Orchestrator
2022.4
False
Imagen de fondo del banner
Guía del usuario de Orchestrator
Última actualización 19 de abr. de 2024

Configurar la Integración SAML

Orchestrator puede conectarse a cualquier proveedor de identidades (IdP) que utilice la norma SAML 2.0. En esta página se describe el proceso general mostrando algunas configuraciones de integración SAML de ejemplo.

Resumen del proceso de configuración

La integración de SAML se ha diseñado de forma que pueda implantarse gradualmente, sin perturbar a los usuarios existentes.

Las principales fases del proceso, descritas con más detalle en esta página, son las siguientes:

  1. Limpiar las cuentas de usuario inactivas
  2. Configurar la integración SAML
  3. Transición de los usuarios existentes para iniciar sesión con el SSO de SAML
  4. Configurar los permisos y los robots para los nuevos usuarios
  5. Dejar de usa cuentas locales (opcional)

Limitaciones conocidas

No se pueden buscar cuentas de tu proveedor de identidad

Con la integración de SAML, no puede buscar todos los usuarios y grupos de su proveedor de identidades. Solo los usuarios de directorio aprovisionados están disponibles para la búsqueda.

URL de ACS incorrecta en la IU de configuración de SAML

La página Configuración de SAML SSO muestra una URL incorrecta de afirmación del servicio de atención al cliente.

Solución: para solucionar este problema, configura la URL de afirmación del servicio de atención al cliente en IDP sin el ID de la partición. Por ejemplo, la URL original: https://{your-domain}/91483651-d8d6-4673-bd3f-54b0f7dc513a/identity_/Saml2/Acs se convertiría en https://{your-domain}/identity_/Saml2/Acs
Nota:

Esta solución presenta dos advertencias:

  • Los flujos de inicio de sesión iniciados por IDP no funcionarán como está previsto.

  • Este problema se ha solucionado en la versión 2023.4. Al actualizar a 2023.4+ tendrás que cambiar la URL de afirmación del servicio de atención al cliente para incluir el ID de la partición.

Requisitos previos

Para configurar la integración de SAML, necesitas:

  • Una organización de Orchestrator con licencia Enterprise o Enterprise Trial.

  • Los permisos de administrador tanto en Orchestrator como en tu proveedor de identidades de terceros.

    Si no tienes permisos de administración en tu proveedor de identidad, puedes trabajar con un administrador para completar el proceso de configuración.

  • La versión 2020.10.3 o posterior de UiPath Studio y UiPath Assistant, para que puedas configurarlos con el fin de usar la implementación recomendada.

    Nota:

    Si actualmente usas la integración de Azure Active Directory para la autenticación, te recomendamos que permanezcas en la integración de AAD porque tiene más funciones.

    Si decides cambiar la integración de AAD, debes reemplazar manualmente la asignación de roles realizada a través de los grupos del directorio con la asignación directa de roles a las cuentas de directorio para no tener que recrear completamente tu esquema de acceso.

Paso 1. Limpia las cuentas de usuario inactivas

Si tu organización recicla direcciones de correo electrónico, es importante que elimines todas las cuentas de usuario inactivas antes de configurar la integración SAML.

Al habilitar la integración, las cuentas locales presentes en Orchestrator pueden vincularse con la cuenta del directorio en el proveedor de identidades externo que utiliza la misma dirección de correo electrónico. Esta vinculación de cuentas se produce cuando el usuario de la cuenta de directorio inicia sesión por primera vez con la dirección de correo electrónico. La identidad de tu proveedor de identidades hereda los roles que tenía la cuenta local de forma que la transición sea perfecta.

Debido a esto, con las cuentas locales inactivas presentes en Orchestrator, existe el riesgo de que las cuentas locales y las cuentas de directorio no coincidan, lo que puede conllevar una elevación involuntaria de los permisos.

Para eliminar las cuentas de usuario inactivas:

  1. Inicia sesión en Orchestrator como administrador.
  2. Dirígete a la pestaña Administración > Cuentas y grupos > Usuarios.
  3. Haz clic en el encabezado de la columna Activo por última vez para reordenar los usuarios de forma que los que tengan la fecha más antigua de último inicio de sesión se muestren en la parte superior:


    La columna Última actividad muestra la fecha en que el usuario se conectó por última vez a Orchestrator. Si aparece "Pendiente" en esta columna, como en el ejemplo anterior, significa que el usuario nunca se ha conectado. Esta información te ayudará a identificar a tus usuarios inactivos.

  4. Haz clic en el icono Eliminar al final de la fila para eliminar la cuenta local de ese usuario.


  5. En el cuadro de diálogo de confirmación, haz clic en Eliminar para confirmar la eliminación de la cuenta de Orchestrator.

    La cuenta de usuario se elimina de la página.

  6. Continúa eliminando todas las cuentas de usuario inactivas de tu organización.

Paso 2. Configura la integración SAML

Ahora debes configurar tanto Orchestrator como tu proveedor de identidades (IdP) para la integración.

Paso 2.1. Obtén los datos del proveedor de servicios SAML

  1. Inicia sesión en Orchestrator como administrador.
  2. Dirígete a Administración > Configuración de seguridad > Configuración de autenticación.
  3. Selecciona Los usuarios pueden iniciar sesión con el SSO de SAML y luego haz clic en Configurar.

    Se abre un diálogo de información.

  4. En el diálogo, haz clic en Continuar.

    La siguiente página ofrece la información general de la integración.

  5. En la esquina inferior derecha, haz clic en Siguiente para proceder a la configuración.

    En el paso Detalles generales, en Datos a configurar en IdP, proporcionamos la información necesaria para configurar tu proveedor de identidades para conectarte a Orchestrator.



  6. Copia y guarda los valores de ID de entidad y URL de servicio al consumidor de afirmaciones. Los necesitarás en el siguiente paso.
    Importante: Si también has configurado esta integración en el ámbito de host, asegúrate de que utilizas el valor de URL de servicio al consumidor de afirmaciones y no el del host.

Mantén esta pestaña del navegador abierta para más adelante.

Paso 2.2. Configura tu proveedor de identidad

Orchestrator puede conectarse a cualquier proveedor de identidades (IdP) de terceros que utilice la norma SAML 2.0.

Si bien la configuración puede variar según el IdP elegido, hemos validado la configuración para los siguientes proveedores:

  • OKTA

  • PingOne.

Puedes usar las siguientes instrucciones de configuración para configurar integraciones con estos proveedores.

En el caso de otros proveedores de identidad, te recomendamos que sigas su documentación de integración.

A. Ejemplo de configuración para Okta

Nota: Las instrucciones de esta sección son para una configuración de muestra. Para obtener más información sobre cualquier configuración de IdP que no se haya tratado aquí, usa la documentación de Okta.
  1. En otra pestaña del navegador, inicia sesión en la consola de administración de Okta.
  2. Dirígete a Aplicaciones > Aplicaciones, haz clic en Crear integración de aplicaciones y selecciona SAML 2.0 como método de inicio de sesión.
  3. En la página Configuración general, especifica un nombre para la aplicación con la que te estás integrando, concretamente Orchestrator.
  4. En la página Configurar SAML, rellena la sección General de la siguiente manera:
    1. URL de inicio de sesión único: introduce el valor de URL de servicio al consumidor de afirmaciones que obtuviste de Orchestrator.
    2. Marque la casilla Usar esto para la URL del destinatario y la URL del destino.
    3. URI de audiencia: introduce el valor de ID de entidad que obtuviste de Orchestrator.
    4. Formato de ID del nombre: Selecciona correo electrónico
    5. Nombre de usuario de la aplicación: Selecciona correo electrónico
  5. En Declaraciones de atributos, añade lo siguiente:
    1. Nombre: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. Deja el Formato de nombre como No especificado.
    3. Establece Valor como user.email, o el atributo de usuario que contiene la dirección de correo electrónico única del usuario.
    4. También puedes añadir otras asignaciones de atributos. Orchestrator también admite los atributos de usuario Nombre, Apellido, Cargo y Departamento. Esta información se propaga a Orchestrator, donde puede ponerse a disposición de otros servicios, como Automation Hub.
  6. En la página de Comentarios, selecciona la opción que prefieras.
  7. Haz clic en Finalizar.
  8. En la pestaña Inicio de sesión, en la sección Configuración, en Ver instrucciones de configuración, copia el valor URL de los metadatos del proveedor de identidades y guárdalo para más adelante.
  9. En la página Aplicación para Orchestrator, selecciona la aplicación recién creada.
  10. En la pestaña Asignaciones, selecciona Asignar > Asignar a personas, y, a continuación, selecciona los usuarios a los que deseas permitir el uso de la autenticación SAML para Orchestrator.
Los usuarios recién añadido se muestran en la pestaña Personas.

B. Ejemplo de configuración para PingOne

Nota: Las instrucciones de esta sección son para una configuración de muestra. Para obtener más información sobre cualquier configuración de IdP que no se haya tratado aquí, usa la documentación de PingOne.
  1. En otra pestaña del navegador, inicia sesión en la consola de administración de Ping One.
  2. Dirígete a Conexiones > Aplicaciones y haz clic en el icono más +.
  3. Haz clic en Aplicación web y, para SAML, haz clic en Configurar.
  4. En la página Crear perfil de aplicación, especifica un nombre para tu aplicación de Orchestrator.
  5. En la página Configurar conexión SAML, selecciona Introducir manualmente y proporciona los siguientes datos:
    • URL del ACS: introduce el valor de URL de servicio al consumidor de afirmaciones que obtuviste de Orchestrator.
    • ID de entidad: introduce el valor de ID de entidad que obtuviste de Orchestrator.
    • Enlace SLO: redirección HTTP
    • Duración de la validación: el número de segundos para el período de validez
  6. Haz clic en Guardar y continuar.
  7. En la página de Atributos de mapa, añade la dirección de correo electrónico:
    1. Selecciona + Añadir atributo.
    2. Para Atributo de aplicación, introduce http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    3. Establece Valor de salida en Dirección de correo electrónico, o el atributo de usuario que contiene la dirección de correo electrónico única del usuario.
    4. Selecciona la casilla Requerido.
    5. También puedes añadir otras asignaciones de atributos. Orchestrator también admite los atributos de usuario Nombre, Apellido, Cargo y Departamento. Esta información se propaga a Orchestrator, donde puede ponerse a disposición de otros servicios, como Automation Hub.
  8. Haz clic en Guardar y cerrar.
  9. Haz clic en el botón de la aplicación Orchestrator para habilitar el acceso de los usuarios a la aplicación.
  10. En la pestaña Configuración, copia y guarda el valor URL de metadata de IdP para su uso posterior.

Paso 2.3. Configurar Orchestrator

Para habilitar Orchestrator como proveedor de servicios que reconoce a tu proveedor de identidades, completa los pasos siguientes:

  1. Regresa a la pestaña Configuración de SAML en Orchestrator.
  2. En el paso Detalles generales, en Datos de IdP, rellena el campo URL de metadatos con la URL de metadatos obtenida durante la configuración.
  3. Haz clic en Obtener datos.

    Una vez completado, los campos URL de inicio de sesión, ID de entidad del proveedor de identidad y certificado de firma se rellenan con la información de IdP.

  4. Haz clic en Siguiente en la esquina inferior derecha para pasar al siguiente paso.
  5. En la sección Configuración del aprovisionamiento, rellena la sección Dominios permitidos con los dominios desde los que deseas permitir el acceso a los usuarios. Introduce todos los dominios admitidos por el proveedor de identidad configurado.

    Separa los dominios múltiples con comas.

  6. Marca la casilla para indicar que entiendes que las cuentas con direcciones de correo electrónico coincidentes serán vinculadas.
  7. Opcionalmente, rellena Asignación de atributos.
  8. Si deseas configurar también los detalles avanzados, haz clic en Siguiente en la esquina inferior derecha para avanzar al último paso.

    De lo contrario, haz clic en Probar y guardar para terminar de configurar la integración y omitir los pasos restantes de esta sección.

  9. En la página Configuración avanzada, configura las opciones según sea necesario:
    • Permitir respuesta de autenticación no solicitada: habilita esta opción si deseas poder navegar a Orchestrator desde el panel IdP.
    • Tipo de enlace SAML: Redireccionamiento HTTP configura la configuración de SAML para comunicarse usando parámetros de URL a través del agente de usuario HTTP.
    • Uso del certificado de servicio: selecciona la opción que prefieras.
  10. Haz clic en Probar y guardar para terminar de configurar la integración.

Paso 2.4. Comprueba que la integración se está ejecutando

Para validar que la integración de SSO de SAML funcione correctamente:

  1. Abre una ventana de incógnito en el navegador.
  2. Ve a la URL de tu Orchestrator.
  3. Comprueba las siguientes cuestiones:
    1. ¿Se te pide que inicies sesión con tu proveedor de identidad SAML?
    2. ¿Puedes iniciar la sesión con éxito?
    3. Si te estás registrando con una dirección de correo electrónico que coincide con una cuenta de usuario existente, ¿tienes los permisos adecuados?

Paso 3. Transiciona a tus usuarios a SSO de SAML

Una vez configurados los permisos, te recomendamos que pidas a todos tus usuarios actuales que salgan de su cuenta de UiPath e inicien sesión mediante el SSO de SAML.

Para iniciar sesión en Studio y UiPath Assistant mediante el SSO de SAML, los usuarios deben configurar UiPath Assistant de la siguiente manera:

  1. En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
  2. Haz clic en Cerrar sesión.
  3. Para el tipo de conexión, selecciona URL de servicio.
  4. En el campo URL del servicio, añade la URL específica de la organización.
    La URL debe incluir el ID de la organización y terminar en una barra diagonal, como por ejemplo https://cloud.uipath.com/orgID/. De lo contrario, la conexión falla diciendo que el usuario no pertenece a ninguna organización.
  5. Vuelve a iniciar sesión con el SSO de SAML.

Paso. 4. Configura los Permisos y los Robots

Esto solo es necesario para los nuevos usuarios que no han utilizado Orchestrator antes y, por lo tanto, no tenían una cuenta local configurada para ellos en Orchestrator cuando se habilitó la integración.

Puedes añadir nuevos usuarios a los grupos de Orchestrator por su dirección de correo electrónico (como la utilizada en el IdP externo). Una vez que un usuario se haya asignado a un grupo o se haya registrado, estará disponible a través de la búsqueda para la asignación de roles en todos los servicios de Orchestrator.

Paso 5. Deja de usar las cuentas de usuario locales (opcional)

Cuando todos los usuarios hayan hecho la transición al SSO de SAML y se hayan configurado los nuevos usuarios, se recomienda eliminar todas las cuentas de usuario locales que no sean cuentas de administrador. Esto garantiza que los usuarios ya no puedan iniciar sesión con las credenciales de su cuenta local y tengan que iniciar sesión con el SSO de SAML.

Consideraciones para dejar de usar las cuentas locales

En caso de problemas con la integración de SAML (como la actualización de un certificado caducado), o si deseas cambiar a una opción de autenticación diferente, se recomienda una cuenta de usuario local con el rol de administrador.

Solución de problemas

Si obtienes el error User login failed. (#216), puede deberse a la falta de asignación de direcciones de correo electrónico en la configuración del proveedor de identidad SAML.
La declaración SAML debe contener el nombre http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress y el valor debe tener una dirección de correo electrónico válida.

Was this page helpful?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Logotipo blanco de UiPath
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2024 UiPath. All rights reserved.