- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenar contraseñas de robots desatendidos en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Autenticación por SmartCard
- Auditoría
- Configuración: a nivel de tenant
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Otras configuraciones
- Integraciones
- Robots clásicos
- Administración de host
- Acerca del nivel del host
- Gestionar los administradores del sistema
- Gestión de tenants
- Configuración de las notificaciones por correo electrónico del sistema
- Registros de auditoría para el portal del host
- Modo de mantenimiento
- Administración de la organización
- Solución de problemas
Guía del usuario de Orchestrator
Configurar la integración de Azure AD
Si tu organización utiliza Azure Active Directory (Azure AD) u Office 365, puedes conectar tu organización directamente a tu tenant de Azure AD para ver las cuentas de usuario existentes en tu entorno de UiPath®.
La integración de Azure AD te permite seguir aprovechando el modelo de usuario local, si así lo deseas, a la vez que impulsa tu organización con las ventajas adicionales de utilizar el modelo de Azure AD.
Si ha decidido usar Azure AD para su organización, siga las instrucciones de esta página para configurar la integración.
Para configurar la integración de Azure AD, necesitas:
- permisos de administrador tanto en Orchestrator como en Azure AD (si no dispones de estos permisos en Azure, colabora con un administrador de Azure para completar el proceso de configuración);
- una cuenta UiPath de administrador de la organización que utiliza la misma dirección de correo electrónico que un usuario de Azure AD; el usuario de Azure AD no requiere permisos de administrador en Azure;
- UiPath Studio y Assistant versión 2020.10.3 o posterior;
- UiPath Studio y Assistant para utilizar la implementación recomendada.
- si ya ha usado cuentas de usuario local, compruebe que todos sus usuarios de Azure AD tienen la dirección de correo en el campo Correo; no sirve con tener la dirección de correo electrónico solamente en el campo User Principle Name (UPN). La integración de Azure AD vincula las cuentas de usuarios del directorio con las cuentas de usuarios locales si las direcciones de correo electrónico coinciden. Esto permite a los usuarios conservar los permisos cuando pasan de iniciar sesión con su cuenta de usuario local a hacerlo con la cuenta de usuario del directorio de Azure AD.
appid
en una URL dedicada, como se describe en la documentación de los tokens de acceso de Microsoft .
Tu organización requiere un registro de aplicación en tu tenant de Azure AD y algo de configuración para que pueda ver tus miembros de AD para establecer la identidad de la cuenta. Los detalles de registro de la aplicación también son necesarios para conectar posteriormente tu organización a tu tenant de Azure AD.
Permisos: debe ser administrador en Azure para realizar las tareas de esta sección. Los siguientes roles de administrador de Azure tienen los privilegios necesarios: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones.
Hay dos maneras de configurar tu tenant de Azure para la integración:
- Sigue las siguientes instrucciones para configurar manualmente el registro de una aplicación para la integración.
- Utiliza los scripts de UiPath Azure AD que hemos creado para esta tarea, que están disponibles en GitHub: el script
configAzureADconnection.ps1
realiza todas las acciones descritas en esta sección y devuelve los detalles de registro de la aplicación. A continuación, puedes ejecutar el scripttestAzureADappRegistration.ps1
para asegurarte de que el registro de la aplicación se ha realizado correctamente.
Para configurar manualmente tu tenant de Azure, haz lo siguiente en Azure Portal:
Una vez completada la configuración de Azure, puedes prepararte para la integración, activarla y luego limpiar las cuentas antiguas. El proceso se divide en etapas para que no haya interrupciones para tus usuarios.
Permisos: para poder realizar las tareas de esta sección, debes ser administrador en Orchestrator.
Cuando conectas Orchestrator a Azure AD activando la integración, las cuentas con direcciones de correo electrónico coincidentes se vinculan para que la cuenta de Azure AD se beneficie de los mismos permisos que la cuenta de UiPath coincidente.
Si tu organización recicla correos electrónicos, es decir, si una dirección de correo electrónico utilizada en el pasado puede ser asignada a un nuevo usuario en el futuro, esto podría suponer un riesgo de acceso elevado.
john.doe@example.com
y este empleado tenía una cuenta de UiPath en la que era administrador de la organización, pero ya no está en la empresa y la dirección de correo electrónico ha sido desactivada, pero el usuario no ha sido eliminado.
john.doe@example.com
. En tal caso, Juan Pérez hereda los privilegios de administrador de la organización.
Para evitar este tipo de situaciones, asegúrate de eliminar todos los usuarios que ya no están activos de Orchestrator antes de proceder al siguiente paso. Si las direcciones de correo electrónico inactivas no se reutilizan en tu organización, puedes omitir este paso.
- asegúrese de que la configuración de Azure esté completa;
- obtener los valores de ID (de tenant) del directorio, ID de aplicación (cliente) y Secreto de cliente para el registro de la aplicación Orchestrator en Azure de tu administrador de Azure.
- Log in to the Management portal as an administrator.
- Select Security to open Security Settings.
- On the Authentication Settings tab, under Azure AD SSO, select Configure.
- Selecciona Azure Active Directory en el panel de configuración de SSO.
- Rellena los campos con la información recibida de tu administrador de Azure.
- Selecciona la casilla de verificación Entiendo y acepto los usuarios añadidos y los usuarios de Azure AD con direcciones de correo electrónico coincidentes tendrán sus cuentas vinculadas. Después de guardar los cambios, las cuentas coincidentes se vinculan automáticamente.
- Selecciona Guardar para activar la integración para tu organización.
- Cierra sesión.
-
Dirígete a la URL de la organización (
https://{yourDomain}/organizationID/
) e inicia sesión con tu cuenta de Azure AD.
Ahora puedes trabajar con los usuarios y grupos en el Azure AD del tenant vinculado. Las cuentas y grupos del directorio no se enumeran en las páginas Usuarios o Grupos en Admin - Cuentas y grupos, solo puedes encontrarlos a través de la búsqueda.
Para comprobar que la integración se ejecuta desde Orchestrator, inicia sesión como administrador de la organización con una cuenta de Azure AD e intenta buscar usuarios y grupos de Azure AD en cualquier página que tenga esta funcionalidad, como el panel Editar grupo en el portal de gestión (Admin > Cuentas y grupos > Grupos > Editar).
-
Si puedes buscar usuarios y grupos que se originan en Azure AD, significa que la integración está funcionando. Se puede saber el tipo de usuario o grupo por su icono.
-
Si se produce un error al intentar buscar usuarios, como se muestra en el ejemplo siguiente, esto indica que hay algo mal en la configuración en Azure. Ponte en contacto con tu administrador de Azure y pídele que compruebe que Azure está configurado como se describe en Configurar Azure para la integración anterior en esta página.
Consejo: Pide a tu administrador de Azure que confirme que ha seleccionado la casilla de verificación Conceder consentimiento de administrador durante la configuración de Azure. Esta es una causa común por la que falla la integración.
Una vez activada la integración, recomendamos seguir las instrucciones de esta sección para garantizar que la creación de usuarios y las asignaciones de grupos se transfieran a Azure AD. De este modo, puedes construir sobre tu infraestructura de gestión de identidades y accesos existente para facilitar el control de la gestión de accesos y la gobernanza sobre los recursos de tu organización de Orchestrator.
Puedes hacer esto para asegurarte de que el administrador de Azure también pueda incorporar nuevos usuarios con los mismos permisos y la misma configuración del robot para Orchestrator y otros servicios que habías configurado antes de la integración. Puedes hacer esto añadiendo cualquier nuevo usuario a un grupo de Azure AD si el grupo tiene los roles requeridos ya asignados en Orchestrator.
Puedes asignar tus grupos de usuarios existentes desde Orchestrator a grupos nuevos o existentes en Azure AD. Puedes hacerlo de varias maneras, dependiendo de cómo utilices los grupos en Azure AD:
- Si los usuarios con los mismos roles en Orchestrator ya están en los mismos grupos en Azure AD, el administrador de la organización puede añadir estos grupos de Azure AD a los grupos de usuarios de Orchestrator en los que estaban estos usuarios. De este modo, se garantiza que los usuarios mantengan los mismos permisos y la configuración del robot.
- De lo contrario, el administrador de Azure puede crear nuevos grupos en Azure AD para que coincidan con los de Orchestrator y añadir los mismos usuarios que están en los grupos de usuarios de Orchestrator. A continuación, el administrador de la organización puede añadir los nuevos grupos de Azure AD a los grupos de usuarios existentes para garantizar que los mismos usuarios tengan las mismas funciones.
Asegúrate de verificar cualquier rol específicamente asignado a los usuarios, en todos los casos. Si es posible, elimina estas asignaciones de roles directos y añade estos usuarios a grupos ya asignados con estos roles.
Por ejemplo, digamos que el grupo de administradores en Orchestrator incluye los usuarios Anna, Tom y John. Estos mismos usuarios también están en un grupo en Azure AD llamado admins. El administrador de la organización puede añadir el grupo Azure de administradores al grupo de administradores en Orchestrator.De esta manera, Anna, Tom y John, como miembros del grupo de administradores Azure AD, se benefician de los roles del grupo de administradores en Orchestrator.
Dado que el grupo admins ahora forma parte del grupo Administradores, cuando necesites incorporar un nuevo administrador, el administrador de Azure puede añadir el nuevo usuario al grupo admins de Azure, otorgándoles así permisos de administración en Orchestrator sin tener que realizar ningún cambio en Orchestrator.
Los cambios en las asignaciones de grupos de Azure AD se aplican en Orchestrator cuando el usuario inicia sesión con su cuenta de Azure AD o, si ya ha iniciado sesión, en el plazo de una hora.
Para los permisos asignados a los usuarios y grupos de Azure AD que se aplicarán, los usuarios deben iniciar sesión al menos una vez. Recomendamos que, una vez ejecutada la integración, comuniques a todos tus usuarios que salgan de su cuenta de UiPath y vuelvan a iniciar sesión con su cuenta de Azure AD. Pueden iniciar sesión con su cuenta de Azure Ad:
- navegando a la URL específica de la organización, en cuyo caso el tipo de inicio de sesión ya está seleccionado;
-
seleccionando SSO para Enterprise en la página principal de inicio de sesión.
Los usuarios migrados se benefician de la combinación de los permisos que les fueron asignados directamente y los de sus grupos de Azure AD.
Configuración de Studio y Assistant para los usuarios: para configurar estos productos para que se conecten con las cuentas de Azure AD:
- En Assistant, abre Preferencias y selecciona la pestaña Conexión de Orchestrator.
- Haz clic en Cerrar sesión.
- Para el tipo de conexión, selecciona URL de servicio.
- En el campo URL de servicio, añade la URL específica de la organización, por ejemplo
https://orchestrator.mydomain.local/
. - Vuelve a iniciar sesión con la cuenta de Azure AD.
Aunque es opcional, te recomendamos que lo hagas para maximizar las principales ventajas de cumplimiento y eficiencia de la integración completa entre Orchestrator y Azure AD.
Una vez que se hayan migrado todos los usuarios, puedes eliminar los usuarios basados en cuentas personales de UiPath de la pestaña Usuarios, de modo que tus usuarios ya no podrán iniciar sesión con sus cuentas de UiPath. Puedes encontrar estas cuentas en función de su icono.
Solo elimina las cuentas de no administrador. Se recomienda conservar al menos una cuenta local de administrador de la organización para poder cambiar la configuración de autenticación en el futuro.
También puedes eliminar los permisos individuales en los servicios de UiPath, como el servicio de Orchestrator, y eliminar a los usuarios de los grupos de Orchestrator para que los permisos dependan exclusivamente de la pertenencia a grupos de Azure AD.
A continuación, te ofrecemos algunos consejos útiles sobre las funciones avanzadas que puedes aprovechar ahora que tienes configurada la integración con Azure AD.
Restringir acceso a Orchestrator
Como la integración con Azure AD se realiza en el ámbito de tenant de Azure, por defecto todos los usuarios de Azure AD pueden acceder a la organización de Orchestrator. La primera vez que un usuario de Azure AD inicia sesión en Orchestrator, se incluye automáticamente en el grupo Everyone de Orchestrator, que le otorga el rol a nivel de organización de usuario.
Si deseas permitir que solo determinados usuarios accedan a tu organización de Orchestrator, puedes activar la asignación de usuarios para el registro de la aplicación de Orchestrator en Azure. De este modo, los usuarios deben asignarse expresamente a la aplicación (Orchestrator) para poder acceder a ella. Para obtener instrucciones, consulta este artículo en la documentación de Azure AD.
Restringe el acceso a redes o dispositivos de confianza
Si deseas que tus usuarios solo accedan a Orchestrator desde una red o un dispositivo de confianza, puedes utilizar la función de acceso condicional de Azure AD.
Control para grupos de Orchestrator en Azure AD
Si ha creado grupos en Azure AD para facilitar la incorporación de Orchestrator directamente desde Azure AD, como se describe anteriormente en la sección Configurar grupos para permisos y robots, puede usar las opciones de seguridad avanzadas de Privileged Identity Management (PIM) para que estos grupos controlen el acceso solicitudes de grupos de Orchestrator.
- Información general
- Requisitos previos
- Cómo configurar Azure para la integración
- Implementar integración a Orchestrator
- Limpiar los usuarios inactivos
- Activar la integración de Azure AD
- Probar la integración de Azure AD
- Completar la transición a Azure AD
- Configurar grupos de permisos y robots (opcional)
- Migrar a los usuarios existentes
- Dejar de usa cuentas locales (opcional)
- Características avanzadas