automation-cloud
latest
false
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática. La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.
UiPath logo, featuring letters U and I in white

Guía para administradores de Automation Cloud

Última actualización 11 de jun. de 2025

Configurar la Integración SAML

Esta característica está disponible con el plan de licencias Enterprise.

By using SAML configuration in Automation Cloud we enhance both security and efficiency in authentication. Our system uses SAML to enable Single Sign-On (SSO) via secure access tokens, allowing the UiPath platform to connect with any Identity Provider (IdP) that uses the SAML 2.0 standard.

Además, nuestra configuración SAML incluye capacidades de cierre de sesión único (SLO), que permiten cierres de sesión simultáneos en todas tus aplicaciones unificadas bajo tu IdP.

La integración de SAML se ha diseñado de forma que pueda implantarse gradualmente, sin perturbar a los usuarios existentes.

Nota:

Cambiar de la integración nativa de Azure Active Directory a la integración SAML

Si utilizas AAD para la autenticación, te recomendamos que utilices nuestra integración nativa de AAD porque tiene más funciones.

Si decides cambiar a la integración SAML, debes reemplazar manualmente la asignación de roles realizada a través de grupos de directorio con la asignación directa de roles a las cuentas de directorio para que no tengas que volver a crear completamente tu esquema de acceso.

Limitaciones conocidas

  • Las aserciones SAML cifradas de tu proveedor de identidad no son compatibles.

  • No puedes buscar usuarios y grupos desde tu proveedor de identidades. Solo los usuarios del directorio aprovisionados están disponibles para la búsqueda.

  • You cannot view directory users at the organization level. Only local users appear at the organization level. Just-in-time provisioning adds directory users, so they do not show up on the Accounts & Groups page in Automation Cloud.

  • La visualización de la información de acceso a la API, que permite autorizar las solicitudes de la API usando una clave de usuario, no está disponible para los usuarios del directorio que se registran a través de la integración SAML.

Requisitos previos

Para configurar la integración SAML, necesitas lo siguiente:

  • An Automation Cloud organization with the Enterprise licensing plan.
  • Administrator permissions in both the Automation Cloud organization and your third-party identity provider. If you don't have administrator permissions in your identity provider, you can work with an administrator to complete the setup process.

  • UiPath® Studio y UiPath Assistant versión 2020.10.3 o posterior, para que puedas configurarlos para utilizar la implementación recomendada.

Paso 1. Limpia las cuentas de usuario inactivas

Si tu organización recicla direcciones de correo electrónico, es importante que elimines todas las cuentas de usuario inactivas antes de configurar la integración SAML.

When you enable the integration, local accounts present in Automation Cloud can be linked with the directory account in the external identity provider that uses the same email address. This account linking occurs when the directory account user with the email address signs in for the first time. The identity from your identity provider inherits all roles from the local account, so that the transition is seamless. Because of this, with inactive local accounts present in Automation Cloud, there is a risk that local accounts and directory accounts are mismatched, which can lead to unintended elevation of permissions.

Para eliminar las cuentas de usuario inactivas:

  1. Log in to Automation Cloud as an organization administrator.
  2. Ve a Administración, selecciona tu organización y, a continuación, selecciona Cuentas y grupos. La página Cuentas y grupos para la organización se abrirá en la pestaña Usuarios.
  3. Selecciona el encabezado de columna para la columna Último activo para reordenar los usuarios de modo que los que tienen la fecha más antigua para el último inicio de sesión se muestren en la parte superior. La columna Último activo muestra la fecha del último inicio de sesión del usuario. Pendiente en esta columna significa que el usuario nunca ha iniciado sesión.
  4. Selecciona el icono Eliminar al final de la fila para eliminar la cuenta local de ese usuario.


  5. In the confirmation dialog, select Delete to confirm deleting the account from Automation Cloud. The user account is removed from the page.
  6. Continúa eliminando todas las cuentas de usuario inactivas de tu organización.

Paso 2. Configura la integración SAML

Now, you must configure both Automation Cloud and your identity provider (IdP) for the integration.

Paso 2.1. Obtén los datos del proveedor de servicios SAML

  1. Log in to Automation Cloud as an organization administrator.
  2. Ve a Administración, selecciona tu organización y, a continuación, selecciona Seguridad. La página Configuración de seguridad para la organización se abrirá en la pestaña Configuración de la autenticación.
  3. En Configuración de directorio para SSO, selecciona Configurar SSO. Se abre la ventana de configuración de SSO , que describe las ventajas y los requisitos previos para la integración.
  4. De las dos opciones de SSO, selecciona SAML 2.0. La página de configuración de SAML SSO se abre en la pestaña Configurar proveedor de identidades .
  5. En la sección superior de la página, puedes encontrar la información de UiPath necesaria para configurar tu proveedor de identidad: URL de metadatos, URL de servicio de consumidor de afirmaciones, ID de entidad. Cópialos y guárdalos para configurar el proveedor de identidades.
    Importante: Recomendamos encarecidamente utilizar la URL de metadatos de UiPath como parte del proceso de configuración de tu proveedor de identidades. Esto permite actualizaciones automáticas cada vez que iniciamos rotaciones para nuestros certificados de firma, lo que garantiza el funcionamiento ininterrumpido de la plataforma.
    'Configurar proveedor de identidad'
  6. El ID de entidad contiene el ID de la organización de forma predeterminada. Puedes cambiar el formato para utilizar el identificador global (sin ID de organización) utilizando la opción Cambiar formato de ID de entidad . A continuación, en la ventana Cambiar formato de ID de entidad , en el menú desplegable Formato de ID de entidad, selecciona Identificador específico de la organización para utilizar el formato que contiene el ID de la organización, o Identificador global para utilizar el formato que no contiene el ID de la organización. Recomendamos utilizar el identificador específico de la organización, ya que te permite inscribir varias organizaciones de UiPath en tu proveedor de identidad, si alguna vez lo deseas.

Mantén esta pestaña del navegador abierta para más adelante.

Paso 2.2. Configura tu proveedor de identidad

Puedes conectarte a cualquier proveedor de identidades (IdP) de terceros que utilice el estándar SAML 2.0. Aunque la configuración puede variar en función del IdP elegido, hemos validado la configuración para utilizar Okta o PingOne, que puedes utilizar como referencia para configurar la integración.

En el caso de otros proveedores de identidad, te recomendamos que sigas su documentación de integración.

Step 2.3. Configure Automation Cloud

To enable Automation Cloud as a service provider that recognizes your identity provider, take the following steps:

  1. Return to the SAML SSO configuration tab in Automation Cloud.
  2. In the second section of the Configure identity provider page, you can view the fields necessary to configure the identity provider in Automation Cloud. In the Metadata URL field, enter the metadata URL of your identity provider. This enables Automation Cloud to regularly fetch and update data from your identity provider, streamlining the SAML configuration process for the long term.
    Importante: Recomendamos encarecidamente utilizar la URL de metadatos durante la configuración de SAML. Esto permite a UiPath obtener y actualizar periódicamente los datos de tu proveedor de identidades, lo que agiliza el proceso de configuración de SAML a largo plazo.
    Imagen 'Configurar proveedor de identidad'
  3. Selecciona Obtener datos. Cuando se completa, los campos URL de inicio de sesión, ID de entidad del proveedor de identidad y Certificado de firma se rellenan con la información de IdP.
  4. Aunque no es el método recomendado, puedes elegir introducir manualmente los detalles SAML de tu proveedor de identidad en los campos URL de inicio de sesión, ID de entidad del proveedor de identidad y Certificados de firma .
  5. Para introducir manualmente varios certificados, pégalos en el campo Certificado de firma en codificación base64, encerrados por los indicadores de certificado de inicio y finalización, y separados por un carácter de nueva línea. Por ejemplo, si tienes dos certificados, debes utilizar el siguiente formato:
    -----BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE----------BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <base64 encoded certificate retrieved from SAML metadata URL or SAML admin>
    -----END CERTIFICATE-----
    Imagen 'Firma de campos de certificado'
  6. Select Next in the bottom right corner to move to the next step. You are taken to the Map attributes & complete tab. Mapping attributes, referred to as "claims", link user details between your identity provider and Automation Cloud. This ensures user data, like an email or username, matches across both systems.
    Imagen 'Atributos del mapa y pestaña completa'
  7. En el paso Asignar atributos y completar , selecciona la opción Habilitar el identificador único personalizado para configurar un identificador único que no sea un correo electrónico. Esto es útil, por ejemplo, si no todos los usuarios tienen cuentas de correo electrónico o si sus direcciones de correo electrónico no son únicas.
    Advertencia: Una vez que hayas establecido un nombre de reclamación de identificador único , cambiarlo puede provocar la pérdida de usuarios previamente reconocidos, ya que es posible que el sistema ya no pueda identificarlos. Como tal, la IU restringe el cambio de la reclamación del identificador único una vez que se ha establecido. Para cambiarlo, debes eliminar y volver a crear toda tu configuración.
    1. It is mandatory to enter the unique identifier of your users in the Unique identifier field. This is the claim Automation Cloud uses to identify users when they sign in.
    2. En el campo Nombre para mostrar , introduce la notificación por la que tus usuarios pueden ser reconocidos al iniciar sesión.
    3. Se vuelve opcional introducir el campo Correo electrónico para tus usuarios.
    4. El campo Dominios de direcciones de correo electrónico permitidos está atenuado y no está disponible para su entrada. Esto se debe a que el sistema ya no utiliza el correo electrónico como identificador único, lo que hace que este campo sea irrelevante.
    5. Optionally, add new mappings, by specifying the respective claim from the identity provider and the corresponding attribute in Automation Cloud.
  8. De forma predeterminada, la opción Habilitar el identificador único personalizado está desactivada, lo que significa que la dirección de correo electrónico se utiliza como identificador de los usuarios. Sigue estos pasos:
    1. El campo Correo electrónico se vuelve obligatorio y no se puede cambiar.
    2. Rellena la sección Dominios permitidos con los dominios desde los que quieres permitir acceder a los usuarios. Introduce todos los dominios admitidos por el proveedor de identidad configurado. Separa los dominios múltiples con comas.
    3. Under Attribute Mapping, fill in the Display Name field with the attribute from your IdP that you want to show in Automation Cloud as the name for users. You can use the First Name and Last Name attributes.
    4. Optionally, add new mappings, by specifying the respective claim from the identity provider and the corresponding attribute in Automation Cloud.
  9. Una vez que hayas configurado los atributos, configura los campos Permitir respuesta de autenticación no solicitada y Tipo de enlace SAML .
    1. Permitir respuesta de autenticación no solicitada: habilite si desea poder navegar a la plataforma UiPath desde el panel de IdP.
    2. Tipo de enlace SAML: seleccionar cómo debe comunicarse la configuración SAML, a través del agente de usuario HTTP. Selecciona redireccionamiento HTTP para utilizar los parámetros de la URL, o publicación HTTP para usar un formulario HTML con contenido codificado en base64.
  10. If your identity provider requires Automation Cloud to sign all SAML authentication requests, select the Sign Authentication Request option. Check with your identity provider to determine if this feature needs to be enabled. Automation Cloud commonly updates its signing keys. If you have activated the Sign Authentication Request feature, make sure your IdP regularly syncs with Automation Cloud by continually downloading the updated keys from Automation Cloud's metadata URL.
  11. Selecciona Probar y guardar para terminar de configurar la integración.

Paso 2.4. Comprueba que la integración se está ejecutando

Para validar que la integración de SSO de SAML funcione correctamente:

  1. Abre una ventana de incógnito en el navegador.
  2. Navigate to your Automation Cloud organization URL.
  3. Comprueba las siguientes cuestiones:
    1. ¿Se te pide que inicies sesión con tu proveedor de identidad SAML?
    2. ¿Puedes iniciar la sesión con éxito?
    3. Si te estás registrando con una dirección de correo electrónico que coincide con una cuenta de usuario existente, ¿tienes los permisos adecuados?

Paso 2.5. Configurar las reglas de aprovisionamiento (opcional)

If you use claims in your IdP, you can leverage them as conditions in a provisioning rule so that users are automatically provisioned with the right licenses and roles when they sign in to Automation Cloud. Provisioning rules are evaluated when a user signs in. If the user account meets the conditions for a rule, it is automatically added to the local UiPath group associated with the rule. For example, an administrator can configure a rule to provision users directly into the Automation Users group using these settings: Claim=group, Relationship=is, Value=Automation User.

2.5.1 Configurar grupos de aprovisionamiento

In Automation Cloud, adding an account to a group means the account inherits the licenses, roles, and robot configuration defined for the group, if any.

By grouping similar account types (e.g., developers or testers), you can streamline user onboarding process to Automation Cloud. Just make sure that in the IdP you set up similar accounts in the same way.

De esta manera, configuras el grupo una vez y luego replicas la configuración añadiendo cuentas al grupo cuando sea necesario. Si es necesario cambiar la configuración de un grupo de cuentas en particular, solo tendrás que actualizar el grupo una vez y los cambios se aplicarán a todas las cuentas del grupo.

Para configurar un grupo para una regla de aprovisionamiento:

  1. Create a new local group in Automation Cloud.

    Si quieres, puedes usar uno de tus grupos existentes en lugar de crear uno nuevo.

  2. (Opcional y requiere la gestión de licencias de usuario habilitada) Si las cuentas de este grupo necesitan licencias de usuario, configura las reglas de asignación de licencias para el grupo.

    Si utilizas un grupo existente, comprueba la asignación de licencias para el grupo para asegurarte de que se asignan las licencias correctas. Si no es así, cambia las asignaciones o considera la posibilidad de crear un nuevo grupo.

  3. Asigna roles de tenant y, opcionalmente, completa la configuración del robot para el grupo. Para obtener instrucciones, consulta Asignar roles a un grupo .

    Si utilizas un grupo existente, comprueba los roles actualmente asignados al grupo para asegurarte de que son adecuados para el tipo de cuenta que añadirás al grupo. Si no es así, edita los roles asignados a este grupo o considera la posibilidad de crear un nuevo grupo.

  4. Añade el grupo a las carpetas y asigna roles de carpeta, según sea necesario. Para obtener instrucciones, consulta Gestionar el acceso a carpetas.

Ahora puedes usar este grupo en una regla de aprovisionamiento.

2.5.2. Crear una regla de aprovisionamiento para un grupo

Nota:

Asegúrate de que la reclamación asociada a la regla de aprovisionamiento SAML se envíe a la carga útil SAML configurándola en la aplicación SAML.

Una vez configurada la integración SAML y tras haber configurado un grupo:

  1. Ve a Administración, selecciona tu organización y, a continuación, selecciona Seguridad.

    La página Configuración de seguridad para la organización se abrirá en la pestaña Configuración de la autenticación.

  2. En la opción SAML SSO , selecciona Ver reglas de aprovisionamiento. Se abrirá la página Reglas de aprovisionamiento de SAML SSO , donde se enumeran las reglas existentes.

  3. En la esquina superior derecha de la página, selecciona Añadir regla.

    Se abre la página Añadir nueva regla.

  4. En Detalles básicos, rellena el campo Nombre de la regla y, opcionalmente, rellena el campo Descripción.
  5. En Condiciones, selecciona Añadir regla.

    Se añade una fila de campos para una nueva condición. Conjuntamente, definen los criterios que debe cumplir una cuenta al iniciar la sesión para añadirse a un grupo (elegido más tarde).



  6. En el campo Reclamación , escribe el nombre de la reclamación, tal y como aparece en el IdP. El campo distingue entre mayúsculas y minúsculas.
  7. En la lista Relación , selecciona cómo se relaciona la reclamación con el valor. Las siguientes opciones están disponibles, como se describe en la tabla:

    Relación

    Requisito de condición

    Ejemplo

    es

    coincidencia exacta, distingue entre mayúsculas y minúsculas

    Department is RPA requiere que el valor de la solicitud Department sea RPA.
    La condición no se cumple si el valor es RPADev, por ejemplo.

    Esta relación funciona para las reclamaciones multivalor.

    Por ejemplo, si los valores administrator y developer se envían bajo la reclamación Group, entonces Group is administrator sería una relación válida.

    no es

    cualquier cosa, excepto el valor especificado; distingue entre mayúsculas y minúsculas

    Para Department is not ctr, cualquier cuenta se añade al grupo a menos que Department tenga el valor ctr.
    La condición se cumple si el departamento es Ctro electr.

    contiene

    incluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas

    Department contains RPA requiere que el valor de la solicitud Department incluya RPA.
    La condición se cumple si el valor es RPADev, xRPAx o NewRPA, por ejemplo.

    no contiene

    excluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas

    Para Department not contains ctr, cualquier cuenta se añade al grupo a menos que el valor Department incluya ctr.
    Las cuentas cuyo departamento es ctr o electr, por ejemplo, no se añaden al grupo.

    distingue entre mayúsculas y minúsculas

    coincidencia exacta; sin distinción de mayúsculas y minúsculas

    Department is case insensitive RPA requiere que el valor de la solicitud Department sea rpa, con cualquier uso de mayúsculas.
    La condición se cumple si el valor es rpa, por ejemplo. La condición no se cumple si el valor es crpa.

    contiene mayúsculas y minúsculas

    incluye; no requiere una coincidencia exacta; no distingue entre mayúsculas y minúsculas

    Department contains case insensitive RPA requiere que el valor de la solicitud Department incluya RPA, con cualquier uso de mayúsculas.
    La condición se cumple si el valor es rpa, cRPA o rpA, por ejemplo.
  8. En el campo Valor, escribe el valor necesario para cumplir la condición.
  9. Si quieres añadir otra condición, selecciona Añadir regla para añadir una nueva fila de condición.

    Cuando se añaden varias condiciones, deben cumplirse todas las condiciones para que se aplique la regla de aprovisionamiento. Por ejemplo, si se definen las reglas Department is RPA y Title is Engineer, solo se añadirán a los grupos especificados los usuarios que estén en el departamento de RPA y tengan el título de Ingeniero. Una cuenta cuyo departamento es RPA, pero cuyo título es QA, no se añade a los grupos.
  10. En Asignar a grupos, en el recuadro Añadir grupos, comienza a escribir el nombre de un grupo y luego selecciona un grupo de la lista de resultados. Repite la operación para añadir más grupos, si es necesario.

    Cuando se cumplen las condiciones, las cuentas se añaden automáticamente a estos grupos cuando se conectan.

  11. Selecciona Guardar en la esquina inferior derecha para añadir la regla.

With a rule in place, whenever a user logs in and their account meets the conditions specified for a rule, their account is added to the provisioning groups attached to the rule, and their account is set up to work in Automation Cloud.

Fragmento de carga útil SAML de muestra

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

Asignación de atributos SAML

Al configurar la integración del directorio SAML, los administradores de la organización pueden definir qué atributos de su IdP deben asignarse a los atributos de usuario del sistema. Posteriormente, cuando un usuario inicia sesión a través de la integración del directorio SAML, el sistema lee las reclamaciones que se pasan a la carga útil de ACS y asigna el valor a sus atributos del sistema correspondientes.
Nota:
  • Tu IdP debe estar configurado para pasar estas reclamaciones en la carga útil de ACS.

  • Asegúrate de que los nombres de atributos configurados en el IdP coincidan con la configuración de asignación de atributos en el portal de administrador de la organización.

Por ejemplo, si esta es la estructura de usuario de tu IdP, un administrador de la organización puede configurar los siguientes ajustes de asignación de atributos para que esta información se rellene en el objeto de usuario del sistema.
{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}
Imagen 'Asignación de atributos SAML'

Cuando un usuario en esta organización inicia sesión a través de la integración del directorio SAML, su objeto de usuario se actualiza para reflejar esta configuración.

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}

Paso 3. Transiciona a tus usuarios a SSO de SAML

Make sure you provide your organization-specific URL for the Automation Cloud organization to all your users.

Nota:

After switching to SAML integration, the Azure AD integration is disabled. Azure AD group assignments no longer apply, so Automation Cloud group membership and the permissions inherited from Azure AD are no longer respected.

To sign in to Automation Cloud with SAML SSO, users can:

  • navegar hasta la URL específica de tu organización. La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID.
  • navigate to https://cloud.uipath.com, select Continue with SSO on the Login page, then provide their organization-specific URL.

Para iniciar sesión en UiPath Studio y UiPath Assistant mediante el SSO de SAML, los usuarios deben configurar UiPath Assistant de la siguiente manera:

  1. En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
  2. Selecciona Cerrar sesión.
  3. Para el tipo de conexión, selecciona URL de servicio.
  4. En el campo URL del servicio, añade la URL específica de la organización.
    La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID. De lo contrario, la conexión falla diciendo que el usuario no pertenece a ninguna organización.
  5. Vuelve a iniciar sesión con el SSO de SAML.

Paso. 4. Configura los Permisos y los Robots

This is only required for new users who have not used Automation Cloud before and therefore did not have a local account set up for them in Automation Cloud when the integration was enabled.

You can add new users to Automation Cloud groups by their email address (as used in the external IdP). Once a user has been assigned to a group or they have signed in, they will be available through search for role assignment across all UiPath services.

Paso 5. Interrumpir el uso de cuentas locales (opcional)

Cuando todos los usuarios hayan hecho la transición al SSO de SAML y se hayan configurado los nuevos usuarios, se recomienda eliminar todas las cuentas de usuario locales que no sean cuentas de administrador. Esto garantiza que los usuarios ya no puedan iniciar sesión con las credenciales de su cuenta local y tengan que iniciar sesión con el SSO de SAML.

Puedes identificar las cuentas de usuario locales en función de sus iconos.

Una cuenta local puede ser útil:

  • Para gestionar problemas de integración de SAML (por ejemplo, actualizar un certificado caducado) o si se cambia la configuración de autenticación, se recomienda una cuenta con el rol de administrador de la organización.

  • Para los procesos que dependen de los tokens de acceso a la API para solicitar autorizaciones, ya que la funcionalidad de acceso a la API (en la página Admin > Tenants ) es inaccesible con una cuenta SAML SSO. Alternativamente, cambia a usar OAuth para la autorización, lo que elimina la necesidad de la información de acceso a la API.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2025 UiPath. Todos los derechos reservados.