UiPath Documentation
automation-cloud
latest
false

Guía para administradores de Automation Cloud

Última actualización 8 de may. de 2026

Integración de Microsoft Entra ID para Automation Cloud y Sector público de Automation Cloud

Este procedimiento solo se aplica a Automation Cloud y Sector público de Automation Cloud

Primeros pasos

Beneficios

La integración de Microsoft Entra ID con UiPath ofrece los siguientes beneficios:

  • Inicio de sesión único (SSO): permite a los usuarios acceder a una organización con sus credenciales de Microsoft Entra ID.
  • Gestión de usuarios simplificada: gestiona el acceso utilizando los usuarios y grupos existentes de Microsoft Entra ID.
  • Seguridad mejorada: aplica las características de Microsoft Entra ID, como la autenticación multifactor, el acceso condicional y la gestión de identidades privilegiadas.
  • Transición perfecta: migra desde cuentas locales sin interrupciones, siempre que las direcciones de correo electrónico coincidan.

Limitaciones y consideraciones

Ten en cuenta las siguientes limitaciones al utilizar la integración de Microsoft Entra ID:

  • UiPath solo admite la integración con el servicio de Microsoft Entra ID en la cloud comercial de Microsoft Azure. No se admite la versión en la nube de Microsoft Azure Government de Microsoft Entra ID.

  • Cuando una integración utiliza acceso delegado solo como ámbito de acceso, Microsoft Entra ID requiere que el usuario esté presente durante la evaluación del directorio. Debido a que las automatizaciones desatendidas y los tokens de acceso personal se ejecutan sin un usuario presente, se aplican las siguientes limitaciones:

    • Los usuarios del directorio de Entra ID de Microsoft no pueden heredar permisos basados en grupos al ejecutar automatizaciones desatendidas o al utilizar tokens de acceso personal.
    • Si el acceso a la organización está restringido a través de grupos de Microsoft Entra ID, los robots desatendidos no pueden acceder a la organización en nombre de los usuarios.

    To work around these limitations without granting app-only permissions, you can enable Use cached user tokens for group membership checks in your Microsoft Entra ID configuration. The availability of this feature depends on the cloud platform that you are using. For details, refer to the Feature availability page, specifically the Use cached user tokens for group membership checks row.

  • Gestión de cuentas de usuario: solo puedes gestionar usuarios y grupos de directorio en Microsoft Entra ID. Estas cuentas aparecen en tu organización solo cuando las buscas o asignas permisos.

  • Claves personalizadas de la aplicación: la integración de Microsoft Entra ID utiliza el protocolo OIDC, pero no admite las claves personalizadas de la aplicación que se pasan a través del parámetro de consulta appid , como se describe en la documentación de los tokens de acceso de Microsoft.

  • No debes nombrar tus grupos locales de UiPath de la misma manera que los grupos del directorio de Microsoft Entra ID. Si lo hace, puede provocar conflictos en la evaluación de permisos y la asignación de acceso basada en grupos.

Antes de empezar

Antes de configurar la integración de Microsoft Entra ID, asegúrate de tener lo siguiente:

  • Una organización con una licencia Enterprise, en el nivel Estándar o Enterprise.
  • Una organización que cumple con uno de los siguientes requisitos de licencias:
    • Unified Pricing: requiere un plan Empresarial o Estándar
    • Flex: requiere un plan empresarial, ya sea de nivel Estándar o Empresarial
  • Permisos de Administrator en la organización.
  • Coordinación con un administrador de Microsoft Entra ID que tenga uno de los siguientes roles:
  • Una cuenta de Microsoft Entra ID que utilice la misma dirección de correo electrónico que tu cuenta de administrador de UiPath (para pruebas)
  • Una versión compatible de UiPath Studio y Assistant, como se especifica en la documentación del ciclo de vida del producto.

Paso 1: preparar su organización para la vinculación de cuentas

Al habilitar la integración de Microsoft Entra ID, UiPath vincula automáticamente cuentas que tienen direcciones de correo electrónico coincidentes. La primera vez que un usuario inicia sesión con Microsoft Entra ID, UiPath crea una cuenta de usuario de directorio y le asigna los mismos permisos que la cuenta local correspondiente.

Importante:

Antes de habilitar la integración de Microsoft Entra ID, elimina cualesquiera usuarios inactivos de la organización. Esto ayuda a evitar la escalada de permisos si esas direcciones de correo electrónico se reasignan a diferentes usuarios de tu organización.

Paso 2: configurar la integración de Microsoft Entra ID

Nota:

La disponibilidad de las características depende de la plataforma en la nube que utilices. Para obtener más información, consulta la página Disponibilidad de características.

Esta integración de Microsoft Entra ID admite tanto modelos de acceso delegado como de acceso solo aplicaciones, utilizando una combinación del flujo de concesión de código de autorización de OAuth 2.0 y el flujo de credenciales de cliente de OAuth 2.0.

Configurar la integración de Microsoft Entra permite a UiPath hacer lo siguiente:

  • Los usuarios deben iniciar sesión con las credenciales de Microsoft Entra ID.
  • Lee los perfiles de usuario y las pertenencias a grupos desde tu directorio de Microsoft Entra ID.
  • Aplicar controles de acceso basados en las asignaciones de grupo de Microsoft Entra ID.

Para integrarse con Microsoft Entra ID, debes configurar una aplicación Microsoft Entra ID que represente a tu organización en tu tenant de Microsoft Entra ID.

Métodos de configuración

Para integrarte con Microsoft Entra ID, debes configurar la aplicación de Microsoft Entra ID que representa a tu organización en tu tenant de Microsoft Entra ID.

Puedes elegir uno de los siguientes métodos de configuración:

  • (Recomendado) Configuración automatizada: utiliza la aplicación de Microsoft Entra ID gestionada por UiPath (modelo de tenant múltiple) para los siguientes beneficios:
    • No hay secretos ni certificados que gestionar.
    • Configuración rápida y fiable.
    • UiPath mantiene la aplicación Microsoft Entra ID por ti.
  • Configuración manual con un registro personalizado de la aplicación Microsoft Entra ID: utiliza tu propia aplicación Microsoft Entra ID y gestiona su configuración manualmente, con las siguientes consideraciones:
    • Debes crear y gestionar las credenciales de la aplicación.
    • Las credenciales caducan y requieren actualizaciones periódicas.
    • Si las credenciales no se actualizan antes de que caduquen, los usuarios no podrán iniciar sesión.

Puedes elegir uno de los siguientes ámbitos de acceso:

  • Delegated and app-only access (Recommended): Allows UiPath services to evaluate group membership both when the user is present and in offline scenarios, such as unattended automations and service-to-service (S2S) scenarios.
  • Acceso delegado: restringe la evaluación de grupo a sesiones interactivas. Los permisos solo se pueden validar cuando el usuario tiene una sesión iniciada activamente.

Acerca de la aplicación Microsoft Entra ID administrada por UiPath

UiPath utiliza una aplicación Microsoft Entra ID prerregistrada y multitenant. Esto elimina la necesidad de crear y mantener tu propio registro y credenciales de aplicación. Los detalles de esta aplicación son:

  • Nombre: Integración de UiPath Entra ID
  • ID de cliente: 4ca9aa42-b0ea-4ceb-b2b1-17fa40827280
  • Ámbitos de aplicación:
    • Entra ID: email, openid, profile, GroupMember.Read.All, User.Read, User.ReadBasic.All, User.Read.All (opcional).
    • Integración de CMK Entra ID: email, openid, profile, y offline access.
  • URI de redirección:
    • https://cloud.uipath.com/portal/grant-consent
    • https://govcloud.uipath.us/portal/grant-consent
  • URL de consentimiento (para la aprobación del administrador): si ves un mensaje de Necesita aprobación del administrador , un administrador de Microsoft Entra ID puede otorgar el consentimiento de todo el tenant navegando a una de las siguientes URL:
    • Acceso delegado y solo de aplicación (multitenant): https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
    • Acceso delegado y solo de aplicación (tenant único): https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
    • Acceso delegado (multitenant): https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234
    • Acceso delegado (tenant único): https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}
    Nota:

    Para configuraciones de tenant único, sustituye {TENANT_ID} por tu ID de directorio (tenant) y {APPLICATION_ID} por tu ID de aplicación (cliente).

Use cached user tokens for group membership checks

Nota:

The availability of this feature depends on the cloud platform that you are using. For details, refer to the Feature availability page, specifically the Use cached user tokens for group membership checks row.

When you select the Delegated access scope, Microsoft Entra ID requires the user to be present during directory evaluation. As a result, group membership cannot be resolved when no user is signed in, such as during unattended automations and service-to-service (S2S) scenarios.

To support these scenarios without granting app-only permissions, select Use cached user tokens for group membership checks in unattended automations. With this option enabled, UiPath reuses the user's most recent Microsoft Entra ID access and refresh tokens to evaluate group membership in unattended automations and S2S scenarios where the user is not actively signed in. The result is coverage comparable to the Delegated and app-only access scope, without requiring app-only permissions.

This option appears only when the Delegated access scope is selected. It is not needed for the Delegated and app-only access scope, where group membership resolution in unattended and S2S scenarios is already handled by application permissions.

Comportamiento predeterminado

The default state of this option depends on whether the directory connection is new or existing:

  • New directory connections: Selected by default. Clear the checkbox to opt out.
  • Existing directory connections: Cleared by default. Open the configuration page and select the checkbox to opt in.
Token expiration

UiPath uses the cached access token until it expires, then uses the cached refresh token to obtain a new one. If both the access token and the refresh token have expired, UiPath can no longer query Microsoft Entra ID on the user's behalf, and group membership results for that user may be incomplete. To restore complete results, the user must sign in again by selecting Continue with Enterprise SSO on the main login page or by navigating to the organization-specific URL. The next sign-in refreshes the cached tokens, and subsequent group membership checks return complete results.

Conditional Access policy considerations

The cached user tokens feature does not bypass Microsoft Entra ID Conditional Access. It only allows UiPath to reuse tokens that the user has already obtained through interactive sign-in. If a Conditional Access policy prevents the cached token from being refreshed, group membership results for that user may be incomplete until the user signs in again using Continue with Enterprise SSO and satisfies all applicable Conditional Access policies.

The policy categories most likely to affect cached tokens are:

  • Sign-in frequency: If a policy requires users to re-authenticate at short intervals, the cached refresh token is rejected once that interval is exceeded.
  • Multifactor authentication at token refresh: Refresh requests are non-interactive and cannot prompt the user for MFA. Policies that require MFA on every token refresh fail in this flow.
  • Risk-based policies and Continuous Access Evaluation (CAE): These can revoke active tokens at any time based on changes in user, device, or session risk.

To minimize interference without weakening your security posture:

  • For users who run unattended automations, balance sign-in frequency requirements with the operational impact of frequent re-authentication.
  • Apply MFA requirements at interactive sign-in, not at token refresh.
  • Monitor the Clear Cached Entra ID User Token audit event. Frequent occurrences for the same user typically indicate that a Conditional Access policy is preventing token refresh. See Audit events.
Eventos de auditoría

UiPath emits two audit events related to cached user tokens. Use them to track when group membership results may be incomplete and when access is restored:

EventoWhen it is emitted
Cache Entra ID User TokenA Microsoft Entra ID token is cached for a user who did not previously have one. This typically happens when the user signs in using Continue with Enterprise SSO after a previously cached token was cleared. The event confirms that subsequent group membership checks for the user will return complete results.
Clear Cached Entra ID User TokenA user's cached Microsoft Entra ID token is removed because Microsoft Entra ID rejected the token refresh and the cached token can no longer be used. This typically happens when both tokens have expired, the refresh token has been revoked, or a Conditional Access policy prevents the refresh. After this event, group membership results for the user may be incomplete until the user signs in again using Continue with Enterprise SSO.

Para configurar la integración de Microsoft ID utilizando la aplicación gestionada por UiPath, un administrador de Microsoft Entra ID debe dar el consentimiento antes de completar la configuración en tu organización.

Utiliza este método si quieres simplificar la configuración y evitar la gestión de secretos o certificados. UiPath recomienda este enfoque para la mayoría de las organizaciones.

Haz que un administrador de Microsoft Entra ID dé el consentimiento navegando a una de las siguientes URL e iniciando sesión. Durante el inicio de sesión, el administrador debe seleccionar Consentimiento en nombre de tu organización y luego seleccionar Aceptar.

Usa la URL que corresponde al ámbito de acceso que planeas configurar en tu organización:

Nota:

Si tu tenant de Microsoft Entra ID permite solicitudes de consentimiento, un administrador de organización puede utilizar estas URL para desencadenar una solicitud de consentimiento. En este caso, un administrador de Microsoft Entra ID debe aprobar la solicitud antes de que la configuración pueda continuar.

  • Acceso delegado y solo de la aplicación (recomendado):
    • Multitenant: https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
    • Tenant único: https://login.microsoftonline.com/{TENANT_ID}/v2.0/adminconsent?client_id={APPLICATION_ID}&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&state=1234&scope=https://graph.microsoft.com/.default
  • Solo acceso delegado:
    • Multitenant: https://login.microsoftonline.com/common/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Fgrant-consent&client_id=4ca9aa42-b0ea-4ceb-b2b1-17fa40827280&state=1234
    • Tenant único: https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/authorize?scope=email+GroupMember.Read.All+openid+profile+User.Read+User.ReadBasic.All&prompt=select_account&response_type=code&redirect_uri=https%3A%2F%2Fcloud.uipath.com%2Fportal_%2Ftestconnection&state=1234&client_id={APPLICATION_ID}

Para configuraciones de tenant único, sustituye {TENANT_ID} por tu ID de directorio (tenant) y {APPLICATION_ID} por tu ID de aplicación (cliente).

Después de conceder el consentimiento para el acceso delegado y solo de aplicaciones, el administrador de Microsoft Entra ID debe compartir el siguiente valor con el administrador de la organización: ID (de tenant) del directorio. Este valor es necesario para completar la configuración.

2. Configura la integración en tu organización

Como administrador de la organización, completa la configuración de la siguiente manera:

  1. En tu organización, ve a Admin > Seguridad > Configuración de autenticación > Integración de directorios e inicio de sesión único (SSO).
  2. Selecciona Microsoft Entra ID.
  3. Elige la aplicación multitenant administrada por UiPath (recomendada).
  4. Selecciona el ámbito de acceso para el que se concedió el consentimiento:
    • Delegated and app-only access (Recommended): Provides full group evaluation, including unattended automations and service-to-service (S2S) scenarios.
    • Acceso delegado: limita las evaluaciones a las sesiones en las que está presente el usuario.
    Nota:

    El acceso delegado y solo de la aplicación solo está disponible para Automation Cloud. Para obtener más información sobre la disponibilidad de características, consulta Disponibilidad de características

  5. If you selected Delegated access, the Use cached user tokens for group membership checks in unattended automations option appears. Select it to extend group membership evaluation to unattended automations and S2S scenarios using cached Microsoft Entra ID tokens. With this option enabled, Delegated access provides coverage comparable to Delegated and app-only access without requiring app-only permissions. For more information, see Use cached user tokens for group membership checks.
  6. Si has seleccionado Acceso delegado y solo de aplicaciones, introduce el ID (de tenant) del Directorio proporcionado por tu administrador de Microsoft Entra ID.
  7. Marque Comprendo y acepto que los usuarios existentes y los usuarios de Microsoft Entra ID con direcciones de correo electrónico coincidentes tendrán sus cuentas vinculadas.
  8. Selecciona Guardar para activar la integración.

Una activación correcta indica que la integración está configurada correctamente. Si la activación falla, verifique que el consentimiento se haya otorgado correctamente e inténtelo de nuevo.

Nota:

Si utilizas Automation Hub y quieres rellenar los campos Ciudad, Puesto de trabajo y Departamento desde Microsoft Entra ID, solicita permisos adicionales. Pide a tu administrador de Microsoft Entra ID que conceda consentimiento de administrador utilizando una URL de consentimiento de administrador elevada que incluya los ámbitos requeridos.

Configuración manual con el registro personalizado de la aplicación Microsoft Entra ID

Si prefieres configurar tu propia aplicación Microsoft Entra ID en lugar de utilizar la aplicación multitenant gestionada por UiPath, sigue los siguientes pasos. Esta opción requiere gestionar tus propias credenciales y mantenerlas a lo largo del tiempo.

Importante:

Las credenciales creadas a través de la configuración manual caducarán periódicamente. Debes renovarlas antes de que caduquen para evitar interrupciones del servicio. Para reducir esta sobrecarga operativa, considera utilizar la configuración automatizada con la aplicación Entra ID gestionada por UiPath.

Configurar Microsoft Entra ID

Como administrador de Microsoft Entra ID, puedes configurar la aplicación utilizando un script de PowerShell o el centro de administración de Microsoft Entra.

Opción A: usar los scripts de PowerShell

Si quieres automatizar el proceso de configuración con una configuración manual mínima, sigue los siguientes pasos:

  2. Ejecuta configAzureADconnection.ps1 para configurar automáticamente tu tenant de Entra.

  3. Ejecuta testAzureADappRegistration.ps1 para verificar la configuración.

    Opción B: utilizar el centro de administración de Microsoft Entra

    Si prefieres configurar manualmente el registro de la aplicación a través de la interfaz de usuario, sigue los siguientes pasos:

  4. Crea el registro de la aplicación:

    1. Ve a Centro de administración de Microsoft Entra > Registros de aplicaciones > Nuevo registro.
    2. Establece un nombre preferido.
    3. Elige Cuentas solo en este directorio de organización.
    4. Establece el URI de redireccionamiento para tu plataforma:
      • https://cloud.uipath.com/identity_/signin-oidc
      • https://govcloud.uipath.us/identity_/signin-oidc

  5. Configurar la autenticación:

    1. Ve a Autenticación.
    2. Añade el siguiente URI de redireccionamiento para tu plataforma:
      • https://cloud.uipath.com/portal_/testconnection
      • https://govcloud.uipath.us/portal_/testconnection
    3. En Concesión implícita y flujos híbridos, selecciona Tokens de ID.Esta integración aprovecha el flujo híbrido de Microsoft.
    4. Guarda los cambios.

  6. Añadir reclamaciones de token:

    1. Ve a Configuración de tokens > Añadir reclamación opcional.
    2. Selecciona ID como el tipo de token.
    3. Elige las siguientes reclamaciones: family_name, given_name y upn.

    Estas reclamaciones se utilizan para actualizar la información del usuario al iniciar sesión.

    1. Guarda los cambios.

  7. Establecer permisos de API:

    1. Ve a Permisos de API > Añadir permiso.
    2. Selecciona Microsoft Graph.
    3. Bajo Qué tipo de permisos requiere tu aplicación? Selecciona los tipos de permiso en función del ámbito de acceso de UiPath que quieres configurar. Antes de seleccionar permisos, considera lo siguiente:

      • Aunque puedes configurar solo acceso delegado, recomendamos utilizar un acceso delegado y de aplicación combinado.

      • Las siguientes tablas enumeran los permisos necesarios para cada ámbito de acceso que deseas configurar. Algunos permisos aparecen en ambas listas, pero deben añadirse por separado porque sus tipos de permisos son diferentes.

        Nota:

        Para utilizar propiedades como City, Job Title y Department en Automation Hub, se requiere el permiso User.Read.All .

        • Para Automation Cloud: independientemente del ámbito de acceso que quieras configurar, debes añadir los siguientes permisos desde el menú Permisos delegados :

          Permiso de Microsoft Entra IDTipo de permisoPropósito
          email, openid, profile, offline_access y User.ReadDelegadoPermite a los usuarios iniciar sesión con Microsoft Entra ID y habilita a Automation Cloud para recuperar reclamaciones en la solicitud de autorización.
          User.ReadBasic.All o User.Read.AllDelegadoPermite a Automation Cloud buscar usuarios en Microsoft Entra ID, asignar permisos y mantener actualizados los atributos de usuario.
          GroupMember.Read.AllDelegadoPermite a Automation Cloud evaluar la pertenencia a grupos y aplicar controles de acceso basados en grupos de directorio.

      • Si quieres configurar el ámbito de Acceso delegado y solo de aplicaciones, también debes añadir los siguientes permisos desde el menú permisos de Aplicación:

        Permiso de Microsoft Entra IDTipo de permisoPropósito
        User.ReadBasic.All o User.Read.AllAplicaciónPermite a Automation Cloud buscar usuarios en Microsoft Entra ID, asignar permisos y mantener actualizados los atributos de usuario en automatizaciones unattended.
        GroupMember.Read.AllAplicaciónPermite a Automation Cloud evaluar la pertenencia a grupos y aplicar controles de acceso basados en grupos de directorio en automatizaciones unattended.

      • Para Sector público de Automation Cloud, utiliza los siguientes permisos:

        • Permisos de OpenID: email, openid, offline_access, profile.
        • Permisos de usuario: User.Read, User.ReadBasic.All o User.Read.All.
        • Permisos de grupo: GroupMember.Read.All.
    4. Selecciona Conceder consentimiento de administrador para (tu organización). Este paso permite a la aplicación acceder a los datos para todos los usuarios sin requerir solicitudes de consentimiento individuales. Para obtener más información, consulta la documentación de Microsoft.

  8. Crear credenciales: puedes utilizar un secreto de cliente o un certificado:

    • Para crear un secreto de cliente:
      1. Ve a Certificados y secretos.
      2. Selecciona Nuevo secreto de cliente y luego guarda el valor secreto.
    • Para crear un certificado:
      1. Abre una nueva pestaña y ve a Azure Key Vault.
      2. Crear un certificado:
        • Asunto: CN=uipath.com
        • Tipo de contenido: PEM
        • Tamaño máximo: menos de 10 KB
      3. Descarga el certificado en formato .pem .
      4. Abre el Archivo .pem en un editor de texto y localiza la sección entre BEGIN CERTIFICATE y END CERTIFICATE.
      5. Crea un nuevo archivo .pem que contenga solo esta sección de certificado.
      6. En el Centro de administración de Microsoft Entra, ve a Certificados y secretos y carga el nuevo archivo .pem.
      7. Guarda el archivo .pem. Lo necesitarás para completar la integración en tu organización.
      Nota:

      La mayoría de los tipos de credencial terminan caducando. Para evitar incidencias de inicio de sesión del usuario, actualiza la configuración antes de que caduquen las credenciales. Para evitar esta sobrecarga, utiliza la configuración automatizada con la aplicación Microsoft Entra ID gestionada por UiPath.

  9. Recopila los siguientes detalles de integración y compártelos con el administrador de tu organización:

    • ID de la aplicación (cliente)
    • ID (de tenant) del Directorio
    • Secreto o certificado de cliente
Activar la integración en tu organización

Como administrador de la organización, utiliza los valores proporcionados por el administrador de Microsoft Entra ID para completar la configuración en tu organización siguiendo estos pasos:

  1. Ve a Administrador > Seguridad > Configuración de autenticación > Integración de directorio e inicio de sesión único (SSO).
  2. Selecciona Microsoft Entra ID.
  3. Elige ID de registro de aplicación personalizado y secreto.
  4. Selecciona el ámbito de acceso deseado:
    • Delegated and app-only access (Recommended): Provides full group evaluation, including for unattended automations and service-to-service (S2S) scenarios.
    • Acceso delegado: limita las evaluaciones a las sesiones en las que está presente el usuario.
  5. If you selected Delegated access, the Use cached user tokens for group membership checks in unattended automations option appears. Select it to extend group membership evaluation to unattended automations and S2S scenarios using cached Microsoft Entra ID tokens. With this option enabled, Delegated access provides coverage comparable to Delegated and app-only access without requiring app-only permissions. For more information, see Use cached user tokens for group membership checks.
  6. Introduce los siguientes valores proporcionados por tu administrador de Entra ID:
    • ID (de tenant) del Directorio
    • ID de la aplicación (cliente)
    • Secreto o certificado de cliente
  7. Marque Comprendo y acepto que los usuarios existentes y los usuarios de Microsoft Entra ID con direcciones de correo electrónico coincidentes tendrán sus cuentas vinculadas.
  8. Selecciona Conexión de prueba y luego inicia sesión con tu cuenta de Microsoft Entra ID.
    • Un inicio de sesión exitoso indica que la integración se ha configurado correctamente.
    • Si el inicio de sesión falla, pide a tu administrador de Microsoft Entra ID que verifique la configuración e inténtalo de nuevo.
  9. Selecciona Guardar para activar la integración.

Paso 3: utilizar y verificar la integración

Después de activar la integración de Microsoft Entra ID, verifica que funciona iniciando sesión con una cuenta de usuario de directorio y confirmando el acceso a los usuarios y grupos de Microsoft Entra ID. Para ello, sigue los siguientes pasos:

  1. Cierra la sesión de tu cuenta local.

  2. Inicia sesión con tu cuenta de usuario de directorio utilizando uno de los siguientes métodos:

    • Navega a la URL específica de tu organización para tu plataforma:
      • https://cloud.uipath.com/{organizationName}/
      • https://govcloud.uipath.us/{organizationName}/
    • O ve a la página principal de inicio de sesión y selecciona Continuar con SSO empresarial.
    Nota:

    Para confirmar que has iniciado sesión con una cuenta de directorio, ve a la página de inicio en:

    • https://cloud.uipath.com/{organizationName}/portal_/home
    • https://govcloud.uipath.us/{organizationName}/portal_/home

    Si no ves una advertencia sobre haber iniciado sesión con una cuenta de usuario local, has iniciado sesión correctamente con una cuenta de usuario de directorio.

  3. Ve a Cuentas y grupos locales e intenta añadir usuarios o grupos del directorio de Microsoft Entra ID a un grupo local. Los usuarios y grupos de Microsoft Entra ID tienen iconos distintos para diferenciarlos de las cuentas locales.

    Nota:

    Los usuarios y grupos de Microsoft Entra ID no se enumeran de forma predeterminada en las páginas Cuentas de usuario o Grupos locales. Puedes encontrarlos solo utilizando la función de búsqueda.

Paso 4: completar la transición

Paso 4.1: configurar los permisos de grupo

Para permitir que los usuarios del directorio hereden permisos en función de su pertenencia a un grupo, añade los grupos de ID de Microsoft Entra relevantes a los grupos locales de tu organización.

Por ejemplo, añade tu grupo de Entra ID de UiPath al grupo Administradores de tu organización.

Recomendamos eliminar los permisos de usuario individuales y confiar en la pertenencia a un grupo de directorio para simplificar la gestión de permisos a medida que tu organización crece.

Paso 4.2: Migrar usuarios existentes

Para garantizar que los usuarios hereden los permisos asignados a través de la pertenencia al grupo de Microsoft Entra ID en tu organización, Studio y Assistant, realiza los siguientes pasos:

Para tu organización:

Pide a los usuarios que cierren sesión e inicien sesión utilizando sus cuentas de directorio de una de las siguientes maneras:

  • Navega a la URL específica de tu organización para tu plataforma:
    • https://cloud.uipath.com/{organizationName}/
    • https://govcloud.uipath.us/{organizationName}/
  • O selecciona Continuar con SSO empresarial en la página principal de inicio de sesión.

Para Studio y Assistant:

  1. Abre UiPath Assistant.
  2. Ve a Preferencias > Conexión de Orchestrator.
  3. Cierra la sesión actual.
  4. Establece el tipo de conexión como URL de servicio.
  5. Introduce la URL de la organización para tu plataforma:
    • https://cloud.uipath.com/{organizationName}/
    • https://govcloud.uipath.us/{organizationName}/
  6. Inicia sesión con tu cuenta de Microsoft Entra ID.

Paso 4.3: Eliminación de cuentas locales

ADVERTENCIA:

Asegúrate de que todos los usuarios hayan iniciado sesión con su cuenta de Microsoft Entra ID al menos una vez antes de eliminar sus cuentas locales. La vinculación de cuentas solo se produce en el primer inicio de sesión en el directorio. Si se elimina una cuenta local antes de que el usuario inicie sesión con su cuenta de directorio, se crea una nueva identidad de directorio en su lugar: el usuario pierde acceso a su trabajo anterior, incluidos proyectos y soluciones. Esto no se puede revertir.

Recomendamos eliminar las cuentas de usuario locales para garantizar la coherencia y simplificar la experiencia del usuario.

Los usuarios que siguen iniciando sesión con cuentas locales en lugar de sus cuentas de directorio se enfrentan a las siguientes limitaciones:

  • No heredan permisos de grupo de directorio.
  • No pueden buscar ni asignar usuarios o grupos desde el directorio de Microsoft Entra ID.

La siguiente tabla resume el comportamiento esperado para las cuentas locales y de directorio vinculadas:

CapacidadCuenta de usuario local vinculadaCuenta de usuario de directorio vinculada
Heredar permisos asignados directamente al usuario
Heredar permisos asignados a grupos de directorioNo
Busca y asigna permisos o recursos de usuarios y grupos de directorio en tu organizaciónNo
Importante:

Si utilizas la configuración manual para la integración de Microsoft Entra ID, debes mantener al menos una cuenta de usuario local con privilegios de administrador para gestionar la integración.

Configuración avanzada

Restringir el acceso a usuarios específicos

De forma predeterminada, todos los usuarios de tu tenant de Microsoft Entra ID pueden acceder a tu organización de Automation Cloud. Para restringir el acceso a usuarios o grupos específicos, sigue los siguientes pasos:

  1. En el Centro de administración de Microsoft Entra, ve a la aplicación que creaste para la integración en el Paso 2: Configurar la integración de Microsoft Entra ID.
  2. Ve a Aplicaciones Enterprise > Propiedades.
  3. Establece ¿Asignación de usuario requerida? como .
  4. En Usuarios y grupos, asigna los usuarios o grupos que deben tener acceso.

Todos los usuarios y grupos de tu tenant pueden buscarse en Automation Cloud, pero solo los asignados a la aplicación pueden iniciar sesión. Para obtener más información, consulta la documentación de Microsoft sobre la asignación de usuarios.

Implementar restricciones de red

Utiliza las políticas de acceso condicional de Microsoft Entra ID para restringir el acceso en función de los siguientes criterios:

  • Ubicación de la red (por ejemplo, solo red corporativa)
  • Cumplimiento del dispositivo
  • Nivel de riesgo

Para obtener más detalles sobre cómo configurar estas políticas, consulta la documentación de Microsoft sobre Acceso condicional.

Gestionar el acceso privilegiado

Para los grupos de Microsoft Entra ID utilizados para gestionar el acceso de administrador de UiPath, implementa las siguientes prácticas de gestión de acceso:

  • Habilita Gestión de identidades privilegiadas (PIM) en Microsoft Entra ID.
  • Configura los flujos de trabajo de acceso y aprobación justo a tiempo.
  • Configura revisiones de acceso periódicas para validar la pertenencia y los permisos.

Para obtener orientación de configuración, consulta la documentación de Microsoft sobre Gestión de identidades privilegiadas.

Preguntas frecuentes

¿Qué cambia para mis usuarios después de la integración?

Después de la integración, los usuarios pueden iniciar sesión con sus cuentas de Microsoft Entra ID y conservar sus permisos existentes. Si las cuentas de usuario locales siguen activas, ambos métodos de inicio de sesión siguen estando disponibles.

Para iniciar sesión con una cuenta de directorio, los usuarios pueden realizar una de las siguientes acciones:

  • Ve a la URL específica de la organización para tu plataforma:
    • https://cloud.uipath.com/{organizationName}/
    • https://govcloud.uipath.us/{organizationName}/
  • En la página principal de inicio de sesión, selecciona Continuar con Enterprise SSO.

¿Por qué no puedo buscar usuarios o grupos después de configurar la integración?

Si iniciaste sesión con una cuenta de usuario local en lugar de tu cuenta de directorio, no podrás buscar usuarios o grupos en tu organización.

Para comprender las diferencias entre las cuentas locales y de directorio, consulta Eliminación de cuentas locales.

Para resolver el problema, asegúrate de haber iniciado sesión con tu cuenta de Microsoft Entra ID.

¿Tengo que reasignar permisos?

No, no es necesario reasignar permisos. Cuando las cuentas están vinculadas, tu organización aplica automáticamente los permisos existentes a la cuenta correspondiente de Microsoft Entra ID. Las cuentas de usuario del directorio reciben permisos tanto de las asignaciones directas como de las pertenencias a grupos del directorio.

¿Qué atributos de Microsoft Entra ID se asignan a las cuentas de usuario del directorio de UiPath y cuándo se actualizan?

UiPath asigna solo un conjunto limitado de atributos de Microsoft Entra ID a las cuentas de usuario del directorio. La siguiente tabla resume los atributos disponibles.

Todos los atributos de usuario se actualizan durante el inicio de sesión y cuando se busca a los usuarios o se les asigna acceso a los recursos de su organización de UiPath.

Atributos de la organización de UiPathAtributos de Microsoft Entra IDPropósito
Nombre de usuariouser.userPrincipalNameIdentificador único. Esta propiedad es necesaria cuando se crea un usuario y no se puede borrar durante las actualizaciones.
Nombre para mostraruser.displayNameEl nombre completo del usuario, normalmente una combinación de nombre y apellido. Esta propiedad es necesaria cuando se crea un usuario y no se puede borrar durante las actualizaciones.
Nombreuser.givenNameEl nombre del usuario.
Apellidosuser.surNameEl apellido del usuario.
Correo electrónicouser.MailLa dirección de correo electrónico del usuario Esta propiedad es necesaria cuando se crea un usuario, y no se puede borrar durante las actualizaciones.
Puesto de trabajo1user.JobTitleEl puesto de trabajo del usuario.
Departamento1user.DepartmentEl departamento del usuario.
Ciudad1user.CityLa ciudad del usuario.
Nombre de la compañía1user.CompanyNameEl nombre de la empresa del usuario.

1Automation Hub es el único servicio que aprovecha los valores de Ciudad, Cargo, Departamento y Nombre de la empresa de Microsoft Entra ID. Si necesitas estos atributos, debes solicitar un permiso privilegiado superior, como se documenta en Configurar la integración de Microsoft Entra ID.

Nota:

Para obtener descripciones de los atributos de Microsoft Entra ID, consulta la documentación de Microsoft.

¿Con qué rapidez se aplican los cambios de membresía de grupo de Microsoft Entra ID?

Los cambios en la pertenencia al grupo de Microsoft Entra ID surtirán efecto en el siguiente inicio de sesión o en el plazo de una hora para los usuarios que ya hayan iniciado sesión.

¿Puedo volver a las cuentas locales después de la integración?

Sí, puedes volver a las cuentas locales después de integrarte con Microsoft Entra ID. Un administrador de la organización debe completar los siguientes pasos:

  1. Vuelve a invitar a las cuentas de usuario locales.
  2. Migrar todos los permisos basados en grupos de directorio para dirigir las asignaciones en las cuentas locales correspondientes.
  3. Pide a los usuarios que cierren sesión y luego inicien sesión con su cuenta de usuario local.

¿Puedo migrar de la integración de Microsoft Entra ID a la integración de SAML?

Sí, puedes migrar de la integración de Microsoft Entra ID a la integración de SAML. Un administrador de la organización debe asegurarse de que ambos sistemas de identidad utilicen la misma dirección de correo electrónico para cada usuario. El administrador también debe migrar todos los permisos asignados a través de los grupos de Microsoft Entra ID a las reglas de aprovisionamiento de SAML.

¿Por qué la integración utiliza el flujo de concesión de código de autorización híbrido OAuth 2.0 de Microsoft Entra?

UiPath utiliza el flujo híbrido para obtener el token de ID del punto final de autorización y para reducir la latencia de autenticación, como se describe en la documentación de Microsoft Entra ID.

¿Te ha resultado útil esta página?

Conectar

¿Necesita ayuda? Soporte

¿Quiere aprender? UiPath Academy

¿Tiene alguna pregunta? Foro de UiPath

Manténgase actualizado