orchestrator
2023.4
false
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática.
UiPath logo, featuring letters U and I in white
Guía del usuario de Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 11 de nov. de 2024

Configurar la integración de Azure AD

Información general

If your organization is using Azure Active Directory (Azure AD) or Office 365, you can connect your organization directly to your Azure AD tenant to see existing user accounts in your UiPath® environment.

La integración de Azure AD te permite seguir aprovechando el modelo de usuario local, si así lo deseas, a la vez que impulsa tu organización con las ventajas adicionales de utilizar el modelo de Azure AD.

Si ha decidido usar Azure AD para su organización, siga las instrucciones de esta página para configurar la integración.

Tip: La integración de Azure AD está diseñada de tal manera que su activación y despliegue puede realizarse gradualmente, sin interrumpir la producción de los usuarios existentes.

Requisitos previos

Para configurar la integración de Azure AD, necesitas:

  • permisos de administrador tanto en Orchestrator como en Azure AD (si no dispones de estos permisos en Azure, colabora con un administrador de Azure para completar el proceso de configuración);
  • una cuenta UiPath de administrador de la organización que utiliza la misma dirección de correo electrónico que un usuario de Azure AD; el usuario de Azure AD no requiere permisos de administrador en Azure;
  • UiPath Studio y Assistant versión 2020.10.3 o posterior;
  • UiPath Studio y Assistant para utilizar la implementación recomendada.
  • si ya ha usado cuentas de usuario local, compruebe que todos sus usuarios de Azure AD tienen la dirección de correo en el campo Correo; no sirve con tener la dirección de correo electrónico solamente en el campo User Principle Name (UPN). La integración de Azure AD vincula las cuentas de usuarios del directorio con las cuentas de usuarios locales si las direcciones de correo electrónico coinciden. Esto permite a los usuarios conservar los permisos cuando pasan de iniciar sesión con su cuenta de usuario local a hacerlo con la cuenta de usuario del directorio de Azure AD.
Nota: UiPath sigue el protocolo OIDC para su integración con Azure Active Directory. Sin embargo, la integración no admite el uso de claves personalizadas de la aplicación mediante la solicitud de un parámetro de consulta appid en una URL dedicada, como se describe en la documentación de los tokens de acceso de Microsoft .

Cómo configurar Azure para la integración

Tu organización requiere un registro de aplicación en tu tenant de Azure AD y algo de configuración para que pueda ver tus miembros de AD para establecer la identidad de la cuenta. Los detalles de registro de la aplicación también son necesarios para conectar posteriormente tu organización a tu tenant de Azure AD.

Nota:

Debes ser administrador en Azure para realizar las tareas de esta sección. Los siguientes roles de administrador de Azure tienen los privilegios necesarios: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones.

Hay dos maneras de configurar tu tenant de Azure para la integración:

  • Sigue las siguientes instrucciones para configurar manualmente el registro de una aplicación para la integración.
  • Utiliza los scripts de UiPath Azure AD que hemos creado para esta tarea, que están disponibles en GitHub: el script configAzureADconnection.ps1 realiza todas las acciones descritas en esta sección y devuelve los detalles de registro de la aplicación. A continuación, puedes ejecutar el script testAzureADappRegistration.ps1 para asegurarte de que el registro de la aplicación se ha realizado correctamente.

Para configurar manualmente tu tenant de Azure, haz lo siguiente en Azure Portal:

  1. Create an app registration for Orchestrator. For details, see Microsoft's documentation about Registering an application.
    Durante el registro, selecciona Cuentas solo en este directorio de la organización y establece el URI de redirección como https://{yourDomain}/identity/signin-oidc.
    Nota: si ya tienes una aplicación registrada para tu organización, no hay necesidad de crear una nueva, pero asegúrate de que esté configurada como se describe anteriormente.
  2. Abre la página Descripción general de la aplicación, copia el ID de la aplicación (cliente) y el ID del directorio (tenant), y guárdalos para utilizarlos más adelante:


  3. Ve a la página Autenticación de tu aplicación:
    1. En Redirigir URI, haz clic en Añadir URI para añadir una nueva entrada.
    2. Añade https://{yourDomain}/portal/testconnection a la lista de URI de redireccionamiento.
    3. En la parte inferior, selecciona ID tokens en la casilla de verificación.
    4. Haz clic en Guardar.
    docs image
  4. Ve a la página Configuración de token.
  5. Selecciona Añadir solicitud opcional.
  6. En Tipo de token, selecciona ID.
  7. Selecciona las casillas de verificación para family_name, given_name y upn para añadirlas como reclamaciones opcionales:


  8. Ve a la página Permisos de la API.
  9. Haz clic en Añadir permiso y añade los siguientes permisos delegados de la categoría Microsoft Graph:
    • Permisos de OpenId: email, openid, offline_access, profile;
    • Permisos de los miembros del grupo: GroupMember.Read.All;
    • Permisos de usuario: User.Read, User.ReadBasic.All, User.Read.All (requiere consentimiento administrativo).


    Permiso

    Qué te permite hacer

    Qué hacemos con él

    email, openid, profile, offline_access, User.ReadPermite a AAD emitir un token de usuario a la aplicación de sistemaPermite a los usuarios iniciar sesión en el sistema utilizando un inicio de sesión de AAD. Esto nos permite mantener nuestro objeto de usuario actualizado, garantizando la coherencia de estos atributos.
    User.ReadBasic.AllLee las propiedades básicas de todos los usuarios en el directorio que el usuario que ha iniciado sesión puede verCuando un usuario asigna permisos a otros usuarios en el directorio a sus recursos, puede buscar en estos usuarios. La funcionalidad para la gestión/autorización de acceso están en la experiencia de usuario del sistema.
    User.Read.All (requiere consentimiento de administrador) Lee todas las propiedades de usuario en el directorio que el usuario que ha iniciado sesión puede verTu administrador puede importar estas propiedades de usuario adicionales para configurar permisos o mostrar información personalizada dentro de los servicios de sistema. Para los clientes de Automation Hub que desean obtener todos los atributos de AAD, es necesario otorgar los permisos User.Read.All a la aplicación.
    GroupMember.Read.AllLee las membresías de grupo de todos los usuarios a los que el usuario que ha iniciado sesión tiene accesoSi tu organización utiliza grupos para gestionar los permisos en el sistema, la plataforma debe poder enumerar todos los grupos y descubrir a los miembros de un grupo; eso permite tanto la gestión como la aplicación de los permisos asignados al grupo.
  10. Selecciona la casilla Conceder consentimiento de administrador.
    Nota: El administrador da su consentimiento en nombre de todos los usuarios en el directorio activo del tenant. Esto permite que la aplicación acceda a los datos de todos los usuarios, sin que se pida a los usuarios que den su consentimiento. Para obtener más información sobre los permisos y el consentimiento, consulta la documentación de Azure AD de Microsoft.
  11. Ve a la página Certificados y secretos.
  12. Crea un nuevo secreto de cliente. Para obtener más información, consulta la documentación de Microsoft sobre Añadir un nuevo secreto de cliente.
    Nota: el secreto de cliente creado no es permanente. Debes actualizar el secreto de cliente después de su período de validez.
  13. Copia el secreto del cliente Valor y guárdalo para usarlo más tarde


  14. Proporciona los valores de ID de directorio (tenant), ID de aplicación (cliente) y Secreto de cliente con el administrador de organización de la organización para que pueda proceder con la configuración.

Implementar integración a Orchestrator

After the Azure setup is complete, you can prepare for the integration, activate it, and then clean up old accounts. The process is broken down in stages so that there is no disruption for your users.

Permisos: para poder realizar las tareas de esta sección, debes ser administrador en Orchestrator.

Limpiar los usuarios inactivos

Cuando conectas Orchestrator a Azure AD activando la integración, las cuentas con direcciones de correo electrónico coincidentes se vinculan para que la cuenta de Azure AD se beneficie de los mismos permisos que la cuenta de UiPath coincidente.

Importante: Para que la vinculación de cuentas se realice correctamente, asegúrate de que todos tus usuarios de Azure AD tienen la dirección de correo electrónico añadida en el campo Correo en Azure; no basta con tener la dirección de correo electrónico en el campo User Principle Name (UPN).

Si tu organización recicla correos electrónicos, es decir, si una dirección de correo electrónico utilizada en el pasado puede ser asignada a un nuevo usuario en el futuro, esto podría suponer un riesgo de acceso elevado.

Supongamos que has tenido un empleado cuya dirección de correo electrónico era john.doe@example.comy este empleado tenía una cuenta de UiPath en la que era administrador de la organización, pero ya no está en la empresa y la dirección de correo electrónico ha sido desactivada, pero el usuario no ha sido eliminado.
Si un nuevo empleado que se llama Juan Pérez se incorpora a la empresa, recibirá la misma dirección de correo electrónico john.doe@example.com. En tal caso, Juan Pérez hereda los privilegios de administrador de la organización.

To prevent such situations, make sure you remove all users who are no longer active from Orchestrator before proceeding to the next step. If inactive email addresses are not reused in your organization, you can skip this step.

Activar la integración de Azure AD

Nota:

Antes de comenzar:

  • asegúrese de que la configuración de Azure esté completa;
  • obtain the Directory (tenant) ID, Application (client) ID, and Client Secret values for the Orchestrator app registration in Azure from your Azure administrator.
To activate the Azure AD integration, follow these steps in Orchestrator

:

  1. Inicia sesión en el portal de gestión como administrador y ve a Configuración de seguridad.
  2. Selecciona Seguridad para abrir la configuración de seguridad.
  3. En la pestaña Configuración de autenticación , selecciona Configurar SSO.
    docs image
  4. Selecciona Azure Active Directory en el panel de configuración de SSO.


  5. Rellena los campos con la información recibida de tu administrador de Azure.

  6. Selecciona la casilla de verificación Entiendo y acepto los usuarios añadidos y los usuarios de Azure AD con direcciones de correo electrónico coincidentes tendrán sus cuentas vinculadas. Después de guardar los cambios, las cuentas coincidentes se vinculan automáticamente.​
  7. Selecciona Probar conexión para validar que la integración se ha configurado correctamente.
  8. Cuando se te pida, inicia sesión con tu cuenta de Azure AD.
    Un inicio de sesión satisfactorio indica que la integración se ha configurado correctamente. En caso de que falle, pide a tu administrador de Azure que compruebe que Azure está correctamente configurado y vuelve a intentarlo.
  9. Selecciona Guardar para activar la integración para tu organización.
  10. Cierra sesión.
  11. Dirígete a la URL de la organización ( https://{yourDomain}/orgID/) e inicia sesión con tu cuenta de Azure AD.

Use the Azure AD of the linked tenant to work with users and groups. Directory accounts and groups are not displayed on the Users or Groups pages in the Management portal. To locate them, use the search function.

Probar la integración de Azure AD

To check that the integration is running from Orchestrator, sign in as an organization administrator with an Azure AD account and try to search for Azure AD users and groups on any page that has this functionality, such as the Edit Group panel in the Management portal (Admin > Accounts and Groups > Groups > Edit).

  • If you can search for users and groups that originate in Azure AD, it means the integration is running. You can tell the type of user or group by its icon.

  • Si se produce un error al intentar buscar usuarios, como se muestra en el ejemplo siguiente, esto indica que hay algo mal en la configuración en Azure. Ponte en contacto con tu administrador de Azure y pídele que compruebe que Azure está configurado como se describe en Configurar Azure para la integración anterior en esta página.

    Consejo: Pide a tu administrador de Azure que confirme que ha seleccionado la casilla de verificación Conceder consentimiento de administrador durante la configuración de Azure. Esta es una causa común por la que falla la integración.

Completar la transición a Azure AD

Una vez activada la integración, recomendamos seguir las instrucciones de esta sección para garantizar que la creación de usuarios y las asignaciones de grupos se transfieran a Azure AD. De este modo, puedes construir sobre tu infraestructura de gestión de identidades y accesos existente para facilitar el control de la gestión de accesos y la gobernanza sobre los recursos de tu organización de Orchestrator.

Configurar grupos de permisos y robots (opcional)

Puedes hacer esto para asegurarte de que el administrador de Azure también pueda incorporar nuevos usuarios con los mismos permisos y la misma configuración del robot para Orchestrator y otros servicios que habías configurado antes de la integración. Puedes hacer esto añadiendo cualquier nuevo usuario a un grupo de Azure AD si el grupo tiene los roles requeridos ya asignados en Orchestrator.

Puedes asignar tus grupos de usuarios existentes desde Orchestrator a grupos nuevos o existentes en Azure AD. Puedes hacerlo de varias maneras, dependiendo de cómo utilices los grupos en Azure AD:

  • Si los usuarios con los mismos roles en Orchestrator ya están en los mismos grupos en Azure AD, el administrador de la organización puede añadir estos grupos de Azure AD a los grupos de usuarios de Orchestrator en los que estaban estos usuarios. De este modo, se garantiza que los usuarios mantengan los mismos permisos y la configuración del robot.
  • De lo contrario, el administrador de Azure puede crear nuevos grupos en Azure AD para que coincidan con los de Orchestrator y añadir los mismos usuarios que están en los grupos de usuarios de Orchestrator. A continuación, el administrador de la organización puede añadir los nuevos grupos de Azure AD a los grupos de usuarios existentes para garantizar que los mismos usuarios tengan las mismas funciones.

Asegúrate de verificar cualquier rol específicamente asignado a los usuarios, en todos los casos. Si es posible, elimina estas asignaciones de roles directos y añade estos usuarios a grupos ya asignados con estos roles.

For example, let's say the Administrators group in Orchestrator includes the users Anna, Tom, and John. These same users are also in a group in Azure AD called admins. The organization administrator can add the admins Azure group to the Administrators group in Orchestrator. This way, Anna, Tom, and John, as members of the admins Azure AD group, all benefit from the roles of the Administrators group in Orchestrator.

Dado que el grupo admins ahora forma parte del grupo Administradores, cuando necesites incorporar un nuevo administrador, el administrador de Azure puede añadir el nuevo usuario al grupo admins de Azure, otorgándoles así permisos de administración en Orchestrator sin tener que realizar ningún cambio en Orchestrator.

Los cambios en las asignaciones de grupos de Azure AD se aplican en Orchestrator cuando el usuario inicia sesión con su cuenta de Azure AD o, si ya ha iniciado sesión, en el plazo de una hora.

Migrar a los usuarios existentes

For the permissions assigned to Azure AD users and groups to apply, users must sign in at least one time. We recommend that, after the integration is running, you communicate to all your users to sign out of their UiPath account and sign in again with their Azure AD account. They can sign in with their Azure Ad account by:

  • navegando a la URL específica de la organización, en cuyo caso el tipo de inicio de sesión ya está seleccionado;

  • seleccionando SSO para Enterprise en la página principal de inicio de sesión.

Los usuarios migrados se benefician de la combinación de los permisos que les fueron asignados directamente y los de sus grupos de Azure AD.

Configuración de Studio y Assistant para los usuarios: para configurar estos productos para que se conecten con las cuentas de Azure AD:

  1. En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
  2. Haz clic en Cerrar sesión.
  3. Para el tipo de conexión, selecciona URL de servicio.
  4. En el campo URL de servicio, añade la URL específica de la organización, por ejemplo https://orchestrator.mydomain.local/.
  5. Vuelve a iniciar sesión con la cuenta de Azure AD.

Dejar de usa cuentas locales (opcional)

Aunque es opcional, te recomendamos que lo hagas para maximizar las principales ventajas de cumplimiento y eficiencia de la integración completa entre Orchestrator y Azure AD.

After all users have been migrated, you can remove the users which are based on personal local accounts from the Users tab, so that your users won't be able to sign in using their UiPath accounts anymore. You can find these accounts based on their icon.

Importante:

Only remove non-administrator accounts. It is recommended to retain at least one organization administrator local account to be able to change authentication settings in the future.

También puedes eliminar los permisos individuales en los servicios de UiPath, como el servicio de Orchestrator, y eliminar a los usuarios de los grupos de Orchestrator para que los permisos dependan exclusivamente de la pertenencia a grupos de Azure AD.

Características avanzadas

A continuación, te ofrecemos algunos consejos útiles sobre las funciones avanzadas que puedes aprovechar ahora que tienes configurada la integración con Azure AD.

Restringir acceso a Orchestrator

Because the integration with Azure AD is performed at the level of the Azure tenant, by default all Azure AD users can access the Orchestrator organization. The first time an Azure AD user signs in to Orchestrator, they are automatically included in the Orchestrator group Everyone, which grants them the User organization-level role .

Si deseas permitir que solo determinados usuarios accedan a tu organización de Orchestrator, puedes activar la asignación de usuarios para el registro de la aplicación de Orchestrator en Azure. De este modo, los usuarios deben asignarse expresamente a la aplicación (Orchestrator) para poder acceder a ella. Para obtener instrucciones, consulta este artículo en la documentación de Azure AD.

Restringe el acceso a redes o dispositivos de confianza

Si deseas que tus usuarios solo accedan a Orchestrator desde una red o un dispositivo de confianza, puedes utilizar la función de acceso condicional de Azure AD.

Control para grupos de Orchestrator en Azure AD

Si ha creado grupos en Azure AD para facilitar la incorporación de Orchestrator directamente desde Azure AD, como se describe anteriormente en la sección Configurar grupos para permisos y robots, puede usar las opciones de seguridad avanzadas de Privileged Identity Management (PIM) para que estos grupos controlen el acceso solicitudes de grupos de Orchestrator.

¿Te ha resultado útil esta página?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2024 UiPath. Todos los derechos reservados.