- 入门指南
- 主机管理
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- 外部应用程序
- 在您的组织中进行测试
- 通知
- 日志记录
- 故障排除
Automation Suite 管理页指南
本地用户帐户代表每个用户的帐户,并且为Automation Suite 的内部帐户。在此模型中,组织管理员向组织添加新用户。适用于要在Automation Suite中完全控制用户管理的场景。
在 UiPath 中,SSO 设置是指可以在主机级别和组织级别实施的规定。
主机级别的 SSO 设置用于与主机绑定的所有组织。这意味着您在此级别调整的任何 SSO 设置将应用于主机下的每个组织。
可以在主机级别管理的 SSO 设置包括基本登录、Google SSO、Microsoft Entra ID SSO、Active Directory 和 SAML SSO。可以在组织级别覆盖特定设置(例如基本登录)。
此模型与目录帐户模型兼容。
目录帐户模型依赖于您与 UiPath 平台集成的第三方目录。 这使您可以重用公司已建立的身份方案。 目录帐户在 UiPath 平台外部的目录中创建和维护;它们仅在 UiPath 平台中引用并用作身份。
在 UiPath 中,可以在主机级别和组织级别配置目录集成模型。
-
在主机级别,目录集成选项包括 SAML 2.0 和 Active Directory。这些设置将以一致的方式应用于该主机下的所有组织。
-
在组织级别,UiPath 允许组织管理员使用 SAML 2.0 和 Microsoft Entra ID 集成覆盖主机级别设置。
对于大多数公司来说,Active Directory 对于协调身份验证和访问管理策略都至关重要。 建立目录集成时,您的身份提供程序可作为用户身份的单一事实来源。
通过允许在主机级别和组织级别进行设置,UiPath 的目录模型有效地在一致性和灵活性之间取得了平衡。 它允许跨主机使用统一目录集成服务,同时必要时还在组织级别提供自定义设置。
为您的组织选择身份提供程序(“管理员” > “用户和组”)会影响用户登录的方式以及创建和管理用户帐户和组帐户的方式。在Automation Suite中,管理员可以一次性为所有组织全局(主机级别)选择身份验证和相关的安全设置,也可以为每个组织选择身份验证和相关的安全设置:
-
全局身份验证设置(主机级别):作为系统管理员,您可以在主机级别为安装选择身份验证和相关的默认安全设置。 我们将这些称为“主机身份验证和安全设置”,默认情况下,所有组织都将继承这些设置。 了解如何配置主机身份验证和安全设置。
- 组织级别的身份验证设置:作为组织管理员,您可以为组织选择身份验证和相关的安全设置。 某些设置是从主机级别继承的,但如果应为您的组织应用不同的设置,则可以覆盖它们。 了解如何配置组织级别的身份验证和安全设置。
下表描述了适用于所有组织或每个组织的主机级别的身份验证和相关安全设置:
| 身份验证设置 | Microsoft Entra ID 主机级别 | Microsoft Entra ID 组织级别 | SAML 主机级别 | SAML 组织级别 |
|---|---|---|---|---|
| 单点登录 | 是 | 是 | 是 | 是 |
| 自动即时用户配置 | 否 | 是 | 否 | 是 |
| 基于即时声明的自动配置规则 | 否 | 否 | 否 | 是 |
| 用于搜索用户和组的目录集成 | 否 | 是 | 否 | 否 |
全局身份验证设置(主机级别)
Automation Suite允许您配置外部身份提供程序以控制用户的登录方式。这些设置适用于所有组织。
下表概述了可用的不同主机级外部提供程序:
|
外部提供程序集成 |
身份验证 |
目录搜索 |
管理员配置 |
|---|---|---|---|
|
Active Directory 和 Windows 身份验证 |
管理员可以使用 Kerberos 协议将 SSO 与 Windows 身份验证结合使用 |
管理员可以从 Active Directory 搜索用户 |
为了使用户能够登录,用户或用户所属的组应该已经添加到 UiPath 平台。您可以在 UiPath Platform 中通过目录搜索找到 Active Directory 用户和组。 |
|
Microsoft Entra ID |
管理员可以使用 OpenID Connect 协议将 SSO 与 Microsoft Entra ID 结合使用 |
不支持 |
必须将用户手动配置到 UiPath 组织中,电子邮件地址与其 Microsoft Entra ID 帐户匹配。 |
|
|
用户可以使用 OpenID Connect 协议将 SSO 与 Google 一起使用 |
不支持 |
必须使用与其 Google 帐户匹配的电子邮件地址手动将用户配置到 UiPath 组织中。 |
|
SAML 2.0 |
用户可以将 SSO 与任何支持 SAML 的身份提供程序一起使用 |
不支持 |
必须使用与其 SAML 帐户匹配的用户名/电子邮件/外部提供程序密钥(如其外部身份提供程序配置中所配置)手动将用户配置到 UiPath 组织中。 |
组织身份验证
Microsoft Entra ID 模型
与 Microsoft Entra ID 集成,为您的组织提供可扩展的用户和访问权限管理,从而确保您的员工使用的所有内部应用程序合规。如果您的组织正在使用 Microsoft Entra ID 或 Office 365,则可以将Automation Suite直接连接到 Microsoft Entra ID 租户,以获得以下好处:
通过无缝迁移自动完成用户引导
- 任何服务均可随时使用 Microsoft Entra ID 中的所有用户和组分配权限,而无需在组织目录中邀请和管理 Microsoft Entra ID 用户。
- 您可以为公司用户名与电子邮件地址不同的用户提供 SSO,而在邀请模式中则无法实现。
- 所有拥有 UiPath™ 用户帐户的现有用户,其权限都会自动迁移到已连接的 Microsoft Entra ID 帐户。
简化登录体验
-
用户不必像默认模式那样接受邀请或创建 UiPath 用户帐户即可访问组织。通过选择企业 SSO 选项或使用特定于组织的 URL,就可以使用 Microsoft Entra ID 帐户登录。
如果用户已登录 Microsoft Entra ID 或 Office 365,则系统会自动为其登录。
- UiPath Assistant 和 Studio 版本 20.10.3 及更高版本可以预配置为使用自定义Automation Suite URL,从而获得相同的无缝连接体验。
使用现有的 Microsoft Entra ID 组扩展监管和访问权限管理
- Microsoft Entra ID 安全组或 Office 365 组(也称为目录组)允许您利用现有的组织结构来大规模管理权限。您不再需要在Automation Suite服务中为每个用户配置权限。
- 如果需要一起管理多个目录组,可以将多个目录组组合到一个Automation Suite组中。
-
审核Automation Suite访问权限非常简单。在使用 Microsoft Entra ID 组配置所有 Orchestrator 服务中的权限后,您可以利用与 Microsoft Entra ID 组成员身份关联的现有验证流程。
注意:在使用 Microsoft Entra ID 模式时,您可以继续使用默认模式的所有功能。但是,为了最大限度地利用这些优势,我们建议您完全使用 Microsoft Entra ID 的集中式帐户管理功能。如果您想使用 Microsoft Entra ID 作为组织的身份提供程序,请按照设置 Microsoft Entra ID 集成中的说明进行操作。
SAML 模式
此模型允许您将Automation Suite连接到选择的身份提供程序 (IdP),以便:
- 您的用户可以从 SSO 中受益,并且
- 您可以在Automation Suite中管理目录中的现有帐户,而无需重新创建身份。
Automation Suite可以连接到使用 SAML 2.0 标准的任何外部身份提供程序,以获得以下优势:
自动引导用户
当 SAML 集成处于活动状态时,来自外部身份提供程序的所有用户都有权使用基本权限登录。这意味着:
- 用户可以使用 IdP 中定义的现有公司帐户通过 SSO 登录到您的组织。
- 无需任何进一步的设置,默认情况下用户就可以访问组织。为了能够在组织中使用,用户需要适当的角色和许可证。
用户管理
您可以通过将用户直接分配到组来添加用户,为此,您只需在将用户添加到组时输入其电子邮件地址。
通常,管理员从“管理员” > “组织” > “帐户和组” > “用户”选项卡管理本地帐户。 但 SAML 用户是目录帐户,因此在此页面上不可见。
将用户添加到组或至少登录一次后(这会自动将其添加到“Everyone”组),可以在所有服务中搜索到这些用户,以便直接分配角色或分配许可证。
属性映射
如果您使用 UiPath Automation Hub,则可以定义自定义属性映射,以将属性从身份提供程序传播到Automation Suite 。例如,首次将帐户添加到 Automation Hub 时,系统会填充用户的名字、姓氏、电子邮件地址、职位名称和部门。
设置
管理员可以通过“管理员”>“安全设置”>“身份验证设置”为整个组织配置和启用 SAML 集成。
如需了解有关说明,请参阅。
从 Microsoft Entra ID 集成转换为 SAML 集成
切换到 SAML 集成后,Microsoft Entra ID 集成将被禁用。Microsoft Entra ID 组分配不再适用,因此 Orchestrator 组成员身份和从 Microsoft Entra ID 继承的权限不再适用。
