automation-suite
2021.10
false
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática. La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.
UiPath logo, featuring letters U and I in white
Sin asistencia

Guía de administración de Automation Suite

Última actualización 24 de feb. de 2025

Configurar SSO: SAML 2.0

Puede activar el inicio de sesión único (SSO) utilizando cualquier proveedor de identidades compatible con el protocolo de autenticación SAML 2.0.

Información general

La activación del inicio de sesión único de SAML es un proceso de varios pasos. Deberá completar la siguiente configuración:

  1. Configura tu proveedor de identidades para que reconozca la plataforma UiPath como proveedor de servicios.
  2. Configura la plataforma UiPath como proveedor de servicios para reconocer y confiar en tu proveedor de identidad.
  3. Aprovisione a los usuarios de su organización para que puedan iniciar sesión con SSO utilizando el protocolo SAML 2.0 de su proveedor de identidades.

Paso 1. Configurar su proveedor de identidades

UiPath admite varios proveedores de identidad.

En esta sección, ejemplificamos cómo encontrar la configuración específica y obtener los certificados para cada uno de los siguientes proveedores de identidades:

  • ADFS

  • Google

  • OKTA

  • PingOne

A. Configurar AD FS

Configure una máquina compatible con ADFS y asegúrese de tener acceso al software de gestión de ADFS. Si es necesario, hable con el administrador de su sistema.

Nota: Los siguientes pasos son una descripción general de una configuración de ejemplo. Para obtener instrucciones más detalladas, consulta la documentación de ADFS.
  1. Abre ADFS Management y define un nuevo usuario de confianza para Orchestrator como sigue:
    1. Haz clic en Usuarios de confianza.
    2. En el panel Acciones, haz clic en Añadir usuario de confianza. Se mostrará el asistente Añadir un usuario de confianza.
    3. En la sección de bienvenida, selecciona Para notificaciones.
    4. En la sección Seleccionar datos, selecciona la opción Introducir manualmente los datos del usuario de confianza.
    5. En la sección Especificar nombre de usuario, en el campo Nombre para mostrar, introduce la URL de la instancia de Orchestrator.
    6. La sección Configurar certificado no necesita ningún ajuste específico, por lo que no modifique nada.
    7. En la sección Configurar URL, seleccione la opción Habilitar soporte para el protocolo SAML 2.0 Web SSO.
    8. En el campo URL del servicio SAML 2.0 de la parte dependiente, rellene la URL de la instancia de Automation Suite más el sufijo identity_/Saml2/Acs. Por ejemplo, https://baseURL/identity_/Saml2/Acs
    9. En el campo Identificador de confianza de la parte dependiente, en la sección Configurar identificadores, rellene la URL de la instancia de Orchestrator más el sufijo identity_.
    10. En la sección Elegir política de control de acceso, asegúrese de seleccionar la política de control de acceso Permitir a todos.
    11. Listo para agregar confianza y Finalizar no necesitan ningún ajuste específico, por lo que déjelos sin modificar.
      El nuevo usuario de confianza añadido se muestra en la ventana Usuarios de confianza.
    12. Ve a Acciones > Propiedades > Puntos finales y asegúrate de que POST esté seleccionado para Vinculación y que la casilla de verificación Establecer la URL de confianza como predeterminada esté seleccionada.
      La vinculación del punto de conexión debe ser Post. Otros tipos de vinculación como la redirección no son compatibles con UiPath, pues ADFS no firma aserciones de redirección.
    13. Ve a Acciones > Propiedades > Identificadores y confirma la presencia de la URL de tu instancia de Orchestrator más el sufijo identity_.
  2. Selecciona el usuario de confianza y haz clic en Editar política de emisión de reclamaciones en el panel Acciones.

    Se muestra el asistente Editar política de emisión de reclamaciones.

  3. Haz clic en Añadir regla y crea una nueva regla con la plantilla Enviar atributos LDAP como reclamaciones con la siguiente configuración:

    Atributo LDAP

    Tipo de notificación saliente

    E-Mail-Addresses

    Direcciones de correo electrónico

    User-Principal-Name

    Id. de nombre

  4. Una vez se haya configurado ADFS, abre PowerShell como administrador y ejecuta los siguientes comandos:
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      Sustituya DISPLAYNAME por el valor establecido en el paso 1.e.
    2. Restart-Service ADFSSRV.

B. Configurar Google

Nota: Los siguientes pasos son una descripción general de una configuración de muestra. Para obtener instrucciones más detalladas, consulta la documentación de Google.
  1. Inicie sesión en la consola de administración como administrador, diríjase a Aplicaciones y, a continuación, a Aplicaciones web y móviles.
  2. Selecciona Añadir aplicación y luego Añadir aplicación SAML personalizada.
  3. En la página Detalles de la aplicación, introduzca un nombre para la instancia de Automation Suite.
  4. En la página Detalles de proveedor de identidades de Google, copie y guarde lo siguiente para más adelante:
    • URL de SSO
    • ID de entidad
  5. Descargue el certificado, ábralo con un editor de texto, copie y guarde el valor para la siguiente parte de la configuración en el Paso 2. Configurar Automation Suite.
  6. En la página Datos del proveedor de servicios, introduzca lo siguiente:
    • URL de ACS: https://{yourDomain}/{organizationName}/identity_/Saml2/Acs
    • ID de entidad: https://{yourDomain}/{organizationName}/identity_
  7. En la página Mapeo de atributos, proporcione los siguientes mapeos:
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

      Ten en cuenta que esta reclamación distingue entre mayúsculas y minúsculas.

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. Después de configurar la aplicación SAML, ve a Acceso de usuario en la aplicación SAML de Automation Suite en la consola de administración de Google y selecciona Activado para todos.

C. Configurar Okta

Nota: Los siguientes pasos son una descripción general de una configuración de muestra. Para obtener instrucciones más detalladas, consulta la documentación de Okta.
  1. Inicia sesión en la consola de administración de Okta, ve a Aplicaciones > Aplicaciones, selecciona Crear integración de aplicaciones y selecciona SAML 2.0 como método de inicio de sesión.
  2. En la página Configuración general, especifique un nombre para la instancia de Automation Suite.
  3. En la página Configurar SAML, complete la sección General.

    Por ejemplo:

    • URLde inicio de sesión único: la URL base de Identity /Saml2/Acs +. Por ejemplo, https://{yourDomain}/{organizationName}/identity_/Saml2/Acs .
    • Marque la casilla Usar esto para la URL del destinatario y la URL del destino.
    • URI de audiencia: https://{yourDomain}/{organizationName}/identity_
    • Formato de ID del nombre: Correo electrónico
    • Nombre de usuario de la aplicación: Correo electrónico
  4. Complete la sección Declaraciones de atributos:
    • En el campo Nombre , escribe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Ten en cuenta que esta reclamación distingue entre mayúsculas y minúsculas.
    • De la lista Valores, seleccione user.email.
  5. En la sección Comentarios, seleccione la opción más apropiada para usted.
  6. Selecciona Finalizar.
  7. En la pestaña Iniciar sesión , en la sección Configuración , selecciona Ver instrucciones de configuración.

    Se le redirige a una nueva página que contiene las instrucciones necesarias para completar la siguiente parte de la configuración en el Paso 2. Configurar Automation Suite:

    • URL de inicio de sesión del proveedor de identidades
    • Emisor del proveedor de identidades
    • Certificado X.509
  8. Para que los usuarios puedan utilizar la autenticación Okta, se les debe asignar la aplicación recién creada:
    1. En la página Aplicación, selecciona la aplicación recién creada.
    2. En la pestaña Asignar, selecciona Asignar > Asignar a la gente y selecciona los usuarios a los que se les debe dar los permisos necesarios. Los usuarios recién añadido se muestran en la pestaña Personas.

D. Configurar PingOne

Nota: Los siguientes pasos son una descripción general de una configuración de muestra. Para obtener instrucciones más detalladas, consulta la documentación de PingOne.
  1. Añade una aplicación web que se conecte mediante SAML en PingOne, con las siguientes especificaciones:
    1. En la página Configurar conexión SAML, seleccione Introducir manualmente y complete los siguientes datos:
      • URL del ACS: URL que distingue entre mayúsculas y minúsculas para su instancia de Automation Suite + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs)
      • ID de entidad:https://baseURL/identity_

      • Enlace SLO: redirección HTTP

      • Duración de la validación: el número de segundos para el período de validez

    2. En la página Atributos de mapa, asigna el siguiente atributo:
      Dirección de correo electrónico = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
  2. En la página Conexiones > Aplicaciones, localice la aplicación que acaba de crear y haga clic en el icono en el extremo derecho del cuadro para ver los detalles.
  3. Desde la pestaña Perfil, copia y guarda los siguientes valores para la siguiente parte de la configuración, descrita a continuación en el Paso 2. Configurar Automation Suite:
    • ID de cliente
    • URL de la página de inicio
  4. Si no lo hizo durante la configuración de la aplicación, descargue ahora el certificado de firma de PingOne:
    1. Ve a Conexiones > Certificados y pares de claves.
    2. Localiza la aplicación que acabas de crear y haz clic en el icono ubicado en el extremo derecho del cuadro para ver los detalles.
    3. A la derecha de la pestaña Detalles, haga clic en Descargar certificado y seleccione el formato .crt. formato.
  5. Abre el archivo del certificado en cualquier editor de texto, copia y guarda el valor del certificado para la siguiente parte de la configuración, que se describe a continuación en el Paso 2. Configurar Automation Suite.

Paso 2. Configurar Automation Suite

Para activar Automation Suite como proveedor de servicios reconocido por su proveedor de identidades:

  1. Inicia sesión en el portal del host de Automation Suite como administrador del sistema.
  2. Diríjase a Usuarios > Configuración de autenticación.
  3. En la sección Proveedores externos, haga clic en Configurar para el proveedor de identidades apropiado y sega las instrucciones aplicables para la configuración de SAML:
    1. Para configurar SAML para ADFS:

      1. Selecciona la casilla de verificación Habilitada.

      2. Para forzar el inicio de sesión con este proveedor, selecciona la casilla Forzar el inicio de sesión automático con este proveedor.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://baseURL/identity_.

      5. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue el valor obtenido durante la configuración de la autenticación de ADFS.

      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor obtenido durante la configuración de la autenticación de ADFS.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https:/baseURL/identity_/externalidentity/saml2redirectcallback.

      9. Configure el parámetro external user mapping strategy como By user e-mail.

      10. Para el tipo de enlace SAML, seleccione la opción de redirección HTTP.

      11. En el campo Certificado de firma, pegue el texto del certificado.

    2. Para configurar SAML para Google:

      1. Selecciona la casilla de verificación Habilitada.

      2. Para forzar el inicio de sesión con este proveedor, selecciona la casilla Forzar el inicio de sesión automático con este proveedor.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://baseURL/identity_.

      5. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue el valor del identificador de entidad obtenido durante la configuración de la autenticación de Google.

      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor de la URL de SSO obtenido durante la configuración de la autenticación de Google.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https://baseURL/identity_/externalidentity/saml2redirectcallback.

      9. En Estrategia de asignación de usuarios externos, selecciona Por correo electrónico del usuario.

      10. Para el tipo de enlace SAML, selecciona Redireccionamiento HTTP.

      11. En el campo Certificado de firma, pegue el valor del certificado obtenido durante la configuración de Google.

    3. Para configurar SAML para Okta:

      1. Selecciona la casilla de verificación Habilitada.

      2. Para forzar el inicio de sesión con este proveedor, selecciona la casilla Forzar el inicio de sesión automático con este proveedor.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://baseURL/identity_.

      5. En el campo correspondiente al identificador de la entidad del proveedor de identidades, pegue el valor del emisor del proveedor de identidades obtenido durante la configuración de Okta.

      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor de la URL de inicio de sesión único del proveedor de identidades obtenido durante la configuración de Okta.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https://baseURL/identity_/externalidentity/saml2redirectcallback.

      9. Para el tipo de enlace SAML, selecciona Redireccionamiento HTTP.

      10. En el campo Certificado de firma, pegue el valor del certificado X.509 obtenido durante la configuración de Okta.

    4. Cómo configurar SAML para PingOne:

      1. Selecciona la casilla de verificación Habilitada.

      2. Para forzar el inicio de sesión con este proveedor, selecciona la casilla Forzar el inicio de sesión automático con este proveedor.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue la URL de su instancia de Automation Suite en formato https://baseURL/identiy_.

      5. En el campo del identificador de la entidad del proveedor de identidades, pegue el valor del identificador del emisor obtenido durante la configuración de PingOne.

      6. Configure el parámetro Single Sign-On Service URL con el valor de la URL de inicio de sesión único obtenido durante la configuración de PingOne.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https://baseURL/identity_/externalidentity/saml2redirectcallback.

      9. Como estrategia de asignación de usuarios externos, selecciona Por correo electrónico del usuario.

      10. Para el tipo de enlace SAML, seleccione la opción de redirección HTTP.

      11. En el campo Certificado de firma, pegue el valor del certificado obtenido durante la configuración de PingOne.

  4. Haz clic en Guardar para guardar los cambios de la configuración del proveedor de identidades externo.
  5. Reinicie el pod «identity-service-api-*». Esto es necesario después de realizar cualquier cambio en los proveedores externos.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando:
      kubectl -n lanzamiento de uipath reiniciar implementación identidad-servicio-api

Paso 3. Configuración opcional

La siguiente configuración es opcional y solo es necesaria si quieres utilizar una o ambas características de seguridad avanzadas.

Paso 3.1. Asignación personalizada

ADFS, Google y Okta utilizan su dirección de correo electrónico como atributo SAML. Esta sección se encarga de la asignación personalizada de SAML basada en el nombre de usuario o en la clave de un proveedor externo.

Importante: Configurar atributos de asignación personalizada afecta a todo el sistema, lo que significa que se aplican a todos los proveedores de identidades existentes. Como resultado, ningún otro proveedor (Azure, Windows) puede trabajar mientras se establece una nueva asignación.

Los siguientes parámetros deben configurarse en los ajustes de Saml2, en la sección Proveedores externos de la página Usuarios > Configuración de la autenticación:

  • Estrategia de asignación de usuarios externos: define la estrategia de asignación. Las siguientes opciones están disponibles:

    • By user email: tu dirección de correo electrónico está configurada como atributo. Este es el valor predeterminado.
    • By username: su nombre de usuario se establece como atributo.
    • By external provider key : una clave de proveedor externo se establece como atributo.
  • Nombre de la solicitud del identificador de usuario externo: define el derecho que se utilizará como identificador para la asignación. Solo es necesario si estableces tu nombre de usuario como atributo.

¿Te ha resultado útil esta página?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Uipath Logo
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2026 UiPath. Todos los derechos reservados.