- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Comprender los modelos de autenticación
- Configurar la integración de Azure AD
- Requisitos de complejidad de la contraseña de los usuarios locales
- Licencia
- Acerca de la licencia
- Precios unificados: marco del plan de licencias
- Flex: marco del plan de licencias
- Activar su licencia Enterprise
- Actualización y desactualización de licencias
- Asignar licencias a tenants
- Asignación de licencias de usuario
- Anular la asignación de licencias de usuarios
- Monitoring license allocation
- Licencias con exceso de asignación
- Notificaciones de licencias
- Administración de licencias de usuario
- Tenants y servicios
- Cuentas y roles
- Ai Trust Layer
- Aplicaciones externas
- Notificaciones
- Registro
- Solución de problemas
- Migrar a Automation Cloud

Guía para administradores de Automation Cloud
Configurar la Integración SAML
Esta característica está disponible con el plan de licencias Enterprise.
By using SAML configuration in Automation Cloud we enhance both security and efficiency in authentication. Our system uses SAML to enable Single Sign-On (SSO) via secure access tokens, allowing the UiPath platform to connect with any Identity Provider (IdP) that uses the SAML 2.0 standard.
Además, nuestra configuración SAML incluye capacidades de cierre de sesión único (SLO), que permiten cierres de sesión simultáneos en todas tus aplicaciones unificadas bajo tu IdP.
La integración de SAML se ha diseñado de forma que pueda implantarse gradualmente, sin perturbar a los usuarios existentes.
Cambiar de la integración nativa de Azure Active Directory a la integración SAML
Si utilizas AAD para la autenticación, te recomendamos que utilices nuestra integración nativa de AAD porque tiene más funciones.
Si decides cambiar a la integración SAML, debes reemplazar manualmente la asignación de roles realizada a través de grupos de directorio con la asignación directa de roles a las cuentas de directorio para que no tengas que volver a crear completamente tu esquema de acceso.
-
Las aserciones SAML cifradas de tu proveedor de identidad no son compatibles.
-
No puedes buscar usuarios y grupos desde tu proveedor de identidades. Solo los usuarios del directorio aprovisionados están disponibles para la búsqueda.
-
You cannot view directory users at the organization level. Only local users appear at the organization level. Just-in-time provisioning adds directory users, so they do not show up on the Accounts & Groups page in Automation Cloud.
-
La visualización de la información de acceso a la API, que permite autorizar las solicitudes de la API usando una clave de usuario, no está disponible para los usuarios del directorio que se registran a través de la integración SAML.
Para configurar la integración SAML, necesitas lo siguiente:
- An Automation Cloud organization with the Enterprise licensing plan.
-
Administrator permissions in both the Automation Cloud organization and your third-party identity provider. If you don't have administrator permissions in your identity provider, you can work with an administrator to complete the setup process.
-
UiPath® Studio y UiPath Assistant versión 2020.10.3 o posterior, para que puedas configurarlos para utilizar la implementación recomendada.
Si tu organización recicla direcciones de correo electrónico, es importante que elimines todas las cuentas de usuario inactivas antes de configurar la integración SAML.
When you enable the integration, local accounts present in Automation Cloud can be linked with the directory account in the external identity provider that uses the same email address. This account linking occurs when the directory account user with the email address signs in for the first time. The identity from your identity provider inherits all roles from the local account, so that the transition is seamless. Because of this, with inactive local accounts present in Automation Cloud, there is a risk that local accounts and directory accounts are mismatched, which can lead to unintended elevation of permissions.
Para eliminar las cuentas de usuario inactivas:
Now, you must configure both Automation Cloud and your identity provider (IdP) for the integration.
Mantén esta pestaña del navegador abierta para más adelante.
Puedes conectarte a cualquier proveedor de identidades (IdP) de terceros que utilice el estándar SAML 2.0. Aunque la configuración puede variar en función del IdP elegido, hemos validado la configuración para utilizar Okta o PingOne, que puedes utilizar como referencia para configurar la integración.
En el caso de otros proveedores de identidad, te recomendamos que sigas su documentación de integración.
To enable Automation Cloud as a service provider that recognizes your identity provider, take the following steps:
Para validar que la integración de SSO de SAML funcione correctamente:
- Abre una ventana de incógnito en el navegador.
- Navigate to your Automation Cloud organization URL.
- Comprueba las siguientes cuestiones:
- ¿Se te pide que inicies sesión con tu proveedor de identidad SAML?
- ¿Puedes iniciar la sesión con éxito?
- Si te estás registrando con una dirección de correo electrónico que coincide con una cuenta de usuario existente, ¿tienes los permisos adecuados?
If you use claims in your IdP, you can leverage them as conditions in a provisioning rule so that users are automatically provisioned with the right licenses and roles when they sign in to Automation Cloud. Provisioning rules are evaluated when a user signs in. If the user account meets the conditions for a rule, it is automatically added to the local UiPath group associated with the rule. For example, an administrator can configure a rule to provision users directly into the Automation Users group using these settings: Claim=group, Relationship=is, Value=Automation User.
2.5.1 Configurar grupos de aprovisionamiento
In Automation Cloud, adding an account to a group means the account inherits the licenses, roles, and robot configuration defined for the group, if any.
By grouping similar account types (e.g., developers or testers), you can streamline user onboarding process to Automation Cloud. Just make sure that in the IdP you set up similar accounts in the same way.
De esta manera, configuras el grupo una vez y luego replicas la configuración añadiendo cuentas al grupo cuando sea necesario. Si es necesario cambiar la configuración de un grupo de cuentas en particular, solo tendrás que actualizar el grupo una vez y los cambios se aplicarán a todas las cuentas del grupo.
Para configurar un grupo para una regla de aprovisionamiento:
-
Create a new local group in Automation Cloud.
Si quieres, puedes usar uno de tus grupos existentes en lugar de crear uno nuevo.
-
(Opcional y requiere la gestión de licencias de usuario habilitada) Si las cuentas de este grupo necesitan licencias de usuario, configura las reglas de asignación de licencias para el grupo.
Si utilizas un grupo existente, comprueba la asignación de licencias para el grupo para asegurarte de que se asignan las licencias correctas. Si no es así, cambia las asignaciones o considera la posibilidad de crear un nuevo grupo.
-
Asigna roles de tenant y, opcionalmente, completa la configuración del robot para el grupo. Para obtener instrucciones, consulta Asignar roles a un grupo .
Si utilizas un grupo existente, comprueba los roles actualmente asignados al grupo para asegurarte de que son adecuados para el tipo de cuenta que añadirás al grupo. Si no es así, edita los roles asignados a este grupo o considera la posibilidad de crear un nuevo grupo.
-
Añade el grupo a las carpetas y asigna roles de carpeta, según sea necesario. Para obtener instrucciones, consulta Gestionar el acceso a carpetas.
Ahora puedes usar este grupo en una regla de aprovisionamiento.
2.5.2. Crear una regla de aprovisionamiento para un grupo
Asegúrate de que la reclamación asociada a la regla de aprovisionamiento SAML se envíe a la carga útil SAML configurándola en la aplicación SAML.
Una vez configurada la integración SAML y tras haber configurado un grupo:
-
Ve a Administración, selecciona tu organización y, a continuación, selecciona Seguridad.
La página Configuración de seguridad para la organización se abrirá en la pestaña Configuración de la autenticación.
-
En la opción SAML SSO , selecciona Ver reglas de aprovisionamiento. Se abrirá la página Reglas de aprovisionamiento de SAML SSO , donde se enumeran las reglas existentes.
-
En la esquina superior derecha de la página, selecciona Añadir regla.
Se abre la página Añadir nueva regla.
- En Detalles básicos, rellena el campo Nombre de la regla y, opcionalmente, rellena el campo Descripción.
-
En Condiciones, selecciona Añadir regla.
Se añade una fila de campos para una nueva condición. Conjuntamente, definen los criterios que debe cumplir una cuenta al iniciar la sesión para añadirse a un grupo (elegido más tarde).
- En el campo Reclamación , escribe el nombre de la reclamación, tal y como aparece en el IdP. El campo distingue entre mayúsculas y minúsculas.
-
En la lista Relación , selecciona cómo se relaciona la reclamación con el valor. Las siguientes opciones están disponibles, como se describe en la tabla:
Relación
Requisito de condición
Ejemplo
es
coincidencia exacta, distingue entre mayúsculas y minúsculas
Department is RPA
requiere que el valor de la solicitudDepartment
seaRPA
.La condición no se cumple si el valor esRPADev
, por ejemplo.Esta relación funciona para las reclamaciones multivalor.
Por ejemplo, si los valoresadministrator
ydeveloper
se envían bajo la reclamaciónGroup
, entoncesGroup is administrator
sería una relación válida.no es
cualquier cosa, excepto el valor especificado; distingue entre mayúsculas y minúsculas
ParaDepartment is not ctr
, cualquier cuenta se añade al grupo a menos queDepartment
tenga el valorctr
.La condición se cumple si el departamento esCtr
oelectr
.contiene
incluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas
Department contains RPA
requiere que el valor de la solicitudDepartment
incluyaRPA
.La condición se cumple si el valor esRPADev
,xRPAx
oNewRPA
, por ejemplo.no contiene
excluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas
ParaDepartment not contains ctr
, cualquier cuenta se añade al grupo a menos que el valorDepartment
incluyactr
.Las cuentas cuyo departamento esctr
oelectr
, por ejemplo, no se añaden al grupo.distingue entre mayúsculas y minúsculas
coincidencia exacta; sin distinción de mayúsculas y minúsculas
Department is case insensitive RPA
requiere que el valor de la solicitudDepartment
searpa
, con cualquier uso de mayúsculas.La condición se cumple si el valor esrpa
, por ejemplo. La condición no se cumple si el valor escrpa
.contiene mayúsculas y minúsculas
incluye; no requiere una coincidencia exacta; no distingue entre mayúsculas y minúsculas
Department contains case insensitive RPA
requiere que el valor de la solicitudDepartment
incluyaRPA
, con cualquier uso de mayúsculas.La condición se cumple si el valor esrpa
,cRPA
orpA
, por ejemplo. - En el campo Valor, escribe el valor necesario para cumplir la condición.
-
Si quieres añadir otra condición, selecciona Añadir regla para añadir una nueva fila de condición.
Cuando se añaden varias condiciones, deben cumplirse todas las condiciones para que se aplique la regla de aprovisionamiento. Por ejemplo, si se definen las reglasDepartment is RPA
yTitle is Engineer
, solo se añadirán a los grupos especificados los usuarios que estén en el departamento de RPA y tengan el título de Ingeniero. Una cuenta cuyo departamento es RPA, pero cuyo título es QA, no se añade a los grupos. -
En Asignar a grupos, en el recuadro Añadir grupos, comienza a escribir el nombre de un grupo y luego selecciona un grupo de la lista de resultados. Repite la operación para añadir más grupos, si es necesario.
Cuando se cumplen las condiciones, las cuentas se añaden automáticamente a estos grupos cuando se conectan.
- Selecciona Guardar en la esquina inferior derecha para añadir la regla.
With a rule in place, whenever a user logs in and their account meets the conditions specified for a rule, their account is added to the provisioning groups attached to the rule, and their account is set up to work in Automation Cloud.
Fragmento de carga útil SAML de muestra
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
<Attribute
Name="groups">
<AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>
-
Tu IdP debe estar configurado para pasar estas reclamaciones en la carga útil de ACS.
-
Asegúrate de que los nombres de atributos configurados en el IdP coincidan con la configuración de asignación de atributos en el portal de administrador de la organización.
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
{
"displayname": "John Doe",
"fname": "John",
"lname": "Doe",
"jobtitle": "Hardware Engineer",
"dpt": "Engineering",
"city": "Phoenix"
}
Cuando un usuario en esta organización inicia sesión a través de la integración del directorio SAML, su objeto de usuario se actualiza para reflejar esta configuración.
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
{
"Display Name": "John Doe",
"First Name": "John",
"Last Name": "Doe",
"Job Title": "Hardware Engineer",
"Department": "Engineering",
"City": "Phoenix"
}
Make sure you provide your organization-specific URL for the Automation Cloud organization to all your users.
After switching to SAML integration, the Azure AD integration is disabled. Azure AD group assignments no longer apply, so Automation Cloud group membership and the permissions inherited from Azure AD are no longer respected.
To sign in to Automation Cloud with SAML SSO, users can:
- navegar hasta la URL específica de tu organización. La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo
https://cloud.uipath.com/orgID
. - navigate to https://cloud.uipath.com, select Continue with SSO on the Login page, then provide their organization-specific URL.
Para iniciar sesión en UiPath Studio y UiPath Assistant mediante el SSO de SAML, los usuarios deben configurar UiPath Assistant de la siguiente manera:
This is only required for new users who have not used Automation Cloud before and therefore did not have a local account set up for them in Automation Cloud when the integration was enabled.
You can add new users to Automation Cloud groups by their email address (as used in the external IdP). Once a user has been assigned to a group or they have signed in, they will be available through search for role assignment across all UiPath services.
Cuando todos los usuarios hayan hecho la transición al SSO de SAML y se hayan configurado los nuevos usuarios, se recomienda eliminar todas las cuentas de usuario locales que no sean cuentas de administrador. Esto garantiza que los usuarios ya no puedan iniciar sesión con las credenciales de su cuenta local y tengan que iniciar sesión con el SSO de SAML.
Puedes identificar las cuentas de usuario locales en función de sus iconos.
Una cuenta local puede ser útil:
-
Para gestionar problemas de integración de SAML (por ejemplo, actualizar un certificado caducado) o si se cambia la configuración de autenticación, se recomienda una cuenta con el rol de administrador de la organización.
-
Para los procesos que dependen de los tokens de acceso a la API para solicitar autorizaciones, ya que la funcionalidad de acceso a la API (en la página Admin > Tenants ) es inaccesible con una cuenta SAML SSO. Alternativamente, cambia a usar OAuth para la autorización, lo que elimina la necesidad de la información de acceso a la API.
- Limitaciones conocidas
- Requisitos previos
- Paso 1. Limpia las cuentas de usuario inactivas
- Paso 2. Configura la integración SAML
- Paso 2.1. Obtén los datos del proveedor de servicios SAML
- Paso 2.2. Configura tu proveedor de identidad
- Step 2.3. Configure Automation Cloud
- Paso 2.4. Comprueba que la integración se está ejecutando
- Paso 2.5. Configurar las reglas de aprovisionamiento (opcional)
- Asignación de atributos SAML
- Paso 3. Transiciona a tus usuarios a SSO de SAML
- Paso. 4. Configura los Permisos y los Robots
- Paso 5. Interrumpir el uso de cuentas locales (opcional)