- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Activar su licencia Enterprise
- Actualización y desactualización de licencias
- Solicitar una prueba de servicio
- Asignar licencias a tenants
- Asignación de licencias de usuario
- Anular la asignación de licencias de usuarios
- Monitoring license allocation
- Licencias con exceso de asignación
- Notificaciones de licencias
- Administración de licencias de usuario
- Tenants y servicios
- Cuentas y roles
- Ai Trust Layer
- Aplicaciones externas
- Notificaciones
- Registro
- Solución de problemas
- Migrar a Automation Cloud™
Comprender los modelos de autenticación
Las cuentas de usuario locales representan la cuenta de cada usuario y son internas a la plataforma UiPath.
El modelo de cuentas locales proporciona un enfoque autónomo para la autenticación. Requiere una invitación de un administrador de la organización para que se unan nuevos usuarios. Es adecuado para escenarios en los que desea un control completo sobre la gestión de usuarios dentro de su plataforma.
En la configuración de la organización, tienes control total sobre los métodos de autenticación disponibles para los usuarios:
-
Para permitir el uso de todos los métodos disponibles (Google, Microsoft, autenticación básica) para obtener la máxima flexibilidad, elige la opción Todos los métodos disponibles .
-
Para restringir la autenticación solo a Google, elige la opción de inicio de sesión de Google .
-
Para restringir la autenticación solo a Microsoft, elige la opción de inicio de sesión de Microsoft .
Este modelo se aplica por defecto a cualquier organización nueva. Es fácil de usar, rápido de configurar y cómodo para tus usuarios.
El proceso para crear un usuario es el siguiente:
- Los administradores de la organización deben obtener las direcciones de correo electrónico de los usuarios y utilizarlas para invitar a cada usuario a unirse a su organización. Pueden hacerlo en masa.
-
Cada empleado invitado acepta la invitación navegando hasta el enlace que se proporciona en el correo electrónico de invitación y crea una cuenta de usuario de UiPath. Pueden:
- Utiliza el correo electrónico de la invitación como nombre de usuario y crea una contraseña.
-
Utiliza una cuenta existente que tengan con Microsoft (personal, cuenta vinculada a Azure AD o cuenta de Office 365), Google (personal o cuenta de Google Workspace) o su cuenta personal de LinkedIn para iniciar sesión (o federarse) en su cuenta de usuario de UiPath.
La posibilidad de utilizar uno de los proveedores mencionados anteriormente es conveniente para los usuarios que no tienen que recordar contraseñas adicionales. Y el uso de cuentas propiedad de la organización en Azure AD o Google Workspace te permite aplicar las políticas de inicio de sesión de la organización.
En este modelo se crean usuarios de la misma manera que en el modelo basado en invitaciones: se emite una invitación a su dirección de correo electrónico y los usuarios deben crear una cuenta de UiPath. La diferencia es que puedes optar por aplicar el inicio de sesión usando cualquiera de los dos métodos:
- Google o
- Microsoft
Así, en lugar de ver todas las opciones de inicio de sesión, tus usuarios solo verán la que hayas seleccionado.
Por ejemplo, esto es lo que verían tus usuarios si eliges forzar el inicio de sesión con Microsoft:
Siguen usando su cuenta de UiPath para iniciar sesión. La cuenta debe usar la dirección de correo electrónico donde se envió la invitación.
El modelo de cuentas de directorio se basa en un directorio de terceros que se integra con la plataforma UiPath. Esto te permite reutilizar el esquema de identidad establecido de tu empresa en UiPath.
- Azure Active Directory: si tienes una suscripción a Microsoft Azure u Office 365, puedes integrar Azure con la plataforma UiPath para utilizar tus usuarios y grupos existentes de Azure Active Directory dentro de UiPath.
- SAML 2.0: te permite integrar la plataforma UiPath con tu proveedor de identidad (IdP) elegido. Esto permite a tus usuarios conectarse a UiPath> con inicio de sesión único (SSO) utilizando las cuentas que ya están registradas con tu IdP.
Las cuentas de usuario del directorio se crean y mantienen en un directorio externo a UiPath. Las cuentas de directorio solo se referencian en la plataforma UiPath y se utilizan como identidades para tus usuarios.
Compatibilidad con el modelo basado en invitaciones
Puedes seguir usando todas las funciones del modelo basado en invitaciones junto con un modelo de directorio. Pero para maximizar los beneficios, recomendamos confiar exclusivamente en la gestión centralizada de tu directorio integrado.
La integración con Azure Active Directory (Azure AD) puede ofrecer una gestión escalable de usuarios y accesos para tu organización, lo que permite el cumplimiento en todas las aplicaciones internas utilizadas por tus empleados. Si tu organización utiliza Azure AD u Office 365, puedes conectar tu organización directamente a tu tenant de Azure AD para obtener las siguientes ventajas:
-
Incorporación automática de usuarios con una migración fluida
- Todos los usuarios y grupos de Azure AD están disponibles para que cualquier servicio de la plataforma UiPath asigne permisos, sin necesidad de invitar y gestionar usuarios de Azure AD en el directorio de la organización.
- Puedes proporcionar Single Sign-On a los usuarios cuyo nombre de usuario corporativo sea diferente a su dirección de correo electrónico, lo que no es posible con el modelo basado en invitaciones.
- Todos los usuarios existentes con cuentas locales de UiPath tienen sus permisos migrados automáticamente a su cuenta de Azure AD conectada.
-
Experiencia de inicio de sesión simplificada
- Los usuarios no tienen que aceptar una invitación o crear una cuenta de usuario de UiPath para acceder a la organización. Inician sesión con su cuenta de Azure AD seleccionando la opción Enterprise SSO o utilizando la URL específica de su organización. Si el usuario ya ha iniciado sesión en Azure AD u Office 365, se iniciará sesión automáticamente.
- Las versiones 20.10.3 y posteriores de UiPath Assistant y Studio pueden preconfigurarse para que utilicen una URL personalizada de Orchestrator, lo que permite la misma experiencia de conexión sin problemas.
-
Gobierno y gestión de acceso escalables con los grupos existentes de Azure AD
- Los grupos de seguridad de Azure AD o los grupos de Office 365, también conocidos como grupos de directorio, te permiten aprovechar tu estructura organizativa existente para gestionar los permisos a escala. Ya no es necesario configurar permisos en los servicios para cada usuario.
- Puedes combinar varios grupos de directorio en un solo grupo si necesitas gestionarlos juntos.
-
La auditoría de acceso es sencilla. Una vez que hayas configurado los permisos en todos los servicios de la plataforma UiPath que utilizan grupos de Azure AD, utiliza tus procesos de validación existentes asociados con la pertenencia a grupos de Azure AD.
La opción de acceso a la API (Admin > tenant) no está disponible cuando se utiliza el modelo Azure AD.
Si tienes procesos en marcha que utilizan la información de la ventana de acceso a la API para autenticar las llamadas a los servicios de UiPath, debes pasar a utilizar OAuth para la autorización, en cuyo caso la información de acceso a la API ya no es necesaria.
Para utilizar OAuth, debes registrar aplicaciones externas en la plataforma UiPath.
Este modelo te permite conectar la plataforma UiPath a tu proveedor de identidad (IdP) elegido para que:
- tus usuarios pueden beneficiarse del inicio de sesión único (SSO) y
- puedes gestionar las cuentas existentes desde tu directorio en la plataforma UiPath, sin tener que volver a crear identidades.
La plataforma UiPath puede conectarse a cualquier proveedor de identidad externo que utilice el estándar SAML 2.0.
Beneficios
-
Incorporación automática de usuarios a la plataforma UiPath: todos los usuarios de tu proveedor de identidad externo están autorizados a iniciar sesión en la organización de UiPath con derechos básicos cuando la integración SAML está activa. Lo que esto significa es:
- Los usuarios pueden iniciar sesión en tu organización de UIPath a través de SSO utilizando su cuenta de empresa existente, tal y como se define en el IdP.
- Sin ninguna configuración adicional, se convierten en miembros del grupo de usuarios Todos , que les otorga el rol de organización Usuario de forma predeterminada. Para poder trabajar en la plataforma UiPath, los usuarios requieren roles y licencias, según corresponda a su rol.
-
Si necesitas restringir el acceso solo a algunos de tus usuarios, puedes definir el conjunto de usuarios que pueden acceder a la plataforma UiPath en tu proveedor de identidades.
-
Gestión de usuarios: puedes añadir usuarios asignándolos directamente a grupos, para ello todo lo que tienes que hacer es introducir su dirección de correo electrónico al añadir usuarios al grupo.
Normalmente, los administradores de la organización gestionan las cuentas locales desde la pestaña Admin > Cuentas y grupos > Usuarios . Pero los usuarios de SAML son cuentas de directorio en el ecosistema UiPath, por lo que no son visibles en esta página.
Después de que un usuario se haya añadido a un grupo o haya iniciado sesión al menos una vez (lo que le añade automáticamente al grupo Todos), estará disponible en la búsqueda en todos los servicios de UiPath para la asignación directa de roles o licencias.
- Asignación de atributos: si utilizas UiPath Automation Hub, por ejemplo, puedes definir la asignación de atributos personalizada para propagar atributos desde tu proveedor de identidades a la plataforma UiPath. Por ejemplo, cuando se añade una cuenta por primera vez a Automation Hub, el nombre, los apellidos, la dirección de correo electrónico, el cargo y el departamento del usuario ya están rellenados.
La identidad de tus usuarios se verifica en función del directorio de tu organización. Desde aquí, en función de los permisos de usuario asignados a través de roles y grupos, pueden acceder a todos tus servicios en la nube de UiPath con un solo conjunto de credenciales. El siguiente diagrama describe los dos modelos de identidad, cómo funcionan con las diversas identidades de usuario y cómo la federación puede En el modelo basado en invitaciones, la gestión de identidades se realiza en una referencia de usuario en el directorio de la organización, mientras que los usuarios mantienen el control de sus cuentas. Pero si se integra con Azure Active Directory (Azure AD), es tan simple como mirar el contenido de tu directorio de tenant en Azure AD, que se muestra a continuación con una flecha naranja.
Estos son algunos factores a tener en cuenta a la hora de elegir la configuración de autenticación para tu organización:
|
Factor |
Basado en invitaciones |
Basado en invitaciones con opciones estrictas |
Azure Active Directory |
SAML |
|---|---|---|---|---|
|
Licencia de comunidad |
Disponible |
Disponible |
No disponible |
No disponible |
|
Licencia de Enterprise |
Disponible |
Disponible |
Disponible |
Disponible |
|
Soporte para cuentas locales (Cuenta de UiPath) |
Disponible |
Disponible |
Disponible |
Disponible |
|
Soporte para cuentas de directorio |
No disponible |
No disponible |
Disponible |
Disponible |
|
Gestión de cuentas de usuario |
Administrador de la organización de Automation Cloud |
Administrador de la organización de Automation Cloud |
Administrador de Azure AD |
Administrador de tu proveedor de identidad |
|
Gestión de accesos de usuarios |
Administrador de la organización de Automation Cloud |
Administrador de la organización de Automation Cloud |
La gestión de usuarios de Automation Cloud se puede delegar por completo a Azure AD |
Administrador de la organización de Automation Cloud |
|
Inicio de sesión único |
Disponible (con Google, Microsoft o LinkedIn) |
Disponible (con Google o Microsoft) |
Disponible (con cuenta Azure AD) |
Disponible (con cuenta IdP) |
|
Aplicar una política de contraseñas complejas |
No disponible |
Disponible (si se aplica desde el IdP) |
Disponible (si se aplica desde AAD) |
Disponible (si se aplica desde el IdP) |
|
Autenticación multifactorial |
No disponible |
Disponible (si se aplica desde el IdP) |
Disponible (si se aplica desde AAD) |
Disponible (si se aplica desde el IdP) |
|
Reutiliza las identidades existentes de tu empresa |
No disponible |
No disponible |
Disponible |
Disponible |
|
Incorporación de usuarios a gran escala |
No disponible (todos los usuarios deben ser invitados) |
No disponible (todos los usuarios deben ser invitados) |
Disponible (provisión de cuentas Just-in-Time) |
Disponible (provisión de cuentas Just-in-Time) |
|
Acceso para colaboradores externos a tu empresa |
Disponible (con invitación) |
Disponible (a través de una invitación a una cuenta en el IdP de servicios) |
Disponible |
Disponible (si lo permite el IdP) |
|
Restringir el acceso desde dentro de corpnet |
No disponible |
No disponible |
Disponible |
Disponible (si se aplica desde el IdP) |
|
Restringir el acceso a los dispositivos de confianza | No disponible |
No disponible |
Disponible |
Disponible (si se aplica desde el IdP) |
Si tu empresa ya utiliza un directorio para gestionar las cuentas de los empleados, la tabla siguiente puede ayudarte a encontrar la opción de autenticación más ventajosa para ti.
|
Factor | Basado en invitaciones | Basado en invitaciones con opciones estrictas | Azure Active Directory | SAML |
|---|---|---|---|---|
|
¿Ya utilizas Google Workspace como tu proveedor de identidad? |
los usuarios necesitan una cuenta de UiPath, pero también es posible SSO |
los usuarios necesitan una cuenta de UiPath, pero es posible el SSO forzado con Google |
N/D |
N/D |
|
¿Ya utilizas Office 365 con tu proveedor de identidad? |
los usuarios necesitan una cuenta UiPath |
los usuarios necesitan una cuenta UiPath |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
|
¿Ya estás usando Azure AD como tu proveedor de identidad? |
los usuarios necesitan una cuenta UiPath |
los usuarios necesitan una cuenta UiPath |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
recomendamos usar la integración AAD en lugar de la integración SAML |
|
¿Ya usas otro proveedor de identidad? |
los usuarios necesitan una cuenta UiPath |
los usuarios necesitan una cuenta UiPath |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
- El modelo de cuentas locales (basado en invitaciones)
- Autenticación con Google, Microsoft, Linkedin o correos electrónicos personales
- Solo autenticación con Google o Microsoft
- El modelo de cuentas de directorio
- Azure Active Directory
- SAML 2.0
- Cómo funciona la autenticación
- Comparación de modelos
- Reutilización del directorio de identidades
