orchestrator
2024.10
true
UiPath logo, featuring letters U and I in white
Orchestrator 用户指南
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年11月13日

设置 Azure AD 集成

概述

如果您的组织使用的是 Azure Active Directory (Azure AD) 或 Office 365,则可以将组织直接连接到 Azure AD 租户,以查看 UiPath™ 云环境中的现有用户帐户。

如果需要,Azure AD 集成允许您继续使用本地用户模式,同时通过利用 Azure AD 模式的其他优势来引导组织。

如果您已决定为组织使用 Azure AD,请按照此页面上的说明设置集成。

提示:Azure AD 集成经过精心设计,您可以逐步激活和推出,而不会影响现有用户的生产。

先决条件

要设置 Azure AD 集成,您需要:

  • Orchestrator 和 Azure AD 中的管理员权限(如果您在 Azure 中没有管理员权限,请与 Azure 管理员协作完成设置流程);
  • 一个使用与 Azure AD 用户相同的电子邮件地址的组织管理员 UiPath 帐户;Azure AD 用户在 Azure 中不需要管理员权限;
  • UiPath Studio 和 Assistant 2020.10.3 版或更高版本;
  • UiPath Studio 和 Assistant,以使用推荐的部署
  • 如果您以前使用过本地用户帐户,请确保所有 Azure AD 用户的“邮件”字段中都有电子邮件地址;仅在“用户主体名称”(UPN) 字段中包含电子邮件地址是不够的。如果电子邮件地址匹配,则 Azure AD 集成会将目录用户帐户与本地用户帐户相关联。这允许用户在从使用其本地用户帐户登录转换为 Azure AD 目录用户帐户时保留权限。
注意: UiPath 遵循 OIDC 协议与 Azure Active Directory 集成。 但是,集成不支持通过在专用 URL 中声明appid查询参数来使用应用程序自定义键,如Microsoft 的访问令牌文档中所述。

配置 Azure 以进行集成

您的组织要求在您的 Azure AD 租户中注册一个应用程序并进行一些配置,以便它可以查看您的 AD 成员,建立帐户身份。稍后在将组织连接到您的 Azure AD 租户时,也需要提供应用程序注册详细信息。

权限:您必须是 Azure 中的管理员才能执行此部分中的任务。以下 Azure 管理员角色具有必需的权限:全局管理员、云端应用程序管理员或应用程序管理员。

有两种方法可以设置集成的 Azure 租户:

  • 请按照以下说明为集成手动配置应用程序注册。
  • 使用我们为此任务创建的 UiPath Azure AD 脚本,这些脚本可在GitHub上找到: configAzureADconnection.ps1脚本执行本节中描述的所有操作并返回应用程序注册详细信息。 然后,您可以运行testAzureADappRegistration.ps1脚本以确保应用程序注册成功。

要手动配置 Azure 租户,请在 Azure Portal 中执行以下操作:

  1. Orchestrator创建应用程序注册。 有关详细信息,请参阅 Microsoft 文档中有关注册应用程序的信息。
    在注册过程中,选择“仅此组织目录中的帐户”,并将“重定向 URI”设置为 https://{yourDomain}/identity/signin-oidc
    注意:如果您已经为您的组织注册了应用程序,则无需创建新应用程序,但请确保按照上述说明进行设置。
  2. 打开应用程序的“概述”页面,复制应用程序(客户端)ID目录(租户)ID,并保存以备后用:


  3. 转到应用程序的“身份验证”页面:
    1. 在“重定向 URIs”下,单击“添加 URI”以添加新条目。
    2. 在“重定向 URIs”列表中添加 https://{yourDomain}/portal/testconnection
    3. 选中底部的“ID 令牌”复选框。
    4. 单击“保存”
    docs image
  4. 转到“令牌配置”页面。
  5. 选择“添加可选声明”
  6. 在“令牌类型”下,选择“ ID”
  7. 选中family_namegiven_nameupn的复选框,以将其添加为可选声明:


  8. 转到“API 权限”页面。
  9. 单击“添加权限”,然后从“Microsoft Graph”类别添加以下委派权限:
    • OpenID 权限 -emailopenidoffline_accessprofile
    • 组成员权限 - GroupMember.Read.All
    • 用户权限 - User.ReadUser.ReadBasic.AllUser.Read.All(需要管理员同意)。


    权限

    它允许您执行的操作

    我们如何使用它

    emailopenidprofileoffline_accessUser.Read允许 AAD 向系统应用程序颁发用户令牌允许用户使用 AAD 登录名登录系统。这使我们能够让用户对象保持更新,确保这些属性的一致性。
    User.ReadBasic.All读取已登录用户有权查看的目录中所有用户的基本属性当某一用户为目录中的其他用户分配对其资源的权限时,该用户可以搜索这些用户。访问管理/授权功能位于系统用户体验中。
    User.Read.All (需要管理员同意) 读取目录中已登录用户可查看的所有用户属性您的管理员可能想要导入这些其他用户属性,以便在系统服务中配置权限或显示自定义信息。对于 Automation Hub 以及希望从 AAD 获取全套属性的客户,有必要向应用程序授予 User.Read.All 权限。
    GroupMember.Read.All读取已登录用户有权访问的所有用户的组成员身份如果您的组织使用组来管理系统中的权限,则平台需要能够列出所有组并发现组成员;这允许管理和强制执行组分配的权限。
  10. 选中“授予管理员同意”复选框。
    注意:管理员代表租户租户 Active Directory 中的所有用户表示同意。 这允许应用程序访问所有用户的数据,而不会提示用户同意。 有关权限和同意的更多信息,请参阅 Microsoft Azure AD 文档
  11. 转到“证书和密码”页面。
  12. 创建新的客户端密码。 有关更多信息,请参阅 Microsoft 文档中的 “添加新的客户端密码”。
    注意:创建的客户端密码不是永久性的。您必须在有效期过后更新客户端密码。
  13. 复制客户端密码并保存以备后用。


  14. 与组织管理员共享目录(租户)ID应用程序(客户端)ID客户端密码的值,以便他们继续完成配置。

将集成部署到 Orchestrator

Azure 设置完成后,您可以为集成做准备,激活它,然后清理旧帐户。 流程分为多个阶段,因此不会给您的用户造成中断。

权限:您必须是 Orchestrator 中的管理员才能执行此部分中的任务。

清理非活动用户

通过激活集成将 Orchestrator 连接到 Azure AD 时,系统会链接具有匹配电子邮件地址的帐户,以便 Azure AD 帐户具有与匹配的 UiPath 帐户相同的权限。

重要提示:为正常关联帐户,请确保所有 Azure AD 用户都在 Azure 的“邮件”字段中添加了电子邮件地址;仅在“用户主体名称”(UPN) 字段中包含电子邮件地址是不够的。

如果您的组织实行电子邮件回收,这意味着使用过的电子邮件地址日后可能会分配给新用户,这可能会增加访问的风险。

假设您之前有一位员工的电子邮件地址为 john.doe@example.com,这名员工因曾是组织管理员,拥有本地帐户,他从公司离职后,其电子邮件地址遭停用,但不会删除此用户。
当另一位名为 John Doe 的新员工加入公司时,他会收到相同的电子邮件地址 john.doe@example.com。在这种情况下,John Doe 将继承组织管理员权限。

为防止发生此类情况,请确保删除 Orchestrator 中所有不再活动的用户,然后再继续下一步。 如果您的组织不会重复使用不活动的电子邮件地址,则可以跳过此步骤。

激活 Azure AD 集成

备注:

在开始之前:

  • 确保完成Azure 配置
  • 从 Azure 管理员处获取在 Azure 中注册 Orchestrator 应用程序时要使用的 Directory (租户 ID) 、 Application (client) ID Client Secret 的值。
要激活 Azure AD 集成,请在Orchestrator中执行以下步骤
  1. 以管理员身份登录到管理门户,然后转到“安全性设置”。
  2. 选择“安全性”以打开安全性设置。
  3. 在“身份验证设置”选项卡上,选择“配置 SSO ”。
    docs image
  4. 从 SSO 配置面板中选择“ Azure Active Directory ”。


  5. 使用从 Azure 管理员处收到的信息填写这些字段。

  6. 选中“我理解并接受已添加的用户”的复选框,即可关联电子邮件地址匹配的 Azure AD 用户的帐户。 保存更改后,系统会自动关联匹配的帐户。​
  7. 选择“测试连接”以验证是否已正确配置集成。
  8. 出现提示时,使用您的 Azure AD 帐户登录。
    如登录成功,则表示集成已正确配置。万一失败,请让您的 Azure 管理员检查 Azure 的配置是否正确,然后重试。
  9. 选择“保存” 为您的组织激活集成。
  10. 注销。
  11. 导航到您组织的站点 URL (https://{yourDomain}/organizationID/),并使用您的 Azure AD 帐户登录。

现在,您可以使用关联租户中的 Azure AD 用户和组了。 目录帐户和组未在“ 管理员” >“帐户和组” 下的“ 用户”或“ 组”页面中列出,您只能通过搜索找到它们。

测试 Azure AD 集成

要检查集成是否在 Orchestrator 中运行,请使用 Azure AD 帐户以组织管理员身份登录,并尝试在具有此功能的任何页面上搜索Azure AD 用户和组,例如管理门户中的“编辑组”面板( “管理员” > “帐户和组” > “组” > “编辑” )。

  • 如果您可以搜索到在 Azure AD 中创建的用户和组,则表明集成正在运行。您可以通过图标区分用户或组的类型。

  • 如果在尝试搜索用户时遇到错误(如下面的示例所示),这表明 Azure 中的配置存在问题。请与 Azure 管理员联系,请他们检查是否已按照本页面上方的“为集成配置 Azure”中所述设置 Azure。

    提示:请您的 Azure 管理员确认他们在配置 Azure 期间是否选中了“授予管理员同意”复选框。这是导致集成失败的常见原因。

完成向 Azure AD 的转换

集成程序活动后,我们建议您按照本节中的说明进行操作,以确保将用户创建和组分配迁移到 Azure AD。通过这种方式,您可以在现有身份和访问管理基础架构的基础上进行构建,以便更轻松地对 Orchestrator 组织的资源进行监管和访问管理控制。

配置权限和机器人的组(可选)

您可以通过此操作确保 Azure 管理员也可以使用与集成之前设置的 Orchestrator 和其他服务的权限和机器人配置相同的权限和配置为新用户注册。为此,如果组具有已在 Orchestrator 中分配的必要角色,他们可以将任何新用户添加到 Azure AD 组中。

您可以将 Orchestrator 中的现有用户组映射到 Azure AD 中的新组或现有组。您可以通过多种方式执行此操作,具体取决于您在 Azure AD 中使用组的方式:

  • 如果在 Orchestrator 中具有相同角色的用户已经在 Azure AD 中相同的组内,则组织管理员可以将这些 Azure AD 组添加至 Automation Suite 中这些用户已经加入的用户组。这可确保用户拥有相同的权限和机器人设置。
  • 否则,Azure 管理员可以在 Azure AD 中创建与 Orchestrator 中的组匹配的新组,并添加与 Orchestrator 用户组中相同的用户。然后,组织管理员可以将新的 Azure AD 组添加到现有用户组中,以确保相同的用户具有相同的角色。

请务必在所有情况下验证明确分配给用户的任何角色。 如果可行,请删除这些直接角色分配,并将这些用户添加到已分配这些角色的组中。

例如,假设 Orchestrator 中的Administrators组包括用户 Assistant、Tom 和 John。 这些用户也属于 Azure AD 中名为admins的组。 组织管理员可以将 Azure admins组添加到 Orchestrator 中的Administrators组。 这样,Ana、Tom 和 John 作为 Azure AD 中admins组的成员,都可以从 Orchestrator 中的Administrators组的角色中受益。

由于管理员现在属于 Administrators 组,因此当您需要加入新的管理员时,Azure 管理员可以将此新用户添加到 Azure 中的 admins 组中,从而在 Orchestrator 中向他们授予管理权限,而无需在 Orchestrator 中进行任何更改。

当用户使用 Azure AD 帐户登录时(如果已登录,则在一小时内),系统会在 Orchestrator 中应用对 Azure AD 组分配的更改。

迁移现有用户

初始登录:要应用分配给 Azure AD 用户和组的权限,用户必须至少登录一次。我们建议,在集成运行后,您可以通知所有用户注销 UiPath 帐户并使用其 Azure AD 帐户重新登录。他们可以通过以下方式使用 Azure Ad 帐户登录:

  • 导航到特定于组织的 URL,在这种情况下,您必须先选择登录类型;
  • 可以在主登录页面上选择“企业 SSO”

    注意:确保提供适用于 Orchestrator 的特定于组织的 URL。只有组织管理员才能在 Orchestrator 中看到此信息。

迁移的用户将自通过直接分配获得的权限与在 Azure AD 组中获得的权限相融合中获益。

为用户配置 Studio 和 Assistant:要设置这些产品以连接到 Azure AD 帐户,请执行以下操作:

  1. 在 Assistant 中,打开“首选项”,然后选择“Orchestrator 连接”选项卡。
  2. 单击“注销”
  3. 对于连接类型,请选择“服务 URL”
  4. 在“ 服务 URL ” 字段中,添加组织特定的 URL,例如 https://orchestrator.mydomain.local/
  5. 使用 Azure AD 帐户重新登录。
重要事项:要在基于组的权限下操作,请在文件夹中配置自动化,然后使用“服务 URL”选项连接到 UiPath Assistant 或 Studio。

停止使用本地帐户(可选)

尽管这是可选的,但我们建议您执行此操作,以最大程度地发挥 Orchestrator 和 Azure AD 之间完全集成后在核心合规性和效率方面带来的优势。

迁移完所有用户后,您可以从“用户”选项卡中删除基于个人本地帐户的用户,这样您的用户就无法再使用其 UiPath 帐户登录 您可以根据其图标来查找这些帐户。

重要提示:

仅删除非管理员帐户。 建议保留至少一个组织管理员本地帐户,以便将来能够更改身份验证设置。

您还可以清理 UiPath 服务(如 Orchestrator 服务)中的个人权限,并从 Orchestrator 组中删除个人用户,这样权限就仅依赖于 Azure AD 的组成员身份。

高级功能

以下这些实用建议介绍了设置 Azure AD 集成后可以使用的高级功能。

限制对 Orchestrator 的访问

Because the integration with Azure AD is performed at the level of the Azure tenant, by default all Azure AD users can access the Orchestrator organization. The first time an Azure AD user signs in to Orchestrator, they are automatically included in the Orchestrator group Everyone, which grants them the User organization-level role .

如果您只允许某些用户访问 Orchestrator 组织,则可以在 Azure 中针对 Orchestrator 应用程序注册激活用户分配。如此一来,只有明确分配至应用程序 (Orchestrator) 的用户才能访问该应用程序。有关说明,请参阅 Azure AD 文档中的这篇文章

限制对可信网络或设备的访问

如果您只允许用户从受信任的网络或受信任的设备访问 Orchestrator,则可以使用 Azure AD 条件访问功能。

Azure AD 中对 Orchestrator 组的监管

如果您已在 Azure AD 中创建组以直接从 Azure AD 轻松实施 Orchestrator 导入,如上述“为权限和机器人配置组”一节中所述,则可以针对这些组使用特权身份管理 (PIM) 的高级安全选项来管理对 Orchestrator 组的访问请求。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。