- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenar contraseñas de robots desatendidos en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Tipos de cuenta
- Roles por defecto
- Migrar de la ruptura de herencia a la unión de privilegios
- Gestionar roles personalizados
- Configuring access for accounts
- Configurar las capacidades de automatización
- Soluciones
- Auditoría
- Configuración
- Cloud Robots
- Ejecución de automatizaciones unattended utilizando robots en la nube: VM
- Cargar tu propia imagen
- Reutilizar imágenes de máquina personalizadas (para grupos manuales)
- Restablecer credenciales para una máquina (para grupos manuales)
- Supervisión
- Actualizaciones de seguridad
- Pedir una prueba
- Preguntas frecuentes
- Configuración de VPN para robots en la nube
- Configurar una conexión de ExpressRoute
- Transmisión en vivo y control remoto
- Automation Suite Robots
- Contexto de carpetas
- Procesos
- Trabajos
- Apps
- Desencadenadores
- Registros
- Supervisión
- Índices
- Colas
- Activos
- Sobre los activos
- Gestión de Activos en Orchestrator
- Gestión de Activos en Studio
- Almacenar activos en Azure Key Vault (solo lectura)
- Almacenamiento de activos en HashiCorp Vault (solo lectura)
- Almacenamiento de activos en AWS Secrets Manager (solo lectura)
- Almacenamiento de activos en Google Secret Manager (solo lectura)
- Conexiones
- Reglas empresariales
- Depósitos de almacenamiento
- Servidores MCP
- Pruebas de Orchestrator
- Servicio de catálogo de recursos
- Integraciones
- Solución de problemas
Guía del usuario de Orchestrator
Configuring access for accounts
Como administrador, puedes configurar permisos de tenant o carpeta detallados para objetos que ya existen en el nivel de organización (es decir, grupos, usuarios, cuentas de robot, aplicaciones externas), a través de Orchestrator, asignándolos a tenants o carpetas en Orchestrator. Un objeto obtiene los permisos necesarios para realizar operaciones particulares en un tenant o carpeta a través de uno o más roles.
Puedes utilizar grupos para simplificar el control de acceso, ya que los grupos te permiten gestionar de forma conjunta objetos con necesidades similares.
- Al cambiar el nombre de un grupo local a nivel de organización, también se cambia el nombre en Orchestrator. Si lo cambias de nombre varias veces en un corto período de tiempo, solo se captura el último cambio en los registros de auditoría de Orchestrator. Si quieres ver todos los cambios, puedes comprobar la auditoría a nivel de organización.
- Since the username of a robot account is permanent, and cannot be changed after it is set, the Username column under Manage Access also remains unchanged. For example, if you rename the robot from
TesttoTest1, only the Name column updates with the new value, leaving the Username unchanged. For more information, refer to Adding robot accounts.
Para hacer uso de todos los tipos de identidades disponibles, grupos, usuarios, cuentas de robot y aplicaciones externas se dividen en páginas independientes para grupos, usuarios, cuentas de robot y aplicaciones externas. Puedes encontrarlos en pestañas dedicadas, en la página Gestionar acceso.
Como descripción general de las pestañas, la pestaña Todos incluye todos los objetos a los que se ha asignado acceso en el nivel de tenant. Las pestañas Grupos, Usuarios, Cuentas de robot y Aplicaciones externas incluyen los grupos locales y de directorio, usuarios locales y de directorio, cuentas de robot y aplicaciones externas a las que se ha asignado acceso en el nivel de tenant.
Control de acceso a nivel de tenant
La página Gestionar acceso te permite controlar el acceso de todos los objetos (es decir, grupos, usuarios, cuentas de robot, aplicaciones externas). Esto significa que puedes:
- asignar a un tenant cualquier objeto que ya exista en el nivel de organización
- configurar permisos para objetos en Orchestrator
- eliminar el acceso de tenant de los objetos existentes
La configuración de grupos (roles, inicio de sesión web y ajustes de robot) se transmite a cualquier usuario que pertenezca a ese grupo y posteriormente se añade o se autoaprovisiona.
Asignar grupos a un tenant
En un tenant, al asignar grupos y añadirle roles, ten en cuenta que estos son heredados por todos los usuarios y cuentas de robot que forman parte de ese grupo.
Los administradores de la organización crean y mantienen los grupos desde la página Admin > Cuentas y grupos.
By default, the User Access Type filter in the All and Users page is set to Elevated, displaying only users with directly assigned or elevated access. To view all users, including those inheriting access through groups, change the filter to All.
- En el campo de búsqueda, escribe un grupo de usuarios existente al que quieras demostrar el acceso de tenant.
Si se requiere un nuevo grupo, haz clic en Gestionar cuentas para llegar al nivel de organización, donde se añaden todos los objetos nuevos.
- Haz clic en el campo Roles y selecciona la casilla de verificación para cada rol que quieres asignar al grupo seleccionado.
Si es necesario, puedes definir un nuevo rol haciendo clic en Nuevo rol.
- En Configuración de la cuenta, puedes elegir si los miembros del grupo pueden iniciar sesión en la IU de Orchestrator.
Después de la migración a la unión de privilegios, el acceso a la IU está determinado por los permisos combinados de todos los grupos a los que pertenece una cuenta. Esto significa que si al menos un grupo otorga acceso a la IU, la cuenta tendrá acceso independientemente de la configuración en el nivel de cuenta individual.
- Si desea crear también un robot attended para miembros del grupo, haga clic en Siguiente.
De lo contrario, haz clic en Omitir y asignar para aplicar tus ajustes.
Asignar cuentas a un tenant
Te recomendamos que gestiones el acceso de los usuarios asignando roles a los grupos y luego asignando adecuadamente los usuarios a los grupos correctos para otorgarles los roles necesarios.
Sin embargo, si necesitas realizar una asignación de rol única para un usuario en particular, puedes proporcionar directamente acceso al usuario, como se indica a continuación:
- En el campo de búsqueda, escribe el usuario al que quieres asignar acceso al tenant.
Si se requiere un grupo grupo, haz clic en Gestionar cuentas para llegar al nivel de organización, donde se añaden todos los objetos nuevos.
- Haz clic en el campo Roles y selecciona la casilla de verificación para cada rol que quieras asignar al usuario seleccionado.
Si es necesario, puedes definir un nuevo rol haciendo clic en Nuevo rol.
- En Configuración de la cuenta, puedes elegir si el usuario puede iniciar sesión en la IU de Orchestrator.
Después de la migración a la unión de privilegios, el acceso a la IU está determinado por los permisos combinados de todos los grupos a los que pertenece una cuenta. Esto significa que si al menos un grupo otorga acceso a la IU, la cuenta tendrá acceso independientemente de la configuración en el nivel de cuenta individual.
- (Opcional) En Configuración de la política de actualización, elige el nivel de versión en el que quieres que se requiera a este usuario para actualizar las aplicaciones de UiPath en su estación de trabajo. Si seleccionas una política, el usuario no podrá utilizar UiPath® Robot, Studio o Assistant hasta que actualice estas aplicaciones a la versión requerida por la política. Esta configuración puede ayudarte a asegurarte de que todos tus usuarios utilizan las mismas versiones.
- Si desea crear también un robot attended o unattended para este usuario, haga clic en Siguiente.
De lo contrario, haz clic en Omitir y asignar para aplicar tus ajustes.
Asignar cuentas de robot a un tenant
Te recomendamos que gestiones el acceso de los robots asignando roles a los grupos y luego asignando adecuadamente las cuentas de los robots a los grupos correctos para otorgarles los roles necesarios.
Sin embargo, si necesitas realizar una asignación de roles única para una cuenta de robot en particular, puedes conceder directamente acceso al robot, de la siguiente manera:
- En el campo de búsqueda, escribe la cuenta de robot a la que deseas conceder acceso al tenant.
Si se requiere un nuevo robot, haz clic en Gestionar cuentas para llegar al nivel de organización, donde se añaden todos los objetos nuevos.
- Haz clic en el campo Roles y luego selecciona la casilla de verificación para cada rol que deseas asignar al robot seleccionado.
Si es necesario, puedes definir un nuevo rol haciendo clic en Nuevo rol.
- Si también deseas crear un robot unattended para este usuario, haz clic en Siguiente.
De lo contrario, haz clic en Omitir y asignar para aplicar tus ajustes.
Asignar aplicaciones externas a un tenant
Como administrador, puedes configurar permisos detallados de tenant o carpeta para apps confidenciales, asignándolos a carpetas o tenants en Orchestrator. Una app externa obtiene los permisos requeridos para realizar operaciones particulares en una carpeta o tenant mediante uno o más roles.
- Ve a Tenant > Gestionar acceso. Se mostrará la página Gestionar acceso.
- Haz clic en Asignar roles > Aplicación externa. Se muestra la ventana Asignar roles a una aplicación externa.
Figura 1. Asignar roles a una aplicación externa
- En el campo de búsqueda, escribe el nombre de la aplicación externa que deseas añadir.
- En Roles, selecciona los roles para este objeto.
- Haz clic en Asignar.
Asignar varias cuentas
- Ve a Tenant > Gestionar acceso y haz clic en la pestaña Roles.
- En la página Roles , selecciona un rol de la lista y haz clic en Más acciones
> Gestionar usuarios.
Se muestra la ventana Administrar usuarios y todos los usuarios, grupos y robots aparecen en la lista. Si se selecciona una casilla de verificación, eso significa que los objetos tienen este rol asignado.
- Activa o desactiva las casillas de verificación según sea necesario para que solo se seleccionen las personas que deben tener este rol.
Figura 2. Gestión de usuarios administradores
- Haz clic en Actualizar para aplicar los cambios.
Los cambios de los roles se aplican inmediatamente cuando un usuario inicia sesión o automáticamente cada hora.
Comprobación de roles asignados
Puedes ver qué roles están asignados a un objeto (usuario, grupo, cuenta de robot, aplicación externa) desde las siguientes ubicaciones a nivel de tenant:
- Gestionar acceso > pestaña Asignar roles > selecciona el objeto de la lista > Más acciones > Comprobar roles y permisos
- Gestionar acceso > Asignar roles > icono de tres puntos > Comprobar roles y permisos
- Robots > selecciona la cuenta de la lista > Más acciones > Comprobar roles y permisos
- Supervisión > Sesiones de usuario > selecciona la cuenta de la lista > icono Comprobar roles y permisos
Estas opciones muestran la ventana Ver permisos, que se divide entre las secciones Acceso al tenant y Acceso a la carpeta. A su vez, cada sección está compuesta por:
- El panel de roles: incluye el nombre del rol y su tipo (es decir, asignado explícitamente o heredado).
- El panel de permisos: enumera los permisos incluidos en los roles seleccionados.
Acceso del tenant
Esta sección muestra los roles y permisos concedidos a nivel de tenant. Puedes elegir entre estas opciones:
- Todos los roles de este tenant : el panel de permisos muestra todos los permisos correspondientes a todos los roles otorgados a la entidad seleccionada a nivel de tenant.
- Rol específico : el panel de permisos solo muestra los permisos correspondientes al rol seleccionado, tal como se otorgan a la entidad seleccionada en el nivel de tenant.
Figura 3. Acceso de tenant 
Acceso de la carpeta
Esta sección muestra los roles y permisos concedidos a nivel de folder.
Puedes utilizar el cuadro de selección para elegir la carpeta concreta para la que quieres mostrar los roles y sus permisos. La lista solo contiene carpetas en las que se asigna la entidad seleccionada.
Si la entidad seleccionada tiene más de una función para la carpeta elegida, puedes elegir entre estas opciones:
- Todos los roles de este tenant : el panel de permisos muestra todos los permisos correspondientes a todos los roles otorgados a la entidad seleccionada en el nivel de carpeta.
- Rol específico : el panel de permisos solo muestra los permisos correspondientes al rol seleccionado, tal como se otorgan a la entidad seleccionada en el nivel de carpeta.
Figura 4. Acceso de carpeta 
Eliminar un usuario o grupo
Eliminar un usuario o grupo de Orchestrator no elimina la cuenta de tu organización.
- Dirígete a la pestaña Tenant > Administrar acceso > Asignar roles.
- Selecciona el usuario o grupo, haz clic en Más acciones y selecciona Eliminar.
Si el usuario cuyo rol quieres eliminar tiene un UiPath Robot actualmente ocupado, se te informa de que cualquier trabajo en ejecución será eliminado, y se te pregunta si quieres continuar con la eliminación o cancelar la operación.
- Confirma la operación.
El usuario o grupo se eliminará de Orchestrator y se revocarán todos los roles
De forma alternativa, selecciona uno o varios usuarios y haz clic en el botón Eliminar.
- No puedes eliminar un usuario que tenga el rol de Administrador.
- No se pueden eliminar ni desasignar usuarios que sean parte de asignaciones utilizadas en desencadenadores desde la carpeta en la que reside el desencadenador. Para poder eliminarlo, asegúrate de que el usuario no esté establecido como destino de ejecución en un desencadenador.
- Eliminar un grupo de directorio no elimina la licencia de un usuario de directorio asociado, aunque la eliminación del grupo elimine al usuario de cualquier carpeta. La única forma de liberar la licencia es cerrar UiPath Assistant.
Asignación de rol a grupo recomendada
La combinación correcta de grupo y rol te permite separar correctamente los permisos y otorgar control detallado a las personas adecuadas. Para lograrlo, recomendamos el siguiente emparejamiento de roles y grupos:
| Grupo | Tiene acceso a la interfaz de Orchestrator | Tiene acceso solo a todas las carpetas/espacio de trabajo personal | Tiene acceso a la API | rol del tenant | rol de carpeta |
|---|---|---|---|---|---|
| Usuarios de automatización | No | Espacio de trabajo personal Si un usuario está asignado a otras carpetas a través de la API, también tiene acceso a ellas, además del espacio de trabajo personal. | Sí | Permite ser Usuario de automatización | Automation User |
| Desarrolladores de automatización | Sí | Todas las carpetas | Sí | Allow to be Automation Developer | Automation Developer |
| Administradores | Sí | Todas las carpetas | Sí | Administrador de Orchestrator | Administrador de carpeta |
| Automation Express | Sí | Todas las carpetas | Sí | Permite ser Usuario de automatización | Automation User |
Solución de problemas
El error No encontrado
If an account was removed from the organization, when attempting to edit, enable/disable, or remove the account from Orchestrator (Tenant > Manage Access), a Not found (#1002) error is displayed.
En este caso, la cuenta ya no existe y ya no tiene acceso a los productos de UiPath.
Control de acceso a nivel de carpeta
En el tenant, el acceso también puede controlarse a nivel de carpeta desde la pestaña Carpetas, utilizada para gestionar carpetas y objetos, y desde el contexto de la carpeta, en el menú de la barra lateral.
Asignar objetos a una carpeta
Ve a Tenant > pestaña Carpetas, elige la carpeta y haz clic en Cuentas y grupos. A continuación, haz clic en Asignar y selecciona el objeto que se añadirá a la carpeta.
También puedes filtrar objetos por categoría (todos, usuario, grupo, cuenta de robot, aplicación externa).
Para asignar el objeto, se te requiere que le añadas un rol. Una vez hecho esto, haz clic en Asignar y el objeto se vuelve visible en la lista.
Otro método para asignar objetos a una carpeta es ir al contexto de la carpeta desde el menú de la barra lateral y hacer clic en Usuarios > Asignar. En el campo de búsqueda, escribe el nombre del objeto que deseas añadir a la carpeta, selecciona los roles que necesita y haz clic en Asignar para finalizar la configuración.
Editar acceso
Para dar acceso a carpetas específicas a objetos asignados (grupos, usuarios, cuentas de robot, aplicaciones externas), abre una carpeta desde el menú de la barra lateral y ve a Usuarios. Junto al objeto para el que deseas editar el acceso a la carpeta, haz clic en Más acciones > Editar rol en esta carpeta. Esto abre la página de asignación, donde puedes añadir o eliminar cualquier rol para el objeto seleccionado.
Los mismos pasos pueden aplicarse al ir a Tenant > pestaña Carpeta > Cuentas y grupos > Más acciones junto al objeto que deseas modificar > Editar rol en esta carpeta. Ahora puedes añadir o eliminar cualquier rol para el objeto seleccionado.
Eliminar el acceso a la carpeta
Ve a Tenant > pestaña Carpetas, elige la carpeta y haz clic en Cuentas y grupos. Junto al objeto que te gustaría eliminar, haz clic en Más acciones > Cancelar asignación. Una vez que se realiza esto, el objeto ya no tiene acceso a esa carpeta.
Las cuentas que forman parte de las asignaciones cuenta-máquina que se usan en los desencadenadores no pueden eliminarse o desasignarse de la carpeta en la que reside el desencadenador. Para poder eliminarla, asegúrate de que la cuenta no esté establecida como destino de ejecución en un desencadenador.
Acceso a subcarpetas
Se puede establecer una jerarquía de carpetas con hasta 7 niveles. Esta estructura incluye la carpeta de nivel superior y permite 6 capas adicionales de subcarpetas debajo de ella. En términos de acceso de usuario, se hereda de las carpetas principales. Esto significa que si se te asigna acceso a una carpeta, obtienes automáticamente acceso a todas sus subcarpetas.
Se produce una degradación del rendimiento y posibles errores al cargar el menú de selección de Carpeta para una cuenta asignada a más de 1000 carpetas.
Control de acceso al espacio de trabajo personal
Al configurar robots attended para un grupo o un único usuario, también tienes la opción de crear un espacio de trabajo personal para él.
To configure this option, go to Tenant > Manage Access > select a user or group > More Actions > Edit. Under Settings > UI Profile, choose one of the following options:
- None: the user does not have access to the Orchestrator user interface.
- Personal Workspace: the user has access only to functionality specific to Personal Workspace .
- Standard: the user has access to the standard Orchestrator interface, based on their assigned roles and permissions.
Importante:
If UI Profile is set to None, the user may be unable to access Orchestrator or may encounter a
“No access”error. Check this setting if a user unexpectedly cannot access the Orchestrator UI.
Permisos de espacios de trabajo personales
Permisos en el nivel de tenant requeridos para gestionar los espacios de trabajo de otros usuarios:
- Configuración - Ver y Configuración - Editar para permitir el uso de espacios de trabajo personales en el tenant desde la página Tenant > Configuración.
- Usuarios - Ver y Usuarios - Editar para habilitar un espacio de trabajo personal para un usuario o grupo editándolo desde la página Gestionar acceso.
Permisos de nivel de carpeta necesarios para usar un espacio de trabajo personal
- Alertas - Ver para ver alertas generadas por el espacio de trabajo personal.
- Acciones: Ver,Acciones: Editar,Acciones: Crear y Acciones: Eliminar para habilitar la ejecución de flujos de trabajo de larga duración en el espacio de trabajo personal.
- Catálogos de acciones - Ver,Catálogos de acciones - Editar,Catálogos de acciones - Crear,Catálogos de acciones - Eliminar para permitir al usuario gestionar catálogos de acciones en el espacio de trabajo personal.
Comprobación de roles asignados
Puedes ver qué roles están asignados a un objeto (usuario, grupo, cuenta de robot, aplicación externa) desde las siguientes ubicaciones a nivel de tenant:
- Gestionar acceso > pestaña Asignar roles > selecciona el objeto de la lista > Más acciones > Comprobar roles y permisos
- Gestionar acceso > Asignar roles > icono de tres puntos > Comprobar roles y permisos
- Robots > selecciona la cuenta de la lista > Más acciones > Comprobar roles y permisos
- Supervisión > Sesiones de usuario > selecciona la cuenta de la lista > icono Comprobar roles y permisos
Estas opciones muestran la ventana Ver permisos, que se divide entre las secciones Acceso al tenant y Acceso a la carpeta. A su vez, cada sección está compuesta por:
- El panel de roles: incluye el nombre del rol y su tipo (es decir, asignado explícitamente o heredado).
- El panel de permisos: enumera los permisos incluidos en los roles seleccionados.
Acceso del tenant
Esta sección muestra los roles y permisos concedidos a nivel de tenant. Puedes elegir entre estas opciones:
- Todos los roles de este tenant : el panel de permisos muestra todos los permisos correspondientes a todos los roles otorgados a la entidad seleccionada a nivel de tenant.
- Rol específico : el panel de permisos solo muestra los permisos correspondientes al rol seleccionado, tal como se otorgan a la entidad seleccionada en el nivel de tenant.
Figura 5. Acceso de tenant
Acceso de la carpeta
Esta sección muestra los roles y permisos concedidos a nivel de folder.
Puedes utilizar el cuadro de selección para elegir la carpeta concreta para la que quieres mostrar los roles y sus permisos. La lista solo contiene carpetas en las que se asigna la entidad seleccionada.
Si la entidad seleccionada tiene más de una función para la carpeta elegida, puedes elegir entre estas opciones:
- Todos los roles de este tenant : el panel de permisos muestra todos los permisos correspondientes a todos los roles otorgados a la entidad seleccionada en el nivel de carpeta.
- Rol específico : el panel de permisos solo muestra los permisos correspondientes al rol seleccionado, tal como se otorgan a la entidad seleccionada en el nivel de carpeta.
Figura 6. Acceso de la carpeta
Asignación de rol a grupo recomendada
La combinación correcta de grupo y rol te permite separar correctamente los permisos y otorgar control detallado a las personas adecuadas. Para lograrlo, recomendamos el siguiente emparejamiento de roles y grupos:
| Grupo | Tiene acceso a la interfaz de Orchestrator | Tiene acceso solo a todas las carpetas/espacio de trabajo personal | Tiene acceso a la API | rol del tenant | rol de carpeta |
|---|---|---|---|---|---|
| Usuarios de automatización | No | Espacio de trabajo personal Si un usuario está asignado a otras carpetas a través de la API, también tiene acceso a ellas, además del espacio de trabajo personal. | Sí | Permite ser Usuario de automatización | Automation User |
| Desarrolladores de automatización | Sí | Todas las carpetas | Sí | Allow to be Automation Developer | Automation Developer |
| Administradores | Sí | Todas las carpetas | Sí | Administrador de Orchestrator | Administrador de carpeta |
| Automation Express | Sí | Todas las carpetas | Sí | Permite ser Usuario de automatización | Automation User |
- Control de acceso a nivel de tenant
- Asignar grupos a un tenant
- Asignar cuentas a un tenant
- Asignar cuentas de robot a un tenant
- Asignar aplicaciones externas a un tenant
- Asignar varias cuentas
- Comprobación de roles asignados
- Eliminar un usuario o grupo
- Asignación de rol a grupo recomendada
- Solución de problemas
- Control de acceso a nivel de carpeta
- Asignar objetos a una carpeta
- Editar acceso
- Eliminar el acceso a la carpeta
- Acceso a subcarpetas
- Control de acceso al espacio de trabajo personal
- Comprobación de roles asignados