- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenamiento de contraseñas de robot desatendido en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Autenticación por SmartCard
- Asignar roles
- Gestionar roles
- Roles por defecto
- Preguntas frecuentes
- Habilitación de usuarios para ejecutar automatizaciones personales
- Habilitación de usuarios para ejecutar automatizaciones en infraestructura desatendida por medio de robots desatendidos
- Configuración de cuentas de robot para ejecutar automatizaciones desatendidas
- Auditoría
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Otras configuraciones
- Integraciones
- Robots clásicos
- Administración de host
- Acerca del nivel del host
- Gestionar los administradores del sistema
- Gestión de tenants
- Configuración de las notificaciones por correo electrónico del sistema
- Registros de auditoría para el portal del host
- Modo de mantenimiento
- Administración de la organización
- Acerca de las organizaciones
- Gestionar administradores de la organización
- Gestión de la configuración de la organización
- Permitir o restringir la autenticación básica
- Configurar la integración de Azure AD
- Configurar la Integración SAML
- Anular configuración de correo electrónico del sistema
- Registros de auditoría
- Solución de problemas
Guía del usuario de Orchestrator
Configurar la Integración SAML
Orchestrator puede conectarse a cualquier proveedor de identidades (IdP) que utilice la norma SAML 2.0. En esta página se describe el proceso general mostrando algunas configuraciones de integración SAML de ejemplo.
La integración de SAML se ha diseñado de forma que pueda implantarse gradualmente, sin perturbar a los usuarios existentes.
Las principales fases del proceso, descritas con más detalle en esta página, son las siguientes:
- Limpiar las cuentas de usuario inactivas
- Configurar la integración SAML
- Transición de los usuarios existentes para iniciar sesión con el SSO de SAML
- Configurar los permisos y los robots para los nuevos usuarios
- Dejar de usa cuentas locales (opcional)
-
Las aserciones SAML cifradas de tu proveedor de identidad no son compatibles.
-
No puedes buscar usuarios y grupos desde tu proveedor de identidades. Solo los usuarios del directorio aprovisionados están disponibles para la búsqueda.
-
La página Configuración de SAML SSO muestra una URL incorrecta de afirmación del servicio de atención al cliente.
Solución: para solucionar este problema, configura la URL de afirmación del servicio de atención al cliente en IDP sin el ID de la partición. Por ejemplo, la URL original:https://{your-domain}/91483651-d8d6-4673-bd3f-54b0f7dc513a/identity_/Saml2/Acs
se convertiría enhttps://{your-domain}/identity_/Saml2/Acs
Nota:Esta solución presenta dos advertencias:
-
Los flujos de inicio de sesión iniciados por IDP no funcionarán como está previsto.
-
Este problema se ha solucionado en la versión 2023.4. Al actualizar a 2023.4+ tendrás que cambiar la URL de afirmación del servicio de atención al cliente para incluir el ID de la partición.
-
Para configurar la integración de SAML, necesitas:
-
Los permisos de administrador tanto en Orchestrator como en tu proveedor de identidades de terceros.
Si no tienes permisos de administración en tu proveedor de identidad, puedes trabajar con un administrador para completar el proceso de configuración.
-
UiPath® Studio y UiPath Assistant versión 2020.10.3 o posterior, para que puedas configurarlos para utilizar la implementación recomendada.
Nota:Si actualmente usas la integración de Azure Active Directory para la autenticación, te recomendamos que permanezcas en la integración de AAD porque tiene más funciones.
Si decides cambiar la integración de AAD, debes reemplazar manualmente la asignación de roles realizada a través de los grupos del directorio con la asignación directa de roles a las cuentas de directorio para no tener que recrear completamente tu esquema de acceso.
Si tu organización recicla direcciones de correo electrónico, es importante que elimines todas las cuentas de usuario inactivas antes de configurar la integración SAML.
Al habilitar la integración, las cuentas locales presentes en Orchestrator pueden vincularse con la cuenta del directorio en el proveedor de identidades externo que utiliza la misma dirección de correo electrónico. Esta vinculación de cuentas se produce cuando el usuario de la cuenta de directorio inicia sesión por primera vez con la dirección de correo electrónico. La identidad de tu proveedor de identidades hereda los roles que tenía la cuenta local de forma que la transición sea perfecta.
Debido a esto, con las cuentas locales inactivas presentes en Orchestrator, existe el riesgo de que las cuentas locales y las cuentas de directorio no coincidan, lo que puede conllevar una elevación involuntaria de los permisos.
Para eliminar las cuentas de usuario inactivas:
Ahora debes configurar tanto Orchestrator como tu proveedor de identidades (IdP) para la integración.
Mantén esta pestaña del navegador abierta para más adelante.
Orchestrator puede conectarse a cualquier proveedor de identidades (IdP) de terceros que utilice la norma SAML 2.0.
Si bien la configuración puede variar según el IdP elegido, hemos validado la configuración para los siguientes proveedores:
-
OKTA
-
PingOne.
Puedes usar las siguientes instrucciones de configuración para configurar integraciones con estos proveedores.
En el caso de otros proveedores de identidad, te recomendamos que sigas su documentación de integración.
A. Ejemplo de configuración para Okta
- En otra pestaña del navegador, inicia sesión en la consola de administración de Okta.
- Dirígete a Aplicaciones > Aplicaciones, haz clic en Crear integración de aplicaciones y selecciona SAML 2.0 como método de inicio de sesión.
- En la página Configuración general, especifica un nombre para la aplicación con la que te estás integrando, concretamente Orchestrator.
-
En la página Configurar SAML, rellena la sección General de la siguiente manera:
- URL de inicio de sesión único: introduce el valor de URL de servicio al consumidor de afirmaciones que obtuviste de Orchestrator.
- Marque la casilla Usar esto para la URL del destinatario y la URL del destino.
- URI de audiencia: introduce el valor de ID de entidad que obtuviste de Orchestrator.
- Formato de ID del nombre: Selecciona correo electrónico
- Nombre de usuario de la aplicación: Selecciona correo electrónico
-
En Declaraciones de atributos, añade lo siguiente:
-
Nombre:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Deja el Formato de nombre como No especificado.
-
Establece Valor como
user.email
, o el atributo de usuario que contiene la dirección de correo electrónico única del usuario. - También puedes añadir otras asignaciones de atributos. Orchestrator también admite los atributos de usuario Nombre, Apellido, Cargo y Departamento. Esta información se propaga a Orchestrator, donde puede ponerse a disposición de otros servicios, como Automation Hub.
-
Nombre:
- En la página de Comentarios, selecciona la opción que prefieras.
- Haz clic en Finalizar.
- En la pestaña Inicio de sesión, en la sección Configuración, en Ver instrucciones de configuración, copia el valor URL de los metadatos del proveedor de identidades y guárdalo para más adelante.
- En la página Aplicación para Orchestrator, selecciona la aplicación recién creada.
- En la pestaña Asignaciones, selecciona Asignar > Asignar a personas, y, a continuación, selecciona los usuarios a los que deseas permitir el uso de la autenticación SAML para Orchestrator.
B. Ejemplo de configuración para PingOne
Para habilitar Orchestrator como proveedor de servicios que reconoce a tu proveedor de identidades, completa los pasos siguientes:
Para validar que la integración de SSO de SAML funcione correctamente:
- Abre una ventana de incógnito en el navegador.
- Ve a la URL de tu Orchestrator.
-
Comprueba las siguientes cuestiones:
- ¿Se te pide que inicies sesión con tu proveedor de identidad SAML?
- ¿Puedes iniciar la sesión con éxito?
- Si te estás registrando con una dirección de correo electrónico que coincide con una cuenta de usuario existente, ¿tienes los permisos adecuados?
Los administradores pueden configurar reglas de aprovisionamiento mientras añaden usuarios a un grupo existente de UiPath utilizando los pares de atributos nombre/valor proporcionados por el IdP mediante el inicio de sesión. Al aprovechar los grupos, los usuarios reciben automáticamente las licencias y funciones correctas al iniciar sesión.
Las reglas de aprovisionamiento just-in-time se evalúan cuando un usuario inicia sesión. Si la cuenta de usuario cumple las condiciones para una regla, se añade automáticamente al grupo local asociado con la regla.
group
, Relación=is
, Valor=Automation User
.
Fase 1. Crear grupos de aprovisionamiento
Al añadir una cuenta a un grupo, la cuenta hereda las licencias, los roles y la configuración del UiPath Robot definidos para el grupo, si los hubiera.
Por lo tanto, si configuras un grupo con un tipo particular de usuario en mente (por ejemplo, tus empleados que crean las automatizaciones, o tus empleados que prueban las automatizaciones), puedes incorporar un nuevo empleado de ese tipo configurando su cuenta en el IdP de la misma manera que otras cuentas similares.
De esta manera, se configura el grupo una vez, y luego se replica la configuración añadiendo cuentas al grupo cuando sea necesario. Además, si es necesario cambiar la configuración de un determinado grupo de usuarios, solo hay que actualizar el grupo una vez y los cambios se aplican a todas las cuentas del grupo.
Para configurar un grupo para una regla de aprovisionamiento:
-
Si quieres, puedes usar uno de tus grupos existentes en lugar de crear uno nuevo.
-
(Opcional y requiere la administración de licencias de usuario) Si los usuarios de este grupo necesitan licencias de usuario, configura las reglas de asignación de licencias para el grupo.
Si estás usando un grupo existente, comprueba la asignación de licencias para el grupo para asegurarte de que se están asignando las licencias correctas. Si no es así, cambia las asignaciones o considera la posibilidad de crear un nuevo grupo.
-
Asigna los roles de los tenants y, opcionalmente, completa la configuración del UiPath Robot para el grupo. Consulta Asignar roles a un grupo.
Si estás usando un grupo existente, comprueba los roles actualmente asignados al grupo para asegurarte de que son adecuados para el tipo de usuarios que vas a añadir al grupo. Si no es así, edita los roles asignados a este grupo, o considera crear un nuevo grupo.
-
Agrega el grupo a las carpetas y asigna los roles de las carpetas, según sea necesario. Consulte Administrar el acceso a carpetas.
Ahora puedes usar este grupo en una regla de aprovisionamiento.
Fase 2. Crear una regla de aprovisionamiento para un grupo
Asegúrate de que la reclamación asociada a la regla de aprovisionamiento SAML se envíe a la carga útil SAML configurándola en la aplicación SAML.
Una vez configurada la integración SAML y tras haber configurado un grupo:
- Dirígete a Administración > Configuración de seguridad > Configuración de autenticación.
-
En la opción de SSO de SAML, haz clic en Ver reglas de aprovisionamiento:
Se abre la página Reglas de aprovisionamiento de SSO de SAML, donde se listan tus reglas existentes.
-
En la esquina superior derecha de la página, haz clic en Añadir regla.
Se abre la página Añadir nueva regla.
- En Detalles básicos, rellena el campo Nombre de la regla y, opcionalmente, rellena el campo Descripción.
-
En Condiciones, haz clic en Añadir regla.
Se añade una fila de campos para una nueva condición. Conjuntamente, definen los criterios que debe cumplir una cuenta al iniciar la sesión para añadirse a un grupo (elegido más tarde).
- En el campo Solicitar, escriba el nombre de la solicitud, tal como aparece en el IdP.
-
En la lista Relación, selecciona la relación de la reclamación con el valor. Las siguientes opciones están disponibles:
Relación
Requisito de condición
Ejemplo
es
coincidencia exacta, distingue entre mayúsculas y minúsculas
Department is RPA
requiere que el valor de la solicitudDepartment
seaRPA
.La condición no se cumple si el valor esRPADev
, por ejemplo.Esta relación funciona para las reclamaciones multivalor.
Por ejemplo, si los valoresadministrator
ydeveloper
se envían bajo la reclamaciónGroup
, entoncesGroup is administrator
sería una relación válida.no es
cualquier cosa, excepto el valor especificado; distingue entre mayúsculas y minúsculas
ParaDepartment is not ctr
, cualquier cuenta se añade al grupo a menos queDepartment
tenga el valorctr
.La condición se cumple si el departamento esCtr
oelectr
.contiene
incluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas
Department contains RPA
requiere que el valor de la solicitudDepartment
incluyaRPA
.La condición se cumple si el valor esRPADev
,xRPAx
oNewRPA
, por ejemplo.no contiene
excluye; no requiere una coincidencia exacta; distingue entre mayúsculas y minúsculas
ParaDepartment not contains ctr
, cualquier cuenta se añade al grupo a menos que el valorDepartment
incluyactr
.Las cuentas cuyo departamento esctr
oelectr
, por ejemplo, no se añaden al grupo.distingue entre mayúsculas y minúsculas
coincidencia exacta; sin distinción de mayúsculas y minúsculas
Department is case insensitive RPA
requiere que el valor de la solicitudDepartment
searpa
, con cualquier uso de mayúsculas.La condición se cumple si el valor esrpa
, por ejemplo. La condición no se cumple si el valor escrpa
.contiene mayúsculas y minúsculas
incluye; no requiere una coincidencia exacta; no distingue entre mayúsculas y minúsculas
Department contains case insensitive RPA
requiere que el valor de la solicitudDepartment
incluyaRPA
, con cualquier uso de mayúsculas.La condición se cumple si el valor esrpa
,cRPA
orpA
, por ejemplo. - En el campo Valor, escribe el valor necesario para cumplir la condición.
-
Si deseas añadir otra condición, haz clic en Añadir regla para añadir una nueva fila de condiciones.
Cuando se añaden varias condiciones, deben cumplirse todas las condiciones para que se aplique la regla de aprovisionamiento. Por ejemplo, si se definen las reglasDepartment is RPA
yTitle is Engineer
, solo se añadirán a los grupos especificados los usuarios que estén en el departamento de RPA y tengan el título de Ingeniero. Una cuenta cuyo departamento es RPA, pero cuyo título es QA, no se añade a los grupos. -
En Asignar a grupos, en el recuadro Añadir grupos, comienza a escribir el nombre de un grupo y luego selecciona un grupo de la lista de resultados. Repite la operación para añadir más grupos, si es necesario.
Cuando se cumplen las condiciones, las cuentas se añaden automáticamente a estos grupos cuando se conectan.
- Haz clic en Guardar en la esquina inferior derecha para añadir la regla.
Con una regla establecida, siempre que un usuario inicie sesión y su cuenta cumpla las condiciones especificadas para una regla, su cuenta se añade a los grupos de aprovisionamiento adjuntos a la regla, y su cuenta se configura para trabajar.
Una vez configurados los permisos, te recomendamos que pidas a todos tus usuarios actuales que salgan de su cuenta de UiPath e inicien sesión mediante el SSO de SAML.
Para iniciar sesión en Studio y UiPath Assistant mediante el SSO de SAML, los usuarios deben configurar UiPath Assistant de la siguiente manera:
Esto solo es necesario para los nuevos usuarios que no han utilizado Orchestrator antes y, por lo tanto, no tenían una cuenta local configurada para ellos en Orchestrator cuando se habilitó la integración.
Puedes añadir nuevos usuarios a los grupos de Orchestrator por su dirección de correo electrónico (como la utilizada en el IdP externo). Una vez que un usuario se haya asignado a un grupo o se haya registrado, estará disponible a través de la búsqueda para la asignación de roles en todos los servicios de Orchestrator.
Cuando todos los usuarios hayan hecho la transición al SSO de SAML y se hayan configurado los nuevos usuarios, se recomienda eliminar todas las cuentas de usuario locales que no sean cuentas de administrador. Esto garantiza que los usuarios ya no puedan iniciar sesión con las credenciales de su cuenta local y tengan que iniciar sesión con el SSO de SAML.
User login failed. (#216)
, puede deberse a la falta de asignación de direcciones de correo electrónico en la configuración del proveedor de identidad SAML.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
y el valor debe tener una dirección de correo electrónico válida.
- Resumen del proceso de configuración
- Limitaciones conocidas
- Requisitos previos
- Paso 1. Limpia las cuentas de usuario inactivas
- Paso 2. Configura la integración SAML
- Paso 2.1. Obtén los datos del proveedor de servicios SAML
- Paso 2.2. Configura tu proveedor de identidad
- Paso 2.3. Configurar Orchestrator
- Paso 2.4. Comprueba que la integración se está ejecutando
- Paso 2.5. Configurar las reglas de aprovisionamiento (opcional)
- Paso 3. Transiciona a tus usuarios a SSO de SAML
- Paso. 4. Configura los Permisos y los Robots
- Paso 5. Deja de usar las cuentas de usuario locales (opcional)
- Consideraciones para dejar de usar las cuentas locales
- Solución de problemas