配置 SSO：Azure Active Directory

本页介绍如何在主机级别启用 Azure Active Directory (Azure AD) 集成，以便 Orchestrator 的所有用户都能从 SSO 中受益。

备注：

主机级别与组织级别的集成

如果按此页面所述在主机级别启用 Azure AD 集成，则无法在组织/租户级别启用它。

主机级别的集成仅启用 SSO。但是，如果在组织/租户级别启用，则该集成允许 SSO，还允许目录搜索和自动用户配置。

先决条件

要设置 Azure AD 集成，您需要：

Orchestrator 和 Azure AD 中的管理员权限（如果您在 Azure 中没有管理员权限，请与 Azure 管理员协作完成设置流程）；
UiPath 组织管理员应拥有与其 UiPath 帐户具有相同电子邮件地址的 Azure AD 帐户； Azure AD 帐户不需要 Azure 中的管理员权限；
您的用户需要使用 UiPath Studio 和 Assistant 2020.10.3 或更高版本；
应将 UiPath Studio 和 Assistant 设置为使用推荐的部署。
如果您以前使用过本地用户帐户，请确保所有 Azure AD 用户的“邮件”字段中都有电子邮件地址；仅在“用户主体名称”(UPN) 字段中包含电子邮件地址是不够的。如果电子邮件地址匹配，则 Azure AD 集成会将目录用户帐户与本地用户帐户相关联。这允许用户在从使用其本地用户帐户登录转换为 Azure AD 目录用户帐户时保留权限。

注意：以下步骤是示例配置的简要说明。有关更详细的说明，请参阅 Microsoft 文档，以将 Azure AD 配置为身份验证提供程序。

以管理员身份登录 Azure 门户。
转到“应用程序注册”，然后单击“新建注册”。
在“注册应用程序”页面中，用 Orchestrator 实例名称填充“名称”字段。
在“ 支持的帐户类型 ” 部分中，选择 “仅限此组织目录中的帐户”。
从下拉列表中选择网页，填写 Orchestrator 实例的 URL 并加上后缀 /identity/azure-signin-oidc 来设置重定向 URI。例如，https://baseURL/identity/azure-signin-oidc。
选中底部的“ID 令牌”复选框。
单击“ 注册 ”，为 Orchestrator 创建应用程序注册。
保存“应用程序（客户端）ID”，以供以后使用。