Automation Cloud

Más reciente

False

Guía para administradores de Automation Cloud

Última actualización 2 de may. de 2024

Configurar la Integración SAML

Esta característica solo está disponible si estás en el plan de licencia Empresarial.

You can connect Automation Cloud™ to any identity provider (IdP) that uses the SAML 2.0 standard. This page describes the overall process by showing a few sample SAML integration configurations.

Resumen del proceso de configuración

La integración de SAML se ha diseñado de forma que pueda implantarse gradualmente, sin perturbar a los usuarios existentes.

Las principales fases del proceso, descritas con más detalle en esta página, son las siguientes:

Limpiar las cuentas de usuario inactivas
Configurar la integración SAML
Transición de los usuarios existentes para iniciar sesión con el SSO de SAML
Configurar los permisos y los robots para los nuevos usuarios
Dejar de usa cuentas locales (opcional)

Limitaciones conocidas

No se pueden buscar cuentas de tu proveedor de identidad

Con la integración de SAML, no puede buscar todos los usuarios y grupos de su proveedor de identidades. Solo los usuarios de directorio aprovisionados están disponibles para la búsqueda.

No se pueden ver los usuarios del directorio a nivel de organización

Solo los usuarios locales aparecen en el nivel de organización. El aprovisionamiento Just-in-time agrega usuarios al directorio, para que no aparezcan en la página de administración de Cuentas y Grupos .

No puede ver la información de acceso a la API

La visualización de la información de acceso a la API, que permite autorizar las solicitudes de la API usando una clave de usuario, no está disponible para los usuarios del directorio que se registran a través de la integración SAML.

Requisitos previos

Para configurar la integración de SAML, necesitas:

Una organización Automation Cloud con el plan de licencia empresarial.
Permisos de administrador tanto en Automation Cloud como en tu proveedor de identidades de terceros.

Si no tienes permisos de administración en tu proveedor de identidad, puedes trabajar con un administrador para completar el proceso de configuración.
UiPath® Studio and UiPath Assistant version 2020.10.3 or later, so that you can set them up to use the recommended deployment.

Nota:

Cambio de la integración de Azure Active Directory

Si actualmente usas la integración de Azure Active Directory para la autenticación, te recomendamos que permanezcas en la integración de AAD porque tiene más funciones.

Si decides cambiar la integración de AAD, debes reemplazar manualmente la asignación de roles realizada a través de los grupos del directorio con la asignación directa de roles a las cuentas de directorio para no tener que recrear completamente tu esquema de acceso.

Paso 1. Limpia las cuentas de usuario inactivas

Si tu organización recicla direcciones de correo electrónico, es importante que elimines todas las cuentas de usuario inactivas antes de configurar la integración SAML.

Al habilitar la integración, las cuentas locales presentes en Automation Cloud pueden vincularse con la cuenta del directorio en el proveedor de identidades externo que utiliza la misma dirección de correo electrónico. Esta vinculación de cuentas se produce cuando el usuario de la cuenta de directorio inicia sesión por primera vez con la dirección de correo electrónico. La identidad de su proveedor de identidades hereda los roles que tenía la cuenta local de forma que la transición sea perfecta.

Debido a esto, con las cuentas locales inactivas presentes en Automation Cloud, existe el riesgo de que las cuentas locales y las cuentas de directorio no coincidan, lo que puede conllevar una elevación involuntaria de los permisos.

Para eliminar las cuentas de usuario inactivas:

Inicia sesión en Automation Cloud como administrador de la organización.
Ve a Administración, selecciona tu organización y, a continuación, selecciona Cuentas y grupos.

La página Cuentas y grupos para la organización se abrirá en la pestaña Usuarios.
Haz clic en el encabezado de la columna Activo por última vez para reordenar los usuarios de forma que los que tengan la fecha más antigua de último inicio de sesión se muestren en la parte superior:

La columna Activo por última vez muestra la fecha en que el usuario se conectó por última vez a Automation Cloud. Si aparece "Pendiente" en esta columna, como en el ejemplo anterior, significa que el usuario nunca se ha conectado. Esta información te ayudará a identificar a sus usuarios inactivos.
Haz clic en el icono Eliminar al final de la fila para eliminar la cuenta local de ese usuario.
En el cuadro de diálogo de confirmación, haga clic en Eliminar para confirmar la eliminación de la cuenta de Automation Cloud.

La cuenta de usuario se elimina de la página.
Continúa eliminando todas las cuentas de usuario inactivas de tu organización.

Paso 2. Configura la integración SAML

Ahora debes configurar tanto Automation Cloud como tu proveedor de identidad (IdP) para la integración.

Paso 2.1. Obtén los datos del proveedor de servicios SAML

Inicia sesión en Automation Cloud como administrador de la organización.
Ve a Administración, selecciona tu organización y, a continuación, selecciona Seguridad.

La página Configuración de seguridad para la organización se abrirá en la pestaña Configuración de la autenticación.
Selecciona Los usuarios pueden iniciar sesión con el SSO de SAML y luego haz clic en Configurar.

Se abre un diálogo de información.
En el diálogo, haz clic en Continuar.

La siguiente página ofrece la información general de la integración.
En la esquina inferior derecha, haz clic en Siguiente para proceder a la configuración.

En el paso Detalles generales, en Datos a configurar en IdP, proporcionamos la información necesaria para configurar su proveedor de identidades para conectarse a Automation Cloud.
Copia y guarda los valores de URL de metadata, ID de entidad y URL de servicio al consumidor de afirmaciones. Los necesitará en el siguiente paso.

Mantén esta pestaña del navegador abierta para más adelante.

Paso 2.2. Configura tu proveedor de identidad

Automation Cloud puede conectarse a cualquier proveedor de identidad de terceros (IdP) que utilice la norma SAML 2.0.

Aunque la configuración puede variar en función del IdP que elijas, hemos validado la configuración para utilizar Okta o PingOnes, que puedes utilizar como referencia para configurar la integración.

En el caso de otros proveedores de identidad, te recomendamos que sigas su documentación de integración.

A. Ejemplo de configuración para Okta

Nota: Las instrucciones de esta sección son para una configuración de muestra. Para obtener más información sobre cualquier configuración de IdP que no se haya tratado aquí, usa la documentación de Okta.

En otra pestaña del navegador, inicia sesión en la consola de administración de Okta.
Dirígete a Aplicaciones > Aplicaciones, haz clic en Crear integración de aplicaciones y selecciona SAML 2.0 como método de inicio de sesión.
En la página Configuración general, especifique un nombre para la aplicación con la que se está integrando, concretamente Automation Cloud.
En la página Configurar SAML, rellena la sección General de la siguiente manera:
1. URL del inicio de sesión único: introduce el valor de la URL de servicio al consumidor de afirmaciones que obtuviste de Automation Cloud.
2. Marque la casilla Usar esto para la URL del destinatario y la URL del destino.
3. URI de audiencia: introduce el valor de ID de entidad que obtuviste de Automation Cloud.
4. Formato de ID del nombre: Selecciona correo electrónico
5. Nombre de usuario de la aplicación: Selecciona correo electrónico
En Declaraciones de atributos, añade lo siguiente:
1. Nombre: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
2. Deja el Formato de nombre como No especificado.
3. Establece Valor como user.email, o el atributo de usuario que contiene la dirección de correo electrónico única del usuario
4. También puedes añadir otras asignaciones de atributos. Automation Cloud también admite los atributos de usuario Nombre, Apellido, Cargo y Departamento. Esta información se propaga a Automation Cloud, donde puede ponerse a disposición de otros servicios, como Automation Hub.
En la página de Comentarios, selecciona la opción que prefieras.
Haz clic en Finalizar.
En la pestaña Inicio de sesión, en la sección Configuración, en Ver instrucciones de configuración, copia el valor URL de los metadatos del proveedor de identidades y guárdalo para más adelante.
En la página Aplicación de Automation Cloud, selecciona la aplicación recién creada.
En la pestaña Asignaciones, selecciona Asignar > Asignar a personas, y, a continuación, selecciona los usuarios a los que deseas permitir el uso de la autenticación SAML para Automation Cloud.

Los usuarios recién añadido se muestran en la pestaña Personas.

B. Ejemplo de configuración para PingOne

En otra pestaña del navegador, inicia sesión en la consola de administración de Ping One.
Dirígete a Conexiones > Aplicaciones y haz clic en el icono más +.
Haz clic en Aplicación web y, para SAML, haz clic en Configurar.
En la página Crear perfil de aplicación, especifica un nombre para tu aplicación de Automation Cloud.
En la página Configurar conexión SAML, selecciona Introducir manualmente y proporciona los siguientes datos:
- URL del ACS: introduce el valor de la URL de servicio al consumidor de afirmaciones que obtuviste de Automation Cloud.
- ID de entidad: introduce el valor de ID de entidad que obtuviste de Automation Cloud.
- Enlace SLO: redirección HTTP
- Duración de la validación: el número de segundos para el período de validez
Haz clic en Guardar y continuar.
En la página de Atributos de mapa, añade la dirección de correo electrónico:
1. Selecciona + Añadir atributo.
2. Para Atributo de aplicación, introduce http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
3. Establece Valor de salida en Dirección de correo electrónico, o el atributo de usuario que contiene la dirección de correo electrónico única del usuario.
4. Selecciona la casilla Requerido.
5. Opcionalmente, añada otras asignaciones de atributos. Automation Cloud también admite los atributos de usuario Nombre, Apellido, Cargo y Departamento. Los atributos distinguen entre mayúsculas y minúsculas. Esta información se propaga a Automation Cloud, donde puede ponerse a disposición de otros servicios, como Automation Hub.
Haz clic en Guardar y cerrar.
Haz clic en la alternancia de la aplicación Automation Cloud para habilitar el acceso de los usuarios a la aplicación.
En la pestaña Configuración, copia y guarda el valor URL de metadata de IdP para su uso posterior.

Paso 2.3. Configurar Automation Cloud

Para habilitar Automation Cloud como proveedor de servicios que reconoce a tu proveedor de identidades, completa los pasos siguientes:

Regrese a la pestaña Configuración de SAML en Automation Cloud.
En el paso Detalles generales:
1. En Datos del IdP, rellena el campo URL de los metadatos con la URL de los metadatos obtenida durante la configuración.
2. Haz clic en Obtener datos. Una vez completado, los campos URL de inicio de sesión, ID de entidad del proveedor de identidad y certificado de firma se rellenan con la información de IdP.
3. Haz clic en Siguiente en la esquina inferior derecha para pasar al siguiente paso.
En el paso Configuración del aprovisionamiento:
1. Rellena la sección Dominios permitidos con los dominios desde los que quieres permitir acceder a los usuarios. Introduce todos los dominios admitidos por el proveedor de identidad configurado. Separa los dominios múltiples con comas.
2. Marca la casilla para indicar que entiendes que las cuentas con direcciones de correo electrónico coincidentes serán vinculadas.
3. En Asignación de atributos, rellena el campo Nombre para mostrar con el atributo de tu IdP que quieras mostrar en Automation Cloud como nombre para los usuarios. Aquí podrá utilizar los atributos Nombre y Apellido.
4. Opcionalmente, rellena los campos restantes con atributos de tu IdP.
5. Si deseas configurar también los detalles avanzados, haz clic en Siguiente en la esquina inferior derecha para avanzar al último paso.
  
  De lo contrario, haz clic en Probar y guardar para terminar de configurar la integración y omitir los pasos restantes de esta sección.
En la página Configuración avanzada, configura las opciones según sea necesario:
- Permitir respuesta de autenticación no solicitada: habilita esta opción si deseas poder navegar a Automation Cloud desde el panel de control del IdP.
- Tipo de enlace SAML: seleccionar cómo debe comunicarse la configuración SAML, a través del agente de usuario HTTP. Selecciona redireccionamiento HTTP para utilizar los parámetros de la URL, o publicación HTTP para usar un formulario HTML con contenido codificado en base64.
Haz clic en Probar y guardar para terminar de configurar la integración.

Paso 2.4. Comprueba que la integración se está ejecutando

Para validar que la integración de SSO de SAML funcione correctamente:

Abre una ventana de incógnito en el navegador.
Dirígete a tu URL de Automation Cloud.
Comprueba las siguientes cuestiones:
1. ¿Se te pide que inicies sesión con tu proveedor de identidad SAML?
2. ¿Puedes iniciar la sesión con éxito?
3. Si te estás registrando con una dirección de correo electrónico que coincide con una cuenta de usuario existente, ¿tienes los permisos adecuados?

Paso 2.5. Configurar las reglas de aprovisionamiento (opcional)

Si usas solicitudes en tu IdP, puedes aprovecharlas como condiciones en una regla de aprovisionamiento para que los usuarios sean aprovisionados automáticamente con las licencias y roles correctos cuando inicien sesión en Automation Cloud.

Las reglas de aprovisionamiento se evalúan cuando un usuario se registra. Si la cuenta de usuario cumple las condiciones de una regla, se añade automáticamente al grupo asociado a la regla.

Fase 1. Crear grupos de aprovisionamiento

En Automation Cloud, al añadir una cuenta a un grupo, la cuenta hereda las licencias, los roles y la configuración del UiPath Robot definidos para el grupo, si los hubiera.

Por lo tanto, si configuras un grupo con un tipo particular de usuario en mente (por ejemplo, tus empleados que crean las automatizaciones, o tus empleados que prueban las automatizaciones), puedes incorporar un nuevo empleado de ese tipo a Automation Cloud simplemente configurando su cuenta en el IdP de la misma manera que otras cuentas similares.

De esta manera, se configura el grupo una vez, y luego se replica la configuración añadiendo cuentas al grupo cuando sea necesario. Además, si es necesario cambiar la configuración de un determinado grupo de usuarios, solo hay que actualizar el grupo una vez y los cambios se aplican a todas las cuentas del grupo.

Para configurar un grupo para una regla de aprovisionamiento:

Crea un nuevo grupo local en Automation Cloud.

Si quieres, puedes usar uno de tus grupos existentes en lugar de crear uno nuevo.
(Opcional y requiere la administración de licencias de usuario ) Si los usuarios de este grupo necesitan licencias de usuario, configura las reglas de asignación de licencias para el grupo.

Si utilizas un grupo existente, comprueba la asignación de licencias para el grupo para asegurarte de que se asignan las licencias correctas. Si no es así, cambia las asignaciones o considera la posibilidad de crear un nuevo grupo.
Asigna los roles de los tenants y, opcionalmente, completa la configuración del UiPath Robot para el grupo. Para obtener más instrucciones, consulta Asignar roles a grupo .

Si utilizas un grupo existente, comprueba los roles actualmente asignados al grupo para asegurarte de que son adecuados para el tipo de usuarios que vas a añadir al grupo. Si no es así, edita los roles asignados a este grupo, o considera crear un nuevo grupo.
Agrega el grupo a las carpetas y asigna los roles de las carpetas, según sea necesario. Para obtener más instrucciones, consulta Gestión de acceso a carpetas.

Ahora puedes usar este grupo en una regla de aprovisionamiento.

Fase 2. Crear una regla de aprovisionamiento para un grupo

Nota:

Asegúrate de que la reclamación asociada a la regla de aprovisionamiento SAML se envíe a la carga útil SAML configurándola en la aplicación SAML.

Una vez configurada la integración SAML y tras haber configurado un grupo:

Ve a Administración, selecciona tu organización y, a continuación, selecciona Seguridad.

La página Configuración de seguridad para la organización se abrirá en la pestaña Configuración de la autenticación.
En la opción de SSO de SAML, haz clic en Ver reglas de aprovisionamiento:

Se abre la página Reglas de aprovisionamiento de SSO de SAML, donde se listan tus reglas existentes.
En la esquina superior derecha de la página, haz clic en Añadir regla.

Se abre la página Añadir nueva regla.
En Detalles básicos, rellena el campo Nombre de la regla y, opcionalmente, rellena el campo Descripción.
En Condiciones, haz clic en Añadir regla.

Se añade una fila de campos para una nueva condición. Conjuntamente, definen los criterios que debe cumplir una cuenta al iniciar la sesión para añadirse a un grupo (elegido más tarde).
En el campo Reclamación , escribe el nombre de la reclamación, tal como aparece en el IdP. La
campo distingue entre mayúsculas y minúsculas.

En la lista Relación, selecciona la relación de la reclamación con el valor. Las siguientes opciones están disponibles:

Relación	Requisito de condición	Ejemplo
es	coincidencia exacta, distingue entre mayúsculas y minúsculas	`Department is RPA` requiere que el valor de la solicitud `Department` sea `RPA`. La condición no se cumple si el valor es `RPADev`, por ejemplo. Esta relación funciona para las reclamaciones multivalor. Por ejemplo, si los valores `administrator` y `developer` se envían bajo la reclamación `Group`, entonces `Group is administrator` sería una relación válida.
no es	cualquier cosa, excepto el valor especificado; distingue entre mayúsculas y minúsculas	Para `Department is not ctr`, cualquier cuenta se añade al grupo a menos que `Department` tenga el valor `ctr`. La condición se cumple si el departamento es `Ctr`o `electr`.
contiene	incluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas	`Department contains RPA` requiere que el valor de la solicitud `Department` incluya `RPA`. La condición se cumple si el valor es `RPADev`, `xRPAx` o `NewRPA`, por ejemplo.
no contiene	excluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas	Para `Department not contains ctr`, cualquier cuenta se añade al grupo a menos que el valor `Department` incluya `ctr`. Las cuentas cuyo departamento es `ctr` o `electr`, por ejemplo, no se añaden al grupo.
distingue entre mayúsculas y minúsculas	coincidencia exacta; sin distinción de mayúsculas y minúsculas	`Department is case insensitive RPA` requiere que el valor de la solicitud `Department` sea `rpa`, con cualquier uso de mayúsculas. La condición se cumple si el valor es `rpa`, por ejemplo. La condición no se cumple si el valor es `crpa`.
contiene mayúsculas y minúsculas	incluye; no requiere una coincidencia exacta; no distingue entre mayúsculas y minúsculas	`Department contains case insensitive RPA` requiere que el valor de la solicitud `Department` incluya `RPA`, con cualquier uso de mayúsculas. La condición se cumple si el valor es `rpa`, `cRPA` o `rpA`, por ejemplo.

En el campo Valor, escribe el valor necesario para cumplir la condición.
Si deseas añadir otra condición, haz clic en Añadir regla para añadir una nueva fila de condiciones.

Cuando se añaden varias condiciones, deben cumplirse todas las condiciones para que se aplique la regla de aprovisionamiento. Por ejemplo, si se definen las reglas Department is RPA y Title is Engineer, solo se añadirán a los grupos especificados los usuarios que estén en el departamento de RPA y tengan el título de Ingeniero. Una cuenta cuyo departamento es RPA, pero cuyo título es QA, no se añade a los grupos.
En Asignar a grupos, en el recuadro Añadir grupos, comienza a escribir el nombre de un grupo y luego selecciona un grupo de la lista de resultados. Repite la operación para añadir más grupos, si es necesario.

Cuando se cumplen las condiciones, las cuentas se añaden automáticamente a estos grupos cuando se conectan.
Haz clic en Guardar en la esquina inferior derecha para añadir la regla.

Con una regla establecida, siempre que un usuario inicie sesión en Automation Cloud y su cuenta cumpla las condiciones especificadas para una regla, su cuenta se añade a los grupos de aprovisionamiento adjuntos a la regla, y su cuenta se configura para trabajar en Automation Cloud.

Fragmento de carga útil SAML de muestra

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

Asignación de atributos SAML

Al configurar la integración del directorio SAML, los administradores de la organización tienen la capacidad de definir qué atributos de su IdP deben asignarse a los atributos de usuario del sistema. Después, cuando un usuario inicia sesión a través de la integración del directorio SAML, el sistema leerá las reclamaciones que se pasen a la carga útil de ACS y asignará el valor a sus atributos de sistema correspondientes.

Por ejemplo, si esta es la estructura de usuario en tu IdP, un administrador de la organización puede configurar la siguiente configuración de asignación de atributos para que esta información se rellena en el objeto de usuario del sistema.

{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}

Cuando un usuario en esta organización inicia sesión a través de la integración del directorio SAML, su objeto de usuario se actualizará para reflejar esta configuración.

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}

Nota:

Tu IdP debe estar configurado para pasar estas reclamaciones en la carga útil de ACS.

Asegúrate de que los nombres de atributos configurados en el IdP coincidan con la configuración de asignación de atributos en el portal de administrador de la organización.

Paso 3. Transiciona a tus usuarios a SSO de SAML

Asegúrate de proporcionar la URL específica de tu organización para Automation Cloud a todos tus usuarios y sigue las siguientes instrucciones. Solo los administradores de la organización pueden ver la URL de la organización en la configuración de la organización.

Para iniciar sesión en Automation Cloud con el SSO de SAML, los usuarios pueden:

navegar hasta la URL específica de tu organización. La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID/.
navega a https://cloud.uipath.com, selecciona Continuar con SSO en la página de inicio de sesión, y luego proporciona la URL específica de su organización.

Nota:

Una vez que se pasa a la integración SAML, se deshabilita la integración de Azure AD. Las asignaciones de grupo de Azure AD ya no se aplican, por lo que la pertenencia al grupo de Automation Cloud y los permisos heredados de Azure AD ya no se respetan.

Para iniciar sesión en UiPath Studio y UiPath Assistant mediante el SSO de SAML, los usuarios deben configurar UiPath Assistant de la siguiente manera:

En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
Haz clic en Cerrar sesión.
Para el tipo de conexión, selecciona URL de servicio.
En el campo URL del servicio, añade la URL específica de la organización.

La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID/. De lo contrario, la conexión falla diciendo que el usuario no pertenece a ninguna organización.
Vuelve a iniciar sesión con el SSO de SAML.

Paso. 4. Configura los Permisos y los Robots

Esto solo es necesario para los nuevos usuarios que no han usado Automation Cloud antes y, por lo tanto, no tenían una cuenta local configurada para ellos en Automation Cloud cuando se habilitó la integración.

Puedes añadir nuevos usuarios a los grupos de Automation Cloud por su dirección de correo electrónico (tal y como se usa en el IdP externo). Una vez que un usuario se haya asignado a un grupo o se haya registrado, estará disponible a través de la búsqueda para la asignación de roles en todos los servicios de Automation Cloud.

Paso 5. Interrumpir el uso de cuentas locales (opcional)

Cuando todos los usuarios hayan hecho la transición al SSO de SAML y se hayan configurado los nuevos usuarios, se recomienda eliminar todas las cuentas de usuario locales que no sean cuentas de administrador. Esto garantiza que los usuarios ya no puedan iniciar sesión con las credenciales de su cuenta local y tengan que iniciar sesión con el SSO de SAML.

Puedes identificar las cuentas de usuario locales basándote en los iconos de usuario.

Consideraciones para dejar de usar las cuentas locales

Gestión de los ajustes de autenticación en Automation Cloud

En caso de problemas con la integración de SAML (como la actualización de un certificado caducado), o si desea cambiar a una opción de autenticación diferente, se recomienda una cuenta de usuario local con el rol de administrador de la organización.

Acceso a la API

Si tienes procesos que dependen de la información obtenida al hacer clic en Acceso a la API (página Administración > Tenants) para realizar llamadas a la API de un servicio, necesitas una cuenta de UiPath porque el botón no está disponible cuando se inicia la sesión con una cuenta de SSO de SAML. Alternativamente, puedes cambiar al uso de OAuth para la autorización, en cuyo caso la información de API Access ya no es necesaria.

Solución de problemas

Si obtienes el error User login failed. (#216), puede deberse a la falta de asignación de direcciones de correo electrónico en la configuración del proveedor de identidad SAML.

La declaración SAML debe contener el nombre http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress y el valor debe tener una dirección de correo electrónico válida.

Configuración de SAML SSO con Azure AD

Puedes utilizar el portal de Azure para habilitar el SSO para una aplicación Enterprise que hayas añadido a tu tenant de Azure AD.

Después de configurar SSO, tus usuarios pueden iniciar sesión utilizando sus credenciales de Azure AD.

Importante:

If your users are in Azure AD but cannot use the Azure AD integration instructions to configure AAD to your UiPath® organization, configuring AAD as a SAML-based IdP may be an option.

Esto se debe a las restricciones en torno a la concesión de permisos para leer los detalles del usuario y la pertenencia a grupos de todos los usuarios de la aplicación UiPath.

Habilitar SAML SSO para una aplicación

Inicia sesión en el portal de Azure utilizando uno de los roles enumerados en los requisitos previos.
Ve a Azure AD y selecciona Aplicaciones empresariales.

Se abre la página Todas las aplicaciones que enumera las aplicaciones en tu tenant de Azure AD.

Busca y selecciona la aplicación que deseas utilizar. Por ejemplo, UiPath.

Nota:
Para crear una aplicación para SSO, sigue los pasos de esta sección.
En la barra lateral izquierda de la sección Administrar , selecciona Inicio de sesión único para abrir la página de edición de SSO .
Selecciona SAML para abrir la página de configuración de SSO .

Una vez configurada la aplicación, los usuarios pueden iniciar sesión con sus credenciales de tenant de Azure AD.
En la sección Configuración básica de SAML , haz clic en Editar.
Rellena los campos ID de entidad y URL de servicio al consumidor de afirmaciones (ACS) en función de los valores proporcionados en los ajustes de configuración de SAML en el portal de UiPath.
Haz clic en Guardar.
Nota:
UiPath requiere bien http://schemas.xmlsoap.org/ws/2005/05/identity/claim/emailaddress o http://schemas.xmlsoap.org/ws/2005/05/identity/claim/upn como reclamaciones que serán enviadas por el proveedor de identidad SAML.

Si ambas reclamaciones se envían en la carga útil de ACS, UiPath priorizará la reclamación http://schemas.xmlsoap.org/ws/2005/05/identity/claim/emailaddress

De forma predeterminada, la aplicación en Azure AD está configurada para enviar la reclamación http://schemas.xmlsoap.org/ws/2005/05/identity/claim/emailaddress , con la dirección de correo electrónico del usuario como valor para la reclamación.

Si estás cambiando o planificando el cambio a la integración del directorio de Azure AD, ten en cuenta:
- UiPath utiliza el valor pasado en la reclamación priorizada como identificador único y se utiliza para vincular cualquier usuario local existente (utilizando la dirección de correo electrónico del usuario local) a este usuario de directorio en Azure AD.
- Para cambiar sin problemas entre Azure AD y la integración del directorio SAML, se recomienda pasar ambas notificaciones con los valores de usuario adecuados.
  
  Aquí hay un ejemplo de configuración:
Copia la URL de metadatos de la federación de aplicaciones.
Ve al portal de administración de UiPath y ve a la página Configuración de SAML .
Pega la URL de metadatos de la federación de aplicaciones en el campo URL de metadatos .
Haz clic en Obtener datos para que el sistema solicite información relacionada con el usuario al proveedor de identidades.

Configuración de reclamaciones para el aprovisionamiento automático en UiPath

Inicia sesión en el portal de Azure utilizando uno de los roles enumerados en los requisitos previos.
Ve a Azure AD y selecciona Aplicaciones empresariales.

Se abre la página Todas las aplicaciones que enumera las aplicaciones en tu tenant de Azure AD.

Busca y selecciona la aplicación que deseas utilizar. Por ejemplo, UiPath.

Nota:
Para crear una aplicación para SSO, sigue los pasos de esta sección.
En la barra lateral izquierda de la sección Administrar , selecciona Inicio de sesión único para abrir la página de edición de SSO .
Haz clic en Editar en la sección Atributos y reclamaciones de la página de edición de SSO .
Haz clic en Añadir una reclamación de grupo para configurar los grupos que quieres enviar a UiPath.

Nota:
Para establecer configuraciones avanzadas, elige en el menú desplegable Configuración avanzada .
Haz clic en Guardar.
Para finalizar la configuración, sigue los pasos del Paso 2.5 Configurar reglas de aprovisionamiento (opcional) de nuestra documentación pública.

Nota:

Si un cliente prefiere utilizar UPN, puedes navegar a la sección Atributos y reclamaciones y cambiar el valor del atributo de la dirección de correo electrónico .

Crear aplicación para SSO

Inicia sesión en el portal de Azure utilizando uno de los roles enumerados en los requisitos previos.
Ve a Azure AD y luego selecciona Aplicaciones Enterprise.La página Todas las aplicaciones que enumera las aplicaciones de tu tenant de Azure AD.
haz clic en Nueva aplicación > Crear tu propia aplicación.
Asigna un nombre a tu aplicación. Por ejemplo, UiPath.
Selecciona Integrar cualquier otra aplicación que no encuentres en la galería (No galería).
Haz clic en Crear.