请使用 Azure AD 帐户以管理员身份登录,并尝试在任何相关页面上 搜索 Azure AD 用户和组,例如 Orchestrator 中的“ 分配角色 ” 页面(“管理访问权限 ”> “分配角色” > 分配角色)。
-
如果您可以搜索到在 Azure AD 中创建的用户和组,则表明集成正在运行。您可以通过图标区分用户或组的类型。
注意:Azure AD 中的用户和组不会在“用户”页面或“组”页面中列出,只能通过搜索找到。 -
如果在尝试搜索用户时遇到错误(如下面的示例所示),这表明 Azure 中的配置存在问题。请与 Azure 管理员联系,请他们检查是否已按照为集成配置 Azure 中所述设置 Azure。
提示:请您的 Azure 管理员确认他们在配置 Azure 期间是否选中了“授予管理员同意”复选框。这是导致集成失败的常见原因。
集成程序活动后,我们建议您按照本节中的说明进行操作,以确保将用户创建和组分配迁移到 Azure AD。通过这种方式,您可以在现有身份和访问管理基础架构的基础上进行构建,以便更轻松地对 Orchestrator 组织的资源进行监管和访问管理控制。
您可以通过此操作确保 Azure 管理员也可以使用与集成之前设置的 Orchestrator 和其他服务的权限和机器人配置相同的权限和配置为新用户注册。为此,如果组具有已在 Orchestrator 中分配的必要角色,他们可以将任何新用户添加到 Azure AD 组中。
您可以将 Orchestrator 中的现有用户组映射到 Azure AD 中的新组或现有组。您可以通过多种方式执行此操作,具体取决于您在 Azure AD 中使用组的方式:
- 如果在 Orchestrator 中具有相同角色的用户已经在 Azure AD 中相同的组内,则组织管理员可以将这些 Azure AD 组添加至 Automation Suite 中这些用户已经加入的用户组。这可确保用户拥有相同的权限和机器人设置。
- 否则,Azure 管理员可以在 Azure AD 中创建与 Orchestrator 中的组匹配的新组,并添加与 Orchestrator 用户组中相同的用户。然后,组织管理员可以将新的 Azure AD 组添加到现有用户组中,以确保相同的用户具有相同的角色。
无论是哪种情况,请务必检查是否有已明确分配给用户的角色。如有可能,请将这些用户添加到具有显式分配角色的组中,以免除显式角色分配操作。
示例:假设 Orchestrator 中的 Administrators 组包括用户 Roger、Tom 和 Jerry。这些用户也属于 Azure AD 中名为 admins 的组。组织管理员可以将 admins 组添加到 Orchestrator 中的 Administrators 组。这样,Roger、Tom 和 Jerry 作为 Azure AD 中 admins 组的成员,都可以从 Administrators 组的角色中受益。
由于管理员现在属于 Administrators 组,因此当您需要加入新的管理员时,Azure 管理员可以将此新用户添加到 Azure 中的 admins 组中,从而在 Orchestrator 中向他们授予管理权限,而无需在 Orchestrator 中进行任何更改。
当用户使用 Azure AD 帐户登录时(如果已登录,则在一小时内),系统会在 Orchestrator 中应用对 Azure AD 组分配的更改。
初始登录:要应用分配给 Azure AD 用户和组的权限,用户必须至少登录一次。我们建议,在集成运行后,您可以通知所有用户注销 UiPath 帐户并使用其 Azure AD 帐户重新登录。他们可以通过以下方式使用 Azure Ad 帐户登录:
-
导航到特定于组织的 URL,在这种情况下,您必须先选择登录类型;
注意:URL 必须包含组织 ID,并以正斜杠结尾,例如https://{baseURL}/orgID/
。 -
可以在主登录页面上选择“企业 SSO”。
注意:确保提供适用于 Orchestrator 的特定于组织的 URL。只有组织管理员才能在 Orchestrator 中看到此信息。
迁移的用户将自通过直接分配获得的权限与在 Azure AD 组中获得的权限相融合中获益。
为用户配置 Studio 和 Assistant:要设置这些产品以连接到 Azure AD 帐户,请执行以下操作:
尽管这是可选的,但我们建议您执行此操作,以最大程度地发挥 Orchestrator 和 Azure AD 之间完全集成后在核心合规性和效率方面带来的优势。
迁移完所有用户后,您可以从“ 用户 ”选项卡中删除基于个人本地帐户的用户,这样您的用户就无法再使用其 UiPath 帐户登录。 您可以根据 用户图标找到这些帐户。
您还可以清理 UiPath 服务(如 Orchestrator 服务)中的个人权限,并从 Orchestrator 组中删除个人用户,这样权限就仅依赖于 Azure AD 的组成员身份。
异常
如果您决定停止使用本地帐户,建议您保留至少一个具有组织管理员角色的本地帐户,以便在需要更新组织的身份验证设置时使用。否则,“身份验证设置”选项不会处于活动状态。
以下这些实用建议介绍了设置 Azure AD 集成后可以使用的高级功能。
由于与 Azure AD 的集成是在 Azure 租户级别执行,因此默认情况下,所有 Azure AD 用户都可以访问 Orchestrator 组织。 Azure AD 用户首次登录 Orchestrator 时,系统会自动将其纳入 Orchestrator 组 Everyone,从而向其授予 用户组织级角色。
如果您只允许某些用户访问 Orchestrator 组织,则可以在 Azure 中针对 Orchestrator 应用程序注册激活用户分配。如此一来,只有明确分配至应用程序 (Orchestrator) 的用户才能访问该应用程序。有关说明,请参阅 Azure AD 文档中的这篇文章。
如果您只允许用户从受信任的网络或受信任的设备访问 Orchestrator,则可以使用 Azure AD 条件访问功能。
如果您已在 Azure AD 中创建组以便直接从 Azure AD 轻松载入 Orchestrator,如上文 为权限和机器人配置组中所述,则可以对这些组使用 Privileged Identity Management (PIM) 的高级安全选项来管理Orchestrator 组。