- Primeros pasos
- Mejores prácticas
- Tenant
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Otras configuraciones
- Integraciones
- Robots clásicos
- Administración de host
- Acerca del nivel de host
- Gestionar los administradores del sistema
- Gestión de tenants
- Configuración de las notificaciones por correo electrónico del sistema
- Registros de auditoría para el portal del host
- Modo de mantenimiento
- Administración de la organización
- Solución de problemas
Gestión de las capacidades de acceso y automatización
En la página de Gestión de acceso puedes definir y asignar roles. En Orchestrator, se utilizan los roles para controlar el nivel de acceso que debe tener una cuenta. En esta página, repasamos las nociones que debes comprender para planificar y aplicar eficazmente tu estrategia de control de acceso.
El nivel de acceso y las acciones que sus usuarios pueden realizar se controlan mediante dos elementos:
- cuentas, que establecen la identidad de un usuario y se utilizan para iniciar sesión en tus aplicaciones UiPath.
- roles, que se asignan a las cuentas para concederles determinados permisos en el ecosistema UiPath.
Las cuentas no se crean ni se gestionan en Orchestrator, solo los roles y sus asignaciones.
Una cuenta es una entidad de la plataforma UiPath con capacidades que dependen del acceso y cuya vista y control de Orchestrator dependen de los roles asignados.
Las cuentas pueden:
-
crearse y gestionarse localmente (cuentas locales) desde
- Portal de gestión. Para obtener más información, consulta Gestionar cuentas.
- crearse y gestionarse en un directorio externo (cuentas de directorio y grupos de directorio). Consulta la sección Integración con AD para comprender mejor la integración de directorios.
Las cuentas solo están disponibles dentro de una organización.
Una vez que se haya añadido correctamente una cuenta, hay dos formas de concederle derechos a Orchestrator:
- añadiendo la cuenta a un grupo para que herede los roles del grupo o
- asignando roles a la cuenta a nivel de servicio.
Puedes utilizar ambos métodos para tener un control detallado del acceso que tiene una cuenta en tu organización.
Un directorio activo (AD) referenciado en Orchestrator hace que sus miembros sean usuarios potenciales de Orchestrator. El nivel de acceso de una cuenta de directorio se configura en Orchestrator, ya sea a nivel de grupo (grupo de directorio) o de usuario (usuario de directorio).
Puedes integrarte con:
- un Active Directory local
- Azure Active Directory
-
otros proveedores de identidad que tienen o se conectan a un directorio
Aviso: El uso de una integración de directorio junto con el autoaprovisionamiento de robots asistidos y las carpetas jerárquicas permiten configurar fácilmente grandes implementaciones. Para obtener información detallada, consulta Gestionar grandes implementaciones.
Requisitos previos
- La opción de autenticación a través de la cual se conecta al directorio externo está habilitada.
- Se especificó un dominio válido durante la configuración de la autenticación. Todos los dominios y subdominios de los bosques de confianza bidireccional con el dominio especificado están disponibles al agregar usuarios / grupos.
- La máquina en la que está instalada Orchestrator está unida al dominio especificado. Para comprobar si el dispositivo está unido al dominio, ejecuta
dsregcmd /status
desde la solicitud de comando y dirígete a la sección Estado del dispositivo. - La identidad bajo la que se ejecuta el grupo de aplicaciones de Orchestrator debe formar parte del grupo de acceso de autorización de Windows (WAA).
Comportamiento
- Al añadir un grupo de directorio se crea una entidad en Orchestrator denominada grupo de directorio, para la que se configuran los derechos de acceso según se desee. Esta entrada sirve como referencia para el grupo, como se encuentra en AD.
- Al iniciar sesión, Orchestrator comprueba tu pertenencia a grupos en la base de datos de AD y en Identity Server de UiPath. Si se confirma, se provisiona automáticamente tu usuario como Usuario de directorio y luego se asocia a los derechos de acceso heredados del grupo de directorio (paso 1). Los derechos heredados solo se conservan durante la sesión de usuario.
- El aprovisionamiento automático tiene lugar la primera vez que un usuario se conecta. Una cuenta de usuario aprovisionada automáticamente no se elimina al cerrar la sesión, ya que podrías necesitar la entrada para fines de auditoría.
-
Los cambios realizados a la membresía de grupo en el directorio se sincronizan con Orchestrator en cada inicio de sesión o una vez cada hora para las sesiones de usuario activas.
-
Este valor se puede cambiar mediante WindowsAuth.GroupMembershipCacheExpireHour.
-
Si eres miembro de un grupo X lo que sucede es esto:
-
Inicias sesión, Orchestrator comprueba tu afiliación a un grupo y luego confirma tu identidad contra la base de datos de AD e Identity Server. Entonces se te conceden permisos de acceso según tu configuración de Orchestrator. Si el administrador de tu sistema cambia tu pertenencia a grupo desde el grupo X al grupo Y mientras mantienes una sesión activa, Orchestrator consulta los cambios una vez por hora, o la siguiente vez que inicies sesión.
- La única forma de configurar los derechos de acceso que persisten entre sesiones, independientemente de cómo cambie la membresía de grupo, es asignar un rol a la cuenta de usuario directamente y no a través de la membresía de grupo.
- Los usuarios de AD cuyos derechos de acceso heredados (de la pertenencia a un grupo) no pueden determinarse se comportan como usuarios locales, lo que significa que dependen únicamente de los roles asignados a la cuenta de usuario.
- Los grupos en AD se sincronizan con Orchestrator, si bien los cambios realizados en Orchestrator no afectan a la configuración de los usuarios en AD.
Problemas conocidos
- Debido a diversos problemas de red o de configuración, existe la posibilidad de que no todos los dominios mostrados en el Nombre de dominio estén accesibles.
- Los cambios realizados en los nombres de usuarios o grupos en AD no se propagan a Orchestrator.
- La actualización de la lista de dominios con los nuevos dominios de confianza bidireccionales puede tardar hasta una hora.
- Las solicitudes
GetOrganizationUnits(Id)
yGetRoles(Id)
solo devuelven carpetas y roles establecidos explícitamente para un usuario aprovisionado automáticamente. Los heredados de la configuración del grupo pueden recuperarse a través del punto final/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - Lo mismo vale para la interfaz de usuario, donde solo se muestran carpetas y roles establecidos de forma explícita en la página Usuarios. En contraste, los heredados tienen una nueva ubicación independiente, la ventana Permisos de usuario (Usuarios > Más acciones > Comprobar permisos).
- Los usuarios no heredan la configuración de la suscripción a las alertas del grupo principal, ni reciben ninguna alerta de forma predeterminada. Para tener acceso a las alertas deberás otorgar los permisos correspondientes al usuario explícitamente.
- Eliminar un grupo de directorio no elimina la licencia de un usuario de directorio asociado, incluso si la eliminación del grupo quita al usuario de cualquier carpeta. La única forma de eliminar la licencia es cerrar la bandeja de Robots.
- En ciertos navegadores, iniciar sesión en Orchestrator utilizando tus credenciales de AD solo requiere tu nombre de usuario. No hace falta especificar también el dominio. Por tanto, si la sintaxis dominio/nombre de usuario no funciona, intenta rellenar solo el nombre de usuario.
Consideraciones de auditoría
- Membresía de usuario: el usuario [username] se asignó a los siguientes grupos de directorio [Grupos de directorio de los que el usuario hereda derechos de acceso en la sesión actual].
- Aprovisionamiento automático: el usuario [username] será aprovisionado automáticamente de los siguientes grupos de directorio [Grupos de directorio de los que el usuario hereda derechos de acceso en la sesión actual].
Para poder realizar varias operaciones en las páginas Usuarios y Perfil, deberás disponer de los permisos correspondientes:
- Ver en Usuarios: permite la visualización de las páginas Usuarios y Perfil.
- Editar en Usuarios: permite editar los detalles y la configuración del usuario en la página Perfil, así como activar/desactivar usuarios en la página Usuarios.
- Usuarios - Ver y roles - Ver - Mostrar permisos de usuario.
- Editar en Usuarios y Ver en Roles: permite editar asignaciones de rol en la página Gestionar accesos > Asignar roles.
- Crear en Usuarios y Ver en Roles: permiten crear un usuario.
- Ver en Usuarios y Editar en Roles: permiten gestionar roles en la ventana Gestionar usuarios, que se abre desde la página Gestionar accesos > Roles.
- Eliminar en Usuarios: permite eliminar un usuario de Orchestrator.
Aunque puedes seleccionar todos los derechos disponibles (Ver, Editar, Modificar o Eliminar) para cualquier permiso, los siguientes derechos no tienen efecto en el permiso indicado:
Permiso |
Categoría |
---|---|
Editar |
|
Crear |
|
Eliminar |
|
Esto se debe a que, por ejemplo, no es posible editar los registros generados por el sistema.
De forma predeterminada, Orchestrator no permite el acceso de los usuarios a través de la autenticación básica. Esta funcionalidad puede habilitarse añadiendo y configurando los ajustes Auth.RestrictBasicAuthentication. Esto te permite crear cuentas locales que pueden acceder a Orchestrator usando tus credenciales de autenticación básica, lo que te permite mantener las integraciones existentes que dependían de la autenticación básica al llamar a la API de Orchestrator.
La activación de la autenticación básica puede hacerse al crear y editar cuentas.
Por defecto, después de 10 intentos fallidos de inicio de sesión, se bloquea durante 5 minutos.
Los administradores del sistema pueden personalizar la configuración Bloqueo de cuenta desde el portal de gestión del host.
Para poder realizar varias operaciones en las páginas Usuarios y Roles, deberás tener los permisos correspondientes:
- Ver en Usuarios: permite la visualización de las páginas Usuarios y Perfil.
- Editar en Usuarios: permite editar los detalles y la configuración del usuario en la página Perfil, así como activar/desactivar usuarios en la página Usuarios.
- Usuarios - Ver y Roles - Ver : muestra los permisos de usuario en la ventana Permisos de usuario.
- Editar en Usuarios y Ver en Roles: permite editar asignaciones de rol en la página Gestionar accesos > Asignar roles.
- Crear en Usuarios y Ver en Roles: permiten crear un usuario.
- Ver en Usuarios y Editar en Roles: permiten gestionar roles en la ventana Gestionar usuarios, que se abre desde la página Gestionar accesos > Roles.
- Eliminar en Usuarios: permite eliminar un usuario de Orchestrator.
1. ¿Qué ocurre con el acceso de un usuario que pertenece a varios grupos?
El usuario recibe la unión de los derechos de acceso asociados a cada grupo al que pertenece.
Ejemplo: John Smith pertenece a los grupos de RR. HH. y Finanzas que se han añadido a Orchestrator. El grupo de RR. HH. tiene el rol de Administración y acceso a la carpeta de Recursos Humanos; el de Finanzas tiene el rol de Ejecutor y acceso a la carpeta de Finanzas. Al formar parte de ambos grupos, John tiene las funciones de gestión y ejecución, además de acceso a las carpetas de recursos humanos y finanzas.
2. ¿Qué sucede en cuanto al acceso cuando un usuario se añade por separado junto a un grupo al que pertenece?
El usuario recibe la unión de los derechos de acceso asociados al grupo al que pertenece y los establecidos explícitamente. Ten en cuenta que los derechos de acceso heredados dependen de la configuración del grupo, y que los derechos de acceso establecidos explícitamente son independientes de la configuración del grupo.
Ejemplo: John Smith ha sido añadido individualmente desde AD, y se le ha otorgado explícitamente el rol de Ejecutor y acceso a la carpeta de Finanzas. El grupo de RR. HH. (al que pertenece John) también se ha añadido a Orchestrator, y se le ha otorgado el rol de Administración y acceso a la carpeta de RR. HH. John tiene las funciones de ejecutor y gestor, y acceso a las carpetas de Recursos Humanos y Finanzas. Si se le elimina del grupo de RR. HH. a nivel de AD, pierde el rol de Administración y el acceso a la carpeta de RR. HH., pero mantiene los establecidos explícitamente.
3. Mi usuario pertenece a dos grupos: el primero permite la creación automática de UiPath Robots y el segundo no. ¿Se crea un UiPath Robot para mi usuario?
Como un usuario recibe la unión de los derechos asociados a todos los grupos a los que pertenece, se crea un UiPath Robot para su usuario basado en la configuración creada para el primer grupo.
4. He borrado/desactivado un grupo de directorio. ¿Podrán seguir conectándose los usuarios del directorio asociado?
No, si no has establecido explícitamente los derechos de acceso para ellos. Sí, si les has concedido derechos de acceso individualmente en Orchestrator. Los derechos de acceso heredados solo se conservan mientras dure la sesión de usuario activa. Solo los derechos de acceso establecidos explícitamente persisten entre sesiones. Al eliminarse o desactivarse un grupo de directorios, se eliminan los derechos heredados, pero los que se han establecido explícitamente no cambian.
5. ¿Cuándo surten efecto los cambios realizados en un grupo de AD en Orchestrator?
WindowsAuth.GroupMembershipCacheExpireHours
.