- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Activar su licencia Enterprise
- Actualización y desactualización de licencias
- Solicitar una prueba de servicio
- Asignar licencias a tenants
- Asignación de licencias de usuario
- Anular la asignación de licencias de usuarios
- Monitoring license allocation
- Licencias con exceso de asignación
- Notificaciones de licencias
- Administración de licencias de usuario
- Tenants y servicios
- Cuentas y roles
- Ai Trust Layer
- Aplicaciones externas
- Notificaciones
- Registro
- Solución de problemas
- Migrar a Automation Cloud™
Configurar la Integración SAML
Esta característica está disponible con el plan de licencias Enterprise.
La configuración de SAML en UiPath es un proceso integral que mejora la seguridad y la eficiencia de la autenticación. Aprovechando SAML, nuestro sistema facilita el SSO a través de tokens de acceso seguro. En concreto, la plataforma UiPath puede conectarse a cualquier proveedor de identidades (IdP) utilizando el estándar SAML 2.0.
Una vez configurado, los usuarios pueden disfrutar de un acceso seguro e ininterrumpido a múltiples aplicaciones y procesos, lo que reduce las interrupciones de inicio de sesión repetidas. Además, nuestra configuración SAML incluye capacidades de cierre de sesión único (SLO), que permiten cierres de sesión simultáneos en todas tus aplicaciones unificadas bajo tu proveedor de identidad (IdP).
Se recomienda la integración nativa de Azure Active Directory debido a sus características avanzadas. Sin embargo, si cambias a SAML, debes reemplazar manualmente la asignación de roles realizada a través de grupos de directorio con la asignación de roles directa a las cuentas de directorio para mantener tu esquema de acceso sin tener que volver a crearlo desde cero.
La integración de SAML se ha diseñado de forma que pueda implantarse gradualmente, sin perturbar a los usuarios existentes.
Las principales fases del proceso, descritas con más detalle en esta página, son las siguientes:
- Limpiar las cuentas de usuario inactivas
- Configurar la integración SAML
- Transición de los usuarios existentes para iniciar sesión con el SSO de SAML
- Configurar los permisos y los robots para los nuevos usuarios
- Dejar de usa cuentas locales (opcional)
-
No se pueden buscar cuentas desde tu proveedor de identidades: con la integración SAML, no puedes buscar todos los usuarios y grupos desde tu proveedor de identidades. Solo los usuarios del directorio aprovisionados están disponibles para la búsqueda.
-
No se pueden ver los usuarios del directorio a nivel de organización: solo los usuarios locales aparecen a nivel de organización. El aprovisionamiento justo a tiempo añade usuarios de directorio, por lo que no aparecen en la página de gestión de Cuentas y grupos.
-
No se puede ver la información de acceso a la API: la visualización de la información de acceso a la API, que te permite autorizar solicitudes de API utilizando una clave de usuario, no está disponible para los usuarios del directorio que inician sesión a través de la integración de SAML.
Para configurar la integración de SAML, necesitas:
- Una organización con el plan de licencias Enterprise.
-
Permisos de administrador tanto en la organización de UiPath como en tu proveedor de identidades de terceros.
Si no tienes permisos de administración en tu proveedor de identidad, puedes trabajar con un administrador para completar el proceso de configuración.
-
UiPath® Studio y UiPath Assistant versión 2020.10.3 o posterior, para que puedas configurarlos para utilizar la implementación recomendada.
Si tu organización recicla direcciones de correo electrónico, es importante que elimines todas las cuentas de usuario inactivas antes de configurar la integración SAML.
Cuando habilitas la integración, las cuentas locales presentes en la plataforma UiPath pueden vincularse con la cuenta del directorio en el proveedor de identidad externo que utiliza la misma dirección de correo electrónico. Esta vinculación de cuentas se produce cuando el usuario de la cuenta de directorio con la dirección de correo electrónico inicia sesión por primera vez. La identidad de tu proveedor de identidades hereda todos los roles de la cuenta local, para que la transición sea fluida.
Debido a esto, con cuentas locales inactivas presentes en la plataforma UiPath, existe el riesgo de que las cuentas locales y las cuentas de directorio no coincidan, lo que puede provocar una elevación no deseada de los permisos.
Para eliminar las cuentas de usuario inactivas:
Ahora debes configurar tanto la plataforma UiPath como tu proveedor de identidad (IdP) para la integración.
Mantén esta pestaña del navegador abierta para más adelante.
Puedes conectarte a cualquier proveedor de identidades (IdP) de terceros que utilice el estándar SAML 2.0. Aunque la configuración puede variar en función del IdP elegido, hemos validado la configuración para utilizar Okta o PingOne, que puedes utilizar como referencia para configurar la integración.
En el caso de otros proveedores de identidad, te recomendamos que sigas su documentación de integración.
Para habilitar UiPath como proveedor de servicios que reconoce tu proveedor de identidad, sigue los siguientes pasos:
Para validar que la integración de SSO de SAML funcione correctamente:
- Abre una ventana de incógnito en el navegador.
- Dirígete a la URL de tu organización.
- Comprueba las siguientes cuestiones:
- ¿Se te pide que inicies sesión con tu proveedor de identidad SAML?
- ¿Puedes iniciar la sesión con éxito?
- Si te estás registrando con una dirección de correo electrónico que coincide con una cuenta de usuario existente, ¿tienes los permisos adecuados?
Si utilizas reclamaciones en tu IdP, puedes aprovecharlas como condiciones en una regla de aprovisionamiento para que los usuarios reciban automáticamente las licencias y roles correctos cuando inicien sesión en la plataforma UiPath. Las reglas de aprovisionamiento se evalúan cuando un usuario inicia sesión. Si la cuenta de usuario cumple las condiciones de una regla, se añade automáticamente al grupo local de UiPath asociado a la regla.
Fase 1. Crear grupos de aprovisionamiento
En la plataforma UiPath, añadir una cuenta a un grupo significa que la cuenta hereda las licencias, los roles y la configuración del robot definidos para el grupo, si los hubiera.
Al agrupar tipos de cuentas similares (por ejemplo, desarrolladores o probadores), puedes agilizar el proceso de incorporación de usuarios a la plataforma UiPath. Solo asegúrate de que en el IdP configuras cuentas similares de la misma manera.
De esta manera, configuras el grupo una vez y luego replicas la configuración añadiendo cuentas al grupo cuando sea necesario. Si es necesario cambiar la configuración de un grupo de cuentas en particular, solo tendrás que actualizar el grupo una vez y los cambios se aplicarán a todas las cuentas del grupo.
Para configurar un grupo para una regla de aprovisionamiento:
-
Crea un nuevo grupo local en la plataforma UiPath.
Si quieres, puedes usar uno de tus grupos existentes en lugar de crear uno nuevo.
-
(Opcional y requiere la gestión de licencias de usuario ) Si las cuentas de este grupo necesitan licencias de usuario, configura las reglas de asignación de licencias para el grupo.
Si utilizas un grupo existente, comprueba la asignación de licencias para el grupo para asegurarte de que se asignan las licencias correctas. Si no es así, cambia las asignaciones o considera la posibilidad de crear un nuevo grupo.
-
Asigna roles de tenant y, opcionalmente, completa la configuración del robot para el grupo. Para obtener instrucciones, consulta Asignar roles a un grupo .
Si utilizas un grupo existente, comprueba los roles actualmente asignados al grupo para asegurarte de que son adecuados para el tipo de cuenta que añadirás al grupo. Si no es así, edita los roles asignados a este grupo o considera la posibilidad de crear un nuevo grupo.
-
Agrega el grupo a las carpetas y asigna los roles de las carpetas, según sea necesario. Para obtener más instrucciones, consulta Gestión de acceso a carpetas.
Ahora puedes usar este grupo en una regla de aprovisionamiento.
Fase 2. Crear una regla de aprovisionamiento para un grupo
Asegúrate de que la reclamación asociada a la regla de aprovisionamiento SAML se envíe a la carga útil SAML configurándola en la aplicación SAML.
Una vez configurada la integración SAML y tras haber configurado un grupo:
-
Ve a Administración, selecciona tu organización y, a continuación, selecciona Seguridad.
La página Configuración de seguridad para la organización se abrirá en la pestaña Configuración de la autenticación.
-
En la opción de SSO de SAML, haz clic en Ver reglas de aprovisionamiento:
Se abre la página Reglas de aprovisionamiento de SSO de SAML, donde se listan tus reglas existentes.
-
En la esquina superior derecha de la página, haz clic en Añadir regla.
Se abre la página Añadir nueva regla.
- En Detalles básicos, rellena el campo Nombre de la regla y, opcionalmente, rellena el campo Descripción.
-
En Condiciones, haz clic en Añadir regla.
Se añade una fila de campos para una nueva condición. Conjuntamente, definen los criterios que debe cumplir una cuenta al iniciar la sesión para añadirse a un grupo (elegido más tarde).
- En el campo Reclamación , escribe el nombre de la reclamación, tal como aparece en el IdP. La
campo distingue entre mayúsculas y minúsculas.
-
En la lista Relación, selecciona la relación de la reclamación con el valor. Las siguientes opciones están disponibles:
Relación
Requisito de condición
Ejemplo
es
coincidencia exacta, distingue entre mayúsculas y minúsculas
Department is RPA
requiere que el valor de la solicitudDepartment
seaRPA
.La condición no se cumple si el valor esRPADev
, por ejemplo.Esta relación funciona para las reclamaciones multivalor.
Por ejemplo, si los valoresadministrator
ydeveloper
se envían bajo la reclamaciónGroup
, entoncesGroup is administrator
sería una relación válida.no es
cualquier cosa, excepto el valor especificado; distingue entre mayúsculas y minúsculas
ParaDepartment is not ctr
, cualquier cuenta se añade al grupo a menos queDepartment
tenga el valorctr
.La condición se cumple si el departamento esCtr
oelectr
.contiene
incluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas
Department contains RPA
requiere que el valor de la solicitudDepartment
incluyaRPA
.La condición se cumple si el valor esRPADev
,xRPAx
oNewRPA
, por ejemplo.no contiene
excluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas
ParaDepartment not contains ctr
, cualquier cuenta se añade al grupo a menos que el valorDepartment
incluyactr
.Las cuentas cuyo departamento esctr
oelectr
, por ejemplo, no se añaden al grupo.distingue entre mayúsculas y minúsculas
coincidencia exacta; sin distinción de mayúsculas y minúsculas
Department is case insensitive RPA
requiere que el valor de la solicitudDepartment
searpa
, con cualquier uso de mayúsculas.La condición se cumple si el valor esrpa
, por ejemplo. La condición no se cumple si el valor escrpa
.contiene mayúsculas y minúsculas
incluye; no requiere una coincidencia exacta; no distingue entre mayúsculas y minúsculas
Department contains case insensitive RPA
requiere que el valor de la solicitudDepartment
incluyaRPA
, con cualquier uso de mayúsculas.La condición se cumple si el valor esrpa
,cRPA
orpA
, por ejemplo. - En el campo Valor, escribe el valor necesario para cumplir la condición.
-
Si deseas añadir otra condición, haz clic en Añadir regla para añadir una nueva fila de condiciones.
Cuando se añaden varias condiciones, deben cumplirse todas las condiciones para que se aplique la regla de aprovisionamiento. Por ejemplo, si se definen las reglasDepartment is RPA
yTitle is Engineer
, solo se añadirán a los grupos especificados los usuarios que estén en el departamento de RPA y tengan el título de Ingeniero. Una cuenta cuyo departamento es RPA, pero cuyo título es QA, no se añade a los grupos. -
En Asignar a grupos, en el recuadro Añadir grupos, comienza a escribir el nombre de un grupo y luego selecciona un grupo de la lista de resultados. Repite la operación para añadir más grupos, si es necesario.
Cuando se cumplen las condiciones, las cuentas se añaden automáticamente a estos grupos cuando se conectan.
- Haz clic en Guardar en la esquina inferior derecha para añadir la regla.
Con una regla establecida, cada vez que un usuario inicia sesión y su cuenta cumple las condiciones especificadas para una regla, su cuenta se añade a los grupos de aprovisionamiento asociados a la regla, y su cuenta se configura para funcionar en la plataforma UiPath.
Fragmento de carga útil SAML de muestra
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
-
Tu IdP debe estar configurado para pasar estas reclamaciones en la carga útil de ACS.
-
Asegúrate de que los nombres de atributos configurados en el IdP coincidan con la configuración de asignación de atributos en el portal de administrador de la organización.
Por ejemplo, si esta es la estructura de usuario en tu IdP, un administrador de la organización puede configurar la siguiente configuración de asignación de atributos para que esta información se rellena en el objeto de usuario del sistema.
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
Cuando un usuario en esta organización inicia sesión a través de la integración del directorio SAML, su objeto de usuario se actualiza para reflejar esta configuración.
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
Asegúrese de proporcionar la URL específica de su organización para la organización de UiPath a todos sus usuarios.
Después de cambiar a la integración SAML, la integración de Azure AD está deshabilitada. Las asignaciones de grupos de Azure AD ya no se aplican, por lo que la pertenencia a grupos de UiPath y los permisos heredados de Azure AD ya no se respetan.
Para iniciar sesión en la plataforma UiPath con SAML SSO, los usuarios pueden:
- navegar hasta la URL específica de tu organización. La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo
https://cloud.uipath.com/orgID
. - navega a https://cloud.uipath.com, selecciona Continuar con SSO en la página de inicio de sesión, y luego proporciona la URL específica de su organización.
Para iniciar sesión en UiPath Studio y UiPath Assistant mediante el SSO de SAML, los usuarios deben configurar UiPath Assistant de la siguiente manera:
Esto solo es necesario para los nuevos usuarios que no hayan utilizado la plataforma UiPath antes y, por lo tanto, no tenían una cuenta local configurada para ellos en UiPath cuando se habilitó la integración.
Puedes añadir nuevos usuarios a los grupos de UiPath por su dirección de correo electrónico (como se utiliza en el IdP externo). Una vez que un usuario haya sido asignado a un grupo o haya iniciado sesión, estará disponible a través de la búsqueda de asignación de roles en todos los servicios de UiPath.
Cuando todos los usuarios hayan hecho la transición al SSO de SAML y se hayan configurado los nuevos usuarios, se recomienda eliminar todas las cuentas de usuario locales que no sean cuentas de administrador. Esto garantiza que los usuarios ya no puedan iniciar sesión con las credenciales de su cuenta local y tengan que iniciar sesión con el SSO de SAML.
Puedes identificar las cuentas de usuario locales en función de sus iconos.
Una cuenta local puede ser útil en los siguientes escenarios:
-
Para gestionar problemas de integración de SAML (por ejemplo, actualizar un certificado caducado) o si se cambia la configuración de autenticación, se recomienda una cuenta con el rol de administrador de la organización.
-
Para los procesos que dependen de los tokens de acceso a la API para solicitar autorizaciones, ya que la funcionalidad de acceso a la API (en la página Admin > Tenants ) es inaccesible con una cuenta SAML SSO. Alternativamente, cambia a usar OAuth para la autorización, lo que elimina la necesidad de la información de acceso a la API.
- Resumen del proceso de configuración
- Limitaciones conocidas
- Requisitos previos
- Paso 1. Limpia las cuentas de usuario inactivas
- Paso 2. Configura la integración SAML
- Paso 2.1. Obtén los datos del proveedor de servicios SAML
- Paso 2.2. Configura tu proveedor de identidad
- Paso 2.3. Configurar su organización
- Paso 2.4. Comprueba que la integración se está ejecutando
- Paso 2.5. Configurar las reglas de aprovisionamiento (opcional)
- Asignación de atributos SAML
- Paso 3. Transiciona a tus usuarios a SSO de SAML
- Paso. 4. Configura los Permisos y los Robots
- Paso 5. Interrumpir el uso de cuentas locales (opcional)