- Información general
- Seguridad y cumplimiento de los datos
- Organizaciones
- Tenants
- Licencia
- Cuentas y roles
- Aplicaciones externas
- Registro
- Migrar a Automation Cloud™
Configuración de autenticación
Automation Cloud™ offers several options so that you can choose your preferred authentication type.
Puedes personalizar la configuración de autenticación desde Admin > Configuración de seguridad > Configuración de autenticación.
Las cuentas de usuario locales representan la cuenta UiPath® de cada usuario y son internas de Automation Cloud™.
El modelo de cuentas locales proporciona un enfoque autónomo para la autenticación. Requiere una invitación de un administrador de la organización para que se unan nuevos usuarios. Es adecuado para escenarios en los que deseas un control completo sobre la gestión de usuarios dentro de tu plataforma. Los métodos de autenticación disponibles incluyen Google, Microsoft y la autenticación básica (tu propia dirección de correo electrónico y contraseña).
-
Para permitir el uso de todos los métodos disponibles (Google, Microsoft, autenticación básica) para obtener la máxima flexibilidad, elige la opción Todos los métodos disponibles .
-
Para restringir la autenticación solo a Google, elige la opción de inicio de sesión de Google .
-
Para restringir la autenticación solo a Microsoft, elige la opción de inicio de sesión de Microsoft .
Este modelo se aplica por defecto a cualquier organización nueva. Es fácil de usar, rápido de configurar y cómodo para tus usuarios.
El proceso para crear un usuario es el siguiente:
- Los administradores de la organización deben obtener las direcciones de correo electrónico de los usuarios y utilizarlas para invitar a cada usuario a unirse a su organización. Pueden hacerlo en masa.
-
Cada empleado invitado acepta la invitación navegando hasta el enlace que se proporciona en el correo electrónico de invitación y crea una cuenta de usuario de UiPath. Pueden:
- Utiliza el correo electrónico de la invitación como nombre de usuario y crea una contraseña.
-
Utiliza una cuenta existente que tengan con Microsoft (personal, cuenta vinculada a Azure AD o cuenta de Office 365), Google (personal o cuenta de Google Workspace) o su cuenta personal de LinkedIn para iniciar sesión (o federarse) en su cuenta de usuario de UiPath.
La posibilidad de utilizar uno de los proveedores mencionados anteriormente es conveniente para los usuarios que no tienen que recordar contraseñas adicionales. Y el uso de cuentas propiedad de la organización en Azure AD o Google Workspace te permite aplicar las políticas de inicio de sesión de la organización.
En este modelo se crean usuarios de la misma manera que en el modelo basado en invitaciones: se emite una invitación a su dirección de correo electrónico y los usuarios deben crear una cuenta de UiPath. La diferencia es que puedes optar por aplicar el inicio de sesión usando cualquiera de los dos métodos:
- Google o
- Microsoft
Así, en lugar de ver todas las opciones de inicio de sesión, tus usuarios solo verán la que hayas seleccionado.
Por ejemplo, esto es lo que verían tus usuarios si eliges forzar el inicio de sesión con Microsoft:
Siguen usando su cuenta de UiPath para iniciar sesión. La cuenta debe usar la dirección de correo electrónico donde se envió la invitación.
El modelo de cuentas de directorio se basa en un directorio de terceros que se integra con Automation Cloud. Esto te permite reutilizar el esquema de identidad establecido de tu empresa en Automation Cloud.
- Azure Active Directory: si tienes una suscripción a Microsoft Azure u Office 365, puedes integrar Azure con Automation Cloud para utilizar tus usuarios y grupos existentes de Azure Active Directory dentro de Automation Cloud.
- SAML 2.0: te permite integrar Automation Cloud con tu proveedor de identidades (IdP) elegido. Esto permite a tus usuarios conectarse a Automation Cloud con el inicio de sesión único (SSO) utilizando las cuentas que ya están registradas con tu IdP.
Las cuentas de usuario del directorio se crean y mantienen en un directorio externo a Automation Cloud. Las cuentas de directorio solo se referencian en Automation Cloud y se usan como identidades para tus usuarios.
Compatibilidad con el modelo basado en invitaciones
Puedes seguir usando todas las funciones del modelo basado en invitaciones junto con un modelo de directorio. Pero para maximizar los beneficios, recomendamos confiar exclusivamente en la gestión centralizada de tu directorio integrado.
La integración con Azure Active Directory (Azure AD) puede ofrecer una gestión de usuarios y accesos escalable para tu organización, permitiendo el cumplimiento de todas las aplicaciones internas utilizadas por tus empleados. Si tu organización utiliza Azure AD u Office 365, puedes conectar tu organización de Automation Cloud directamente a tu tenant de Azure AD para obtener las siguientes ventajas:
-
Incorporación automática de usuarios con una migración fluida
- Todos los usuarios y grupos de Azure AD están disponibles para que cualquier servicio de Automation Cloud asigne permisos, sin necesidad de invitar y gestionar usuarios de Azure AD en el directorio de la organización de Automation Cloud.
- Puedes proporcionar Single Sign-On a los usuarios cuyo nombre de usuario corporativo sea diferente a su dirección de correo electrónico, lo que no es posible con el modelo basado en invitaciones.
- Todos los usuarios existentes con cuentas de usuario de UiPath tienen sus permisos migrados automáticamente a su cuenta de Azure AD conectada.
-
Experiencia de inicio de sesión simplificada
- Los usuarios no tienen que aceptar una invitación ni crear una cuenta de usuario de UiPath para acceder a la organización de Automation Cloud. Inician sesión con su cuenta de Azure AD seleccionando la opción Enterprise SSO o utilizando la URL específica de su organización. Si el usuario ya ha iniciado sesión en Azure AD u Office 365, lo hará automáticamente.
- Las versiones 20.10.3 y posteriores de UiPath Assistant y Studio pueden preconfigurarse para que utilicen una URL personalizada de Orchestrator, lo que permite la misma experiencia de conexión sin problemas.
-
Gobierno y gestión de acceso escalables con los grupos existentes de Azure AD
- Los grupos de seguridad de Azure AD o los grupos de Office 365, también conocidos como grupos de directorio, permiten aprovechar la estructura organizativa existente para gestionar los permisos a escala. Ya no es necesario configurar los permisos en los servicios de Automation Cloud para cada usuario.
- Puedes combinar varios grupos de directorios en un grupo de Automation Cloud si necesitas gestionarlos juntos.
-
Auditar el acceso a Automation Cloud es sencillo. Una vez que hayas configurado los permisos en todos los servicios de Automation Cloud utilizando los grupos de Azure AD, utiliza los procesos de validación existentes asociados a la pertenencia a grupos de Azure AD.
La opción de acceso a la API (Admin > tenant) no está disponible cuando se utiliza el modelo Azure AD.
Si tienes procesos en marcha que utilizan la información de la ventana de acceso a la API para autenticar las llamadas a los servicios de UiPath, debes pasar a utilizar OAuth para la autorización, en cuyo caso la información de acceso a la API ya no es necesaria.
Para usar OAuth, debes registrar aplicaciones externas en Automation Cloud.
Este modelo te permite conectar Automation Cloud con el proveedor de identidades (IdP) que elijas para que:
- tus usuarios pueden beneficiarse del inicio de sesión único (SSO) y
- puedes gestionar las cuentas existentes desde tu directorio en Automation Cloud, sin tener que volver a crear identidades.
Automation Cloud puede conectarse a cualquier proveedor de identidades externo que utilice la norma SAML 2.0.
Beneficios
-
Incorporación automática de usuarios a Automation Cloud: todos los usuarios de tu proveedor de identidad externo están autorizados a iniciar sesión en Automation Cloud con derechos básicos cuando la integración SAML esté activa. Esto significa que:
- Los usuarios pueden iniciar sesión en tu organización de Automation Cloud a través de SSO usando su cuenta de empresa existente, como se define en el IdP.
- Sin más ajustes, pasan a ser parte del grupo de usuarios Everyone, lo que les otorga el rol de organización usuario de forma predeterminada. Para poder trabajar en Automation Cloud, los usuarios requieren roles y licencias adecuadas al rol correspondiente.
-
Si necesita restringir el acceso a solo algunos de los usuarios, puede definir el conjunto de usuarios que pueden acceder a Automation Cloud en el proveedor de identidades.
-
Gestión de usuarios: Puedes añadir usuarios asignándolos directamente a los grupos de Automation Cloud. Para ello solo tiene que introducir su dirección de correo electrónico al añadir usuarios al grupo.
Normalmente, los administradores de la organización gestionan las cuentas locales desde la pestaña Administración > Cuentas y grupos > Usuarios . Pero los usuarios de SAML son cuentas de directorio en Automation Cloud, por lo que no son visibles en esta página.
Una vez que un usuario se ha añadido a un grupo o haya iniciado sesión al menos una vez (lo que les incluye automáticamente en el grupo Everyone), estarán disponibles para la búsqueda de todos los servicios de Automation Cloud respecto a la asignación directa de roles o licencias.
- Asignación de atributos: si utilizas UiPath Automation Hub, por ejemplo, puedes definir la asignación de atributos personalizada para propagar los atributos de tu proveedor de identidades a Automation Cloud. Por ejemplo, cuando una cuenta se añade por primera vez a Automation Hub, el nombre, el apellido, la dirección de correo electrónico, el cargo y el departamento del usuario ya están rellenados.
Más información sobre la identidad y la autenticación en la nube La identidad de tus usuarios se verifica en Automation Cloud, más precisamente por el Cloud Portal, en función del directorio de tu organización. Desde aquí, en función de los permisos de usuario asignados a través de roles y grupos, pueden acceder a todos tus servicios en la nube de UiPath con un solo conjunto de credenciales. El siguiente diagrama describe los dos modelos de identidad, cómo funcionan con las diversas identidades de usuario y cómo la federación puede En el modelo basado en invitaciones, la gestión de identidades se realiza en una referencia de usuario en el directorio de la organización, mientras que los usuarios mantienen el control de sus cuentas. Pero si se integra con Azure Active Directory (Azure AD), es tan sencillo como mirar el contenido de tu directorio de tenant en Azure AD, que se muestra a continuación con una flecha naranja.
Estos son algunos factores a tener en cuenta a la hora de elegir la configuración de autenticación para tu organización de Automation Cloud:
Factor |
Basado en invitaciones |
Basado en invitaciones con opciones estrictas |
Azure Active Directory |
SAML |
---|---|---|---|---|
Licencia de comunidad |
Disponible |
Disponible |
No disponible |
No disponible |
Licencia de Enterprise |
Disponible |
Disponible |
Disponible |
Disponible |
Soporte para cuentas locales (Cuenta de UiPath) |
Disponible |
Disponible |
Disponible |
Disponible |
Soporte para cuentas de directorio |
No disponible |
No disponible |
Disponible |
Disponible |
Gestión de cuentas de usuario |
Administrador de la organización de Automation Cloud |
Administrador de la organización de Automation Cloud |
Administrador de Azure AD |
Administrador de tu proveedor de identidad |
Gestión de accesos de usuarios |
Administrador de la organización de Automation Cloud |
Administrador de la organización de Automation Cloud |
La gestión de usuarios de Automation Cloud se puede delegar por completo a Azure AD |
Administrador de la organización de Automation Cloud |
Inicio de sesión único |
Disponible (con Google, Microsoft o LinkedIn) |
Disponible (con Google o Microsoft) |
Disponible (con cuenta Azure AD) |
Disponible (con cuenta IdP) |
Aplicar una política de contraseñas complejas |
No disponible |
Disponible (si se aplica desde el IdP) |
Disponible (si se aplica desde AAD) |
Disponible (si se aplica desde el IdP) |
Autenticación multifactorial |
No disponible |
Disponible (si se aplica desde el IdP) |
Disponible (si se aplica desde AAD) |
Disponible (si se aplica desde el IdP) |
Reutiliza las identidades existentes de tu empresa |
No disponible |
No disponible |
Disponible |
Disponible |
Incorporación de usuarios a gran escala |
No disponible (todos los usuarios deben ser invitados) |
No disponible (todos los usuarios deben ser invitados) |
Disponible (provisión de cuentas Just-in-Time) |
Disponible (provisión de cuentas Just-in-Time) |
Acceso para colaboradores externos a tu empresa |
Disponible (con invitación) |
Disponible (a través de una invitación a una cuenta en el IdP de servicios) |
Disponible |
Disponible (si lo permite el IdP) |
Restringir el acceso desde dentro de corpnet |
No disponible |
No disponible |
Disponible |
Disponible (si se aplica desde el IdP) |
Restringir el acceso a los dispositivos de confianza | No disponible |
No disponible |
Disponible |
Disponible (si se aplica desde el IdP) |
Si tu empresa ya utiliza un directorio para gestionar las cuentas de los empleados, la tabla siguiente puede ayudarte a encontrar la opción de autenticación más ventajosa para ti.
Factor | Basado en invitaciones | Basado en invitaciones con opciones estrictas | Azure Active Directory | SAML |
---|---|---|---|---|
¿Ya utilizas Google Workspace como tu proveedor de identidad? |
los usuarios necesitan una cuenta de UiPath, pero también es posible SSO |
los usuarios necesitan una cuenta de UiPath, pero es posible el SSO forzado con Google |
N/D |
N/D |
¿Ya utilizas Office 365 con tu proveedor de identidad? |
los usuarios necesitan una cuenta UiPath |
los usuarios necesitan una cuenta UiPath |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
¿Ya estás usando Azure AD como tu proveedor de identidad? |
los usuarios necesitan una cuenta UiPath |
los usuarios necesitan una cuenta UiPath |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
recomendamos usar la integración AAD en lugar de la integración SAML |
¿Ya usas otro proveedor de identidad? |
los usuarios necesitan una cuenta UiPath |
los usuarios necesitan una cuenta UiPath |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
puedes conceder acceso a Automation Cloud a las cuentas de usuario existentes |
- El modelo de cuentas locales (basado en invitaciones)
- Autenticación con Google, Microsoft, Linkedin o correos electrónicos personales
- Solo autenticación con Google o Microsoft
- El modelo de cuentas de directorio
- Azure Active Directory
- SAML 2.0
- Cómo funciona la autenticación
- Comparación de modelos
- Reutilización del directorio de identidades
- Cómo elegir el modelo de autenticación para tu organización