- Configuración inicial
- Administración de host
- Administración de la organización
- Gestión de su organización
- Gestión de la licencia de su organización
- Anulación de las notificaciones por correo electrónico del sistema
- Configurar la integración de Azure AD
- Configurar la Integración SAML
- Restringir el acceso a un conjunto de usuarios
- Política de sesión
- Tenants y servicios
- Configuración de clave de cifrado por inquilino
- Gestionar etiquetas
- Cuentas y roles
- Licencia
- Notificaciones
Configurar la integración de Azure AD
Si su organización utiliza Azure Active Directory (Azure AD) u Office 365, puede conectar su organización de Automation Suite directamente a su tenant de Azure AD para ver las cuentas de usuario existentes en su entorno de nube de UiPath®.
La integración de Azure AD le permite seguir aprovechando el modelo de usuario local, si así lo desea, a la vez que impulsa su organización con las ventajas adicionales de utilizar el modelo de Azure AD. Para obtener más información sobre las diferencias, consulta Autoridad sobre cuentas y grupos.
Si ha decidido usar Azure AD para su organización, siga las instrucciones de esta página para configurar la integración.
Para configurar la integración de Azure AD, necesitas:
- permisos de administrador tanto en Automation Suite como en Azure AD (si no tiene permisos de administrador en Azure, colabore con un administrador de Azure para completar el proceso de configuración);
- una cuenta UiPath de administrador de la organización que utiliza la misma dirección de correo electrónico que un usuario de Azure AD; el usuario de Azure AD no requiere permisos de administrador en Azure;
- UiPath Studio y Assistant versión 2020.10.3 o posterior;
- UiPath Studio y Assistant para utilizar la implementación recomendada .
- si utilizaste anteriormente cuentas de usuario locales , asegúrate de que todos tus usuarios de Azure AD tengan la dirección de correo electrónico en el campo Correo; tener la dirección de correo electrónico en el campo Nombre principal del usuario (UPN) solo no es suficiente. La integración de Azure AD vincula las cuentas de usuarios del directorio con las cuentas de usuarios locales si las direcciones de correo electrónico coinciden. Esto permite a los usuarios conservar los permisos cuando pasan de iniciar sesión con su cuenta de usuario local a hacerlo con la cuenta de usuario del directorio de Azure AD.
appid
en una URL dedicada, como se describe en la documentación de los tokens de acceso de Microsoft .
Tu organización requiere un registro de aplicación en tu tenant de Azure AD y algo de configuración para que pueda ver tus miembros de AD para establecer la identidad de la cuenta. Los detalles de registro de la aplicación también son necesarios para conectar posteriormente tu organización a tu tenant de Azure AD.
Permisos: debe ser administrador en Azure para realizar las tareas de esta sección. Los siguientes roles de administrador de Azure tienen los privilegios necesarios: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones.
Hay dos maneras de configurar tu tenant de Azure para la integración:
- Sigue las siguientes instrucciones para configurar manualmente el registro de una aplicación para la integración.
- Utiliza los scripts UiPath Azure AD que hemos creado para esta tarea, que están disponibles en GitHub: el script configAzureADconnection.ps1 realiza todas las acciones descritas en esta sección y devuelve los detalles de registro de la app. A continuación, puedes ejecutar el script testAzureADappRegistration.ps1 para asegurarte de que el registro de la aplicación se ha realizado correctamente.
Para configurar manualmente tu tenant de Azure, haz lo siguiente en Azure Portal:
Una vez finalizada la configuración de Azure, puedes preparar la integración, activarla y, a continuación, limpiar las cuentas antiguas.
El proceso se divide en etapas para que no haya interrupciones para tus usuarios.
Permisos: debe ser un administrador de la organización en Automation Suite para llevar a cabo las tareas en esta sección.
Cuando conecta Automation Suite a Azure AD mediante la activación de la integración, las cuentas con direcciones de correo electrónico coincidentes se benefician de los mismos permisos que la cuenta de UiPath correspondiente.
Si tu organización recicla correos electrónicos, es decir, si una dirección de correo electrónico utilizada en el pasado puede ser asignada a un nuevo usuario en el futuro, esto podría suponer un riesgo de acceso elevado.
Más información...
john.doe@example.com
y este empleado tenía una cuenta de UiPath en la que era administrador de la organización, pero ya no está en la empresa y la dirección de correo electrónico ha sido desactivada, pero el usuario no ha sido eliminado de Automation Suite. Si un nuevo empleado que se llama Juan Pérez se incorpora a la empresa, recibirá la misma dirección de correo electrónico john.doe@example.com
. En un caso como este, cuando las cuentas se vinculan para la integración de Automation Suite con Azure AD, Juan Pérez hereda los provilegios de administrador de la organización.
Para evitar este tipo de situaciones, asegúrese de eliminar todos los usuarios que ya no están activos de Automation Suite antes de proceder al siguiente paso.
Antes de empezar
- Asegúrese de que la configuración de Azure esté completa, como se describe anteriormente.
- Obtenga los valores ID de directorio (tenant), ID de aplicación (cliente) y secreto del cliente para el registro de aplicación de Automation Suite en Azure de su administrador de Azure.
Para activar la integración de Azure AD, haga lo siguiente en Automation Suite:
Ahora ya puede trabajar con los usuarios y grupos del tenant de Azure AD vinculado. Puedes localizar usuarios y grupos de Azure AD utilizando la búsqueda, por ejemplo para añadir un usuario a un grupo de Automation Suite.
¿Qué cambia para mis usuarios cuando la integración está activa?
Los usuarios pueden iniciar sesión inmediatamente utilizando su cuenta Azure AD existente y beneficiarse de los mismos permisos que tenían en su cuenta UiPath.
Si no has eliminado sus cuentas de usuario de UiPath, los usuarios también pueden seguir iniciando sesión con su cuenta de UiPath, ambos métodos funcionan.
https://{baseURL}/myOrganization/
, o seleccionar Enterprise SSO en la página principal de inicio de sesión.
Otro cambio que pueden notar los usuarios es que si ya han iniciado la sesión en sus cuentas de Azure AD desde el uso de otra aplicación, inician la sesión automáticamente cuando navegan a esta URL.
¿Qué roles tiene cada cuenta?
Cuenta de Azure AD: cuando un usuario inicia sesión con su cuenta de Azure AD, se beneficia inmediatamente de todos los roles que tenía en su cuenta de UiPath, además de cualquier rol asignado dentro de UiPath a la cuenta de Azure AD o a los grupos de Azure AD a los que pertenece. Estos roles pueden provenir del usuario de Azure AD o del grupo de Azure AD que se incluye en los grupos de Automation Suite, o de otros servicios como Orchestrator donde los roles fueron asignados al usuario de Azure AD o al grupo de Azure AD.
Cuenta de UiPath: con la integración de Azure AD activa, para las cuentas de UiPath depende:
- Si el usuario no ha iniciado sesión al menos una vez con su cuenta de Azure AD, solo tiene los roles de la cuenta de UiPath.
- Si ha iniciado sesión previamente con la cuenta de Azure AD al menos una vez, la cuenta de UiPath también tiene cualquier rol que el usuario de Azure AD tenga dentro de UiPath, ya sea asignado explícitamente o heredado de la pertenencia a un grupo de Automation Suite. La cuenta de UiPath no se beneficia de ninguno de los roles asignados a los grupos de Azure AD en los que se encuentra la cuenta de Azure AD.
¿Tengo que volver a conceder los permisos para las cuentas de Azure AD?
No. Dado que las cuentas coincidentes se vinculan automáticamente, sus permisos existentes se aplican también al iniciar sesión con la cuenta de Azure AD. Sin embargo, si decides dejar de utilizar las cuentas de UiPath, asegúrate de que se han establecido los permisos adecuados para los usuarios y grupos de Azure AD de antemano.
Para comprobar que la integración se ejecuta desde Automation Suite, inicie sesión como administrador de la organización con la cuenta de Azure AD e intente buscar grupos y usuarios de Azure AD en cualquier página relacionada, como el panel Editar grupo de Automation Suite (Admin > organización Cuentas y grupos > Grupos > Editar).
-
Si puedes buscar usuarios y grupos que se originan en Azure AD, significa que la integración está funcionando. Se puede saber el tipo de usuario o grupo por su icono.
Note: Los usuarios y grupos de Azure AD no aparecen en la página Usuarios ni en la página Grupos, solo están disponibles a través de la búsqueda. -
Si se produce un error al intentar buscar usuarios, como se muestra en el ejemplo siguiente, esto indica que hay algo mal en la configuración en Azure. Ponte en contacto con tu administrador de Azure y pídele que compruebe que Azure está configurado como se describe en Configuración de Azure para la integración.
Consejo: Pide a tu administrador de Azure que confirme que ha seleccionado la casilla de verificación Conceder consentimiento de administrador durante la configuración de Azure. Esta es una causa común por la que falla la integración.
Una vez activada la integración, recomendamos seguir las instrucciones de esta sección para garantizar que la creación de usuarios y las asignaciones de grupos se transfieran a Azure AD. De este modo, puede construir sobre su infraestructura de gestión de identidades y accesos existente para facilitar el control de la gestión de accesos y la gobernanza sobre los recursos de su organización de Automation Suite.
Puede hacer esto para asegurarse de que el administrador de Azure también pueda incorporar nuevos usuarios con los mismos permisos y la misma configuración del robot para Automation Suite y otros servicios que había configurado antes de la integración. Puede hacer esto añadiendo cualquier nuevo usuario a un grupo de Azure AD si el grupo tiene los roles requeridos ya asignados en Automation Suite.
Puede asignar sus grupos de usuarios existentes de Automation Suite a grupos nuevos o existentes en Azure AD. Puede hacerlo de varias maneras, dependiendo de cómo utilice los grupos en Azure AD:
- Si los usuarios con los mismos roles en Automation Suite ya están en los mismos grupos en Azure AD, el administrador de la organización puede añadir estos grupos de Azure AD a los grupos de usuarios de Automation Suite en los que estaban estos usuarios. De este modo, se garantiza que los usuarios mantengan los mismos permisos y la configuración del robot.
- De lo contrario, el administrador de Azure puede crear nuevos grupos en Azure AD para que coincidan con los de Automation Suite y añadir los mismos usuarios que están en los grupos de usuarios de Automation Suite. A continuación, el administrador de la organización puede añadir los nuevos grupos de Azure AD a los grupos de usuarios existentes para garantizar que los mismos usuarios tengan las mismas funciones.
En cualquier caso, asegúrate de comprobar los roles que se asignaron a las cuentas. Si es posible, elimina las asignaciones explícitas de funciones añadiendo estos usuarios a grupos que tengan las funciones que se asignaron explícitamente.
Ejemplo: digamos que el grupo de Administradores en Automation Suite incluye a los usuarios Roger, Tom y Jerry. Estos mismos usuarios también están en un grupo en Azure AD llamado admins. El administrador de la organización puede añadir el grupo admins al grupo Administradores de Automation Suite. De este modo, Pedro, Tomás y Juan, como miembros del grupo admins Azure AD, se benefician de los roles del grupo Administradores.
Dado que admins ahora forma parte del grupo Administradores, cuando necesite incorporar un nuevo administrador, el administrador de Azure puede añadir un nuevo usuario al grupo admins de Azure, otorgándoles así permisos de administración en Automation Suite sin tener que hacer ningún cambio en Automation Suite.
Los cambios en las asignaciones de grupos de Azure AD se aplican en Automation Suite cuando el usuario inicia sesión con su cuenta de Azure AD, o si ya ha iniciado sesión, en el plazo de una hora.
Inicio de sesión inicial: para que se apliquen los permisos asignados a los usuarios y grupos de Azure AD, los usuarios deben iniciar sesión al menos una vez. Recomendamos que, una vez ejecutada la integración, comuniques a todos tus usuarios que salgan de su cuenta de UiPath y vuelvan a iniciar sesión con su cuenta de Azure AD. Pueden iniciar sesión con su cuenta de Azure Ad:
-
navegando a la URL específica de la organización, en cuyo caso el tipo de inicio de sesión ya está seleccionado;
Nota:La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplohttps://{baseURL}/orgID/
. -
seleccionando SSO para Enterprise en la página principal de inicio de sesión.
Note: Asegúrate de proporcionar la URL específica de tu organización para Automation Suite a todos tus usuarios. Solo los administradores de la organización pueden ver esta información en Automation Suite.
Los usuarios migrados se benefician de la combinación de los permisos que les fueron asignados directamente y los de sus grupos de Azure AD.
Configuración de Studio y Assistant para los usuarios: para configurar estos productos para que se conecten con las cuentas de Azure AD:
Aunque es opcional, le recomendamos que lo haga para maximizar las principales ventajas de cumplimiento y eficiencia de la integración completa entre Automation Suite y Azure AD.
Una vez que se hayan migrado todos los usuarios, puedes eliminar los usuarios basados en cuentas personales de UiPath de la pestaña Usuarios, de modo que tus usuarios ya no podrán iniciar sesión con sus cuentas de UiPath. Puedes encontrar estas cuentas en función de sus iconos de usuario.
También puede limpiar los permisos individuales en los servicios de UiPath, como el servicio de Orchestrator, y eliminar a los usuarios de los grupos de Automation Suite, para que los permisos dependan exclusivamente de la pertenencia a grupos de Azure AD.
A continuación, te ofrecemos algunos consejos útiles sobre las funciones avanzadas que puedes aprovechar ahora que tienes configurada la integración con Azure AD.
Como la integración con Azure AD se realiza a nivel de tenant de Azure, por defecto todos los usuarios de Azure AD pueden acceder a la organización de Automation Suite. La primera vez que un usuario de Azure AD inicia sesión en Automation Suite, es automáticamente incluido en el grupo de Automation Suite Todos, que le concede el rol de usuario a nivel de organización.
Si solo desea permitir a determinados usuarios acceder a su organización de Automation Suite, puede activar la asignación de usuarios para el registro de la aplicación Automation Suite en Azure. De este modo, los usuarios deben ser asignados explícitamente a la aplicación (Automation Suite) para poder acceder a ella. Para obtener instrucciones, consulta este artículo en la documentación de Azure AD.
Si quieres que tus usuarios solo puedan acceder a Automation Suite desde una red o un dispositivo de confianza, puedes utilizar la función Acceso condicional de Azure AD.
Si has creado grupos en Azure AD para facilitar la incorporación a Automation Suite directamente desde Azure AD, tal y como se describe en Configurar grupos para permisos y robots, puedes usar las opciones de seguridad avanzadas de Privileged Identity Management (PIM) para estos grupos, a fin de administrar los requisitos de acceso para grupos de Automation Suite.
- Información general
- Requisitos previos
- Cómo configurar Azure para la integración
- Implementar la integración en Automation Suite
- Limpiar los usuarios inactivos
- Activar la integración de Azure AD
- Probar la integración de Azure AD
- Completar la transición a Azure AD
- Configurar grupos de permisos y robots (opcional)
- Migrar a los usuarios existentes
- Dejar de usa cuentas locales (opcional)
- Mejores prácticas
- Restringir el acceso a Automation Suite
- Restringe el acceso a redes o dispositivos de confianza
- Gobernanza para los grupos de Automation Suite en Azure AD