Scripts de Identity Server

Publicar en Identity Server

La tabla siguiente describe todos los parámetros que puedes usar con el script Publish-IdentityServer.ps1.

Parámetro	Descripción
`-action`	Obligatorio.Indica el tipo de escenario que quieres iniciar. Las siguientes opciones están disponibles: `Deploy`: especifica que se trata de una instalación limpia. `Update`: especifica que actualizas tu instancia de Identity Server.
`-azureAccountApplicationId`	Obligatorio. El ID principal del servicio de Azure. Ten en cuenta que a la entidad de servicio utilizada debe asignarse el perfil de colaborador al App Service en el ámbito de la suscripción.
`-azureAccountPassword`	Obligatorio.La contraseña de token de Azure para el ID principal de servicio.
`-azureSubscriptionId`	Obligatorio.El ID de suscripción de Azure para el App Service que aloja Orchestrator.
`-azureAccountTenantId`	Obligatorio. El ID de tenant de Azure.
`-orchestratorUrl`	Obligatorio. La URL de la instancia de Orchestrator.
`-identityServerUrl`	Obligatorio. La URL de Identity Server. Importante: La URL debe contener la dirección de Identity Server + el sufijo `/identity` en minúsculas. Ejemplo: `https://[identity_server]/identity`
`-orchDetails`	Este parámetro es una tabla hash que contiene los siguientes valores: `resourceGroupName` - Obligatorio. El nombre del grupo de recursos de Azure que contiene el servicio de aplicaciones de Orchestrator. `appServiceName` - Obligatorio. El nombre del servicio de aplicaciones de Orchestrator de Azure. `targetSlot` - Obligatorio. La ranura del servicio de aplicaciones de destino establecida por Azure.
`-identityServerDetails`	Este parámetro es una tabla hash que contiene los siguientes valores: `resourceGroupName` - Obligatorio. El nombre del grupo de recursos de Azure que contiene el servicio de aplicaciones de Identity Server. `appServiceName` - Obligatorio. El nombre del servicio de aplicaciones de Azure del Identity Server. `targetSlot` - Obligatorio. La ranura del servicio de aplicaciones de destino establecida por Azure.
`-package`	Obligatorio. Indica la ruta completa o relativa del archivo `UiPath.IdentityServer.Web.zip`.
`-cliPackage`	Obligatorio. Indica la ruta completa o relativa del archivo `UiPath.IdentityServer.Migrator.Cli.zip`.
`-productionSlotName`	Opcional.Solo puede utilizarse si la ranura de la implementación de servicio de aplicaciones de Identity Server es distinta a la ranura del servicio de aplicaciones predeterminado de producción establecida por Azure.
`-stopApplicationBeforePublish`	Opcional.Si está presente, detiene la aplicación antes de su implementación y la inicia después de que esta finalice.
`-unattended`	Opcional.Si está presente, la implementación continúa sin confirmación del usuario.
`-tmpDirectory`	Opcional.Habilita la especificación de un directorio donde se descargan y descomprimen los archivos necesarios.
`-noAzureAuthentication`	Opcional.Te permite publicar en el Servicio de aplicaciones de Azure confiando en tu propia identidad de usuario sin tener que crear un director de servicio. Si se usa este parámetro, el conjunto de parámetros `UseServicePrincipal` (que incluye elementos como la ID de aplicación de Azure, la contraseña, la ID de suscripción y la ID de tenant) ya no es necesario.
`-azureUSGovernmentLogin`	Opcional. Este parámetro solo se utiliza para las implementaciones del gobierno de los Estados Unidos.

El script Publish-IdentityServer.ps1 se usa para la implementación inicial o la actualización de Identity Server. El script supone que la aplicación web ya tiene configurada la cadena de conexión de la base de datos DefaultConnection.

.\Publish-IdentityServer.ps1 `
    -action Deploy `
    -orchestratorUrl "<orchestrator_address>" `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -azureSubscriptionId "<subscription_id>" `
    -azureAccountTenantId "<azure_tenant_id>" `
    -azureAccountApplicationId "<azure_application_id>" `
    -azureAccountPassword "<azure_account_password>" `
    -package "UiPath.IdentityServer.Web.zip" `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -stopApplicationBeforePublish `
    -unattended.\Publish-IdentityServer.ps1 `
    -action Deploy `
    -orchestratorUrl "<orchestrator_address>" `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -azureSubscriptionId "<subscription_id>" `
    -azureAccountTenantId "<azure_tenant_id>" `
    -azureAccountApplicationId "<azure_application_id>" `
    -azureAccountPassword "<azure_account_password>" `
    -package "UiPath.IdentityServer.Web.zip" `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -stopApplicationBeforePublish `
    -unattended

Importante: Después de ejecutar el script anterior, comprueba que realizas los pasos adicionales que se indican a continuación para una correcta implementación inicial.

Después de publicar Identity Server, realiza los siguientes pasos:

Dirígete al portal de Azure.
Selecciona tu Servicio de aplicaciones de Identity Server.
En el menú Certificados, ve a Traer tus propios certificados.
Carga un archivo de certificado de clave privada .pfx con una contraseña válida.

Nota: Este certificado se utiliza para firmar los tokens de acceso y los tokens de ID.

En el menú de Configuración, añade los siguientes ajustes de la aplicación exactamente como se describe en la columna Configuración de aplicaciones:

Configuración de la aplicación	Valor	Descripción
`AppSettings__IdentityServerAddress`	https://[identity_server]/identity	La URL pública de Identity Server. Importante: La URL debe contener la dirección del Identity Server + el sufijo `/identity` en minúsculas.
`AppSettings__SigningCredentialSettings__StoreLocation__Location`	Usuario actual	Esta debe señalar a CurrentUser.
`AppSettings__SigningCredentialSettings__StoreLocation__Name`	XXXXXXXXXXXXXXXXXXXXXXXXXX	La huella digital del certificado que has cargado anteriormente.
`AppSettings__SigningCredentialSettings__StoreLocation__NameType`	`Thumbprint`	Introduce `Thumbprint` como el tipo del campo anterior.
`AppSettings__LoadBalancerSettings__RedisConnectionString`	`XXXXXXXXXXXX:XXXX,password=XXXXXX`	La cadena de conexión necesaria para configurar tu servidor Redis, que contiene la URL del servidor, la contraseña y el puerto. También puedes habilitar las conexiones cifradas SSL entre los nodos de Orchestrator y el servicio Redis.
`AppSettings__LoadBalancerSettings__SlidingExpirationTimeInSeconds`	Número de segundos	El tiempo de vencimiento deslizable de un elemento dentro de la caché. Este tiempo de vencimiento se aplica tanto a la caché de Redis como a la de InMemory.
`AppSettings__RedisSettings__UseRedisStoreCache`	`true`/`false`	: establece su valor en `true` para habilitar la caché de Redis de los datos del cliente de OAuth. Esto ayuda a evitar problemas de rendimiento cuando se utiliza el inicio de sesión interactivo para conectar una gran cantidad de robots en un breve periodo de tiempo. Esta caché utiliza la misma cadena de conexión de Redis especificada en `AppSettings__LoadBalancerSettings`. Nota: no se recomienda si utilizas la característica Aplicaciones externas, ya que esta configuración de caché de clientes y actualizaciones de Aplicaciones externas no se reflejará.
`AppSettings__RedisSettings__UseRedisStoreClientCache`	`true`/`false`	Establece su valor como verdadero para habilitar la caché de Redis para clientes de primera mano (aplicaciones de UiPath) o clientes de terceros (aplicaciones externas). Si tienes una implementación a gran escala, se recomienda habilitar esta bandera.
`App__Saml2ValidCertificateOnly`	`true`/`false`	Para implementaciones de Orchestrator a través de una aplicación web de Azure, este parámetro debe establecerse como `false`. Eso se debe a que SAML2 requiere que los certificados se añadan a su tienda de confianza, pero las aplicaciones web de Azure no permiten dicha acción. Al establecer el valor como `false` evitamos la verificación del certificado.
`WEBSITE_LOAD_CERTIFICATES`	XXXXXXXXXXXXXXXXXXXXXXXXXX	El valor de la huella digital del certificado que has cargado anteriormente.
`WEBSITE_LOAD_USER_PROFILE`	1	El perfil de usuario.

Guarda los cambios.

Consulta más información en la documentación de Microsoft Azure.

Reemplazar el certificado de clave privada

Al reemplazar un certificado de clave privada por uno nuevo, asegúrate de seguir estos pasos:

Reemplaza los valores de los parámetros AppSettings__SigningCredentialSettings__StoreLocation__Name y WEBSITE_LOAD_CERTIFICATES por la huella digital del nuevo certificado.
Reinicia el servicio de la aplicación Identity.
Reinicia el servicio de aplicación de Orchestrator.

Migra a Identity Server

La siguiente tabla describe todos los parámetros que se pueden utilizar con MigrateTo-IdentityServer.ps1.

Parámetro	Descripción
`-cliPackage`	Obligatorio. Indica la ruta completa o relativa del archivo `UiPath.IdentityServer.Migrator.Cli.zip`.
`-azureDetails`	Este parámetro es una tabla hash que contiene los siguientes valores: `azureAccountApplicationId`: Obligatorio. El ID principal del servicio de Azure. Ten en cuenta que a la entidad de servicio utilizada debe asignarse el perfil de colaborador al App Service en el ámbito de la suscripción. `azureSubscriptionId` - Obligatorio. El ID de suscripción de Azure para el servicio de aplicaciones que aloja Orchestrator. `azureAccountTenantId` - Obligatorio. El ID de tenant de Azure. `azureAccountPassword` - Obligatorio. La contraseña de token de Azure para el ID principal de servicio.
`-orchDetails`	Este parámetro es una tabla hash que contiene los siguientes valores: `resourceGroupName` - Obligatorio. El nombre del grupo de recursos de Azure que contiene el servicio de aplicaciones de Orchestrator. `appServiceName` - Obligatorio. El nombre del servicio de aplicaciones de Orchestrator de Azure. `targetSlot` - Obligatorio. La ranura del servicio de aplicaciones de destino establecida por Azure.
`-identityServerDetails`	Este parámetro es una tabla hash que contiene los siguientes valores: `resourceGroupName` - Obligatorio. El nombre del grupo de recursos de Azure que contiene el servicio de aplicaciones de Identity Server. `appServiceName` - Obligatorio. El nombre del servicio de aplicaciones de Azure del Identity Server. `targetSlot` - Obligatorio. La ranura del servicio de aplicaciones de destino establecida por Azure.
`-identityServerUrl`	Obligatorio.La dirección pública de Identity Server. Importante: La URL debe contener la dirección del Identity Server + el sufijo `/identity` en minúsculas. Ejemplo: `https://[identity_server]/identity`
`-orchestratorUrl`	Obligatorio.La dirección pública del Orchestrator.
`-tmpDirectory`	Opcional.Habilita la especificación de un directorio donde se descargan y descomprimen los archivos necesarios.
`-hostAdminPassword`	Obligatorio solo para implementaciones nuevas, cuando `-action` está establecido en `Deploy`. Especifica una contraseña personalizada para el administrador del host. Ten en cuenta que las contraseñas deben tener al menos 8 caracteres y deben tener al menos un carácter en minúscula y un dígito.
`-isHostPassOneTime`	Opcional.Te permite aplicar un restablecimiento de la contraseña en el primer inicio de sesión para el administrador del host. Si se omite este parámetro, la contraseña de administrador del host no será una contraseña de un solo uso.
`-defaultTenantAdminPassword`	Obligatorio solo para implementaciones nuevas, cuando `-action` está establecido en `Deploy`. Especifica una contraseña personalizada para el administrador de tenants predeterminado. Ten en cuenta que las contraseñas deben tener al menos 8 caracteres y deben tener al menos un carácter en minúscula y un dígito.
`-isDefaultTenantPassOneTime`	Opcional.Te permite aplicar un restablecimiento de la contraseña en el primer inicio de sesión para el administrador del tenant predeterminado.Si se omite este parámetro, la contraseña de administrador del tenant no será una contraseña de un solo uso.
`-noAzureAuthentication`	Opcional.Te permite publicar en el Servicio de aplicaciones de Azure confiando en tu propia identidad de usuario sin tener que crear un director de servicio. Si se usa este parámetro, el conjunto de parámetros `UseServicePrincipal` (que incluye elementos como la ID de aplicación de Azure, la contraseña, la ID de suscripción y la ID de tenant) ya no es necesario.

El script MigrateTo-IdentityServer.ps1 se utiliza para migrar los datos de usuario desde Orchestrator a Identity Server y establecer las configuraciones para ambos. Establece Identity Server como la autoridad de identidad de Orchestrator y crea la configuración de cliente para Orchestrator en Identity Server.

El script supone que ya se han publicado Orchestrator e Identity Server.

.\MigrateTo-IdentityServer.ps1 `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -azureDetails @{azureSubscriptionId = "<subscription_id>"; azureAccountTenantId = "<azure_tenant_id>"; azureAccountApplicationId = "<azure_application_id>"; azureAccountPassword = "<azure_account_password>" } `
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchestratorUrl "https://<OrchestratorURL>" `
    -hostAdminPassword "12345qwert" `
    -defaultTenantAdminPassword "12345qwert".\MigrateTo-IdentityServer.ps1 `
    -cliPackage "UiPath.IdentityServer.Migrator.Cli.zip" `
    -azureDetails @{azureSubscriptionId = "<subscription_id>"; azureAccountTenantId = "<azure_tenant_id>"; azureAccountApplicationId = "<azure_application_id>"; azureAccountPassword = "<azure_account_password>" } `
    -orchDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>";  targetSlot = "Production" } `
    -identityServerDetails @{ resourceGroupName = "<resourcegroup_name>"; appServiceName = "<appservice_name>"; targetSlot = "Production" } `
    -identityServerUrl "https://<identity_server_url>/identity" ` // must be in lowercase
    -orchestratorUrl "https://<OrchestratorURL>" `
    -hostAdminPassword "12345qwert" `
    -defaultTenantAdminPassword "12345qwert"