automation-cloud-public-sector
latest
false
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática. La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.
UiPath logo, featuring letters U and I in white

Guía de administración del sector público de Automation Cloud

Última actualización 25 de sep. de 2025

ALE con claves administradas por el cliente

ADVERTENCIA:

Habilitar esta característica tiene serias implicaciones en lo que respecta al acceso a los datos. Si surgen problemas clave, corre el riesgo de perder el acceso a sus datos.

La siguiente tabla describe escenarios problemáticos comunes y sus soluciones.

Escenario

Solución

Tus credenciales de acceso a Azure Key Vault (AKV) han expirado o han sido eliminadas.

Si aún puedes iniciar sesión utilizando tu correo electrónico y tu contraseña (no SSO)...

... y si eres administrador de la organización, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización.

... y si no eres administrador de la organización, puedes solicitar, a través de un ticket de soporte, que se te ascienda a un rol de administrador; a continuación, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización.

Si ya no puedes iniciar sesión, proporciona el ID de tu organización a través de un ticket de soporte, y podemos invitarte y promocionarte como administrador. A continuación, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización.

Una vez recuperes el acceso a tu cuenta, te recomendamos crear un nuevo conjunto de claves AKV y credenciales, así como configurar la clave gestionada por el cliente utilizando esta nueva información para que nadie más tenga acceso a tus credenciales.

Tu clave AKV ha expirado.

Tu clave administrada por el cliente aún funciona, pero te recomendamos que cambies a una nueva.

Tu clave AKV ha sido eliminada.

Puedes restaurar tu clave AKV desde el portal de Azure durante el periodo de retención.

Tu clave AKV ha sido purgada, pero tenía una copia de seguridad.

Puedes restaurar la clave desde la copia de seguridad del portal de Azure. Por defecto, la clave restaurada tiene el mismo ID que la original, y no deberías cambiarla.

Tu clave AKV ha sido purgada y no tenía copia de seguridad.
ADVERTENCIA:

No hay solución para este escenario. En esta situación, tus datos de cliente de UiPath® se pierden.

Información general

Además del TDE estándar a nivel de almacenamiento, ciertos servicios también emplean cifrado implícito a nivel de aplicación (ALE). Esto significa que los datos se cifran en la capa de aplicación antes de almacenarse, lo que proporciona una capa adicional de seguridad.

Además, algunos servicios/recursos ofrecen un cifrado opcional impulsado por el usuario que se conoce como ALE opcional. Esto te permite decidir si esos servicios/recursos deben emplear ALE o no. Para obtener la lista de servicios o recursos y los tipos de cifrado relevantes para ellos, consulta la página dedatos cifrados en nuestra documentación.

Para los servicios con ALE, ya sea implícito o habilitado, tienes la posibilidad de elegir quién gestiona la clave de cifrado. Puede ser gestionado por UiPath o por ti mismo. Para ayudar en esto, Azure Key Vault admite el control de versiones de secretos, lo que te permite generar un secreto para utilizarlo en la configuración de tu clave a nivel de organización.

Después de habilitar la clave administrada por el cliente, los datos previamente respaldados no serán cifrados de nuevo, y cualquier copia de seguridad existente será eliminada cuando caduque. Solo los datos nuevos serán cifrados utilizando esta opción.

Explicación de las claves administradas por el cliente

En la arquitectura de claves administradas por el cliente, los productos o servicios de plataforma de UiPath (como UiPath Orchestrator o UiPath Identity Service) generalmente cifran datos confidenciales del cliente antes de almacenarlos. Cuando sea necesario acceder a los datos, el producto o servicio invocará tu infraestructura de gestión de claves para obtener la clave de descifrado. Esto te da control sobre los datos cifrados en UiPath, porque puedes negarte a devolver la clave.

Este proceso se compone de los siguientes componentes:

  • El servicio de gestión de claves (KMS): es la herramienta interna de UiPath, desarrollada con fines de cifrado de claves.
  • La clave de cifrado de datos (DEK o KMS DEK): se utiliza para cifrar datos de texto simple. Por lo general, el DEK es generado por el KMS o por el almacén de claves internas de UiPath, y nunca se almacenan en texto sin cifrar.
  • La clave de cifrado de claves (KEK): se utiliza para cifrar el DEK. El proceso de cifrar una clave se conoce como encapsular claves. Por lo general, el KEK lo generas tú y queda almacenado en tu almacén de claves. Es la clave administrada por el cliente que es controlada por tu servicio de gestión de claves.
  • La clave de cifrado de datos cifrados (EDEK): es el DEK encapsulado por el KEK. Por lo general, esta clave es almacenada por el proveedor del servicio (como Orchestrator). Por ello, cuando un servicio necesite acceder a datos cifrados, este llama al servicio de gestión de claves del cliente para obtener el KEK necesario para descifrar el EDEK y así obtener el DEK que será utilizado para descifrar los datos.
  • La clave interna de UiPath: es la utilizada para cifrar columnas de datos, incluyendo el CMK y el KMS DEK.

Este diagrama ilustra cómo funcionan conjuntamente los diversos componentes implicados en permitir que las claves administradas por el cliente funcionen conjuntamente:



Habilitar claves administradas por el cliente

Importante:

Habilitar claves administradas por el cliente (CMK) tiene implicaciones significativas para la accesibilidad de los datos. Si la clave deja de estar disponible o está mal configurada, es posible que pierdas el acceso a tus datos.

Si pierdes tu clave, ya no podrás conectarte al almacén. Deberías crear siempre una copia de seguridad de la clave en el portal de Azure o en un almacén de claves seguro separado de Azure, de acuerdo con las políticas de seguridad de tu organización.

El Almacén de claves de Azure debe estar alojado en la nube de Microsoft Azure Government para cumplir con los requisitos de límites de la nube.

Para habilitar las claves administradas por el cliente, debes configurar la aplicación Microsoft Entra ID que representa el sector público de Automation CloudTM para acceder a la clave de cifrado de claves en tu Azure Key Vault.

Puedes elegir uno de los siguientes métodos para configurar la aplicación Microsoft Entra ID:
  • (Recomendado) Configuración automatizada: utiliza la aplicación Microsoft Entra ID administrada por UiPath (modelo multitenant) para obtener las siguientes ventajas:
    • No hay secretos ni certificados que gestionar.
    • Configuración rápida y fiable.
    • UiPath mantiene la aplicación Microsoft Entra ID por ti.
  • Configuración manual con un registro personalizado de la aplicación Microsoft Entra ID: utiliza tu propia aplicación Microsoft Entra ID y gestiona su configuración manualmente, con las siguientes consideraciones:
    • Debes crear y gestionar las credenciales de la aplicación.
    • Las credenciales caducan y requieren actualizaciones periódicas.
    • Si las credenciales no se actualizan antes de que caduquen, los usuarios no podrán iniciar sesión.

Configuración automatizada con la aplicación Microsoft Entra ID administrada por UiPath (recomendado)

Utiliza este método si quieres simplificar la configuración y evitar la gestión de secretos o certificados. UiPath recomienda este enfoque para la mayoría de las organizaciones.

Si es administrador del sector público de Microsoft Entra ID y Automation CloudTM

Si eres administrador de Microsoft Entra ID y administrador del sector público de Automation CloudTM , sigue los siguientes pasos para configurar la integración utilizando la aplicación multitenant gestionada por UiPath:

  1. En Sector público de Automation CloudTM , ve a Admin > Seguridad > Cifrado.
  2. Elige Clave administrada por el cliente y confirma la selección introduciendo el nombre de tu organización en el cuadro de diálogo de confirmación.
  3. Selecciona Aplicación multitenant gestionada por UiPath (recomendada).

  4. Selecciona Conceder consentimiento y, a continuación, inicia sesión con tu cuenta de Microsoft Entra ID.

    Después de conceder el consentimiento, Automation CloudTM Public Sector crea una aplicación Microsoft Entra ID en Azure que representa a tu organización.

  5. Crea tu clave de cifrado de claves y configura Azure Key Vault.
  6. Introduce el URI de clave de Azure Key Vault de la clave de cifrado de claves.
    • Si proporcionas un URI de clave sin versión, Sector público de Automation CloudTM utiliza la versión de clave más reciente automáticamente (rotación de claves habilitada).
    • Si proporcionas un URI de clave versionada, Sector público de Automation CloudTM cifra todos los datos con esa versión de clave específica.

  7. Selecciona Probar y guardar para activar la integración.

    Si se produce un error, verifique sus credenciales e inténtelo de nuevo.

Solo si es administrador del sector público de Automation CloudTM
Si no tienes privilegios administrativos en Microsoft Entra ID pero eres un administrador del sector público de Automation CloudTM , sigue los siguientes pasos para solicitar el consentimiento del administrador y completar la integración:
  1. En Sector público de Automation CloudTM , ve a Admin > Seguridad > Cifrado.
  2. Selecciona Customer managed key y confirma la selección introduciendo el nombre de tu organización en el cuadro de diálogo de confirmación.
  3. Selecciona Aplicación multitenant gestionada por UiPath (recomendada).

  4. Selecciona Conceder consentimiento y, a continuación, inicia sesión con tu cuenta de Microsoft Entra ID.

    Como no tienes derechos de administrador de Microsoft Entra ID, deberías ver uno de los siguientes mensajes:

    1. Solicitar aprobación, como se muestra en la documentación de Microsoft: Solicitar aprobación del administrador. Después de que tu administrador de Microsoft Entra ID apruebe la solicitud, continúa con el siguiente paso.
    2. Necesita la aprobación del administrador, como se muestra en la documentación de Microsoft: pide a tu administrador de Microsoft Entra ID que siga los siguientes pasos:
      1. Dirígete a esta URL para abrir la solicitud de consentimiento de Microsoft Entra ID.
      2. Selecciona Consentimiento en nombre de tu organización y, a continuación, Aceptar.
  5. Después de recibir la confirmación de que se ha concedido el consentimiento del administrador, crea tu clave de cifrado y configura Azure Key Vault, luego vuelve a Sector público de Automation CloudTM y repite los pasos 1 a 4.
    • Un inicio de sesión correcto indica que la integración está configurada correctamente.
    • Si el inicio de sesión falla, pide a tu administrador de Microsoft Entra ID que verifique que el consentimiento se ha concedido correctamente.
  6. Introduce el URI de clave de Azure Key Vault de la clave de cifrado de claves.
    • Si proporcionas un URI de clave sin versión, se habilita la rotación automática de claves y Sector público de Automation CloudTM utiliza la versión de clave más reciente.
    • Si proporcionas un URI de clave versionada, Sector público de Automation CloudTM cifra todos los datos con esa versión de clave específica.

  7. Selecciona Probar y guardar para activar la integración.

    Si se produce un error, verifique sus credenciales e inténtelo de nuevo.

Configuración manual con el registro personalizado de la aplicación Microsoft Entra ID

Si prefieres configurar tu propia aplicación Microsoft Entra ID en lugar de utilizar la aplicación multitenant gestionada por UiPath, sigue los siguientes pasos. Esta opción requiere gestionar tus propias credenciales y mantenerlas a lo largo del tiempo.
Importante: Las credenciales creadas mediante la configuración manual caducarán periódicamente. Debe renovarlos antes de que caduquen para evitar interrupciones del servicio. Para reducir esta sobrecarga operativa, considera la posibilidad de utilizar la configuración automatizada con la aplicación Entra ID gestionada por UiPath.
  1. Crea el registro de la aplicación Microsoft Entra ID.
    1. En el centro de administración de Microsoft Entra, ve a Registros de aplicaciones > Nuevo registro.
    2. Introduce un nombre, como Sector público de Automation Cloud, o utiliza un nombre de tu elección.
    3. Establece Tipos de cuenta compatibles en Cuentas solo en este directorio de la organización.
    4. Complete el registro.
  2. Crear credenciales.
    Ve a Certificados y secretos en el registro de tu aplicación y elige uno de los siguientes métodos:
    • Para utilizar un secreto de cliente:
      1. Selecciona Nuevo secreto de cliente.
      2. Guarda el valor del secreto generado. Lo necesitará más tarde.
    • Para utilizar un certificado:
      1. En una nueva pestaña del navegador, ve a Azure Key Vault.
      2. Crear un certificado:
        • Asunto: CN=uipath.com
        • Tipo de contenido: PEM
        • Tamaño máximo: menos de 10 KB
      3. Descarga el certificado en formato .pem .
      4. Abre el archivo .pem en un editor de texto. Debe contener las siguientes secciones:
        • -----INICIAR CLAVE PRIVADA----- / -----FINALIZAR CLAVE PRIVADA-----
        • -----INICIAR CERTIFICADO----- / -----FINALIZAR CERTIFICADO-----
      5. Crea un nuevo archivo .pem que contenga solo las líneas entre BEGIN CERTIFICATE y END CERTIFICATE.
      6. En la sección Certificados y secretos del registro de tu aplicación, carga este nuevo archivo .pem .
      7. Conserve una copia del certificado. Lo necesitará más tarde para completar la integración.
    Importante:

    La mayoría de los tipos de credenciales caducan con el tiempo. Para evitar problemas de inicio de sesión de usuario, actualiza la configuración antes de que caduquen las credenciales.

  3. Recopilar detalles de integración.
    Reúne los siguientes valores y proporciónalos al administrador del sector público de Automation CloudTM :
    • ID de la aplicación (cliente)
    • ID (de tenant) del Directorio
    • Secreto o certificado de cliente
  4. Crea tu clave de cifrado de claves y configura Azure Key Vault.
    Prepara tu clave de cifrado y anota el identificador de clave de Azure Key Vault. Elija uno de los siguientes formatos:
    • URI de clave sin versión: habilita la rotación automática de claves. Sector público de Automation CloudTM siempre utiliza la versión de clave más reciente.
    • URI de clave versionada: bloquea el cifrado a una versión de clave específica. Sector público de Automation CloudTM cifra todos los datos que utilizan esa versión.
  5. Activa la integración en Sector público de Automation CloudTM .
    1. Inicia sesión en Sector público de Automation CloudTM como administrador.
    2. Ve a Admin > Seguridad > Cifrado.
    3. Selecciona Clave administrada por el cliente y confirma la selección introduciendo el nombre de tu organización.
    4. Selecciona ID y secreto de registro de aplicación personalizados.
    5. Introduce los siguientes datos recopilados anteriormente:
      • ID (de tenant) del Directorio
      • ID de la aplicación (cliente)
      • Secreto o certificado de cliente
      • Identificador de clave de Azure Key Vault

    6. Selecciona Probar y guardar para activar la integración.

      Si recibes un mensaje de error, comprueba tus credenciales e inténtalo de nuevo.

Crear la clave de cifrado de claves y configurar Azure Key Vault

Antes de comenzar, revisa los siguientes requisitos y recomendaciones para usar Azure Key Vault con Sector público de Automation CloudTM .
  • Puedes crear el Key Vault en cualquier región, pero recomendamos utilizar la misma región que tu organización del sector público de Automation CloudTM .
  • UiPath requiere acceso al Key Vault utilizado para la clave administrada por el cliente. Para limitar el ámbito, recomendamos crear un almacén dedicado para este propósito.
  • La característica funciona con cualquier tamaño de clave compatible con Azure Key Vault.
  • Para realizar operaciones criptográficas, debes conceder los permisos Ajustar clave y Desbloquear clave . Estos permisos son necesarios independientemente de si utilizas políticas de acceso de Azure RBAC (Control de acceso basado en roles) o Key Vault para gestionar el acceso.
Para crear una clave de cifrado de claves y configurar Azure Key Vault, sigue los siguientes pasos:
  1. En el portal de Microsoft Azure, ve a Azure Key Vault y selecciona un almacén existente o crea uno nuevo.
  2. Crea una nueva clave y copia el URI de la clave. Necesitas el URI para configurarlo en Sector público de Automation CloudTM .
    Elige una de las siguientes opciones para el URI de clave:
    • URI de clave sin versión: habilita la rotación automática de claves. Sector público de Automation CloudTM siempre utiliza la última versión de la clave.
    • URI de clave versionada: bloquea el cifrado a una versión de clave específica. Sector público de Automation CloudTM cifra todos los datos que utilizan esa versión.
  3. Otorga acceso a la aplicación Microsoft Entra ID creada anteriormente.
    Utiliza las políticas de acceso de Azure RBAC o Key Vault para conceder los permisos necesarios.
  4. Vuelve a Sector público de Automation CloudTM para completar la configuración.

Editar la clave gestionada por el cliente

Una vez que habilites esta opción, también puedes editar cualquier detalle relacionado con la conexión. Para ello, selecciona Editar conexión en la opción Clave administrada por el cliente y cambia cualquier información según sea necesario.

Rotación de claves

Es buena práctica rotar tus claves de forma rutinaria para garantizar la protección continua de tus datos cifrados frente a posibles violaciones de seguridad.

Rotación manual de claves

La rotación manual de claves implica cambiar toda la configuración de CMK. Aunque puedes cambiar toda la configuración, se recomienda cambiar solo el identificador de clave, o la versión de clave, para minimizar los cambios de ruptura.

Para realizar la rotación manual de claves, sigue los siguientes pasos:

  1. Crea una nueva clave en el Almacén de claves de Azure que configuraste anteriormente.

  2. En tu organización del sector público de Automation CloudTM , ve a Admin > Seguridad.

  3. En Clave administrada por el cliente, selecciona Editar conexión.

  4. Reemplaza el identificador de clave existente por el nuevo URI de clave.
Nota: La rotación de claves solo funciona si tanto la clave antigua como la nueva siguen siendo válidas.

Rotación automática de claves

La rotación automática de claves permite a Automation CloudTM Public Sector utilizar la última versión de tu clave automáticamente, en función de la política de rotación definida en Azure Key Vault. Este enfoque reduce el esfuerzo manual y mejora la seguridad.

Para habilitar el proceso de rotación automática de claves, sigue los siguientes pasos:

  1. En Azure Key Vault, crea una política de rotación para tu clave.

  2. En Automation Cloud, ve a Configuración de clave administrada por el cliente y proporciona el identificador de clave sin versión.

    Para conocer los pasos de configuración, consulta Habilitar la clave administrada por el cliente.

  3. Después de cada rotación de claves en Azure Key Vault, Sector público de Automation CloudTM obtiene y aplica automáticamente la última versión de la clave.

    Automation CloudTM Public Sector comprueba automáticamente si hay nuevas versiones de clave cada hora. Cuando una nueva versión está disponible, se recupera y se aplica sin necesidad de actualizaciones manuales.

Importante:
  • No desactives ni modifiques los permisos de acceso para versiones de clave anteriores. Tanto la versión de la clave anterior como la actual deben permanecer accesibles para mantener el acceso ininterrumpido a los datos cifrados durante el proceso de rotación.
  • Puedes ver tanto los cambios manuales en la configuración de la clave administrada por el cliente, como las actualizaciones del identificador de clave, como los eventos de rotación automática de claves en la sección Registros de auditoría en Administración en Sector público de Automation CloudTM .

Reducción de licencias

Si tu plan Enterprise caduca, se te degradará automáticamente a un estado de solo lectura. Esto es lo que puedes esperar en términos de cifrado de datos:

  • La opción Clave administrada por el cliente aún estará habilitada para ti, pero aparecerá en gris en la interfaz. Por lo tanto, ya no podrás editar sus valores, como por ejemplo cambiar los detalles del almacén de claves,
  • Puedes cambiar a Clave gestionada por UiPath (opción predeterminada), pero no podrás volver a Clave administrada por el cliente hasta que tu plan sea actualizado a Empresarial.

Mejores prácticas para el uso de claves administradas por el cliente

Hay algunos detalles importantes que debes tener en cuenta antes de comenzar a usar claves administradas por el cliente:

  • Una vez empieces a usar una nueva clave como parte de un proceso de rotación de claves, la antigua ya no podrá utilizarse para acceder y cifrar datos. Por tanto, es importante mantener cualquier clave antigua en el almacén de claves, es decir, deshabilitarlas en lugar de eliminarlas. Esto es de especial importancia en escenarios de recuperación en caso de catástrofes en los que UiPath puede necesitar volver a una copia de seguridad de una versión anterior de la base de datos. Si esa copia de seguridad utiliza una de tus claves antiguas, puedes rotarla para recuperar el acceso a los datos.

    Si decides eliminar una clave, es importante que utilices la característica de eliminado suave.

  • Si pierdes tu clave, ya no podrás conectarte al almacén. Deberías crear siempre una copia de seguridad de la clave en el portal de Azure o en un almacén de claves seguro separado de Azure, de acuerdo con las políticas de seguridad de tu organización.
  • Si estás aprovechando el inicio de sesión único para acceder a los servicios de UiPath, puedes considerar crear una cuenta local para que funcione como una cuenta de emergencia. Dado que la información del proveedor de identidades externo se incluye en los datos cifrados por la clave administrada por el cliente, las cuentas de SSO serán inaccesibles en caso de que no se pueda acceder a tu almacén de claves.
  • A efectos de seguridad, los usuarios que no tengan privilegios de administrador de nivel superior no deberían tener derechos de purga sobre claves administradas por el cliente.

  • Si ya no quieres que UiPath tenga acceso a tus datos, puedes deshabilitar la clave desde Azure Key Vault, como se muestra en la siguiente imagen:



    Más información sobre las Acciones de recuperación de Azure Key Vault.

¿Te ha resultado útil esta página?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Uipath Logo
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2025 UiPath. Todos los derechos reservados.