automation-suite
2023.4
false
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática.
Guía de administración de Automation Suite
Last updated 14 de ago. de 2024

Configurar la Integración SAML

Puedes conectar Automation Suite a cualquier proveedor de identidades (IdP) que utilice el estándar SAML 2.0. En esta página se describe el proceso general mostrando algunas configuraciones de integración SAML de ejemplo.

Resumen del proceso de configuración

La integración de SAML se ha diseñado de forma que pueda implantarse gradualmente, sin perturbar a los usuarios existentes.

Las principales fases del proceso, descritas con más detalle en esta página, son las siguientes:

  1. Limpiar las cuentas de usuario inactivas
  2. Configurar la integración SAML
  3. Transición de los usuarios existentes para iniciar sesión con el SSO de SAML
  4. Configurar los permisos y los robots para los nuevos usuarios
  5. Dejar de usa cuentas locales (opcional)

Limitaciones conocidas

No se pueden buscar cuentas de tu proveedor de identidad

Con la integración de SAML, no puede buscar todos los usuarios y grupos de su proveedor de identidades. Solo los usuarios de directorio aprovisionados están disponibles para la búsqueda.

No se pueden ver los usuarios del directorio a nivel de organización

Solo los usuarios locales aparecen en el nivel de organización. El aprovisionamiento Just-in-time agrega usuarios al directorio, para que no aparezcan en la página de administración de Cuentas y Grupos .

Requisitos previos

Para configurar la integración de SAML, necesitas:

  • Una organización de Automation Suite con una licencia Enterprise o prueba de Enterprise.
  • Los permisos de administrador tanto en Automation Suite como en tu proveedor de identidades de terceros.

    Si no tienes permisos de administración en tu proveedor de identidad, puedes trabajar con un administrador para completar el proceso de configuración.

  • UiPath® Studio y UiPath Assistant versión 2020.10.3 o posterior, para que puedas configurarlos para utilizar la implementación recomendada.

Nota:

Cambio de la integración de Azure Active Directory

Si actualmente utiliza para la autenticación, recomendamos permanecer en la integración de AAD porque tiene más funciones.

Si decides cambiar la integración de AAD, debes reemplazar manualmente la asignación de roles realizada a través de los grupos del directorio con la asignación directa de roles a las cuentas de directorio para no tener que recrear completamente tu esquema de acceso.

Paso 1. Limpia las cuentas de usuario inactivas

Si tu organización recicla direcciones de correo electrónico, es importante que elimines todas las cuentas de usuario inactivas antes de configurar la integración SAML.

Al habilitar la integración, las cuentas locales presentes en Automation Suite pueden vincularse con la cuenta del directorio en el proveedor de identidades externo que utiliza la misma dirección de correo electrónico. Esta vinculación de cuentas se produce cuando el usuario de la cuenta de directorio inicia sesión por primera vez con la dirección de correo electrónico. La identidad de tu proveedor de identidades hereda los roles que tenía la cuenta local de forma que la transición sea perfecta.

Debido a esto, con las cuentas locales inactivas presentes en Automation Suite, existe el riesgo de que las cuentas locales y las cuentas de directorio no coincidan, lo que puede conllevar una elevación involuntaria de los permisos.

Para eliminar las cuentas de usuario inactivas:

  1. Inicia sesión en Automation Suite como administrador de la organización.
  2. Vaya a Administrador, asegúrese de que la organización esté seleccionada en la parte superior del panel izquierdo y luego haga clic en Cuentas y grupos.
  3. En la página Usuarios , haga clic en el encabezado de la columna Activo por última vez para reordenar a los usuarios de modo que los que tienen la fecha más antigua para el último inicio de sesión se muestren en la parte superior:


    La columna Activo por última vez muestra la fecha en que el usuario se conectó por última vez a Automation Suite. Si aparece "Pendiente" en esta columna, como en el ejemplo anterior, significa que el usuario nunca se ha conectado. Esta información te ayudará a identificar a tus usuarios inactivos.

  4. Haz clic en el icono Eliminar al final de la fila para eliminar la cuenta local de ese usuario.


  5. En el cuadro de diálogo de confirmación, haga clic en Eliminar para confirmar la eliminación de la cuenta de Automation Suite.

    La cuenta de usuario se elimina de la página.

  6. Continúa eliminando todas las cuentas de usuario inactivas de tu organización.

Paso 2. Configura la integración SAML

Ahora debes configurar tanto Automation Suite como tu proveedor de identidad (IdP) para la integración.

Paso 2.1. Obtén los datos del proveedor de servicios SAML

  1. Inicia sesión en Automation Suite como administrador de la organización.
  2. Ve a Administrador, asegúrate de que la organización está seleccionada en la parte superior del panel izquierdo y luego haz clic en Seguridad.
  3. Haz clic en Configurar SSOy luego, en el panel que se abre, haz clic en SAML 2.0:

    docs image
    Nota: En la secciónProveedores externos , haz clic en Configurar en SAML 2.0 .
    La siguiente página ofrece la información general de la integración.
  4. En la esquina inferior derecha, haz clic en Siguiente para proceder a la configuración.
    Nota: En el paso Detalles generales , en Datos a configurar en IdP, proporcionamos la información que necesita para configurar tu proveedor de identidad para conectarse a Automation Suite .

    docs image
  5. Copia y guarda los valores de URL de metadata, ID de entidad y URL de servicio al consumidor de afirmaciones. Los necesitará en el siguiente paso.
    Mantén esta pestaña del navegador abierta para más adelante.

Paso 2.2. Configura tu proveedor de identidad

Automation Suite puede conectarse a cualquier proveedor de identidad de terceros (IdP) que utilice la norma SAML 2.0.

Aunque la configuración puede variar en función del IdP elegido, hemos validado la configuración de los siguientes proveedores, que puedes usar como referencia para configurar la integración:

  • OKTA

  • PingOne

En el caso de otros proveedores de identidad, te recomendamos que sigas su documentación de integración.

Configuración de muestra para Okta

Las instrucciones de esta sección son para una configuración de muestra. Para obtener más información sobre cualquier configuración de IdP no cubierta aquí, utiliza la documentación de Okta .
  1. En otra pestaña del navegador, inicia sesión en la consola de administración de Okta.
  2. Dirígete a Aplicaciones > Aplicaciones, haz clic en Crear integración de aplicaciones y selecciona SAML 2.0 como método de inicio de sesión.
  3. En la página Configuración general, especifique un nombre para la aplicación con la que se está integrando, concretamente Automation Suite.
  4. En la página Configurar SAML, rellena la sección General de la siguiente manera:
    • URL del inicio de sesión único: introduce el valor de la URL de servicio al consumidor de afirmaciones que obtuviste de Automation Suite.

    • Marque la casilla Usar esto para la URL del destinatario y la URL del destino.

    • URI de audiencia: introduce el valor de ID de entidad que obtuviste de Automation Suite.

    • Formato de ID del nombre: Selecciona correo electrónico

    • Nombre de usuario de la aplicación: Selecciona correo electrónico

  5. En Declaraciones de atributos, añade lo siguiente:
    • Nombre: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Ten en cuenta que esta reclamación distingue entre mayúsculas y minúsculas.
    • Deja el Formato de nombre como No especificado.

    • Establece Valor como user.email, o el atributo de usuario que contiene la dirección de correo electrónico única del usuario
    • También puedes añadir otras asignaciones de atributos. Automation Suite también admite los atributos de usuario Nombre, Apellido, Cargo y Departamento. Esta información se propaga a Automation Suite, donde puede ponerse a disposición de otros servicios, como Automation Hub.

  6. En la página de Comentarios, selecciona la opción que prefieras.
  7. Haz clic en Finalizar.
  8. En la pestaña Inicio de sesión, en la sección Configuración, en Ver instrucciones de configuración, copia el valor URL de los metadatos del proveedor de identidades y guárdalo para más adelante.
  9. En la página Aplicación de Automation Suite, selecciona la aplicación recién creada.
  10. En la pestaña Asignaciones, selecciona Asignar > Asignar a personas, y, a continuación, selecciona los usuarios a los que deseas permitir el uso de la autenticación SAML para Automation Suite. Los usuarios recién añadido se muestran en la pestaña Personas.

Configuración de muestra para PingOne

Las instrucciones de esta sección son para una configuración de muestra. Para obtener más información sobre cualquier configuración de IdP no cubierta aquí, utiliza la documentación de PingOne .
  1. En otra pestaña del navegador, inicia sesión en la consola de administración de Okta.
  2. Dirígete a Aplicaciones > Aplicaciones, haz clic en Crear integración de aplicaciones y selecciona SAML 2.0 como método de inicio de sesión.
  3. En la página Configuración general, especifique un nombre para la aplicación con la que se está integrando, concretamente Automation Suite.
  4. En la página Configurar SAML, rellena la sección General de la siguiente manera:
    • URL del inicio de sesión único: introduce el valor de la URL de servicio al consumidor de afirmaciones que obtuviste de Automation Suite.
    • Marque la casilla Usar esto para la URL del destinatario y la URL del destino.
    • URI de audiencia: introduce el valor de ID de entidad que obtuviste de Automation Suite.
    • Formato de ID de nombre: selecciona Dirección de correo electrónico.
    • Nombre de usuario de la aplicación: Selecciona correo electrónico
  5. En Declaraciones de atributos, añade lo siguiente:
    • Nombre: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Ten en cuenta que esta reclamación distingue entre mayúsculas y minúsculas.
    • Deja el Formato de nombre como No especificado.
    • Establece Valor en user.email, o en el atributo de usuario que contenga la dirección de correo electrónico única del usuario.
    • También puedes añadir otras asignaciones de atributos. Automation Suite también admite los atributos de usuario Nombre, Apellido, Cargo y Departamento. Esta información se propaga a Automation Suite, donde puede ponerse a disposición de otros servicios, como Automation Hub.
  6. En la página de Comentarios, selecciona la opción que prefieras.
  7. Haz clic en Finalizar.
  8. En la pestaña Inicio de sesión, en la sección Configuración, en Ver instrucciones de configuración, copia el valor URL de los metadatos del proveedor de identidades y guárdalo para más adelante.
  9. En la página Aplicación de Automation Suite, selecciona la aplicación recién creada.
  10. En la pestaña Asignaciones, selecciona Asignar > Asignar a personas, y, a continuación, selecciona los usuarios a los que deseas permitir el uso de la autenticación SAML para Automation Suite. Los usuarios recién añadido se muestran en la pestaña Personas.

Step 2.3. Configure Automation Suite

Para habilitar Automation Suite como proveedor de servicios que reconoce a tu proveedor de identidades, complete los pasos siguientes:

  1. Regrese a la pestaña Configuración de SAML en Automation Suite.
  2. En el paso Detalles generales, en Datos de IdP, rellena el campo URL de metadatos con la URL de metadatos obtenida durante la configuración.
  3. Haz clic en Obtener datos.
    Nota: cuando esté completo, se rellenarán los campos URL de inicio de sesión,ID de entidad del proveedor de identidady Certificado de firma con la información del IdP.
  4. Para introducir manualmente varios certificados, pégalos en el campo Certificado de firma, separados por un carácter de nueva línea.
    docs image
  5. Haz clic en Siguiente en la esquina inferior derecha para pasar al siguiente paso.
  6. En la sección Configuración del aprovisionamiento, rellena la sección Dominios permitidos con los dominios desde los que deseas permitir el acceso a los usuarios. Introduce todos los dominios admitidos por el proveedor de identidad configurado.
    Separa los dominios múltiples con comas.
  7. Marca la casilla para indicar que entiendes que las cuentas con direcciones de correo electrónico coincidentes serán vinculadas.
  8. En la sección Asignación de atributos, asigna los atributos Nombre y Apellidos al Nombre para mostrar. Además, puedes configurar otras asignaciones opcionales según sea necesario para tu integración.
  9. Si deseas configurar también los detalles avanzados, haz clic en Siguiente en la esquina inferior derecha para avanzar al último paso.
    De lo contrario, haz clic en Probar y guardar para terminar de configurar la integración y omitir los pasos restantes de esta sección.
  10. En la página Configuración avanzada, configura las opciones según sea necesario:
    • Permitir respuesta de autenticación no solicitada: habilita esta opción si deseas poder navegar a Automation Suite desde el panel de control del IdP.
    • Tipo de enlace SAML: Redireccionamiento HTTP configura la configuración de SAML para comunicarse usando parámetros de URL a través del agente de usuario HTTP.
    • Uso del certificado de servicio: selecciona la opción que prefieras.
  11. Haz clic en Probar y guardar para terminar de configurar la integración.

Paso 2.4. Comprueba que la integración se está ejecutando

Para validar que la integración de SAML SSO funcione correctamente, comprueba que la integración se está ejecutando:

  1. Abre una ventana de incógnito en el navegador.
  2. Navega hasta la URL específica de la organización de Automation Suite.
  3. Comprueba las siguientes cuestiones:
    • ¿Se te pide que inicies sesión con tu proveedor de identidad SAML?

    • ¿Puedes iniciar la sesión con éxito?

    • Si te estás registrando con una dirección de correo electrónico que coincide con una cuenta de usuario existente, ¿tienes los permisos adecuados?

Paso 2.5. Configurar las reglas de aprovisionamiento (opcional)

Los administradores pueden configurar reglas de aprovisionamiento mientras añaden usuarios a un grupo existente de UiPath utilizando los pares de atributos nombre/valor proporcionados por el IdP mediante el inicio de sesión. Al aprovechar los grupos, los usuarios reciben automáticamente las licencias y funciones correctas al iniciar sesión.

Las reglas de aprovisionamiento just-in-time se evalúan cuando un usuario inicia sesión. Si la cuenta de usuario cumple las condiciones para una regla, se añade automáticamente al grupo local asociado con la regla.

Por ejemplo, Administrators pueden configurar una regla para aprovisionar usuarios directamente al grupo de usuarios de automatización utilizando esta configuración: Solicitud=group, Relación=is, Valor=Automation User.
docs image

Fase 1. Crear grupos de aprovisionamiento

Al añadir una cuenta a un grupo, la cuenta hereda las licencias, los roles y la configuración del UiPath Robot definidos para el grupo, si los hubiera.

Por lo tanto, si configuras un grupo con un tipo particular de usuario en mente (por ejemplo, tus empleados que crean las automatizaciones, o tus empleados que prueban las automatizaciones), puedes incorporar un nuevo empleado de ese tipo configurando su cuenta en el IdP de la misma manera que otras cuentas similares.

De esta manera, se configura el grupo una vez, y luego se replica la configuración añadiendo cuentas al grupo cuando sea necesario. Además, si es necesario cambiar la configuración de un determinado grupo de usuarios, solo hay que actualizar el grupo una vez y los cambios se aplican a todas las cuentas del grupo.

Para configurar un grupo para una regla de aprovisionamiento:

  1. Si quieres, puedes usar uno de tus grupos existentes en lugar de crear uno nuevo.

  2. (Opcional y requiere la administración de licencias de usuario) Si los usuarios de este grupo necesitan licencias de usuario, configura las reglas de asignación de licencias para el grupo.

    Si estás usando un grupo existente, comprueba la asignación de licencias para el grupo para asegurarte de que se están asignando las licencias correctas. Si no es así, cambia las asignaciones o considera la posibilidad de crear un nuevo grupo.

  3. Asigna los roles de los tenants y, opcionalmente, completa la configuración del UiPath Robot para el grupo. Consulta Asignar roles a un grupo.

    Si estás usando un grupo existente, comprueba los roles actualmente asignados al grupo para asegurarte de que son adecuados para el tipo de usuarios que vas a añadir al grupo. Si no es así, edita los roles asignados a este grupo, o considera crear un nuevo grupo.

  4. Agrega el grupo a las carpetas y asigna los roles de las carpetas, según sea necesario. Consulte Administrar el acceso a carpetas.

Ahora puedes usar este grupo en una regla de aprovisionamiento.

Fase 2. Crear una regla de aprovisionamiento para un grupo

Nota:

Asegúrate de que la reclamación asociada a la regla de aprovisionamiento SAML se envíe a la carga útil SAML configurándola en la aplicación SAML.

Una vez configurada la integración SAML y tras haber configurado un grupo:

  1. Dirígete a Administración > Configuración de seguridad > Configuración de autenticación.
  2. En la opción de SSO de SAML, haz clic en Ver reglas de aprovisionamiento:



    Se abre la página Reglas de aprovisionamiento de SSO de SAML, donde se listan tus reglas existentes.

  3. En la esquina superior derecha de la página, haz clic en Añadir regla.

    Se abre la página Añadir nueva regla.

  4. En Detalles básicos, rellena el campo Nombre de la regla y, opcionalmente, rellena el campo Descripción.
  5. En Condiciones, haz clic en Añadir regla.

    Se añade una fila de campos para una nueva condición. Conjuntamente, definen los criterios que debe cumplir una cuenta al iniciar la sesión para añadirse a un grupo (elegido más tarde).



  6. En el campo Solicitar, escriba el nombre de la solicitud, tal como aparece en el IdP.
  7. En la lista Relación, selecciona la relación de la reclamación con el valor. Las siguientes opciones están disponibles:

    Relación

    Requisito de condición

    Ejemplo

    es

    coincidencia exacta, distingue entre mayúsculas y minúsculas

    Department is RPA requiere que el valor de la solicitud Department sea RPA.
    La condición no se cumple si el valor es RPADev, por ejemplo.

    Esta relación funciona para las reclamaciones multivalor.

    Por ejemplo, si los valores administrator y developer se envían bajo la reclamación Group, entonces Group is administrator sería una relación válida.

    no es

    cualquier cosa, excepto el valor especificado; distingue entre mayúsculas y minúsculas

    Para Department is not ctr, cualquier cuenta se añade al grupo a menos que Department tenga el valor ctr.
    La condición se cumple si el departamento es Ctro electr.

    contiene

    incluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas

    Department contains RPA requiere que el valor de la solicitud Department incluya RPA.
    La condición se cumple si el valor es RPADev, xRPAx o NewRPA, por ejemplo.

    no contiene

    excluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas

    Para Department not contains ctr, cualquier cuenta se añade al grupo a menos que el valor Department incluya ctr.
    Las cuentas cuyo departamento es ctr o electr, por ejemplo, no se añaden al grupo.

    distingue entre mayúsculas y minúsculas

    coincidencia exacta; sin distinción de mayúsculas y minúsculas

    Department is case insensitive RPA requiere que el valor de la solicitud Department sea rpa, con cualquier uso de mayúsculas.
    La condición se cumple si el valor es rpa, por ejemplo. La condición no se cumple si el valor es crpa.

    contiene mayúsculas y minúsculas

    incluye; no requiere una coincidencia exacta; no distingue entre mayúsculas y minúsculas

    Department contains case insensitive RPA requiere que el valor de la solicitud Department incluya RPA, con cualquier uso de mayúsculas.
    La condición se cumple si el valor es rpa, cRPA o rpA, por ejemplo.
  8. En el campo Valor, escribe el valor necesario para cumplir la condición.
  9. Si deseas añadir otra condición, haz clic en Añadir regla para añadir una nueva fila de condiciones.

    Cuando se añaden varias condiciones, deben cumplirse todas las condiciones para que se aplique la regla de aprovisionamiento. Por ejemplo, si se definen las reglas Department is RPA y Title is Engineer, solo se añadirán a los grupos especificados los usuarios que estén en el departamento de RPA y tengan el título de Ingeniero. Una cuenta cuyo departamento es RPA, pero cuyo título es QA, no se añade a los grupos.
  10. En Asignar a grupos, en el recuadro Añadir grupos, comienza a escribir el nombre de un grupo y luego selecciona un grupo de la lista de resultados. Repite la operación para añadir más grupos, si es necesario.

    Cuando se cumplen las condiciones, las cuentas se añaden automáticamente a estos grupos cuando se conectan.

  11. Haz clic en Guardar en la esquina inferior derecha para añadir la regla.

Con una regla establecida, siempre que un usuario inicie sesión y su cuenta cumpla las condiciones especificadas para una regla, su cuenta se añade a los grupos de aprovisionamiento adjuntos a la regla, y su cuenta se configura para trabajar.

Paso 3. Transiciona a tus usuarios a SSO de SAML

Una vez configurados los permisos, te recomendamos que pidas a todos tus usuarios actuales que salgan de su cuenta de UiPath e inicien sesión mediante el SSO de SAML.

Para iniciar sesión en Studio y UiPath Assistant mediante el SSO de SAML, los usuarios deben configurar UiPath Assistant de la siguiente manera:

  1. En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
  2. Haz clic en Cerrar sesión.
  3. Para el tipo de conexión, selecciona URL de servicio.
  4. En el campo URL del servicio, añade la URL específica de la organización.
    La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID/. De lo contrario, la conexión falla diciendo que el usuario no pertenece a ninguna organización.
  5. Vuelve a iniciar sesión con el SSO de SAML.

Paso. 4. Configura los permisos y los robots

Esto solo es necesario para los nuevos usuarios que no han utilizado Automation Suite antes y, por lo tanto, no tenían una cuenta local configurada para ellos en Automation Suite cuando se habilitó la integración.

Puedes añadir nuevos usuarios a los grupos de Automation Suite por su dirección de correo electrónico (tal y como se usa en el IdP externo). Una vez que un usuario se haya asignado a un grupo o se haya registrado, estará disponible a través de la búsqueda para la asignación de roles en todos los servicios de Automation Suite.

Paso 5. Deja de usar las cuentas de usuario locales (opcional)

Cuando todos los usuarios hayan hecho la transición al SSO de SAML y se hayan configurado los nuevos usuarios, se recomienda eliminar todas las cuentas de usuario locales que no sean cuentas de administrador. Esto garantiza que los usuarios ya no puedan iniciar sesión con las credenciales de su cuenta local y tengan que iniciar sesión con el SSO de SAML.

En caso de problemas con la integración de SAML (como la actualización de un certificado caducado), o si deseas cambiar a una opción de autenticación diferente, se recomienda una cuenta de usuario local con el rol de administrador.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.