Orchestrator
2021.10
False
Imagen de fondo del banner
Guía del usuario de Orchestrator
Última actualización 19 de abr. de 2024

Gestión de las capacidades de acceso y automatización

En la página de Gestión de acceso puedes definir y asignar roles. En Orchestrator, se utilizan los roles para controlar el nivel de acceso que debe tener una cuenta. En esta página, repasamos las nociones que debes comprender para planificar y aplicar eficazmente tu estrategia de control de acceso.

El nivel de acceso y las acciones que sus usuarios pueden realizar se controlan mediante dos elementos:

  • cuentas, que establecen la identidad de un usuario y se utilizan para iniciar sesión en tus aplicaciones UiPath.
  • roles, que se asignan a las cuentas para concederles determinados permisos en el ecosistema UiPath.

Las cuentas no se crean ni se gestionan en Orchestrator, solo los roles y sus asignaciones.

Acerca de las cuentas

Una cuenta es una entidad de la plataforma UiPath con capacidades que dependen del acceso y cuya vista y control de Orchestrator dependen de los roles asignados.

Las cuentas pueden:

  • crearse y gestionarse localmente (cuentas locales) desde

  • crearse y gestionarse en un directorio externo (cuentas de directorio y grupos de directorio). Consulta la sección Integración con AD para comprender mejor la integración de directorios.

Las cuentas solo están disponibles dentro de una organización.

Una vez que se haya añadido correctamente una cuenta, hay dos formas de concederle derechos a Orchestrator:

  • añadiendo la cuenta a un grupo para que herede los roles del grupo o
  • asignando roles a la cuenta a nivel de servicio.

Puedes utilizar ambos métodos para tener un control detallado del acceso que tiene una cuenta en tu organización.

Integración de directorios

Un directorio activo (AD) referenciado en Orchestrator hace que sus miembros sean usuarios potenciales de Orchestrator. El nivel de acceso de una cuenta de directorio se configura en Orchestrator, ya sea a nivel de grupo (grupo de directorio) o de usuario (usuario de directorio).

Puedes integrarte con:

  • un Active Directory local
  • Azure Active Directory

  • otros proveedores de identidad que tienen o se conectan a un directorio

    Aviso: El uso de una integración de directorio junto con el autoaprovisionamiento de robots asistidos y las carpetas jerárquicas permiten configurar fácilmente grandes implementaciones. Para obtener información detallada, consulta Gestionar grandes implementaciones.

Requisitos previos

  • La opción de autenticación a través de la cual se conecta al directorio externo está habilitada.
  • Se especificó un dominio válido durante la configuración de la autenticación. Todos los dominios y subdominios de los bosques de confianza bidireccional con el dominio especificado están disponibles al agregar usuarios / grupos.
  • La máquina en la que está instalada Orchestrator está unida al dominio especificado. Para comprobar si el dispositivo está unido al dominio, ejecuta dsregcmd /status desde la solicitud de comando y dirígete a la sección Estado del dispositivo.
  • La identidad bajo la que se ejecuta el grupo de aplicaciones de Orchestrator debe formar parte del grupo de acceso de autorización de Windows (WAA).

Comportamiento

  • Al añadir un grupo de directorio se crea una entidad en Orchestrator denominada grupo de directorio, para la que se configuran los derechos de acceso según se desee. Esta entrada sirve como referencia para el grupo, como se encuentra en AD.
  • Al iniciar sesión, Orchestrator comprueba tu pertenencia a grupos en la base de datos de AD y en Identity Server de UiPath. Si se confirma, se provisiona automáticamente tu usuario como Usuario de directorio y luego se asocia a los derechos de acceso heredados del grupo de directorio (paso 1). Los derechos heredados solo se conservan durante la sesión de usuario.
  • El aprovisionamiento automático tiene lugar la primera vez que un usuario se conecta. Una cuenta de usuario aprovisionada automáticamente no se elimina al cerrar la sesión, ya que podrías necesitar la entrada para fines de auditoría.

  • Los cambios realizados a la membresía de grupo en el directorio se sincronizan con Orchestrator en cada inicio de sesión o una vez cada hora para las sesiones de usuario activas.

Si eres miembro de un grupo X lo que sucede es esto:

  • Inicias sesión, Orchestrator comprueba tu afiliación a un grupo y luego confirma tu identidad contra la base de datos de AD e Identity Server. Entonces se te conceden permisos de acceso según tu configuración de Orchestrator. Si el administrador de tu sistema cambia tu pertenencia a grupo desde el grupo X al grupo Y mientras mantienes una sesión activa, Orchestrator consulta los cambios una vez por hora, o la siguiente vez que inicies sesión.

  • La única forma de configurar los derechos de acceso que persisten entre sesiones, independientemente de cómo cambie la membresía de grupo, es asignar un rol a la cuenta de usuario directamente y no a través de la membresía de grupo.
  • Los usuarios de AD cuyos derechos de acceso heredados (de la pertenencia a un grupo) no pueden determinarse se comportan como usuarios locales, lo que significa que dependen únicamente de los roles asignados a la cuenta de usuario.
  • Los grupos en AD se sincronizan con Orchestrator, si bien los cambios realizados en Orchestrator no afectan a la configuración de los usuarios en AD.

Problemas conocidos

  • Debido a diversos problemas de red o de configuración, existe la posibilidad de que no todos los dominios mostrados en el Nombre de dominio estén accesibles.
  • Los cambios realizados en los nombres de usuarios o grupos en AD no se propagan a Orchestrator.
  • La actualización de la lista de dominios con los nuevos dominios de confianza bidireccionales puede tardar hasta una hora.
  • Las solicitudes GetOrganizationUnits(Id) y GetRoles(Id) solo devuelven carpetas y roles establecidos explícitamente para un usuario aprovisionado automáticamente. Los heredados de la configuración del grupo pueden recuperarse a través del punto final /api/DirectoryService/GetDirectoryPermissions?userId={userId}.
  • Lo mismo vale para la interfaz de usuario, donde solo se muestran carpetas y roles establecidos de forma explícita en la página Usuarios. En contraste, los heredados tienen una nueva ubicación independiente, la ventana Permisos de usuario (Usuarios > Más acciones > Comprobar permisos).
  • Los usuarios no heredan la configuración de la suscripción a las alertas del grupo principal, ni reciben ninguna alerta de forma predeterminada. Para tener acceso a las alertas deberás otorgar los permisos correspondientes al usuario explícitamente.
  • Eliminar un grupo de directorio no elimina la licencia de un usuario de directorio asociado, incluso si la eliminación del grupo quita al usuario de cualquier carpeta. La única forma de eliminar la licencia es cerrar la bandeja de Robots.
  • En ciertos navegadores, iniciar sesión en Orchestrator utilizando tus credenciales de AD solo requiere tu nombre de usuario. No hace falta especificar también el dominio. Por tanto, si la sintaxis dominio/nombre de usuario no funciona, intenta rellenar solo el nombre de usuario.

Consideraciones de auditoría

  • Membresía de usuario: el usuario [username] se asignó a los siguientes grupos de directorio [Grupos de directorio de los que el usuario hereda derechos de acceso en la sesión actual].
  • Aprovisionamiento automático: el usuario [username] será aprovisionado automáticamente de los siguientes grupos de directorio [Grupos de directorio de los que el usuario hereda derechos de acceso en la sesión actual].

Permisos de usuarios

Para poder realizar varias operaciones en las páginas Usuarios y Perfil, deberás disponer de los permisos correspondientes:

  • Ver en Usuarios: permite la visualización de las páginas Usuarios y Perfil.
  • Editar en Usuarios: permite editar los detalles y la configuración del usuario en la página Perfil, así como activar/desactivar usuarios en la página Usuarios.
  • Usuarios - Ver y roles - Ver - Mostrar permisos de usuario.
  • Editar en Usuarios y Ver en Roles: permite editar asignaciones de rol en la página Gestionar accesos > Asignar roles.
  • Crear en Usuarios y Ver en Roles: permiten crear un usuario.
  • Ver en Usuarios y Editar en Roles: permiten gestionar roles en la ventana Gestionar usuarios, que se abre desde la página Gestionar accesos > Roles.
  • Eliminar en Usuarios: permite eliminar un usuario de Orchestrator.

Permisos sin efecto

Aunque puedes seleccionar todos los derechos disponibles (Ver, Editar, Modificar o Eliminar) para cualquier permiso, los siguientes derechos no tienen efecto en el permiso indicado:

Permiso

Categoría

Editar
  • Auditoría
  • Medios de ejecución
  • Registros

Crear
  • Auditoría
  • Licencia
  • Configuración
  • Supervisión

Eliminar
  • Alertas
  • Auditoría
  • Configuración
  • Registros
  • Supervisión

Esto se debe a que, por ejemplo, no es posible editar los registros generados por el sistema.

Consideraciones de seguridad

Autenticación básica

De forma predeterminada, Orchestrator no permite el acceso de los usuarios a través de la autenticación básica. Esta funcionalidad puede habilitarse añadiendo y configurando los ajustes Auth.RestrictBasicAuthentication. Esto te permite crear cuentas locales que pueden acceder a Orchestrator usando tus credenciales de autenticación básica, lo que te permite mantener las integraciones existentes que dependían de la autenticación básica al llamar a la API de Orchestrator.

La activación de la autenticación básica puede hacerse al crear y editar cuentas.

Bloqueo de cuenta

Por defecto, después de 10 intentos fallidos de inicio de sesión, se bloquea durante 5 minutos.

Los administradores del sistema pueden personalizar la configuración Bloqueo de cuenta desde el portal de gestión del host.

Aviso: Al iniciar sesión con la misma cuenta en una máquina diferente, se desconecta al usuario de la primera máquina.

Permisos para la gestión de usuarios

Para poder realizar varias operaciones en las páginas Usuarios y Roles, deberás tener los permisos correspondientes:

  • Ver en Usuarios: permite la visualización de las páginas Usuarios y Perfil.
  • Editar en Usuarios: permite editar los detalles y la configuración del usuario en la página Perfil, así como activar/desactivar usuarios en la página Usuarios.
  • Usuarios - Ver y Roles - Ver : muestra los permisos de usuario en la ventana Permisos de usuario.
  • Editar en Usuarios y Ver en Roles: permite editar asignaciones de rol en la página Gestionar accesos > Asignar roles.
  • Crear en Usuarios y Ver en Roles: permiten crear un usuario.
  • Ver en Usuarios y Editar en Roles: permiten gestionar roles en la ventana Gestionar usuarios, que se abre desde la página Gestionar accesos > Roles.
  • Eliminar en Usuarios: permite eliminar un usuario de Orchestrator.

Preguntas frecuentes

1. ¿Qué ocurre con el acceso de un usuario que pertenece a varios grupos?

El usuario recibe la unión de los derechos de acceso asociados a cada grupo al que pertenece.

Ejemplo: John Smith pertenece a los grupos de RR. HH. y Finanzas que se han añadido a Orchestrator. El grupo de RR. HH. tiene el rol de Administración y acceso a la carpeta de Recursos Humanos; el de Finanzas tiene el rol de Ejecutor y acceso a la carpeta de Finanzas. Al formar parte de ambos grupos, John tiene las funciones de gestión y ejecución, además de acceso a las carpetas de recursos humanos y finanzas.

2. ¿Qué sucede en cuanto al acceso cuando un usuario se añade por separado junto a un grupo al que pertenece?

El usuario recibe la unión de los derechos de acceso asociados al grupo al que pertenece y los establecidos explícitamente. Ten en cuenta que los derechos de acceso heredados dependen de la configuración del grupo, y que los derechos de acceso establecidos explícitamente son independientes de la configuración del grupo.

Ejemplo: John Smith ha sido añadido individualmente desde AD, y se le ha otorgado explícitamente el rol de Ejecutor y acceso a la carpeta de Finanzas. El grupo de RR. HH. (al que pertenece John) también se ha añadido a Orchestrator, y se le ha otorgado el rol de Administración y acceso a la carpeta de RR. HH. John tiene las funciones de ejecutor y gestor, y acceso a las carpetas de Recursos Humanos y Finanzas. Si se le elimina del grupo de RR. HH. a nivel de AD, pierde el rol de Administración y el acceso a la carpeta de RR. HH., pero mantiene los establecidos explícitamente.

3. Mi usuario pertenece a dos grupos: el primero permite la creación automática de UiPath Robots y el segundo no. ¿Se crea un UiPath Robot para mi usuario?

Como un usuario recibe la unión de los derechos asociados a todos los grupos a los que pertenece, se crea un UiPath Robot para su usuario basado en la configuración creada para el primer grupo.

4. He borrado/desactivado un grupo de directorio. ¿Podrán seguir conectándose los usuarios del directorio asociado?

No, si no has establecido explícitamente los derechos de acceso para ellos. Sí, si les has concedido derechos de acceso individualmente en Orchestrator. Los derechos de acceso heredados solo se conservan mientras dure la sesión de usuario activa. Solo los derechos de acceso establecidos explícitamente persisten entre sesiones. Al eliminarse o desactivarse un grupo de directorios, se eliminan los derechos heredados, pero los que se han establecido explícitamente no cambian.

5. ¿Cuándo surten efecto los cambios realizados en un grupo de AD en Orchestrator?

Orchestrator interroga los cambios realizados en tus grupos de AD, como añadir, mover o eliminar usuarios en cada inicio de sesión de usuario, o una vez cada 60 minutos para sesiones activadas. Sesenta minutos es el valor predeterminado que se puede cambiar en el archivo de configuración mediante el parámetro WindowsAuth.GroupMembershipCacheExpireHours.

Was this page helpful?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Logotipo blanco de UiPath
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2024 UiPath. All rights reserved.