Automation Cloud

Más reciente

False

Guía para administradores de Automation Cloud

Última actualización 2 de may. de 2024

Configuración de autenticación

Automation Cloud™ offers several options so that you can choose your preferred authentication type.

Puedes personalizar la configuración de autenticación desde Admin > Configuración de seguridad > Configuración de autenticación.

El modelo de cuentas locales (basado en invitaciones)

Las cuentas de usuario locales representan la cuenta UiPath® de cada usuario y son internas de Automation Cloud™.

El modelo de cuentas locales proporciona un enfoque autónomo para la autenticación. Requiere una invitación de un administrador de la organización para que se unan nuevos usuarios. Es adecuado para escenarios en los que deseas un control completo sobre la gestión de usuarios dentro de tu plataforma. Los métodos de autenticación disponibles incluyen Google, Microsoft y la autenticación básica (tu propia dirección de correo electrónico y contraseña).

Nota: este modelo es compatible con el modelo de cuentas de directorio. Si eliges utilizar el modelo de directorio, puedes seguir creando usuarios en Automation Cloud por invitación.

En la configuración de la organización, tienes control total sobre los métodos de autenticación disponibles para los usuarios:

Para permitir el uso de todos los métodos disponibles (Google, Microsoft, autenticación básica) para obtener la máxima flexibilidad, elige la opción Todos los métodos disponibles .
Para restringir la autenticación solo a Google, elige la opción de inicio de sesión de Google .
Para restringir la autenticación solo a Microsoft, elige la opción de inicio de sesión de Microsoft .

Autenticación con Google, Microsoft, Linkedin o correos electrónicos personales

Este modelo se aplica por defecto a cualquier organización nueva. Es fácil de usar, rápido de configurar y cómodo para tus usuarios.

El proceso para crear un usuario es el siguiente:

Los administradores de la organización deben obtener las direcciones de correo electrónico de los usuarios y utilizarlas para invitar a cada usuario a unirse a su organización. Pueden hacerlo en masa.
Cada empleado invitado acepta la invitación navegando hasta el enlace que se proporciona en el correo electrónico de invitación y crea una cuenta de usuario de UiPath. Pueden:
- Utiliza el correo electrónico de la invitación como nombre de usuario y crea una contraseña.
- Utiliza una cuenta existente que tengan con Microsoft (personal, cuenta vinculada a Azure AD o cuenta de Office 365), Google (personal o cuenta de Google Workspace) o su cuenta personal de LinkedIn para iniciar sesión (o federarse) en su cuenta de usuario de UiPath.
  
  La posibilidad de utilizar uno de los proveedores mencionados anteriormente es conveniente para los usuarios que no tienen que recordar contraseñas adicionales. Y el uso de cuentas propiedad de la organización en Azure AD o Google Workspace te permite aplicar las políticas de inicio de sesión de la organización.

Solo autenticación con Google o Microsoft

En este modelo se crean usuarios de la misma manera que en el modelo basado en invitaciones: se emite una invitación a su dirección de correo electrónico y los usuarios deben crear una cuenta de UiPath. La diferencia es que puedes optar por aplicar el inicio de sesión usando cualquiera de los dos métodos:

Google o
Microsoft

Así, en lugar de ver todas las opciones de inicio de sesión, tus usuarios solo verán la que hayas seleccionado.

Por ejemplo, esto es lo que verían tus usuarios si eliges forzar el inicio de sesión con Microsoft:

Siguen usando su cuenta de UiPath para iniciar sesión. La cuenta debe usar la dirección de correo electrónico donde se envió la invitación.

Nota: si has autorizado aplicaciones externas para tu organización, los tokens generados durante el uso de otros proveedores siguen siendo válidos, pero cualquier nuevo token sigue la política de inicio de sesión aplicada.

El modelo de cuentas de directorio

El modelo de cuentas de directorio se basa en un directorio de terceros que se integra con Automation Cloud. Esto te permite reutilizar el esquema de identidad establecido de tu empresa en Automation Cloud.

Azure Active Directory: si tienes una suscripción a Microsoft Azure u Office 365, puedes integrar Azure con Automation Cloud para utilizar tus usuarios y grupos existentes de Azure Active Directory dentro de Automation Cloud.
SAML 2.0: te permite integrar Automation Cloud con tu proveedor de identidades (IdP) elegido. Esto permite a tus usuarios conectarse a Automation Cloud con el inicio de sesión único (SSO) utilizando las cuentas que ya están registradas con tu IdP.

Las cuentas de usuario del directorio se crean y mantienen en un directorio externo a Automation Cloud. Las cuentas de directorio solo se referencian en Automation Cloud y se usan como identidades para tus usuarios.

Nota:

Compatibilidad con el modelo basado en invitaciones

Puedes seguir usando todas las funciones del modelo basado en invitaciones junto con un modelo de directorio. Pero para maximizar los beneficios, recomendamos confiar exclusivamente en la gestión centralizada de tu directorio integrado.

Azure Active Directory

Importante: Esta característica solo está disponible si estás en el plan de licencia Empresarial.

La integración con Azure Active Directory (Azure AD) puede ofrecer una gestión de usuarios y accesos escalable para tu organización, permitiendo el cumplimiento de todas las aplicaciones internas utilizadas por tus empleados. Si tu organización utiliza Azure AD u Office 365, puedes conectar tu organización de Automation Cloud directamente a tu tenant de Azure AD para obtener las siguientes ventajas:

Incorporación automática de usuarios con una migración fluida
- Todos los usuarios y grupos de Azure AD están disponibles para que cualquier servicio de Automation Cloud asigne permisos, sin necesidad de invitar y gestionar usuarios de Azure AD en el directorio de la organización de Automation Cloud.
- Puedes proporcionar Single Sign-On a los usuarios cuyo nombre de usuario corporativo sea diferente a su dirección de correo electrónico, lo que no es posible con el modelo basado en invitaciones.
- Todos los usuarios existentes con cuentas de usuario de UiPath tienen sus permisos migrados automáticamente a su cuenta de Azure AD conectada.
Experiencia de inicio de sesión simplificada
- Los usuarios no tienen que aceptar una invitación ni crear una cuenta de usuario de UiPath para acceder a la organización de Automation Cloud. Inician sesión con su cuenta de Azure AD seleccionando la opción Enterprise SSO o utilizando la URL específica de su organización. Si el usuario ya ha iniciado sesión en Azure AD u Office 365, lo hará automáticamente.
- Las versiones 20.10.3 y posteriores de UiPath Assistant y Studio pueden preconfigurarse para que utilicen una URL personalizada de Orchestrator, lo que permite la misma experiencia de conexión sin problemas.
Gobierno y gestión de acceso escalables con los grupos existentes de Azure AD
- Los grupos de seguridad de Azure AD o los grupos de Office 365, también conocidos como grupos de directorio, permiten aprovechar la estructura organizativa existente para gestionar los permisos a escala. Ya no es necesario configurar los permisos en los servicios de Automation Cloud para cada usuario.
- Puedes combinar varios grupos de directorios en un grupo de Automation Cloud si necesitas gestionarlos juntos.
- Auditar el acceso a Automation Cloud es sencillo. Una vez que hayas configurado los permisos en todos los servicios de Automation Cloud utilizando los grupos de Azure AD, utiliza los procesos de validación existentes asociados a la pertenencia a grupos de Azure AD.

Nota:

La opción de acceso a la API (Admin > tenant) no está disponible cuando se utiliza el modelo Azure AD.

Si tienes procesos en marcha que utilizan la información de la ventana de acceso a la API para autenticar las llamadas a los servicios de UiPath, debes pasar a utilizar OAuth para la autorización, en cuyo caso la información de acceso a la API ya no es necesaria.

Para usar OAuth, debes registrar aplicaciones externas en Automation Cloud.

SAML 2.0

Importante: Esta característica solo está disponible si estás en el plan de licencia Empresarial.

Este modelo te permite conectar Automation Cloud con el proveedor de identidades (IdP) que elijas para que:

tus usuarios pueden beneficiarse del inicio de sesión único (SSO) y
puedes gestionar las cuentas existentes desde tu directorio en Automation Cloud, sin tener que volver a crear identidades.

Automation Cloud puede conectarse a cualquier proveedor de identidades externo que utilice la norma SAML 2.0.

Beneficios

Incorporación automática de usuarios a Automation Cloud: todos los usuarios de tu proveedor de identidad externo están autorizados a iniciar sesión en Automation Cloud con derechos básicos cuando la integración SAML esté activa. Esto significa que:
- Los usuarios pueden iniciar sesión en tu organización de Automation Cloud a través de SSO usando su cuenta de empresa existente, como se define en el IdP.
- Sin más ajustes, pasan a ser parte del grupo de usuarios Everyone, lo que les otorga el rol de organización usuario de forma predeterminada. Para poder trabajar en Automation Cloud, los usuarios requieren roles y licencias adecuadas al rol correspondiente.
- Si necesita restringir el acceso a solo algunos de los usuarios, puede definir el conjunto de usuarios que pueden acceder a Automation Cloud en el proveedor de identidades.
Gestión de usuarios: Puedes añadir usuarios asignándolos directamente a los grupos de Automation Cloud. Para ello solo tiene que introducir su dirección de correo electrónico al añadir usuarios al grupo.

Normalmente, los administradores de la organización gestionan las cuentas locales desde la pestaña Administración > Cuentas y grupos > Usuarios . Pero los usuarios de SAML son cuentas de directorio en Automation Cloud, por lo que no son visibles en esta página.

Una vez que un usuario se ha añadido a un grupo o haya iniciado sesión al menos una vez (lo que les incluye automáticamente en el grupo Everyone), estarán disponibles para la búsqueda de todos los servicios de Automation Cloud respecto a la asignación directa de roles o licencias.
Asignación de atributos: si utilizas UiPath Automation Hub, por ejemplo, puedes definir la asignación de atributos personalizada para propagar los atributos de tu proveedor de identidades a Automation Cloud. Por ejemplo, cuando una cuenta se añade por primera vez a Automation Hub, el nombre, el apellido, la dirección de correo electrónico, el cargo y el departamento del usuario ya están rellenados.

Cómo funciona la autenticación

Más información sobre la identidad y la autenticación en la nube La identidad de tus usuarios se verifica en Automation Cloud, más precisamente por el Cloud Portal, en función del directorio de tu organización. Desde aquí, en función de los permisos de usuario asignados a través de roles y grupos, pueden acceder a todos tus servicios en la nube de UiPath con un solo conjunto de credenciales. El siguiente diagrama describe los dos modelos de identidad, cómo funcionan con las diversas identidades de usuario y cómo la federación puede En el modelo basado en invitaciones, la gestión de identidades se realiza en una referencia de usuario en el directorio de la organización, mientras que los usuarios mantienen el control de sus cuentas. Pero si se integra con Azure Active Directory (Azure AD), es tan sencillo como mirar el contenido de tu directorio de tenant en Azure AD, que se muestra a continuación con una flecha naranja.

Comparación de modelos

Estos son algunos factores a tener en cuenta a la hora de elegir la configuración de autenticación para tu organización de Automation Cloud:

Factor	Basado en invitaciones	Basado en invitaciones con opciones estrictas	Azure Active Directory	SAML
Licencia de comunidad	Disponible	Disponible	No disponible	No disponible
Licencia de Enterprise	Disponible	Disponible	Disponible	Disponible
Soporte para cuentas locales (Cuenta de UiPath)	Disponible	Disponible	Disponible	Disponible
Soporte para cuentas de directorio	No disponible	No disponible	Disponible	Disponible
Gestión de cuentas de usuario	Administrador de la organización de Automation Cloud	Administrador de la organización de Automation Cloud	Administrador de Azure AD	Administrador de tu proveedor de identidad
Gestión de accesos de usuarios	Administrador de la organización de Automation Cloud	Administrador de la organización de Automation Cloud	La gestión de usuarios de Automation Cloud se puede delegar por completo a Azure AD	Administrador de la organización de Automation Cloud
Inicio de sesión único	Disponible (con Google, Microsoft o LinkedIn)	Disponible (con Google o Microsoft)	Disponible (con cuenta Azure AD)	Disponible (con cuenta IdP)
Aplicar una política de contraseñas complejas	No disponible	Disponible (si se aplica desde el IdP)	Disponible (si se aplica desde AAD)	Disponible (si se aplica desde el IdP)
Autenticación multifactorial	No disponible	Disponible (si se aplica desde el IdP)	Disponible (si se aplica desde AAD)	Disponible (si se aplica desde el IdP)
Reutiliza las identidades existentes de tu empresa	No disponible	No disponible	Disponible	Disponible
Incorporación de usuarios a gran escala	No disponible (todos los usuarios deben ser invitados)	No disponible (todos los usuarios deben ser invitados)	Disponible (provisión de cuentas Just-in-Time)	Disponible (provisión de cuentas Just-in-Time)
Acceso para colaboradores externos a tu empresa	Disponible (con invitación)	Disponible (a través de una invitación a una cuenta en el IdP de servicios)	Disponible	Disponible (si lo permite el IdP)
Restringir el acceso desde dentro de corpnet	No disponible	No disponible	Disponible	Disponible (si se aplica desde el IdP)
Restringir el acceso a los dispositivos de confianza	No disponible	No disponible	Disponible	Disponible (si se aplica desde el IdP)

Reutilización del directorio de identidades

Si tu empresa ya utiliza un directorio para gestionar las cuentas de los empleados, la tabla siguiente puede ayudarte a encontrar la opción de autenticación más ventajosa para ti.

Factor	Basado en invitaciones	Basado en invitaciones con opciones estrictas	Azure Active Directory	SAML
¿Ya utilizas Google Workspace como tu proveedor de identidad?	los usuarios necesitan una cuenta de UiPath, pero también es posible SSO	los usuarios necesitan una cuenta de UiPath, pero es posible el SSO forzado con Google	N/D	N/D
¿Ya utilizas Office 365 con tu proveedor de identidad?	los usuarios necesitan una cuenta UiPath	los usuarios necesitan una cuenta UiPath	puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes	puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes
¿Ya estás usando Azure AD como tu proveedor de identidad?	los usuarios necesitan una cuenta UiPath	los usuarios necesitan una cuenta UiPath	puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes	recomendamos usar la integración AAD en lugar de la integración SAML
¿Ya usas otro proveedor de identidad?	los usuarios necesitan una cuenta UiPath	los usuarios necesitan una cuenta UiPath	puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes	puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes

Cómo elegir el modelo de autenticación para tu organización

Ve a Admin > tu organización > Seguridad.
En la pestaña Configuración de la autenticación, selecciona la opción para el modelo de autenticación que quiera utilizar.
Nota: El modelo basado en invitaciones (la opción todos los métodos disponibles en la imagen superior) se establece de forma predeterminada para cualquier organización nueva.
Consejo:
Si cambias de un modelo de directorio a un modelo de cuenta local, hay algunas cosas que deberías hacer antes de efectuar el cambio de modelo de autenticación:
1. Inicia la sesión como administrador de la organización utilizando una cuenta de UiPath. De lo contrario, las opciones no están activas.
2. Si has eliminado las cuentas de usuario de UiPath al pasar al modelo de Azure AD, invita a todos los usuarios a la organización para que se vuelvan a crear usuarios para las cuentas de UiPath.
3. Asigna usuarios a grupos y, si es necesario, asigna roles individuales.
Para las integraciones de directorios, sigue las instrucciones de la opción seleccionada antes de pasar al siguiente paso: SAML | Azure Active Directory
Haz clic en Guardar para cambiar la configuración de autenticación de tu organización a la opción seleccionada.