automation-suite

2022.4

false

Importante :

Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática. La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.

Guía de administración de Automation Suite

Última actualización 18 de dic. de 2024

Configurar la integración de Azure AD

Si tu organización utiliza Azure Active Directory (Azure AD) u Office 365, puedes conectar tu organización de Automation Suite directamente a tu tenant de Azure AD para ver las cuentas y grupos existentes en tu entorno de Automation Suite .

Con la integración de Azure AD, puedes seguir aprovechando el modelo de cuentas locales, mientras arrancas tu organización con las ventajas adicionales de utilizar el modelo de Azure AD. La integración de Azure AD está diseñada de tal manera que su activación e implementación pueden ocurrir gradualmente, sin interrupciones en la producción para tus usuarios existentes.

Si tu organización ha decidido utilizar el modelo Azure AD, sigue las instrucciones de esta página para configurar la integración.

Requisitos previos

Para configurar la integración de Azure AD, necesitas:

Permisos de administrador tanto en Automation Suitecomo en Azure AD (pueden ser personas diferentes);
una cuenta de Azure AD con la misma dirección de correo electrónico que la cuenta local de UiPath del administrador de la organización que lleva a cabo la integración. Ten en cuenta que esta cuenta de Azure AD es solo para probar la integración y no es necesario tener permisos de administrador en Azure;
UiPath Studio y UiPath Assistant versión 2020.10.3 o posterior;
UiPath Studio y UiPath Assistant para utilizar el despliegue recomendado.
Si ya has usado cuentas de usuario local, comprueba que todos tus usuarios de Azure AD tienen la dirección de correo en el campo Correo; no sirve con tener la dirección de correo electrónico solamente en el campo User Principle Name (UPN). La integración de Azure AD vincula las cuentas de usuarios del directorio con las cuentas de usuarios locales si las direcciones de correo electrónico coinciden. Esto permite a los usuarios conservar los permisos cuando pasan de iniciar sesión con su cuenta de usuario local a hacerlo con la cuenta de usuario del directorio de Azure AD.

Nota: UiPath sigue el protocolo OIDC para su integración con Azure AD. Sin embargo, la integración no admite el uso de claves personalizadas de la aplicación mediante la reclamación de un parámetro de consulta appid en una URL dedicada, como se describe en la documentación de los tokens de acceso de Microsoft .

Objeto perdido

Este objeto no está disponible en el repositorio.

Implementar la integración en Automation Suite

Una vez finalizada la configuración de Azure, puedes preparar la integración, activarla y, a continuación, limpiar las cuentas antiguas. El proceso se divide en etapas para que no haya interrupciones para tus usuarios.

Nota:

Debe ser administrador de la organización en Automation Suite para realizar las tareas de esta sección.

Limpiar los usuarios inactivos

Cuando conectas Automation Suite a Azure AD activando la integración, las cuentas con direcciones de correo electrónico coincidentes se vinculan, de modo que la cuenta de Azure AD se beneficia de los mismos permisos que la cuenta local de UiPath correspondiente.

Si tu organización recicla correos electrónicos, es decir, si una dirección de correo electrónico utilizada en el pasado puede ser asignada a un nuevo usuario en el futuro, esto podría suponer un riesgo de acceso elevado.

Digamos que una vez tuvo un empleado cuya dirección de correo electrónico era john.doe@example.com y este empleado tenía una cuenta local en la que era administrador de la organización, pero desde entonces ha dejado la empresa y la dirección de correo electrónico se desactivó, pero el usuario no se eliminó.

Cuando un nuevo empleado que también se llama John Doe se une a su empresa, recibe la misma dirección de correo electrónico john.doe@example.com . En tal caso, cuando las cuentas se vinculan como parte de la integración con Azure AD, John Doe hereda los privilegios de administrador de la organización.

Para evitar este tipo de situaciones, asegúrese de eliminar todos los usuarios que ya no están activos de la organización de Automation Suite antes de continuar con el siguiente paso. Puedes omitir este paso si las direcciones de correo electrónico inactivas no se reutilizan en tu organización.

Activar la integración de Azure AD

Nota:

Antes de comenzar:

make sure that Azure configuration is complete;
obtenga los valores de ID de directorio (tenant), ID de aplicación (cliente) y Secreto de cliente para el registro de la aplicación Automation Suite en Azure de su administrador de Azure.

To activate the Azure AD integration, apply the following steps in Automation Suite:

Ve a Administración y, si no lo has seleccionado, selecciona la organización en la parte superior del panel izquierdo.
Select Security to open Security Settings.
En la pestaña Configuración de autenticación , en Integración de directorios para SSO, selecciona Configurar SSO.
Selecciona Azure Active Directory en el panel de configuración de SSO.
Rellena los campos con la información recibida de tu administrador de Azure.
Selecciona la casilla de verificación Entiendo y acepto los usuarios añadidos y los usuarios de Azure AD con direcciones de correo electrónico coincidentes tendrán sus cuentas vinculadas.
Selecciona Probar conexión para validar que la integración se ha configurado correctamente.
Cuando se te pida, inicia sesión con tu cuenta de Azure AD.
Un inicio de sesión satisfactorio indica que la integración se ha configurado correctamente. En caso de que falle, pide a tu administrador de Azure que compruebe que Azure está correctamente configurado y vuelve a intentarlo.
Selecciona Guardar para activar la integración para tu organización.
Después de guardar los cambios, las cuentas coincidentes se vinculan automáticamente.
Cierra sesión.
Dirígete a la URL de la organización (https://{yourDomain}/organizationID/) e inicia sesión con tu cuenta de Azure AD.

Ahora puedes trabajar con los usuarios y grupos en el Azure AD del tenant vinculado. Las cuentas y grupos del directorio no se enumeran en las páginas Usuarios o Grupos en Admin - Cuentas y grupos, solo puedes encontrarlos a través de la búsqueda.

Probar la integración de Azure AD

Para comprobar que la integración se está ejecutando, inicia sesión como administrador de la organización con una cuenta de Azure AD e intenta buscar usuarios y grupos de Azure AD en cualquier página relacionada, como el panel Editar grupo en Automation Suite (Admin > Cuentas y grupos > Grupos > Editar).

Si puedes buscar usuarios y grupos que se originan en Azure AD, significa que la integración está funcionando. Se puede saber el tipo de usuario o grupo por su icono.

Si encuentras un error al intentar buscar usuarios, como se muestra en el siguiente ejemplo, esto indica que hay algún problema con la configuración en Azure. Ponte en contacto con tu administrador de Azure y pídele que compruebe que Azure está configurado como se describe anteriormente en la documentación sobre Configuración de Azure para la integración.

Consejo: Pide a tu administrador de Azure que confirme que ha seleccionado la casilla de verificación Conceder consentimiento de administrador durante la configuración de Azure. Esta es una causa común por la que falla la integración.

Completar la transición a Azure AD

Una vez activa la integración, te recomendamos que sigas las instrucciones de esta sección para asegurarte de que la creación de usuarios y las asignaciones de grupos se transfieran a Azure AD. De esta manera, puedes construir sobre tu infraestructura de gestión de identidades y accesos existente para facilitar el control de la gestión de accesos y la gobernanza sobre tus recursos de UiPath en Automation Suite.

Configurar grupos de permisos y robots (opcional)

Puedes hacerlo para asegurarte de que el administrador de Azure también puede incorporar nuevos usuarios con los mismos permisos y la misma configuración del robot que habías configurado antes de la integración. Pueden hacerlo añadiendo cualquier usuario nuevo a un grupo de Azure AD si el grupo ya tiene asignados los roles necesarios.

Puedes asignar tus grupos de usuarios existentes de Automation Suite a grupos nuevos o existentes en Azure AD. Puedes hacerlo de varias maneras, dependiendo de cómo uses los grupos en Azure AD:

Si los usuarios con los mismos roles en Automation Suite ya están en los mismos grupos en Azure AD, el administrador de la organización puede añadir estos grupos de Azure AD a los grupos de usuarios en los que estaban estos usuarios. Esto garantiza que los usuarios mantengan los mismos permisos y la misma configuración del robot.
De lo contrario, el administrador de Azure puede crear nuevos grupos en Azure AD para que coincidan con los de Automation Suite y añadir los mismos usuarios que están en los grupos de usuarios de UiPath. A continuación, el administrador de la organización puede añadir los nuevos grupos de Azure AD a los grupos de usuarios existentes para garantizar que los mismos usuarios tengan los mismos roles.

Asegúrate de verificar cualquier rol específicamente asignado a los usuarios, en todos los casos. Si es posible, elimina estas asignaciones de roles directos y añade estos usuarios a grupos ya asignados con estos roles.

Por ejemplo, digamos que el grupo Administradores en Automation Suite incluye a los usuarios Anna, Tom y John. Estos mismos usuarios también están en un grupo en Azure AD llamado admins. El administrador de la organización puede añadir el grupo de administradores de Azure al grupo Administradores en Automation Suite. De esta manera, Anna, Tom y John, como miembros del grupo de administradores de Azure AD, se benefician de los roles del grupo Administradores en Automation Suite.

Como admins ahora forma parte del grupo Administradores , cuando necesites incorporar un nuevo administrador, el administrador de Azure puede añadir el nuevo usuario al grupo admins en Azure, otorgándole así permisos de administración en Automation Suite sin tener que realizar ningún cambio en Automation Suite.

Nota:

Los cambios en las asignaciones de grupos de Azure AD se aplican en Automation Suite cuando el usuario inicia sesión con su cuenta de Azure AD, o si ya ha iniciado sesión, en el plazo de una hora.

Migrar a los usuarios existentes

Para que se apliquen los permisos asignados a los usuarios y grupos de Azure AD, los usuarios deben iniciar sesión al menos una vez. Recomendamos que, una vez ejecutada la integración, comuniques a todos tus usuarios que cierren sesión en su cuenta local y vuelvan a iniciar sesión con su cuenta de Azure AD. Pueden iniciar sesión con su cuenta de Azure AD:

Navegando a la URL específica de la organización de Automation Suite , en cuyo caso el tipo de inicio de sesión ya está seleccionado. La URL debe incluir el ID de la organización y terminar en una barra diagonal, como https://{yourDomain}/orgID/.
Seleccionando Enterprise SSO en la página principal de inicio de sesión. Asegúrese de proporcionar la URL específica de su organización para Automation Suite a todos sus usuarios.

Los usuarios migrados reciben los permisos combinados que se les asignan directamente en Automation Suite junto con los de sus grupos de Azure AD.

Para configurar Studio y Assistant para conectarse con cuentas de Azure AD:

En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
Selecciona Cerrar sesión.
Para el tipo de conexión, selecciona URL de servicio.
En el campo URL del servicio , añade la URL específica de la organización. La URL debe incluir el ID de la organización y terminar en una barra diagonal, como https://{yourDomain}/orgID/. De lo contrario, la conexión falla diciendo que el usuario no pertenece a ninguna organización.
Vuelve a iniciar sesión con la cuenta de Azure AD.

Importante: Los permisos de los grupos de Azure AD no influyen en las automatizaciones de las carpetas clásicas ni en los robots que se conectan mediante la clave de máquina. Para operar con permisos basados en grupos, configura las automatizaciones en carpetas modernas y utiliza la opción de URL de servicio para conectarte a UiPath Assistant o Studio.

Dejar de usar las cuentas locales de UiPath (opcional)

Recomendamos que elimines el uso de cuentas locales para maximizar los beneficios básicos de cumplimiento y eficiencia de la integración completa entre Automation Suite y Azure AD.

Importante: Elimina solo las cuentas que no sean de administrador . Se recomienda conservar al menos una cuenta local de administrador de la organización para poder cambiar la configuración de autenticación en el futuro.

Una vez que se hayan migrado todos los usuarios, puedes eliminar los usuarios que no sean administradores de la pestaña Usuarios , para que tus usuarios ya no puedan iniciar sesión con su cuenta local. Puedes encontrar estas cuentas en función de sus iconos de usuario.

También puedes limpiar los permisos individuales en los servicios de UiPath, como el servicio de Orchestrator, y eliminar usuarios individuales de los grupos para que los permisos dependan exclusivamente de la pertenencia a grupos de Azure AD.

Características avanzadas

A continuación, te ofrecemos algunos consejos útiles sobre las funciones avanzadas que puedes aprovechar ahora que tienes configurada la integración con Azure AD.

Restringir el acceso a su organización

Dado que la integración con Azure AD se realiza a nivel de tenant de Azure, de forma predeterminada todos los usuarios de Azure AD pueden acceder a Automation Suite. La primera vez que un usuario de Azure AD inicia sesión en su organización de UiPath, se incluye automáticamente en el grupo Todos de UiPath, lo que le otorga el rol de Usuario en la organización que proporciona el nivel básico de acceso dentro del ecosistema de UiPath.

Si quieres permitir que solo ciertos usuarios accedan a tu organización, puedes activar la asignación de usuarios para el registro de la aplicación UiPath en Azure. De esta manera, los usuarios deben estar asignados explícitamente a la aplicación para poder acceder a ella. Para obtener instrucciones, consulta cómo restringir tu aplicación a un conjunto de usuarios en la documentación de Azure AD de Microsoft.

Restringe el acceso a redes o dispositivos de confianza

Si solo quieres permitir que tus usuarios accedan a Automation Suite desde una red de confianza o un dispositivo de confianza, puedes utilizar la característica de acceso condicional de Azure AD .

Control para grupos en Azure AD

Si has creado grupos en Azure AD para facilitar la incorporación de UiPath directamente desde Azure AD, como se ha descrito anteriormente en Configurar grupos para permisos y robots, puedes utilizar las opciones de seguridad avanzadas de la gestión de identidades privilegiadas (PIM) para que estos grupos controlen las solicitudes de acceso para Grupos de UiPath. Para obtener más información, consulta la documentación de Microsoft sobre PIM.

Preguntas frecuentes

¿Qué cambia para mis usuarios cuando la integración está activa?

Los usuarios pueden iniciar sesión inmediatamente utilizando su cuenta Azure AD existente y beneficiarse de los mismos permisos que tenían en su cuenta local.

Si no has eliminado sus cuentas locales, los usuarios también pueden seguir iniciando sesión con su cuenta local, ambos métodos funcionan.

Para utilizar su cuenta de Azure AD, deben navegar a la URL específica de tu organización, que tiene la formahttps://{yourDomain}/orgID/, o seleccionar Enterprise SSO en la página principal de inicio de sesión.

Otro cambio que pueden notar los usuarios es que si ya han iniciado la sesión en sus cuentas de Azure AD desde el uso de otra aplicación, inician la sesión automáticamente cuando navegan a esta URL.

¿Qué roles tiene cada cuenta?

Cuenta de Azure AD: cuando un usuario inicia sesión con su cuenta de Azure AD, se beneficia inmediatamente de todos los roles que tenía en su cuenta local, además de cualquier rol asignado dentro de UiPath a la cuenta de Azure AD o a los grupos de Azure AD a los que pertenece . Estos roles pueden provenir del usuario de Azure AD o del grupo de Azure AD que se incluye en los grupos, o de otros servicios en los que los roles se asignaron al usuario de Azure AD o al grupo de Azure AD.

Cuenta local: con la integración de Azure AD activa, para las cuentas locales, depende de:

Si el usuario no ha iniciado sesión al menos una vez con su cuenta de Azure AD, solo tiene los roles de la cuenta local.
Si los usuarios inician sesión con su cuenta de Azure AD, la cuenta local tiene todos los roles que el usuario de AAD tiene dentro de UiPath, ya sea asignados explícitamente o heredados de las pertenencias a grupos.

¿Tengo que volver a conceder los permisos para las cuentas de Azure AD?

No. Dado que las cuentas coincidentes se vinculan automáticamente, sus permisos existentes se aplican también al iniciar sesión con la cuenta de Azure AD. Sin embargo, si decides interrumpir el uso de las cuentas locales, asegúrate de que se hayan establecido los permisos adecuados para los usuarios y los grupos de Azure AD de antemano.

En esta página

Requisitos previos
Objeto perdido
Implementar la integración en Automation Suite
Limpiar los usuarios inactivos
Activar la integración de Azure AD
Probar la integración de Azure AD
Completar la transición a Azure AD
Configurar grupos de permisos y robots (opcional)
Migrar a los usuarios existentes
Dejar de usar las cuentas locales de UiPath (opcional)
Características avanzadas
Preguntas frecuentes

¿Te ha resultado útil esta página?

AnteriorPermitir o restringir la autenticación básica

Sig.Configurar la Integración SAML

Soporte y servicios

Obtén la ayuda que necesitas

UiPath Academy

RPA para el aprendizaje - Cursos de automatización

Foro de UiPath

Foro de la comunidad UiPath

Confianza y seguridad

Términos de uso

Política de privacidad

Política de cookies