automation-cloud
latest
false
Guía para administradores de Automation Cloud
Last updated 31 de oct. de 2024

Configurar la integración de Azure AD

Esta característica está disponible en el plan de licencias Enterprise.

Si tu organización utiliza Azure Active Directory (Azure AD) u Office 365, puedes conectar tu organización directamente a tu tenant de Azure AD para ver las cuentas y grupos existentes en tu entorno de nube.

Con la integración de Azure AD, puedes seguir aprovechando el modelo de cuentas locales, mientras arrancas tu organización con las ventajas adicionales de utilizar el modelo de Azure AD.

Si tu organización ha decidido utilizar el modelo Azure AD, sigue las instrucciones de esta página para configurar la integración.

Tip: La integración de Azure AD está diseñada de tal manera que su activación y despliegue puede realizarse gradualmente, sin interrumpir la producción de los usuarios existentes.

Requisitos previos

Para configurar la integración de Azure AD, necesitas:

  • una organización con una licencia Enterprise
  • Permisos de administrador tanto en la plataforma UiPath como en Azure AD (pueden ser personas diferentes);
  • el administrador de la organización necesita una cuenta de Azure AD que utilice la misma dirección de correo electrónico que la cuenta local de UiPath; la cuenta de Azure AD solo es necesaria para probar la integración, por lo que el usuario de Azure AD no requiere permisos de administrador en Azure;
  • UiPath Studio y UiPath Assistant versión 2020.10.3 o posterior;
  • UiPath Studio y UiPath Assistant para utilizar el despliegue recomendado.
Nota: UiPath sigue el protocolo OIDC para su integración con Azure AD. Sin embargo, la integración no admite el uso de claves personalizadas de la aplicación mediante la reclamación de un parámetro de consulta appid en una URL dedicada, como se describe en la documentación de los tokens de acceso de Microsoft .

Cómo configurar Azure para la integración

Tu organización requiere un registro de aplicación en tu tenant de Azure AD y algo de configuración para que pueda ver tus miembros de AD para establecer la identidad de la cuenta. Los detalles de registro de la aplicación también son necesarios para conectar posteriormente tu organización a tu tenant de Azure AD.

Permisos: debe ser administrador en Azure para realizar las tareas de esta sección. Los siguientes roles de administrador de Azure tienen los privilegios necesarios: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones.

Hay dos maneras de configurar tu tenant de Azure para la integración:

  • Sigue las siguientes instrucciones para configurar manualmente el registro de una aplicación para la integración.
  • Utiliza los scripts UiPath Azure AD que hemos creado para esta tarea, que están disponibles en GitHub: el script configAzureADconnection.ps1 realiza todas las acciones descritas en esta sección y devuelve los detalles de registro de la app. A continuación, puedes ejecutar el script testAzureADappRegistration.ps1 para asegurarte de que el registro de la aplicación se ha realizado correctamente.

Para configurar manualmente tu tenant de Azure, haz lo siguiente en Azure Portal:

  1. Crea un registro de aplicación para tu organización.
    Durante el registro, selecciona Cuentas solo en este directorio de la organización y establece el URI de redirección como https://cloud.uipath.com/identity_/signin-oidc.
    Nota: si ya tienes una aplicación registrada para tu organización, no hay necesidad de crear una nueva, pero asegúrate de que esté configurada como se describe anteriormente.
  2. Abre la página Descripción general de la aplicación, copia el ID de la aplicación (cliente) y el ID del directorio (tenant), y guárdalos para utilizarlos más adelante:


  3. Ve a la página Autenticación de tu aplicación:
    1. En Redirigir URI, haz clic en Añadir URI para añadir una nueva entrada.
    2. Añade https://cloud.uipath.com/portal_/testconnection a la lista de URI de redireccionamiento.
    3. En la parte inferior, selecciona ID tokens en la casilla de verificación.
    4. Haz clic en Guardar.


  4. Ve a la página Configuración de token.
  5. Selecciona Añadir solicitud opcional.
  6. En Tipo de token, selecciona ID.
  7. Selecciona las casillas de verificación de family_name, given_name y upn para añadirlos como solicitudes opcionales:


  8. Ve a la página Permisos de la API.
  9. Haz clic en Añadir permiso y añade los siguientes permisos delegados de la categoría Microsoft Graph:
    • Permisos de OpenId: email, openid, offline_access, profile;
    • Permisos de los miembros del grupo: GroupMember.Read.All;
    • Permisos de usuario: User.Read, User.ReadBasic.All, User.Read.All (requiere consentimiento administrativo).


    Permiso

    Qué te permite hacer

    Qué hacemos con él

    email, openid, profile, offline_access, User.ReadPermite a AAD emitir un token de usuario a la aplicación de sistemaPermite a los usuarios iniciar sesión en el sistema utilizando un inicio de sesión de AAD. Esto nos permite mantener nuestro objeto de usuario actualizado, garantizando la coherencia de estos atributos.
    User.ReadBasic.AllLee las propiedades básicas de todos los usuarios en el directorio que el usuario que ha iniciado sesión puede verCuando un usuario asigna permisos a otros usuarios en el directorio a sus recursos, puede buscar en estos usuarios. La funcionalidad para la gestión/autorización de acceso están en la experiencia de usuario del sistema.
    User.Read.All (requiere consentimiento de administrador) Lee todas las propiedades de usuario en el directorio que el usuario que ha iniciado sesión puede verTu administrador puede importar estas propiedades de usuario adicionales para configurar permisos o mostrar información personalizada dentro de los servicios de sistema. Para los clientes de Automation Hub que desean obtener todos los atributos de AAD, es necesario otorgar los permisos User.Read.All a la aplicación.
    GroupMember.Read.AllLee las membresías de grupo de todos los usuarios a los que el usuario que ha iniciado sesión tiene accesoSi tu organización utiliza grupos para gestionar los permisos en el sistema, la plataforma debe poder enumerar todos los grupos y descubrir a los miembros de un grupo; eso permite tanto la gestión como la aplicación de los permisos asignados al grupo.

    Para obtener más información sobre el acceso de UiPath con estos permisos, consulta nuestra documentación de Cifrado.

  10. Selecciona la casilla Conceder consentimiento de administrador.
    Note: El administrador da su consentimiento en nombre de todos los usuarios del directorio activo del tenant. Esto permite que la aplicación acceda a los datos de todos los usuarios, sin que estos tengan que dar su consentimiento.
    Para obtener más información sobre los permisos y consentimiento, consulta la documentación de Azure AD.
  11. Ve a la página Certificados y secretos.
  12. Crear un nuevo secreto de cliente.
    Nota: el secreto de cliente creado no es permanente. Debes actualizar el secreto de cliente después de su período de validez.
  13. Copia el secreto del cliente Valor y guárdalo para usarlo más tarde


  14. Proporciona los valores de ID de directorio (tenant), ID de aplicación (cliente) y Secreto de cliente con el administrador de organización de la organización para que pueda proceder con la configuración.

Implementar la integración

Una vez finalizada la configuración de Azure, puedes preparar la integración, activarla y, a continuación, limpiar las cuentas antiguas.

El proceso se divide en etapas para que no haya interrupciones para tus usuarios.

Nota:

Debes ser administrador de la organización para realizar las tareas de esta sección.

Limpiar los usuarios inactivos

Nota: Si las direcciones de correo electrónico inactivas no se reutilizan en tu organización (proceso conocido como reciclaje de direcciones de correo electrónico), puedes saltarte este paso.

Cuando te conectas a Azure AD activando la integración, las cuentas con direcciones de correo electrónico coincidentes se vinculan para que la cuenta de Azure AD se beneficie de los mismos permisos que la cuenta de UiPath coincidente (cuenta local).

Si tu organización recicla correos electrónicos, es decir, si una dirección de correo electrónico utilizada en el pasado puede ser asignada a un nuevo usuario en el futuro, esto podría suponer un riesgo de acceso elevado.

Ejemplo

Digamos que una vez tuvo un empleado cuya dirección de correo electrónico era john.doe@example.com y este empleado tenía una cuenta local en la que era administrador de la organización, pero desde entonces ha dejado la empresa y la dirección de correo electrónico se desactivó, pero el usuario no se eliminó.
Cuando un nuevo empleado que también se llama John Doe se une a su empresa, recibe la misma dirección de correo electrónico john.doe@example.com . En tal caso, cuando las cuentas se vinculan como parte de la integración con Azure AD, John Doe hereda los privilegios de administrador de la organización.

Para evitar este tipo de situaciones, asegúrate de eliminar todos los usuarios que ya no están activos de la organización de UiPath antes de continuar con el siguiente paso.

Activar la integración de Azure AD

Antes de empezar

  • Asegúrate de que la configuración de Azure está completa.
  • Solicita a tu administrador de Azure los valores de ID de directorio (tenant), ID de aplicación (cliente) y Secreto de cliente para el registro de la aplicación en Azure.
Para activar la integración de Azure AD, sigue estos pasos:
  1. Ve a Administración y, si no lo has seleccionado, selecciona la organización en la parte superior del panel izquierdo.
  2. Selecciona Seguridad.
  3. En la pestaña Configuración de autenticación, haz clic en Configurar SSO.


  4. Selecciona Azure Active Directory en el panel de configuración de SSO.

  5. Rellena los campos con la información recibida de tu administrador de Azure.

  6. Selecciona la casilla de verificación.
    Esto es necesario porque después de guardar los cambios, las cuentas coincidentes se vinculan automáticamente.
  7. Haz clic en Test Connection.
  8. Cuando se te solicite, inicia sesión con tu cuenta de Azure AD. Un inicio de sesión correcto indica que la integración se ha configurado correctamente.
    En caso de que falle, pide a tu administrador de Azure que compruebe que Azure está correctamente configurado y vuelve a intentarlo.
  9. Haz clic en Guardar, si aún no se ha realizado la selección.

    La integración está ahora activa para tu organización.

  10. Accede a Administración > Configuración de la organización y copia la URL de tu organización.
  11. Cierra sesión.
  12. Dirígete a la URL de la organización ( https://cloud.uipath.com/orgID/) e inicia sesión con tu cuenta de Azure AD.

Ahora puedes trabajar con los usuarios y grupos en el Azure AD del tenant vinculado. Puedes localizar usuarios y grupos de Azure AD utilizando la búsqueda, por ejemplo para añadir un usuario a un grupo.Consulta las siguientes Preguntas frecuentes para obtener más información sobre los cambios que se producen cuando se activa la integración.

Nota: Las cuentas de directorio y los grupos no aparecen enumeradas en las páginas Usuarios o Grupos en las secciones Administración > Cuentas y grupo. Solo podrás encontrarlas mediante búsqueda.

Probar la integración de Azure AD

Para comprobar que la integración se está ejecutando, inicia sesión como administrador de la organización con una cuenta de Azure AD e intenta buscar usuarios y grupos de Azure AD en cualquier página relacionada, como el panel Editar grupo en la plataforma UiPath (Admin > Cuentas y grupos > Grupos > Editar).

  • Si puedes buscar usuarios y grupos que se originan en Azure AD, significa que la integración se está ejecutando. Puedes saber el tipo de usuario o grupo por su icono .

    Nota: Los usuarios y grupos de Azure AD no aparecen en las páginas de Usuarios ni en la de Grupos, solo están disponibles a través de la búsqueda.
  • Si se produce un error al intentar buscar usuarios, como se muestra en el ejemplo siguiente, esto indica que hay algo mal en la configuración en Azure. Ponte en contacto con tu administrador de Azure y pídele que compruebe que Azure está configurado como se describe en Configuración de Azure para la integración.

    Consejo: Pide a tu administrador de Azure que confirme que ha seleccionado la casilla de verificación Conceder consentimiento de administrador durante la configuración de Azure. Esta es una causa común por la que falla la integración.

Solución de problemas

Los administradores de Azure pueden utilizar el script de prueba UiPath Azure AD testAzureADappRegistration.ps1, que está disponible en GitHub , para encontrar y corregir cualquier problema de configuración cuando la causa no está clara, como en el siguiente caso:



Completar la transición a Azure AD

Una vez activa la integración, te recomendamos que sigas las instrucciones de esta sección para asegurarte de que la creación de usuarios y las asignaciones de grupos se transfieran a Azure AD. De esta manera, puedes construir sobre tu infraestructura de gestión de identidades y accesos existente para facilitar el control de la gobernanza y la gestión de accesos sobre tus recursos de UiPath.

Configurar grupos de permisos y robots (opcional)

Puedes hacerlo para asegurarte de que el administrador de Azure también puede incorporar nuevos usuarios con los mismos permisos y la misma configuración del robot que habías configurado antes de la integración. Pueden hacerlo añadiendo cualquier usuario nuevo a un grupo de Azure AD si el grupo ya tiene asignados los roles necesarios.

Puedes asignar tus grupos de usuarios existentes desde la plataforma UiPath a grupos nuevos o existentes en Azure AD. Puedes hacerlo de varias maneras, dependiendo de cómo uses los grupos en Azure AD:

  • Si los usuarios con los mismos roles en la plataforma UiPath ya están en los mismos grupos en Azure AD, el administrador de la organización puede añadir estos grupos de Azure AD a los grupos de usuarios en los que estaban estos usuarios. Esto garantiza que los usuarios mantengan los mismos permisos y la misma configuración del robot.
  • De lo contrario, el administrador de Azure puede crear nuevos grupos en Azure AD para que coincidan con los de la plataforma UiPath y añadir los mismos usuarios que están en los grupos de usuarios de UiPath. A continuación, el administrador de la organización puede añadir los nuevos grupos de Azure AD a los grupos de usuarios existentes para garantizar que los mismos usuarios tengan los mismos roles.

En cualquier caso, asegúrate de comprobar si hay roles que se hayan asignado explícitamente a los usuarios . Si es posible, elimina las asignaciones de roles explícitas añadiendo estos usuarios a grupos que tengan los roles que se asignaron explícitamente.

Ejemplo: digamos que el grupo Administradores en la plataforma UiPath incluye a los usuarios Roger, Tom y Jerry. Estos mismos usuarios también están en un grupo en Azure AD llamado admins. El administrador de la organización puede añadir el grupo de administradores al grupo Administradores . De esta manera, Roger, Tom y Jerry, como miembros del grupo de administradores de Azure AD, se benefician de los roles del grupo Administradores .

Como admins ahora forma parte del grupo Administradores , cuando necesites incorporar un nuevo administrador, el administrador de Azure puede añadir el nuevo usuario al grupo admins en Azure, otorgándoles así permisos de administración en la plataforma UiPath sin tener que realizar ningún cambio el Plataforma UiPath.

Nota:

Los cambios en las asignaciones de grupos de Azure AD se aplican en la plataforma UiPath cuando el usuario inicia sesión con su cuenta de Azure AD, o si ya ha iniciado sesión, en el plazo de una hora.

Migrar a los usuarios existentes

Inicio de sesión inicial: para que se apliquen los permisos asignados a los usuarios y grupos de Azure AD, los usuarios deben iniciar sesión al menos una vez. Recomendamos que, una vez ejecutada la integración, comuniques a todos tus usuarios que salgan de su cuenta local y vuelvan a iniciar sesión con su cuenta de Azure AD. Pueden iniciar sesión con su cuenta de Azure Ad:

  • navegando a la URL específica de la organización, en cuyo caso el tipo de inicio de sesión ya está seleccionado;

    Nota:La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID/.
  • seleccionando SSO para Enterprise en la página principal de inicio de sesión.

    Nota: Asegúrate de proporcionar la URL específica de tu organización para Automation CloudTM a todos tus usuarios. Solo los administradores de la organización pueden ver esta información en Automation CloudTM.

Los usuarios migrados se benefician de la combinación de los permisos que les fueron asignados directamente y los de sus grupos de Azure AD.

Configuración de Studio y Assistant para los usuarios: para configurar estos productos para que se conecten con las cuentas de Azure AD:

  1. En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
  2. Haz clic en Cerrar sesión.
  3. Para el tipo de conexión, selecciona URL de servicio.
  4. En el campo URL del servicio, añade la URL específica de la organización

    Nota:La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID/. De lo contrario, la conexión falla diciendo que el usuario no pertenece a ninguna organización.
  5. Vuelve a iniciar sesión con la cuenta de Azure AD.
Importante: Los permisos de los grupos de Azure AD no influyen en las automatizaciones de las carpetas clásicas ni en los robots que se conectan mediante la clave de máquina. Para operar con permisos basados en grupos, configura las automatizaciones en carpetas modernas y utiliza la opción de URL de servicio para conectarte a UiPath Assistant o Studio.

Dejar de usar las cuentas locales de UiPath (opcional)

Aunque es opcional, recomendamos que elimines el uso de cuentas locales para maximizar los beneficios básicos de cumplimiento y eficiencia de la integración completa entre la plataforma UiPath y Azure AD.

Importante: Elimina solo las cuentas que no sean de administrador . Se recomienda conservar al menos una cuenta local de administrador de la organización para poder cambiar la configuración de autenticación en el futuro.

Una vez que se hayan migrado todos los usuarios, puedes eliminar los usuarios que no sean administradores de la pestaña Usuarios , para que tus usuarios ya no puedan iniciar sesión con su cuenta local. Puedes encontrar estas cuentas en función de sus iconos de cuenta de usuario .

También puedes limpiar los permisos individuales en los servicios en la nube de UiPath, como el servicio de Orchestrator, y eliminar usuarios individuales de los grupos para que los permisos dependan exclusivamente de la pertenencia a grupos de Azure AD.

Excepciones

Si decides dejar de utilizar las cuentas locales, ten en cuenta lo siguiente:

  • Acceso a la API: si tienes procesos en marcha que dependen de la información obtenida al hacer clic en Acceso a la API (página Admin > Tenants) para hacer llamadas a la API de un servicio, necesitas una cuenta UiPath local porque el botón no está disponible cuando se inicia sesión con una cuenta de Azure AD.

    Como alternativa, puedes cambiar al uso de OAuth para la autorización , en cuyo caso la información de Acceso a la API ya no es necesaria.

Mejores prácticas

A continuación, te ofrecemos algunos consejos útiles sobre las funciones avanzadas que puedes aprovechar ahora que tienes configurada la integración con Azure AD.

Restringir el acceso a su organización

Dado que la integración con Azure AD se realiza a nivel de tenant de Azure, todos los usuarios de Azure AD pueden acceder a la plataforma UiPath de forma predeterminada. La primera vez que un usuario de Azure AD inicia sesión en su organización de UiPath, se le incluye automáticamente en el grupo Todos de UiPath, lo que le otorga el rol de usuario a nivel de organización .

Si quieres permitir que solo ciertos usuarios accedan a tu organización, puedes activar la asignación de usuarios para el registro de la aplicación UiPath en Azure. De esta manera, los usuarios deben estar asignados explícitamente a la aplicación para poder acceder a ella. Para obtener instrucciones, consulta este artículo en la documentación de Azure AD.

Restringe el acceso a redes o dispositivos de confianza

Si solo quieres permitir que tus usuarios accedan a la plataforma UiPath desde una red de confianza o un dispositivo de confianza, puedes utilizar la característica de acceso condicional de Azure AD .

Control para grupos en Azure AD

Si has creado grupos en Azure AD para facilitar la incorporación de UiPath directamente desde Azure AD, como se describe en Configurar grupos para permisos y robots , puedes utilizar las opciones de seguridad avanzadas de la gestión de identidades con privilegios (PIM) para que estos grupos controlen las solicitudes de acceso a UiPath grupos.

Preguntas frecuentes

¿Qué cambia para mis usuarios cuando la integración está activa?

Los usuarios pueden iniciar sesión inmediatamente utilizando su cuenta Azure AD existente y beneficiarse de los mismos permisos que tenían en su cuenta local.

Si no has eliminado sus cuentas locales, los usuarios también pueden seguir iniciando sesión con su cuenta local, ambos métodos funcionan.

Para utilizar su cuenta de Azure AD, deben navegar a la URL específica de tu organización, que tiene la formahttps://cloud.uipath.com/orgID/, o seleccionar Enterprise SSO en la página principal de inicio de sesión.

Otro cambio que pueden notar los usuarios es que si ya han iniciado la sesión en sus cuentas de Azure AD desde el uso de otra aplicación, inician la sesión automáticamente cuando navegan a esta URL.

¿Qué roles tiene cada cuenta?

Cuenta de Azure AD: cuando un usuario inicia sesión con su cuenta de Azure AD, se beneficia inmediatamente de todos los roles que tenía en su cuenta local, además de cualquier rol asignado dentro de UiPath a la cuenta de Azure AD o a los grupos de Azure AD a los que pertenece . Estos roles pueden provenir del usuario de Azure AD o del grupo de Azure AD que se incluye en los grupos, o de otros servicios en los que los roles se asignaron al usuario de Azure AD o al grupo de Azure AD.

Cuenta local: con la integración de Azure AD activa, para las cuentas locales, depende de:

  • Si el usuario no ha iniciado sesión al menos una vez con su cuenta de Azure AD, solo tiene los roles de la cuenta local.
  • Si los usuarios inician sesión con su cuenta de Azure AD, la cuenta local tiene todos los roles que el usuario de AAD tiene dentro de UiPath, ya sea asignados explícitamente o heredados de las pertenencias a grupos.

¿Tengo que volver a conceder los permisos para las cuentas de Azure AD?

No. Dado que las cuentas coincidentes se vinculan automáticamente, sus permisos existentes se aplican también al iniciar sesión con la cuenta de Azure AD. Sin embargo, si decides interrumpir el uso de las cuentas locales, asegúrate de que se hayan establecido los permisos adecuados para los usuarios y los grupos de Azure AD de antemano.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.