- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Tenants y servicios
- Cuentas y roles
- Aplicaciones externas
- Pruebas en su organización
- Ai Trust Layer
- Notificaciones
- Registro
- Solución de problemas
- Migrar a Automation Cloud Dedicated
Guía de administración de Automation Cloud Dedicated
Las aplicaciones OAuth externas existen fuera de la plataforma UiPath® y se integran con ella para ampliar sus capacidades. Las aplicaciones externas pueden acceder de forma segura a tus recursos de UiPath sin necesidad de compartir tus credenciales, a través del marco OAuth que permite la delegación de autorizaciones a estas entidades externas.
Al registrar aplicaciones externas con UiPath, obtienen la capacidad de realizar llamadas a la API para acceder a los recursos de UiPath.
UiPath clasifica las aplicaciones externas de OAuth en dos categorías principales: confidenciales y no confidenciales. El tipo de aplicación determina su flujo de autenticación, el nivel de acceso a los recursos y la forma en que se comunica con Identity Server de UiPath.
-
Aplicaciones confidenciales con ámbitos de aplicación: las aplicaciones confidenciales con ámbitos de aplicación están pensadas para utilizarse en casos en los que la aplicación puede almacenar credenciales de forma segura. Por ejemplo, un programa que almacena la contraseña en un almacén.
-
Aplicaciones confidenciales con ámbitos de usuario: las aplicaciones confidenciales con ámbitos de usuario están destinadas a utilizarse en los casos en que la aplicación puede almacenar credenciales de forma segura y actuar en nombre de un usuario. Por ejemplo, una aplicación CRM que crea artículos en cola en Orchestrator. Lo hace en nombre del usuario, pero también almacena las credenciales que utiliza en una base de datos.
-
Aplicaciones no confidenciales con ámbitos de usuario: las aplicaciones no confidenciales no dependen de las credenciales almacenadas de forma segura. En su lugar, dependen de que el usuario se autentique en una aplicación y delegue el acceso a la aplicación a través de credenciales temporales. Las credenciales son de corta duración y es posible que el usuario tenga que volver a autenticar la aplicación periódicamente. Son mejores para automatizaciones atendidas o automatizaciones en las que un usuario está disponible para volver a autenticar la aplicación. Por ejemplo, un usuario tiene una automatización atendida que ejecuta una automatización utilizando actividades de O365 para acceder a SharePoint. La primera vez que se ejecuta, pide al usuario que autorice la aplicación (la automatización). Periódicamente, es posible que el usuario tenga que volver a autorizar la aplicación después de que caduquen las credenciales.
Cuando una aplicación externa se configura para integrarse con UiPath, se le asignan permisos y accesos específicos, denominados "ámbitos". Básicamente, los ámbitos definen lo que una aplicación puede y no puede hacer o acceder dentro de UiPath.
Al conceder acceso a aplicaciones externas, proporciona siempre los permisos mínimos necesarios para que la aplicación funcione. Esta medida ayuda a limitar los daños potenciales al hacer menos probable el acceso no autorizado.
Service.Resource.Accesslevel o Service.Resource. Por ejemplo, con OR.Machines.Read, la aplicación externa tiene acceso de lectura a las máquinas de Orchestrator en todas las carpetas y tenants de la organización, con OR.Machines, la aplicación externa tiene acceso de lectura y escritura en todas las carpetas y tenants de la organización.
Para las aplicaciones confidenciales, UiPath permite la asignación de ámbitos detallados que se aplican específicamente a los recursos de Orchestrator. Estos permisos específicos permiten a un administrador controlar y personalizar el acceso hasta el nivel de carpeta del tenant.
La asignación detallada se produce cuando el administrador de una organización asigna la aplicación confidencial externa a un tenant específico o a una carpeta en Orchestrator, y la asocia a un rol concreto.
Los ámbitos están orientados a un usuario (ámbito de usuario) o a la propia aplicación (ámbito de aplicación).
-
Los ámbitos de aplicación otorgan a la aplicación una identidad propia en la que realiza funciones como una entidad independiente.
-
En los ámbitos de usuario, la aplicación realiza funciones en nombre de un usuario autenticado y, por tanto, las acciones están limitadas por los permisos del usuario. Por ejemplo, la aplicación solo puede acceder a los activos a los que el usuario puede acceder.
El proceso de uso de aplicaciones externas de UiPath abarca diferentes etapas, desde la creación y configuración por parte de un administrador hasta su integración y uso por parte de un desarrollador.
A. Creación y configuración por parte del administrador
-
Registro de aplicaciones externas: el primer paso consiste en añadir una aplicación externa a la organización. El administrador establece detalles como el nombre, la URL de redirección y selecciona el tipo de aplicación adecuado. Una vez que la aplicación con sus ámbitos se crea a nivel de administrador, obtiene esos permisos a nivel de organización. El administrador puede configurar permisos detallados para aplicaciones confidenciales asignándoles un rol a nivel de tenant y carpeta en Orchestrator.
-
Asignación de usuarios: en el caso de aplicaciones no confidenciales o confidenciales con ámbitos de usuario, el administrador debe asegurarse de que los usuarios que necesitan utilizar la aplicación tengan acceso al sistema, asignando al usuario un rol a nivel de organización, tenant o carpeta .
-
Almacenar detalles de la aplicación: después de completar la configuración, el administrador recupera los detalles de la aplicación, como el ID de la aplicación. Para las aplicaciones confidenciales, también se genera un secreto de aplicación. El administrador almacena de forma segura estos detalles, y luego los comparte con los desarrolladores.
B. Integración y uso por parte del desarrollador
-
Autenticación y autorización: el desarrollador utiliza el ID de la aplicación (y el secreto para las aplicaciones confidenciales) proporcionado por el administrador para iniciar una solicitud de token de acceso OAuth 2.0 a UiPath Identity Server. Al hacerlo, el desarrollador incluye los ámbitos necesarios dentro de la solicitud. El flujo de OAuth 2.0 tiene éxito cuando el servidor valida el ID de la aplicación, su secreto (para aplicaciones confidenciales) y aprueba los ámbitos especificados.
Nota:Para las aplicaciones externas con ámbitos de usuario, también se realiza la validación de la identidad del usuario. Se trata de una capa adicional de seguridad que garantiza que las solicitudes proceden de forma legítima de usuarios autenticados y autorizados.
-
Generación de tokens de acceso: una vez que el servidor autentica con éxito la aplicación y los ámbitos, devuelve un token de acceso al desarrollador. Este token de acceso representa la autorización de la aplicación para acceder a los ámbitos especificados.
-
Integrar la aplicación externa: el desarrollador utiliza el token de acceso recibido en el encabezado de las llamadas a la API realizadas a UiPath. Esto otorga el nivel de acceso especificado a los recursos solicitados, integrando así la aplicación externa con los recursos de UiPath.
As an organization administrator, you can register, view, update, and delete federated credentials for an OAuth external application.
Requisitos previos
- You are an organization administrator.
- The OAuth external application is already registered. To register one, see Managing external OAuth applications.
Register a federated credential
View existing credentials
To retrieve the federated credentials registered for an application, use the List federated credentials API.
Update a federated credential
To update a federated credential, use the Update a federated credential API.
Delete a federated credential
To delete a federated credential, use the Delete a federated credential API.
Obtain an access token using a federated credential
client_assertion.
{accessURL} with the base URL for your cloud platform:
| Cloud platform | URL de acceso |
|---|---|
| Automation Cloud | https://cloud.uipath.com/{accountLogicalName} |
| Sector público de Automation Cloud | https://govcloud.uipath.us/{accountLogicalName} |
| Automation Cloud dedicado | https://{customURL}.dedicated.uipath.com/{accountLogicalName} |
curl --location '{accessURL}/identity_/connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'client_id={CLIENT_ID}' \
--data-urlencode 'client_assertion={JWT_TOKEN}' \
--data-urlencode 'client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer'curl --location '{accessURL}/identity_/connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'client_id={CLIENT_ID}' \
--data-urlencode 'client_assertion={JWT_TOKEN}' \
--data-urlencode 'client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer'| Parámetro | Descripción |
|---|---|
grant_type | Must be client_credentials.
|
client_id | The client ID of the registered OAuth external application. |
client_assertion | The JWT issued by your external identity provider. |
client_assertion_type | Must be urn:ietf:params:oauth:client-assertion-type:jwt-bearer.
|
On success, the endpoint returns a UiPath access token you can use to call UiPath APIs.
For the full API reference for managing federated credentials programmatically, see External client — Federated credentials API.