automation-cloud

latest

false

入门指南
数据安全性与合规性
组织
身份验证和安全性
许可
租户和服务
帐户和角色
在您的组织中进行测试
Ai Trust Layer
外部应用程序
通知
日志记录
- 关于日志
- 导出日志
故障排除
迁移到 Automation Cloud
- 关于迁移到 Automation Cloud
- 迁移 Orchestrator
  - 使用 Automation Cloud 迁移工具
  - 手动迁移

重要 :

请注意，此内容已使用机器翻译进行了部分本地化。新发布内容的本地化可能需要 1-2 周的时间才能完成。

Automation Cloud 管理员指南

上次更新日期 2025年10月9日

配置 Microsoft Entra ID 集成

本页提供有关以下操作的指南：

如何为集成配置 Microsoft Entra ID
如何在集成后管理用户和权限

入门指南

收益

将 Microsoft Entra ID 集成与Automation Cloud ^TM集成具有以下优势：

单点登录 (SSO)：允许用户使用其 Microsoft Entra ID 凭据访问Automation Cloud ^TM 。
简化的用户管理：使用现有的 Microsoft Entra ID 用户和组管理访问权限。
增强的安全性：应用多重身份验证、条件访问和特权身份管理等 Microsoft Entra ID 功能。
无缝过渡：只要电子邮件地址匹配，就可以不间断地从本地帐户迁移。

限制和注意事项

使用 Microsoft Entra ID 集成时，请记住以下限制：

无人值守机器人和个人访问令牌：Microsoft Entra ID 要求用户在访问目录时必须在场。因此，存在以下限制：
- 运行 Unattended 自动化或使用个人访问令牌时，Microsoft Entra ID 目录用户帐户无法继承组权限。
- 如果您将访问限制应用于 Microsoft 门户 ID 组，则无人值守机器人将无法代表用户访问组织。
用户帐户管理：您只能在 Microsoft Entra ID 中管理目录用户和组。仅在您搜索帐户或分配权限时，这些帐户才会显示在Automation Cloud ^TM中。
应用程序自定义密钥：Microsoft Entra ID 集成使用 OIDC 协议，但不支持通过appid查询参数传递的应用程序自定义密钥，如Microsoft 的访问令牌文档中所述。

在开始之前

在配置 Microsoft Entra ID 集成之前，请确保您具备以下条件：

满足以下其中一项许可要求的Automation Cloud ^TM组织：
- Unified Pricing ：需要企业版或标准版计划。
- Flex ：需要企业计划，可以是标准层或企业计划。
Automation Cloud ^TM中的管理员权限
以下 Microsoft Entra ID 角色之一：
- 云应用程序管理员
- 应用程序管理员
- 可为 Microsoft Entra ID 应用程序授予管理员同意的任何角色
一个 Microsoft Entra ID 帐户，该帐户使用与您的Automation Cloud ^TM管理员帐户（用于测试）相同的电子邮件地址
产品生命周期文档中指定的受支持的 UiPath Studio 和 Assistant 版本。

步骤 1：让您的组织为帐户关联做好准备

启用 Microsoft Entra ID 集成时， Automation Cloud ^TM会自动链接具有匹配电子邮件地址的帐户。首次使用 Microsoft Entra ID 登录用户时， Automation Cloud ^TM会创建一个目录用户帐户，并为其分配与匹配的本地帐户相同的权限。

重要提示：在启用 Microsoft Entra ID 集成之前，请从Automation Cloud ^TM中删除所有非活动的用户。如果将这些电子邮件地址重新分配给组织中的其他用户，这有助于防止权限升级。

步骤 2：配置 Microsoft Entra ID 集成

此 Microsoft Entra ID 集成将 Microsoft 的身份平台与基于混合 OAuth 2.0 授权代码授予流程的委派访问模型结合使用。

配置 Microsoft Entra 集成后， Automation Cloud ^TM可以执行以下操作：

让使用 Microsoft Entra ID 凭据的用户登录。
从您的 Microsoft Entra ID 目录读取用户配置文件和组成员身份。
根据 Microsoft 门户 ID 组分配应用访问控制。

要设置 Microsoft Entra ID 集成，需要以下权限：

Microsoft Entra ID 权限	用途
`email`、 `openid` 、 `profile` 、 `offline_access`和`User.Read`	它使用户能够使用 Microsoft Entra ID 登录，并允许Automation Cloud ^TM在授权请求中检索电子邮件和配置文件声明。
`User.ReadBasic.All` 或`User.Read.All`	它使用户可以在Automation Cloud ^TM的 Microsoft Entra ID 目录中搜索，以共享资源和分配权限。它还允许Automation Cloud ^TM保持用户属性的更新。要在 Automation Hub 中使用`City` 、 `Job Title`和`Department`等属性，需要`User.Read.All`权限。
`GroupMember.Read.All`	它使Automation Cloud ^TM能够评估组成员身份并强制执行基于目录组的访问控制。

配置方法

要与 Microsoft Entra ID 集成，您必须在 Microsoft Entra ID 租户中配置代表Automation Cloud ^TM的Microsoft Entra ID 应用程序。

您可以选择以下配置方法之一：

（推荐）自动化设置：使用 UiPath 管理的 Microsoft Entra ID 应用程序（多租户模型）的好处如下：
- 没有要管理的密码或证书。
- 设置快速可靠。
- UiPath 为您维护 Microsoft Entra ID 申请。
通过自定义 Microsoft Entra ID 应用程序注册进行手动设置：使用您自己的 Microsoft Entra ID 应用程序并手动管理其配置，但要注意以下事项：
- 您必须创建和管理应用程序凭据。
- 凭据会过期，需要定期更新。
- 如果凭据未在过期前更新，系统将阻止用户登录。

使用 UiPath 管理的 Microsoft Entra ID 应用程序进行自动化设置（推荐）

如果要简化配置并避免管理密码或证书，请使用此方法。UiPath 建议大多数组织使用此方法。

如果您是 Microsoft Entra ID 和Automation Cloud ^TM管理员，

如果您既是 Microsoft Entra ID 管理员和Automation Cloud ^TM管理员，请执行以下步骤使用 UiPath 托管的多租户应用程序配置集成：

在Automation Cloud ^TM中，转到“管理” > “安全” > “身份验证设置” > “目录集成和单点登录 (SSO)” 。
选择“Microsoft Entra ID” 。
选择“UiPath 托管的多租户应用程序(推荐)” 。
选中我理解并接受以下事实：现有用户和电子邮件地址匹配的 Microsoft Entra ID 用户将关联其帐户。
选择“授予同意” ，然后使用您的 Microsoft Entra ID 帐户登录。
在“Microsoft 框架 ID”同意提示中，选择“代表您的组织同意” ，然后选择“接受” 。
选择“保存”以激活集成。

如果您只是Automation Cloud ^TM管理员

如果您在 Microsoft Entra ID 中没有管理权限，但是是Automation Cloud ^TM管理员，请执行以下步骤以请求管理员同意并完成集成：

在Automation Cloud ^TM中，转到“管理” > “安全” > “身份验证设置” > “目录集成和单点登录 (SSO)” 。
选择“Microsoft Entra ID” 。
选择“UiPath 托管的多租户应用程序(推荐)” 。
选中我理解并接受以下事实：现有用户和电子邮件地址匹配的 Microsoft Entra ID 用户将关联其帐户。
选择“授予同意” ，然后使用您的 Microsoft Entra ID 帐户登录。

由于您没有 Microsoft 框架 ID 管理员权限，因此应该会看到以下提示之一：
- 请求批准，如Microsoft 文档：请求管理员批准中所述。在您的 Microsoft Entra ID 管理员批准请求后，继续下一步。
- 需要管理员批准，如Microsoft 文档中所述：请您的 Microsoft Entra ID 管理员执行以下步骤：
  1. 导航至此URL ，以打开 Microsoft Entra ID 同意提示。
  2. 选择“代表您的组织同意” ，然后选择“接受” 。
收到已授予管理员同意的确认信息后，返回Automation Cloud ^TM并重复步骤 1 到 5。
- 如登录成功，则表示集成已正确配置。
- 如果登录失败，请让您的 Microsoft Entra ID 管理员验证是否已正确授予同意。
选择“保存”以激活集成。

注意：如果您使用 Automation Hub，并想要从 Microsoft Entra ID 填充城市、职位名称和部门字段，请请求其他权限。请您的 Microsoft Entra ID 管理员使用包含所需作用域的提升的管理员同意 URL授予管理员同意。

使用自定义 Microsoft Entra ID 应用程序注册进行手动设置

如果您更喜欢配置自己的 Microsoft Entra ID 应用程序，而不是使用 UiPath 托管的多租户应用程序，请执行以下步骤。此选项需要您管理自己的凭据，并随着时间的推移对这些凭据进行维护。

重要提示：通过手动设置创建的凭据会定期过期。您必须在到期前续订，以避免服务中断。要减少此操作开销，请考虑将自动化设置与 UiPath 托管的 Entra ID 应用程序一起使用。

配置 Microsoft Entra ID

作为 Microsoft Entra ID 管理员，您可以使用 PowerShell 脚本或 Microsoft Entra 管理中心配置应用程序。

选项 A：使用 PowerShell 脚本

如果要以最少的手动配置自动化设置过程，请执行以下步骤：

下载Microsoft Entra ID 配置脚本。
运行configAzureADconnection.ps1以自动设置您的 Entra 租户。
运行testAzureADappRegistration.ps1以验证设置。

选项 B：使用 Microsoft Entra 管理中心

如果您更喜欢通过用户界面手动配置应用程序注册，请执行以下步骤：

创建应用程序注册：
1. 转到“Microsoft Entra 管理中心” > “应用程序注册” > “新注册” 。
2. 将名称设置为“Automation Cloud”或您的首选名称。
3. 选择“仅此组织目录中的帐户” 。
4. 将重定向 URI设置为https://cloud.uipath.com/identity_/signin-oidc 。
配置身份验证:
1. 导航到“身份验证” 。
2. 添加以下重定向 URI： https://cloud.uipath.com/portal_/testconnection 。
3. 在“隐式授权和混合流程”下，选择“ID 令牌” 。此集成利用Microsoft 混合流程。
4. 保存更改。
添加令牌声明:
1. 转到“令牌配置”>“添加可选声明” 。
2. 选择“ID”作为令牌类型。
3. 选择以下声明： family_name 、 given_name和upn 。
  
  这些声明用于在登录时更新用户信息。
4. 保存更改。
设置 API 权限：
1. 转到“API 权限” > “添加权限” 。
2. 选择“Microsoft Graph” ，然后添加以下内容：
  - OpenID 权限： email 、 openid 、 offline_access 、 profile 。
  - 用户权限： User.Read 、 User.ReadBasic.All或User.Read.All 。
  - 组权限: GroupMember.Read.All 。
3. 选择“为（您的组织）授予管理员同意” 。此步骤允许应用程序访问所有用户的数据，而无需单独同意提示。有关更多信息，请参阅 Microsoft 文档。
创建凭据：

您可以使用客户端密码或证书：
- 要创建客户端密码，请执行以下操作：
  1. 转到“证书和密码” 。
  2. 选择“新的客户端密码” ，然后保存密码值。
- 要创建证书，请执行以下操作：
  1. 打开一个新的选项卡并转到Azure 密钥保险库。
  2. 创建证书：
    - 主题: CN=uipath.com
    - 内容类型： PEM
    - 大小上限: 小于 10 KB
  3. 下载.pem格式的证书。
  4. 在文本编辑器中打开.pem文件，然后找到BEGIN CERTIFICATE和END CERTIFICATE之间的部分。
  5. 创建仅包含此证书部分的新.pem文件。
  6. 在Microsoft Entra 管理中心中，转到“证书和密码” ，然后上传新的.pem文件。
  7. 保留.pem文件。您需要它来完成Automation Cloud ^TM中的集成。
  备注：
  大多数凭据类型最终都会过期。为防止出现用户登录问题，请在凭据过期之前更新配置。
  
  为避免此类开销，请对 UiPath 托管的 Microsoft Entra ID 应用程序使用自动化设置。
收集以下集成详细信息，并与您的Automation Cloud ^TM管理员共享：
- 应用程序 (客户端) ID
- 目录 (租户) ID
- 客户端密码或证书

在Automation Cloud ^TM中激活集成

作为Automation Cloud ^TM管理员，请使用 Microsoft Entra ID 管理员提供的值，通过执行以下步骤在Automation Cloud ^TM中完成设置：

转到“管理员” > “安全性” > “身份验证设置” > “目录集成和单点登录 (SSO)” 。
选择“Microsoft Entra ID” 。
选择自定义应用程序注册 ID 和密码。
输入 Entra ID 管理员提供的以下值：
- 目录 (租户) ID
- 应用程序 (客户端) ID
- 客户端密码或证书
选中我理解并接受以下事实：现有用户和电子邮件地址匹配的 Microsoft Entra ID 用户将关联其帐户。
选择“测试连接” ，然后使用您的 Microsoft Entra ID 帐户登录。
- 如登录成功，则表示集成已正确配置。
- 如果登录失败，请让您的 Microsoft Entra ID 管理员验证配置，然后重试。
选择“保存”以激活集成。

步骤 3：使用并验证集成

激活 Microsoft Entra ID 集成后，请通过使用目录用户帐户登录并确认对 Microsoft Entra ID 用户和组的访问权限，来验证其是否正常工作。为此，请执行以下步骤：

注销您的本地帐户。
使用以下方法之一以目录用户帐户登录：
- 导航到特定于组织的 URL： https://cloud.uipath.com /{organizationName}/ 。
- 或者转到主登录页面(https://cloud.uipath.com) ，然后选择“使用企业 SSO 登录” 。
注意：要确认您是否使用目录帐户登录，请转到Automation Cloud ^TM主页https://cloud.uipath.com {organizationName}/portal_/home 。如果您没有看到有关使用本地用户帐户登录的警告，则表示您已使用目录用户帐户成功登录。
导航到帐户和本地组，并尝试将 Microsoft Entra ID 中的目录用户或组添加到本地组。Microsoft Entra ID 的用户和组具有不同的图标，以将其与本地帐户区分开。

注意：默认情况下， “用户帐户”或“本地组”页面上不会列出 Microsoft Entra ID 用户和组。您只能使用搜索功能找到它们。

步骤 4：完成转移

步骤 4.1：配置组权限

要允许目录用户根据其组成员身份继承权限，请将相关的 Microsoft Entra ID 组添加到Automation Cloud ^TM中的本地组。

例如，将您的 UiPath Admins Entra ID 组添加到 Automation Cloud^TM 中的 Administrators 组。

我们建议删除个人用户权限，并依靠目录组成员身份在组织扩展时简化权限管理。

步骤 4.2：迁移现有用户

为确保用户继承通过Automation Cloud ^TM 、Studio 和 Assistant 中的 Microsoft Entra ID 组成员身份分配的权限，请执行以下步骤：

对于Automation Cloud ^TM ：

要求用户通过以下方式之一注销并使用其目录帐户登录：

导航到特定于组织的 URL： https://cloud.uipath.com /{organizationName}/ 。
或在主登录页面上选择“使用企业 SSO 登录” 。

对于 Studio 和 Assistant：

打开 UiPath Assistant。
导航至“首选项” > “Orchestrator 连接” 。
从当前会话中注销。
将连接类型设置为服务 URL 。
输入组织 URL： https://cloud.uipath.com /{organizationName}/ 。
使用您的 Microsoft Entra ID 帐户登录。

步骤 4.3：逐步淘汰本地帐户

我们建议删除本地用户帐户，以确保一致性并简化用户体验。

如果用户继续使用本地帐户而非目录帐户登录，则将面临以下限制：

它们不会继承目录组权限。
他们无法从 Microsoft Entra ID 目录中搜索或分配用户或组。

下表总结了已链接的本地帐户和目录帐户的预期行为：

功能	链接的本地用户帐户	链接目录用户帐户
继承直接分配给用户的权限	是	是
继承分配给目录组的权限	否	是
在Automation Cloud ^TM中搜索和分配目录用户和组的权限或资源	否	是

重要事项：如果您对 Microsoft Entra ID 集成使用手动设置，则必须维护至少一个具有管理员权限的本地用户帐户，才能管理该集成。

高级配置

限制对特定用户的访问

默认情况下，您的 Microsoft Entra ID 租户中的所有用户都可以访问您的Automation Cloud ^TM组织。要限制对特定用户或组的访问，请执行以下步骤：

在 Microsoft Entra 管理中心中，转到您在“步骤 2：配置 Microsoft Entra ID 集成”中为集成创建的应用程序。
转到“企业应用程序” > “属性” 。
是否需要设置用户分配?是的。
在“用户和组”中，分配应具有访问权限的用户或组。

您租户中的所有用户和组都可在Automation Cloud ^TM中搜索到，但只有分配给应用程序的用户才能登录。有关更多详细信息，请参阅有关用户分配的 Microsoft 文档。

实施网络限制

使用 Microsoft Entra ID 条件访问策略，根据以下条件限制访问：

网络位置（例如，仅限公司网络）
设备合规性
风险级别

有关如何配置这些策略的详细信息，请参阅Microsoft 文档条件访问。

管理特权访问

对于用于管理 UiPath 管理员访问的 Microsoft 入口ID 组，请实施以下访问管理实践：

在 Microsoft Entra ID 中启用特权身份管理 (PIM) 。
配置即时访问和批准工作流。
设置定期访问审核，以验证成员身份和权限。

有关配置指南，请参阅有关特权身份管理的 Microsoft 文档。

常见问题

集成后，我的用户发生了哪些变化？

完成集成后，用户可以使用其 Microsoft Entra ID 帐户登录，并保留其现有权限。如果本地用户帐户仍处于活动状态，则两种登录方法都可用。

要使用目录帐户登录，用户可以执行以下一项操作：

转到特定于组织的 URL： https://cloud.uipath.com {organizationName}/
在主登录页面上，选择“使用企业 SSO 登录” 。

为什么在配置集成后无法搜索用户或组？

如果您使用本地用户帐户而不是目录帐户登录，则无法在Automation Cloud ^TM中搜索用户或组。

要了解本地帐户和目录帐户之间的区别，请参阅逐步淘汰本地帐户。

要解决此问题，请确保您使用 Microsoft Entra ID 帐户登录。

是否需要重新分配权限？

否，您不需要重新评估权限。关联帐户后， Automation Cloud ^TM会自动将现有权限应用于相应的 Microsoft Entra ID 帐户。目录用户帐户通过直接分配和目录组成员身份获得权限。

哪些 Microsoft Entra ID 属性映射到 Automation Cloud 目录用户帐户？这些属性何时更新？

Automation Cloud™ 仅将一组有限的 Microsoft Entra ID 属性映射到目录用户帐户。下表总结了可用属性。

在登录期间以及搜索用户或为用户分配对Automation Cloud ^TM中资源的访问权限时，所有用户属性都会更新。

Automation Cloud 属性	Microsoft Entra ID 属性	用途
用户名	`user.userPrincipalName`	唯一标识符。创建用户时，此属性为必填，无法在更新期间清除。
显示名称	`user.displayName`	用户的全名，通常是名字和姓氏的组合。创建用户时，此属性为必填，无法在更新期间清除。
名字	`user.givenName`	用户的名字。
姓氏	`user.surName`	用户的姓氏。
电子邮件	`user.Mail`	用户的电子邮件地址创建用户时，此属性为必填项，无法在更新过程中清除。
职位名称¹	`user.JobTitle`	用户的职位名称。
部门¹	`user.Department`	用户所在部门。
城市¹	`user.City`	用户所在城市。
公司名称¹	`user.CompanyName`	用户的公司名称。

^1Automation Automation Hub是唯一一项利用 Microsoft Entra ID 中“城市” 、 “职位名称” 、 “部门”和“公司名称”值的服务。如果您需要这些属性，则必须请求更高特权，如配置 Microsoft Entra ID 集成中所述。

注意：有关 Microsoft Entra ID 属性的说明，请参阅Microsoft 文档。