automation-suite
2023.10
false
UiPath logo, featuring letters U and I in white
Guía de administración de Automation Suite
Last updated 14 de ago. de 2024

Configurar SSO: SAML 2.0

Puede activar el inicio de sesión único (SSO) utilizando cualquier proveedor de identidades compatible con el protocolo de autenticación SAML 2.0.

Información general

La activación del inicio de sesión único de SAML es un proceso de varios pasos. Deberá completar la siguiente configuración:

  1. Configure su proveedor de identidades para que reconozca Automation Suite como proveedor de servicios.
  2. Configure Automation Suite como proveedor de servicios para reconocer y confiar en su proveedor de identidades.
  3. Aprovisione a los usuarios de su organización para que puedan iniciar sesión con SSO utilizando el protocolo SAML 2.0 de su proveedor de identidades.

Paso 1. Configurar su proveedor de identidades

Automation Suite es compatible con muchos proveedores de identidades.

En esta sección, ejemplificamos cómo encontrar la configuración específica y obtener los certificados para cada uno de los siguientes proveedores de identidades:

  • ADFS

  • Google

  • OKTA

  • PingOne

A. Configurar AD FS

Configure una máquina compatible con ADFS y asegúrese de tener acceso al software de gestión de ADFS. Si es necesario, hable con el administrador de su sistema.

Nota: Los siguientes pasos son una descripción general de una configuración de ejemplo. Para obtener instrucciones más detalladas, consulta la documentación de ADFS.
  1. Abre ADFS Management y define un nuevo usuario de confianza para Orchestrator como sigue:
    1. Haz clic en Usuarios de confianza.
    2. En el panel Acciones, haz clic en Añadir usuario de confianza. Se mostrará el asistente Añadir un usuario de confianza.
    3. En la sección de bienvenida, selecciona Para notificaciones.
    4. En la sección Seleccionar datos, selecciona la opción Introducir manualmente los datos del usuario de confianza.
    5. En la sección Especificar nombre de usuario, en el campo Nombre para mostrar, introduce la URL de la instancia de Orchestrator.
    6. La sección Configurar certificado no necesita ningún ajuste específico, por lo que no modifique nada.
    7. En la sección Configurar URL, seleccione la opción Habilitar soporte para el protocolo SAML 2.0 Web SSO.
    8. En el campo URL del servicio SAML 2.0 de la parte dependiente, rellene la URL de la instancia de Automation Suite más el sufijo identity_/Saml2/Acs. Por ejemplo, https://baseURL/identity_/Saml2/Acs
    9. En el campo Identificador de confianza de la parte dependiente, en la sección Configurar identificadores, rellene la URL de la instancia de Orchestrator más el sufijo identity_.
    10. En la sección Elegir política de control de acceso, asegúrese de seleccionar la política de control de acceso Permitir a todos.
    11. Listo para agregar confianza y Finalizar no necesitan ningún ajuste específico, por lo que déjelos sin modificar.
      El nuevo usuario de confianza añadido se muestra en la ventana Usuarios de confianza.
    12. Ve a Acciones > Propiedades > Puntos finales y asegúrate de que POST esté seleccionado para Vinculación y que la casilla de verificación Establecer la URL de confianza como predeterminada esté seleccionada.

      La vinculación del punto de conexión debe ser Post. Otros enlaces como la redirección no son compatibles con UiPath®, ya que ADFS no firma las afirmaciones de redirección.

    13. Ve a Acciones > Propiedades > Identificadores y confirma la presencia de la URL de tu instancia de Orchestrator más el sufijo identity_.
  2. Selecciona el usuario de confianza y haz clic en Editar política de emisión de reclamaciones en el panel Acciones.

    Se muestra el asistente Editar política de emisión de reclamaciones.

  3. Haz clic en Añadir regla y crea una nueva regla con la plantilla Enviar atributos LDAP como reclamaciones con la siguiente configuración:

    Atributo LDAP

    Tipo de notificación saliente

    E-Mail-Addresses

    Direcciones de correo electrónico

    User-Principal-Name

    Id. de nombre

  4. Una vez se haya configurado ADFS, abre PowerShell como administrador y ejecuta los siguientes comandos:
    1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
      Sustituya DISPLAYNAME por el valor establecido en el paso 1.e.
    2. Restart-Service ADFSSRV.

B. Configurar Google

Nota: Los siguientes pasos son una descripción general de una configuración de ejemplo. Para obtener instrucciones más detalladas, consulta la documentación de Google.
  1. Inicie sesión en la consola de administración como administrador, diríjase a Aplicaciones y, a continuación, a Aplicaciones web y móviles.
  2. Haga clic en Añadir aplicación y en Añadir aplicación SAML personalizada.
  3. En la página Detalles de la aplicación, introduzca un nombre para la instancia de Automation Suite.
  4. En la página Detalles de proveedor de identidades de Google, copie y guarde lo siguiente para más adelante:
    • URL de SSO
    • ID de entidad
  5. Descargue el certificado, ábralo con un editor de texto, copie y guarde el valor para la siguiente parte de la configuración en el Paso 2. Configurar Automation Suite.
  6. En la página Datos del proveedor de servicios, introduzca lo siguiente:
    • URL ACS: https://baseURL/identity_/Saml2/Acs
    • ID de entidad: https://baseURL/identity_
  7. En la página Mapeo de atributos, proporcione los siguientes mapeos:
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  8. Tras configurar la aplicación SAML, diríjase a Acceso de usuario en la aplicación SAML de Automation Suite en la consola de administración de Google y haga clic en Activado para todos.

C. Configurar Okta

Nota: Los siguientes pasos son una descripción general de una configuración de ejemplo. Para obtener instrucciones más detalladas, consulta la documentación de Okta.
  1. Inicie sesión en la consola de administración de Okta, diríjase a Aplicaciones > Aplicaciones, haga clic en Crear integración de aplicación y seleccione SAML 2.0 como método de inicio de sesión.
  2. En la página Configuración general, especifique un nombre para la instancia de Automation Suite.
  3. En la página Configurar SAML, complete la sección General.

    Por ejemplo:

    • URL de inicio de sesión único: su URL de Automation Suite + /identity_/Saml2/Acs. Por ejemplo, https://baseURL/identity_/Saml2/Acs
    • Marque la casilla Usar esto para la URL del destinatario y la URL del destino.
    • Audience URI1: https://baseURL/identity_
    • Formato de ID del nombre: Correo electrónico
    • Nombre de usuario de la aplicación: Correo electrónico
  4. Complete la sección Declaraciones de atributos:
    • En el campo Nombre escriba http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    • De la lista Valores, seleccione user.email.
  5. En la sección Comentarios, seleccione la opción más apropiada para usted.
  6. Haz clic en Finalizar.
  7. En la pestaña Inicio de sesión, en la sección Configuración, haga clic en Ver instrucciones de configuración.

    Se le redirige a una nueva página que contiene las instrucciones necesarias para completar la siguiente parte de la configuración en el Paso 2. Configurar Automation Suite:

    • URL de inicio de sesión del proveedor de identidades
    • Emisor del proveedor de identidades
    • Certificado X.509
  8. Para que los usuarios puedan utilizar la autenticación Okta, se les debe asignar la aplicación recién creada:
    1. En la página Aplicación, selecciona la aplicación recién creada.
    2. En la pestaña Asignar, selecciona Asignar > Asignar a la gente y selecciona los usuarios a los que se les debe dar los permisos necesarios. Los usuarios recién añadido se muestran en la pestaña Personas.

D. Configurar PingOne

Nota: Los siguientes pasos describen a grandes rasgos un ejemplo de configuración. Para obtener instrucciones más detalladas, consulta la documentación de PingOne.
  1. Añade una aplicación web que se conecte con SAML en PingOne, con las siguientes particularidades:
    1. En la página Configurar conexión SAML, seleccione Introducir manualmente y complete los siguientes datos:
      • URL del ACS: URL que distingue entre mayúsculas y minúsculas para su instancia de Automation Suite + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs)
      • ID de entidad: https://baseURL/identity_
      • Enlace SLO: redirección HTTP
      • Duración de la validación: el número de segundos para el período de validez

    2. En la página Atributos de mapa, asigna el siguiente atributo:
      Dirección de correo electrónico = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Consejo: Como alternativa, puedes configurar la conexión SAML de PingOne con la opción Importar metadatos. Los metadatos SAML2 de UiPath Identity Server están disponibles para su descarga en https://baseURL/identity/Saml2.
  2. En la página Conexiones > Aplicaciones, localice la aplicación que acaba de crear y haga clic en el icono en el extremo derecho del cuadro para ver los detalles.
  3. Desde la pestaña Perfil , copia y guarda los siguientes valores para la siguiente parte de la configuración, descrita a continuación en el Paso 2. Configurar Automation Suite:
    • ID de cliente

    • URL de la página de inicio

  4. Si no lo hizo durante la configuración de la aplicación, descargue ahora el certificado de firma de PingOne:
    1. Ve a Conexiones > Certificados y pares de claves.
    2. Localiza la aplicación que acabas de crear y haz clic en el icono ubicado en el extremo derecho del cuadro para ver los detalles.
    3. A la derecha de la pestaña Detalles, haga clic en Descargar certificado y seleccione el formato .crt. formato.
  5. Abre el archivo del certificado en cualquier editor de texto, copia y guarda el valor para la siguiente parte de la configuración, descrita a continuación en el Paso 2. Configurar Automation Suite.

Paso 2. Configurar Automation Suite

Para activar Automation Suite como proveedor de servicios reconocido por su proveedor de identidades:

  1. Inicia sesión en el portal del host de Automation Suite como administrador del sistema.
  2. Asegúrese de que Host esté seleccionado en la parte superior del panel izquierdo y luego haga clic en Seguridad.
  3. Haz clic en Configurar en SAML SSO y sigue las instrucciones para el proveedor de identidad que utilices:
    1. Para configurar SAML para ADFS:
      1. Selecciona la casilla de verificación Habilitada.

      2. Selecciona la casilla de Forzar inicio de sesión automático utilizando este proveedor si solo quieres permitir iniciar sesión con cuentas de Active Directory.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://baseURL/identity_.
      5. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue el valor obtenido durante la configuración de la autenticación de ADFS.

      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor obtenido durante la configuración de la autenticación de ADFS.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https:/baseURL/identity_/externalidentity/saml2redirectcallback.
      9. Configure el parámetro external user mapping strategy como By user e-mail.

      10. Para el tipo de enlace SAML, seleccione la opción de redirección HTTP.

      11. En el campo Certificado de firma, pegue el texto del certificado.

    2. Para configurar SAML para Google:
      1. Selecciona la casilla de verificación Habilitada.

      2. Selecciona la casilla de Forzar inicio de sesión automático utilizando este proveedor si solo quieres permitir iniciar sesión con cuentas de Active Directory.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://baseURL/identity_.
      5. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue el valor del identificador de entidad obtenido durante la configuración de la autenticación de Google.

      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor de la URL de SSO obtenido durante la configuración de la autenticación de Google.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https://baseURL/identity_/externalidentity/saml2redirectcallback.
      9. En Estrategia de asignación de usuarios externos, selecciona Por correo electrónico del usuario.

      10. Para el tipo de enlace SAML, selecciona Redireccionamiento HTTP.

      11. En el campo Certificado de firma, pegue el valor del certificado obtenido durante la configuración de Google.

    3. Para configurar SAML para Okta:
      1. Selecciona la casilla de verificación Habilitada.

      2. Selecciona la casilla de Forzar inicio de sesión automático utilizando este proveedor si solo quieres permitir iniciar sesión con cuentas de Active Directory.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, introduzca https://baseURL/identity_.
      5. En el campo correspondiente al identificador de la entidad del proveedor de identidades, pegue el valor del emisor del proveedor de identidades obtenido durante la configuración de Okta.

      6. En el campo correspondiente a la URL del servicio de inicio de sesión único, pegue el valor de la URL de inicio de sesión único del proveedor de identidades obtenido durante la configuración de Okta.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https://baseURL/identity_/externalidentity/saml2redirectcallback.
      9. Para el tipo de enlace SAML, selecciona Redireccionamiento HTTP.

      10. En el campo Certificado de firma, pegue el valor del certificado X.509 obtenido durante la configuración de Okta.

    4. Cómo configurar SAML para PingOne:
      1. Selecciona la casilla de verificación Habilitada.

      2. Selecciona la casilla de Forzar inicio de sesión automático utilizando este proveedor si solo quieres permitir iniciar sesión con cuentas de Active Directory.

      3. En el campo Nombre a mostrar, escribe el texto que deseas mostrar bajo esta opción de inicio de sesión en la página Inicio de sesión.

      4. En el campo correspondiente al identificador de la entidad del proveedor de servicios, pegue la URL de su instancia de Automation Suite en formato https://baseURL/identiy_.
      5. En el campo del identificador de la entidad del proveedor de identidades, pegue el valor del identificador del emisor obtenido durante la configuración de PingOne.

      6. Configure el parámetro Single Sign-On Service URL con el valor de la URL de inicio de sesión único obtenido durante la configuración de PingOne.

      7. Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.

      8. En el campo correspondiente a la URL de retorno, introduzca https://baseURL/identity_/externalidentity/saml2redirectcallback.
      9. Como estrategia de asignación de usuarios externos, selecciona Por correo electrónico del usuario.

      10. Para el tipo de enlace SAML, seleccione la opción de redirección HTTP.

      11. En el campo Certificado de firma, pegue el valor del certificado obtenido durante la configuración de PingOne.

  4. Haga clic en Guardar para guardar los cambios y volver a la página anterior.
  5. Haz clic en la alternancia a la izquierda de SAML SSO para habilitar la integración.
  6. Reinicie el pod «identity-service-api-*». Esto es necesario después de realizar cualquier cambio en los proveedores externos.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando:
      kubectl -n lanzamiento de uipath reiniciar implementación identidad-servicio-api

Paso 3. Configuración opcional

La siguiente configuración es opcional y solo es necesaria si quiere utilizar una o las dos funciones de seguridad avanzadas para Automation Suite.

Paso 3.1. Asignación personalizada

ADFS, Google y Okta utilizan su dirección de correo electrónico como atributo SAML. Esta sección se encarga de la asignación personalizada de SAML basada en el nombre de usuario o en la clave de un proveedor externo.

Importante: Configurar atributos de asignación personalizada afecta a todo el sistema, lo que significa que se aplican a todos los proveedores de identidades existentes. Como resultado, ningún otro proveedor (Azure, Windows) puede trabajar mientras se establece una nueva asignación.

Los siguientes parámetros deben establecerse en la configuración de SAML SSO en la página Seguridad a nivel de host.

  • Estrategia de asignación de usuarios externos: define la estrategia de asignación. Las siguientes opciones están disponibles:

    • By user email: tu dirección de correo electrónico está configurada como atributo. Este es el valor predeterminado.
    • By username: su nombre de usuario se establece como atributo.
    • By external provider key : una clave de proveedor externo se establece como atributo.
  • Nombre de la solicitud del identificador de usuario externo: define el derecho que se utilizará como identificador para la asignación. Solo es necesario si estableces tu nombre de usuario como atributo.

Paso 3.3. Certificado de servicio

En el protocolo SAML, el certificado de servicio se utiliza para la firma o el cifrado de las solicitudes enviadas desde el proveedor del servicio, como Automation Suite.

Para establecer el certificado del servicio:

  1. Vaya a ArgoCD e inicie sesión como administrador.
  2. Acceda a la aplicación uipath.
  3. Haga clic en APP DETAILS en la esquina superior izquierda.
  4. En la sección PARAMETERS, busque «ServiceCert».
  5. Actualice el parámetro global.userInputs.certificate.identity.saml.currentServiceCert con su serialización de base64 del certificado de servicio. El certificado de servicio requiere una clave privada.
  6. Si el certificado de su servicio tiene contraseña, actualice también el parámetro global.userInputs.certificate.identity.saml.currentServiceCertPassword.

    En ArgoCD, tanto el certificado como la contraseña se cifran en base64.

  7. Si necesita rotar el certificado de servicio, actualice los parámetros global.userInputs.certificate.identity.saml.futureServiceCert y global.userInputs.certificate.identity.saml.futureServiceCertPassword.
  8. Haga clic en Sincronizar para aplicar el cambio.

    Espere unos minutos a que Identity Server se reinicie de forma automática.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.