- Información general
- Seguridad y cumplimiento de los datos
- Organizaciones
- Tenants
- Licencia
- Cuentas y roles
- Aplicaciones externas
- Registro
- Migrar a Automation Cloud™
Configurar la integración de Azure AD
Esta característica solo está disponible si estás en el plan de licencia Empresarial.
If your organization is using Azure Active Directory (Azure AD) or Office 365, you can connect your Automation Cloud™ organization directly to your Azure AD tenant to see existing user accounts and groups in your UiPath® cloud environment.
La integración de Azure AD te permite seguir aprovechando el modelo de gestión de usuarios basado en invitaciones, si así lo deseas, a la vez que arrancas tu organización con las ventajas adicionales de utilizar el modelo de Azure AD.
Si tu organización ha decidido utilizar el modelo Azure AD, sigue las instrucciones de esta página para configurar la integración.
Para configurar la integración de Azure AD, necesitas:
- una organización de Automation Cloud con una licencia Enterprise
- Los permisos de Administración tanto en Automation Cloud como en Azure AD (pueden ser personas distintas);
- el administrador de la organización necesita una cuenta de Azure AD que utilice la misma dirección de correo electrónico que la cuenta local de Automation Cloud y la cuenta de Azure AD solo es necesaria para probar la integración, para que el usuario de Azure AD no necesite permisos de admin en Azure;
- UiPath Studio y UiPath Assistant versión 2020.10.3 o posterior;
- UiPath Studio y UiPath Assistant para utilizar el despliegue recomendado.
Tu organización requiere un registro de la aplicación en tu tenant de Azure AD y alguna configuración para que pueda ver los miembros de tu Active Directory para establecer la identidad del usuario. Los detalles de registro de la aplicación también son necesarios para conectar posteriormente tu organización a tu tenant de Azure AD.
Permisos: Debe ser administrador en Azure para realizar las tareas de esta sección. Los siguientes roles de administrador tienen los privilegios necesarios: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones.
Hay dos maneras de configurar tu tenant de Azure para la integración:
- Sigue las siguientes instrucciones para configurar manualmente el registro de una aplicación para la integración.
- Utiliza los scripts UiPath Azure AD que hemos creado para esta tarea, que están disponibles en GitHub: el script configAzureADconnection.ps1 realiza todas las acciones descritas en esta sección y devuelve los detalles de registro de la app. A continuación, puedes ejecutar el script testAzureADappRegistration.ps1 para asegurarte de que el registro de la aplicación se ha realizado correctamente.
Para configurar manualmente tu tenant de Azure, haz lo siguiente en Azure Portal:
Una vez finalizada la configuración de Azure, puedes preparar la integración, activarla y, a continuación, limpiar las cuentas antiguas.
El proceso se divide en etapas para que no haya interrupciones para tus usuarios.
Debes ser administrador de la organización para realizar las tareas de esta sección.
Cuando se conecta Automation Cloud a Azure AD activando la integración, las cuentas con direcciones de correo electrónico coincidentes se vinculan para que la cuenta de Azure AD se beneficie de los mismos permisos que la cuenta de Automation Cloud coincidente (cuenta local).
Si tu organización recicla correos electrónicos, es decir, si una dirección de correo electrónico utilizada en el pasado puede ser asignada a un nuevo usuario en el futuro, esto podría suponer un riesgo de acceso elevado.
Ejemplo
john.doe@example.com
y este empleado tenía una cuenta local en la que era administrador de la organización, pero ya no está en la empresa y la dirección de correo electrónico ha sido desactivada, pero el usuario no ha sido eliminado de Automation Cloud.
john.doe@example.com
. En este caso, si las cuentas coinciden con la integración de Automation Cloud con Azure AD, Juan Pérez hereda los privilegios de administrador de la organización.
Para evitar este tipo de situaciones, asegúrate de eliminar todos los usuarios que ya no están activos de Automation Cloud antes de proceder al siguiente paso.
Antes de empezar
- Asegúrate de que la configuración de Azure está completa.
- Solicita a tu administrador de Azure los valores de ID de directorio (tenant), ID de aplicación (cliente) y Secreto de cliente para el registro de la aplicación en Azure.
Ahora puedes trabajar con los usuarios y grupos en el Azure AD del tenant vinculado. Puedes localizar usuarios y grupos de Azure AD utilizando la búsqueda, por ejemplo para añadir un usuario a un grupo.Consulta las siguientes Preguntas frecuentes para obtener más información sobre los cambios que se producen cuando se activa la integración.
Preguntas frecuentes
¿Qué cambia para mis usuarios cuando la integración está activa?
Los usuarios pueden iniciar sesión inmediatamente utilizando su cuenta Azure AD existente y beneficiarse de los mismos permisos que tenían en su cuenta local.
Si no has eliminado sus cuentas de usuario de UiPath, los usuarios también pueden seguir iniciando sesión con su cuenta local, ambos métodos funcionan.
https://cloud.uipath.com/orgID/
, o seleccionar Enterprise SSO en la página principal de inicio de sesión.
Otro cambio que pueden notar los usuarios es que si ya han iniciado la sesión en sus cuentas de Azure AD desde el uso de otra aplicación, inician la sesión automáticamente cuando navegan a esta URL.
¿Qué roles tiene cada cuenta?
Cuenta de Azure AD: cuando un usuario inicia sesión con su cuenta de Azure AD, se beneficia inmediatamente de todos los roles que tenía en su cuenta local, además de cualquier rol asignado dentro de UiPath a la cuenta de Azure AD o a los grupos de Azure AD a los que pertenece . Estos roles pueden provenir del usuario de Azure AD o del grupo de Azure AD que se incluye en los grupos, o de otros servicios en los que los roles se asignaron al usuario de Azure AD o al grupo de Azure AD.
Cuenta local: con la integración de Azure AD activa, para las cuentas locales, depende de:
- Si el usuario no ha iniciado sesión al menos una vez con su cuenta de Azure AD, solo tiene los roles de la cuenta local.
- Si los usuarios inician sesión con su cuenta de Azure AD, la cuenta local tiene todos los roles que el usuario de AAD tiene dentro de UiPath, ya sea asignados explícitamente o heredados de las pertenencias a grupos.
¿Tengo que volver a conceder los permisos para las cuentas de Azure AD?
No. Dado que las cuentas coincidentes se vinculan automáticamente, sus permisos existentes se aplican también al iniciar sesión con la cuenta de Azure AD. Sin embargo, si decides interrumpir el uso de las cuentas locales, asegúrate de que se hayan establecido los permisos adecuados para los usuarios y los grupos de Azure AD de antemano.
Para comprobar que la integración se ejecuta desde Automation Cloud, inicia sesión como administrador de la organización con una cuenta de Azure AD e intenta buscar usuarios y grupos de Azure AD en cualquier página relacionada, como el panel Editar grupo en Automation Cloud (Admin > Cuentas y grupos > Grupos > Editar).
-
Si puedes buscar usuarios y grupos que se originan en Azure AD, significa que la integración está funcionando. Se puede saber el tipo de usuario o grupo por su icono.
Nota: Los usuarios y grupos de Azure AD no aparecen en las páginas de Usuarios ni en la de Grupos, solo están disponibles a través de la búsqueda. -
Si se produce un error al intentar buscar usuarios, como se muestra en el ejemplo siguiente, esto indica que hay algo mal en la configuración en Azure. Ponte en contacto con tu administrador de Azure y pídele que compruebe que Azure está configurado como se describe en Configuración de Azure para la integración.
Consejo: Pide a tu administrador de Azure que confirme que ha seleccionado la casilla de verificación Conceder consentimiento de administrador durante la configuración de Azure. Esta es una causa común por la que falla la integración.
Solución de problemas
Los administradores de Azure pueden utilizar el script de prueba de UiPath Azure AD testAzureADappRegistration.ps1, que está disponible en GitHub, para encontrar y solucionar cualquier incidencia de configuración cuando la causa no está clara, como en el caso a continuación:
Una vez activada la integración, recomendamos seguir las instrucciones de esta sección para garantizar que la creación de usuarios y las asignaciones de grupos se transfieran a Azure AD. De este modo, puedes construir sobre tu infraestructura de gestión de identidades y accesos existente para facilitar el control de la gestión de accesos y la gobernanza sobre tus recursos de Automation Cloud.
Puedes hacer esto para asegurarte de que el administrador de Azure también pueda incorporar nuevos usuarios con los mismos permisos y la misma configuración del robot para Automation Cloud y otros servicios que habías configurado antes de la integración. Pueden hacerlo añadiendo cualquier nuevo usuario a un grupo de Azure AD si el grupo tiene los roles requeridos ya asignados en Automation Cloud.
Puedes asignar tus grupos de usuarios existentes de Automation Cloud a grupos nuevos o existentes en Azure AD. Puedes hacerlo de varias maneras, dependiendo de cómo utilices los grupos en Azure AD:
- Si los usuarios con los mismos roles en Automation Cloud ya están en los mismos grupos en Azure AD, el administrador de la organización puede añadir estos grupos de Azure AD a los grupos de usuarios de Automation Cloud en los que estaban estos usuarios. Esto garantiza que los usuarios mantengan los mismos permisos y la configuración del robot.
- De lo contrario, el administrador de Azure puede crear nuevos grupos en Azure AD para que coincidan con los de Automation Cloud y añadir los mismos usuarios que están en los grupos de usuarios de Automation Cloud. A continuación, el administrador de la organización puede añadir los nuevos grupos de Azure AD a los grupos de usuarios existentes para garantizar que los mismos usuarios tengan las mismas funciones.
En cualquiera de los casos, asegúrate de comprobar si hay algún rol que se haya asignado explícitamente a los usuarios. Si es posible, elimina las asignaciones explícitas de funciones añadiendo estos usuarios a grupos que tengan las funciones que se asignaron explícitamente.
Ejemplo: digamos que el grupo de Administradores en Automation Cloud incluye a los usuarios Pedro, Tomás y Juan. Estos mismos usuarios también están en un grupo en Azure AD llamado admins. El administrador de la organización puede añadir el grupo de Administradores al grupo de Administradores en Automation Cloud. De este modo, Pedro, Tomás y Juan, como miembros del grupo admins de Azure AD, se benefician de los roles del grupo Administradores.
Dado que admins ahora forma parte del grupo de administradores, cuando necesites incorporar un nuevo administrador, el administrador de Azure puede añadir el nuevo usuario al grupo admins en Azure, otorgándole así permisos de administración en Automation Cloud sin tener que hacer ningún cambio en Automation Cloud.
Los cambios en las asignaciones de grupos de Azure AD se aplican en Automation Cloud cuando el usuario inicia sesión con su cuenta de Azure AD, o si ya ha iniciado sesión en el plazo de una hora.
Inicio de sesión inicial: para que se apliquen los permisos asignados a los usuarios y grupos de Azure AD, los usuarios deben iniciar sesión al menos una vez. Recomendamos que, una vez ejecutada la integración, comuniques a todos tus usuarios que salgan de su cuenta local y vuelvan a iniciar sesión con su cuenta de Azure AD. Pueden iniciar sesión con su cuenta de Azure Ad:
-
navegando a la URL específica de la organización, en cuyo caso el tipo de inicio de sesión ya está seleccionado;
Nota:La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplohttps://cloud.uipath.com/orgID/
. -
seleccionando SSO para Enterprise en la página principal de inicio de sesión.
Note: Asegúrate de proporcionar la URL específica de tu organización para Automation Cloud a todos tus usuarios. Solo los administradores de la organización pueden ver esta información en Automation Cloud.
Los usuarios migrados se benefician de la combinación de los permisos que les fueron asignados directamente y los de sus grupos de Azure AD.
Configuración de Studio y Assistant para los usuarios: para configurar estos productos para que se conecten con las cuentas de Azure AD:
- En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
- Haz clic en Cerrar sesión.
- Para el tipo de conexión, selecciona URL de servicio.
-
En el campo URL del servicio, añade la URL específica de la organización
Nota:La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplohttps://cloud.uipath.com/orgID/
. De lo contrario, la conexión falla diciendo que el usuario no pertenece a ninguna organización. - Vuelve a iniciar sesión con la cuenta de Azure AD.
Aunque es opcional, te recomendamos que elimines el uso de cuentas locales para maximizar los principales beneficios de cumplimiento y eficiencia de la integración completa entre Automation Cloud y Azure AD.
Una vez que todos los usuarios hayan sido migrados, puedes eliminar los usuarios que no sean administradores de la pestaña Usuarios, para que tus usuarios no puedan ya iniciar sesión con su cuenta local. Puedes encontrar estas cuentas en función de sus iconos de cuenta de usuario.
También puedes limpiar los permisos individuales en los servicios en la nube de UiPath, como el servicio Orchestrator, y eliminar usuarios individuales de los grupos de Automation Cloud para que los permisos dependan exclusivamente de la pertenencia a grupos de Azure AD.
Excepciones
Si decides dejar de utilizar las cuentas locales, ten en cuenta lo siguiente:
- Administrar la configuración de autenticación en Automation Cloud: para cambiar a una configuración de autenticación diferente o para actualizar el secreto de aplicación de Azure AD, se requiere una cuenta de usuario de UiPath con el rol de administrador de la organización. Por lo demás, las opciones Configuración de autenticación no están activadas.
-
Acceso a la API: si tienes procesos en marcha que dependen de la información obtenida al hacer clic en Acceso a la API (página Admin > Tenants) para hacer llamadas a la API de un servicio, necesitas una cuenta UiPath local porque el botón no está disponible cuando se inicia sesión con una cuenta de Azure AD.
Alternativamente, puedes cambiar al uso de OAuth para la autorización, en cuyo caso la información de API Access ya no es necesaria.
A continuación, te ofrecemos algunos consejos útiles sobre las funciones avanzadas que puedes aprovechar ahora que tienes configurada la integración con Azure AD.
Como la integración con Azure AD se realiza a nivel del tenant de Azure, por defecto todos los usuarios de Azure AD pueden acceder a Automation Cloud. La primera vez que un usuario de Azure AD inicia sesión en Automation Cloud, se le incluye automáticamente en el grupo Todos de Automation Cloud, lo que les otorga el rol de usuario en el nivel de organización.
Si quieres permitir que solo ciertos usuarios accedan a Automation Cloud, puedes activar la asignación de usuarios para el registro de la aplicación Automation Cloud en Azure. De este modo, los usuarios deben ser asignados explícitamente a la aplicación (Automation Cloud) para poder acceder a ella. Para obtener instrucciones, consulta este artículo en la documentación de Azure AD.
Si quieres permitir que solo tus usuarios accedan a Automation Cloud desde una red o un dispositivo de confianza, puedes utilizar la característica de Acceso condicional de Azure AD .
Si has creado grupos en Azure AD para facilitar la incorporación de Automation Cloud directamente desde Azure AD, tal y como se describe en Configurar grupos para permisos y robots, puedes utilizar las opciones de seguridad avanzadas de Privileged Identity Management (PIM) para que estos grupos regulen las solicitudes de acceso de los grupos de Automation Cloud.
- Información general
- Requisitos previos
- Cómo configurar Azure para la integración
- Despliegue de la integración en Automation Cloud
- Limpiar los usuarios inactivos
- Activar la integración de Azure AD
- Probar la integración de Azure AD
- Completar la transición a Azure AD
- Configurar grupos de permisos y robots (opcional)
- Migrar a los usuarios existentes
- Dejar de usar las cuentas locales de UiPath (opcional)
- Mejores prácticas
- Restringir el acceso a Automation Cloud
- Restringe el acceso a redes o dispositivos de confianza
- Gobernanza para los grupos de Automation Cloud en Azure AD