- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 数据导出
- 在您的组织中进行测试
- 故障排除
- 迁移到 Test Cloud
公开预览: SCIM 用户同步处于公开预览阶段。
企业版许可计划可使用此功能。
功能可用性取决于您使用的云产品。有关详细信息,请参阅功能可用性页面。
SCIM(跨域身份管理系统)目录集成使企业能够在 UiPath 及其公司身份提供程序 (IdP) 之间安全地同步用户身份和生命周期事件。
SCIM 用户同步以现有的 Microsoft Entra ID 和安全断言标记语言 (SAML) 的单点登录 (SSO) 集成为基础,可自动执行用户创建、更新和取消配置,从而消除手动身份管理,同时保持集中式控制。
关键功能
自动化的用户生命周期管理
在 IdP 和 UiPath 之间同步用户创建、更新和删除。
用户属性同步
用户属性(名称、电子邮件、职位名称、部门和其他属性)将根据 SCIM 源目录的指示自动更新。更改将反映在 UiPath 中,无需重新登录。
取消配置与合规性
确保安全的访问控制,并在员工离开组织时释放许可证分配,帮助您遵守数据保留和审核要求。
支持的身份提供程序
- Microsoft Entra ID (Azure AD)
- 奥克塔
支持的 SCIM 操作
| 资源 | 运营 | 描述 |
|---|---|---|
| 用户 | GET、POST、PUT、PATCH、DELETE | 检索、创建、修改或停用用户 |
| 组 | 不支持 | 不通过 SCIM 同步组和组成员身份 |
SCIM 用户同步仅配置用户— 不同步组和组成员身份。有关每种 SSO 方法下基于组的访问权限的行为,请参阅以下(按 SSO 方法进行的功能比较)部分。
SCIM 2.0 服务器还会在 SCIM 基本 URL(设置中的SCIM URL ,例如https://cloud.uipath.com/{orgId}/identity_/api/scim/v2 )下公开标准服务发现端点:
.../ServiceProviderConfig.../ResourceTypes.../Schemas
这些端点接受使用您的 SCIM 授权令牌进行身份验证的请求,并返回支持的服务器功能、资源类型和架构。
用户生命周期管理
SCIM 管理以下生命周期事件:
- 配置:在源目录中分配用户后,IdP 会将用户推送到 UiPath。
- 更新:当源目录中的用户属性发生更改时,IdP 会将更新推送到 UiPath。
- 正在取消配置:
- 停用:在源目录中停用或取消分配用户时,UiPath 会将其标记为“已停用”。
- 删除: 从源目录中删除用户时,UiPath 会删除该用户。
- 重新激活:在源目录中重新激活用户时,UiPath 也会重新激活该用户。重新激活许可证后,必须重新分配许可证。
下表介绍了每个生命周期事件如何影响 UiPath:
| 创建 | 更新 | 停用 | 删除 | |
|---|---|---|---|---|
| Admin — 用户和组管理 | 用户可以查询和分配组、角色和权限。 | 用户属性已更新。 | 所有角色和权限都会保留。 | 该用户的所有记录都将删除。 |
| 许可证管理 | — | — | 用户的许可证将释放并返回到您的可用池中。 | 用户的许可证将释放并返回到您的可用池中。 |
| 第一方服务(Orchestrator、Automation Hub、Task Mining) | — | — | 用户已标记为不活动;引用它们的工件会显示非活动指示器。 | 用户已删除;引用它们的工件会显示非活动指示器。 |
| 其他服务 | 未来版本 | 未来版本 | 未来版本 | 未来版本 |
当在您的身份提供程序中停用或禁用用户时(不仅仅是删除用户时),UiPath 会自动释放其许可证,并将其返回到可用池中,以供重新分配。这样,您就可以从离开或不活动的用户处回收许可证,而无需手动清理。如果稍后重新激活用户,则必须重新分配许可证。
授权代码
根据您的身份提供程序,以下授权方法是否可用:
| 授权方法 | Entra ID | 奥克塔 |
|---|---|---|
| 长期持有者令牌 | 支持 | 支持 |
| OAuth 授权代码授予 | 不支持 | 支持 |
| OAuth 客户端凭据授予 | 支持 | 不支持 |
启用 SCIM 时的目录行为
启用 SCIM 时,UiPath 仅从通过 SCIM 配置的用户中获取目录用户。无论何时搜索或查询目录用户,都仅返回 SCIM 配置的用户,包括您在 UiPath 管理员门户中和通过目录 API 搜索用户时。这适用于 Microsoft Entra ID 和 SAML 集成:
- Microsoft Entra ID :UiPath 不会调用 Microsoft Graph API 来获取用户 — 将从 SCIM 配置的目录中为用户提供服务。(组搜索仍使用实时图形 API 调用。)
- SAML :将从目录结果中筛选出未通过 SCIM 配置的用户。
可以登录的用户集必须与通过 SCIM 配置的用户集完全相同。由于目录查询仅返回 SCIM 配置的用户,因此无法在 UiPath 中找到、分配权限或以其他方式管理能够进行身份验证但未通过 SCIM 配置的用户。分配给 SSO 应用程序和 SCIM 应用程序的用户必须相同。
按 SSO 方法比较功能
下表比较了 SCIM 用户同步的行为,具体取决于为组织配置的 SSO 方法:
| Entra ID SSO + SCIM | SAML SSO + SCIM | |
|---|---|---|
| 目录用户如何登录? | 通过组织特定的 URL,使用 OpenID Connect (OIDC) 协议进行单点登录。 | 通过组织特定的 URL,使用 SAML 2.0 协议进行单点登录。 |
| 如何以及何时配置目录用户? | 在配置时,系统会将 SCIM 源目录中的用户配置到 UiPath;系统将异步推送后续更新。 | 在配置时,系统会将 SCIM 源目录中的用户配置到 UiPath;系统将异步推送后续更新。 |
| 目录用户属性如何以及何时更新? | 用户属性将按照 SCIM 源目录的指示,在 UiPath 中异步更新。 | 用户属性将按照 SCIM 源目录的指示,在 UiPath 中异步更新。 |
| 如何以及何时取消配置或停用目录用户? | 根据 SCIM 源目录的指示,在 UiPath 中异步取消配置或停用用户。 | 根据 SCIM 源目录的指示,在 UiPath 中异步取消配置或停用用户。 |
| 如何以及何时配置目录组? | 目录组不通过 SCIM 配置,但根据 UiPath 中的权限或角色分配,在缓存目录中具体化。 | 不通过 SCIM 配置目录组。 |
| 如何评估目录组成员身份? | 通过实时 Microsoft Graph API 调用评估组成员身份。 | 不通过 SCIM 评估组成员身份。即时 (JIT) 配置规则可以根据 SAML 声明将用户分配到本地 UiPath 组中。 |
| 如何搜索目录用户并为其分配权限? | 系统将调用 UiPath 已配置 SCIM 的用户的缓存目录。您必须使用 Enterprise SSO 登录才能查询目录用户。 | 系统将调用 UiPath 已配置 SCIM 的用户的缓存目录。您必须使用 Enterprise SSO 登录才能查询目录用户。 |
| 如何搜索目录组并如何分配权限? | 将通过实时 Microsoft Graph API 调用,对本地用户对 UiPath 目录进行调用,对目录组进行 Entra ID 调用。 | 无法查询目录组。您可以配置 JIT 配置规则,以自动将用户归入本地 UiPath 组。 |
属性映射
下表显示了 SCIM 属性如何映射到 UiPath 用户属性。您的身份提供程序发送SCIM 属性; UiPath 将其存储为UiPath 用户属性。
| SCIM 属性 | UiPath 用户属性 | 必填 |
|---|---|---|
externalId | 用于匹配和链接用户的目录标识符 | 是 |
userName | 用户名 | 是 |
displayName | 显示名称 | 是 |
emails[type eq "work"].value | 电子邮件 | |
name.givenName | 名字 | |
name.familyName | 姓氏 | |
title | 职位名称 | |
addresses[type eq "work"].locality | 城市 | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | 部门 | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | 公司名称 |
externalId是 UiPath 识别和链接每个已配置用户的方式,因此它必须稳定且唯一 — 作为用户的目录 ID 存储。Okta 会自动填充externalId ;在 Microsoft Entra ID 中,您必须在 SCIM 属性映射中将其显式映射(通常映射到用户的对象 ID)。
在启用 SCIM 配置之前,身份提供程序的属性映射必须包含这些必填字段。
身份提供程序发送的属性必须映射到 UiPath 所需的 SCIM 属性,如前面的属性映射表中所列。使用 SAML SSO 时,SAML 属性映射必须生成这些值,具体来说,通过 SCIM 发送的userName必须与 SAML 断言中使用的标识符匹配,以便配置的用户及其 SSO 登录名解析为相同的 UiPath用户。
限制
- 过时的用户:系统不会自动删除现有的不活动用户。未来的更新将提供清理不活跃用户的工具。
- 组和组成员身份同步:不支持。
- 一致的用户集:为 SSO 配置的用户集必须与为 SCIM 同步配置的用户集匹配。
速率限制
每个组织的 SCIM 请求速率受到限制:
| 请求类型 | 上限 |
|---|---|
读取请求 ( GET ) | 每 5 分钟 300 个请求 |
写入请求( POST 、 PUT 、 PATCH 、 DELETE ) | 每 5 分钟 160 个请求 |
超过这些限制的请求将收到 HTTP 429 Too Many Requests响应。身份提供程序连接器会自动后退并重试受到限制的请求,因此可以继续配置,无需手动干预。
设置指南
必须先为您的身份提供程序配置 SSO,然后才能启用 SCIM 用户同步。设置指南适用于: