- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenamiento de contraseñas de robot desatendido en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Asignar roles
- Gestionar roles
- Roles por defecto
- Configuring access for accounts
- Habilitación de usuarios para ejecutar automatizaciones personales
- Habilitación de usuarios para ejecutar automatizaciones en infraestructura desatendida por medio de robots desatendidos
- Configuración de cuentas de robot para ejecutar automatizaciones desatendidas
- Auditoría
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Administración de host
- Servidor de identidad
- Autenticación
- Administración de la organización
- Otras configuraciones
- Integraciones
- Robots clásicos
- Solución de problemas
Anular autenticación y seguridad
Como administrador, puedes elegir la configuración de autenticación y de seguridad relacionada para tu organización. Algunos ajustes se heredan del nivel de host, pero puedes anularlos si debes aplicar una configuración diferente para tu organización.
La elección del proveedor de identidades para tu organización (Administrador > Usuarios y grupos > Configuración de la autenticación) afecta a la forma en que los usuarios inician sesión, y a cómo se crean y gestionan las cuentas de usuario y de grupo en Orchestrator.
Modelo de Azure Active Directory
La integración con Azure Active Directory (Azure AD) puede ofrecer una gestión de usuarios y accesos escalable para tu organización, permitiendo el cumplimiento de todas las aplicaciones internas utilizadas por tus empleados. Si tu organización utiliza Azure AD u Office 365, puedes conectar tu organización de Orchestrator directamente a tu tenant de Azure AD para obtener las siguientes ventajas:
Incorporación automática de usuarios con una migración fluida
- Todos los usuarios y grupos de Azure AD están disponibles para los servicios de Orchestrator respecto a la asignación de permisos. No es necesario invitar y gestionar usuarios de Azure AD en el directorio de la organización de Orchestrator.
- Puede proporcionar Single Sign-On a los usuarios cuyo nombre de usuario corporativo sea diferente a su dirección de correo electrónico, lo que no es posible con el modelo de invitaciones.
- Todos los usuarios existentes con cuentas de usuario de UiPath tienen sus permisos migrados automáticamente a su cuenta de Azure AD conectada.
Experiencia de inicio de sesión simplificada
-
Los usuarios no tienen que aceptar una invitación o crear una cuenta de usuario de UiPath para acceder a la organización de Orchestrator como en el modelo predeterminado. Inician sesión con su cuenta de Azure AD seleccionando la opción Enterprise SSO o utilizando la URL específica de su organización.
Si el usuario ya ha iniciado sesión en Azure AD u Office 365, lo hará automáticamente.
- Las versiones 20.10.3 y posteriores de UiPath Assistant y Studio pueden preconfigurarse para que utilicen una URL personalizada de Orchestrator, lo que permite la misma experiencia de conexión sin problemas.
Gobierno y gestión de acceso escalables con los grupos existentes de Azure AD
- Los grupos de seguridad de Azure AD o los grupos de Office 365, también conocidos como grupos de directorio, permiten aprovechar la estructura organizativa existente para gestionar los permisos según las necesidades. Ya no es necesario configurar los permisos en los servicios de Orchestrator para cada usuario.
- Puedes combinar varios grupos de directorios en un solo grupo de Orchestrator si necesitas gestionarlos juntos.
-
El proceso de auditoría de Orchestrator es sencillo. Una vez hayas configurado los permisos en todos los servicios de Orchestrator utilizando grupos de Azure AD, puedes utilizar los procesos de validación existentes asociados a la pertenencia a los grupos de Azure AD.
Nota: Mientras estés en el modelo Azure AD, podrás seguir utilizando todas las funciones del modelo predeterminado. Pero para maximizar los beneficios, recomendamos confiar exclusivamente en la gestión centralizada de cuentas de Azure AD.Si deseas utilizar Azure Active Directory como proveedor de identidad para tu organización, sigue las instrucciones de Configurar la integración de Azure AD.
Modelo SAML
Este modelo te permite conectar Orchestrator con el proveedor de identidades (IdP) que elijas para:
- tus usuarios pueden beneficiarse del inicio de sesión único (SSO) y
- poder gestionar las cuentas existentes desde tu directorio en Orchestrator sin tener que volver a crear identidades.
Orchestrator puede conectarse a cualquier proveedor de identidades externo que utilice la norma SAML 2.0.
Beneficios
Incorporación automática de usuarios a Orchestrator
Todos los usuarios de tu proveedor de identidades externo están autorizados a iniciar sesión en Orchestrator con derechos básicos cuando la integración SAML se encuentra activa. Esto significa que:
- Los usuarios pueden iniciar sesión en la organización de Orchestrator mediante el inicio de sesión único con su cuenta de empresa existente, tal como haya definido el proveedor de identidades.
- Sin ninguna configuración adicional, pueden acceder a Orchestrator de forma predeterminada. Para poder trabajar en Orchestrator, los usuarios requieren roles y licencias adecuadas al rol correspondiente.
Si necesitas restringir el acceso a solo algunos de los usuarios, puedes definir el conjunto de usuarios que pueden acceder a Orchestrator en el proveedor de identidades.
Gestión de usuarios
Puedes añadir usuarios asignándolos directamente a los grupos de Orchestrator introduciendo la dirección de correo electrónico al añadir usuarios al grupo.
Normalmente, los administradores gestionan las cuentas locales desde la pestaña Admin > organización > Cuentas y grupos > Usuarios. No obstante, los usuarios SAML son cuentas de directorio en Orchestrator, por lo que no aparecen en esta página.
Una vez que un usuario se ha añadido a un grupo o haya iniciado sesión al menos una vez (lo que les incluye automáticamente en el grupo Everyone), estarán disponibles para la búsqueda de todos los servicios de Orchestrator respecto a la asignación directa de roles o licencias.
Asignación de atributos
Si utilizas UiPath Automation Hub, puedes definir una asignación de atributos personalizada para propagar los atributos de tu proveedor de identidades a Orchestrator. Por ejemplo, cuando una cuenta se añade por primera vez a Automation Hub, el nombre, el apellido, la dirección de correo electrónico, el cargo y el departamento del usuario ya están rellenados.
Configuración
Los administradores pueden configurar y habilitar la integración de SAML en toda la organización desde Admin > Configuración de la seguridad > Configuración de autenticación.
Para obtener instrucciones, consulta Configuración de la integración SAML.
Transición de la integración Azure AD a la integración SAML
Una vez que se pasa a la integración SAML, se deshabilita la integración de Azure AD. Las asignaciones de grupo de Azure AD ya no se aplican, por lo que la pertenencia al grupo de Orchestrator y los permisos heredados de Azure AD ya no se respetan.
La Autenticación básica se refiere a iniciar sesión con el nombre de usuario y la contraseña de una cuenta local.
Si la autenticación básica está restringida, sus usuarios solo pueden iniciar sesión con su cuenta de directorio, tal como se define en el proveedor de identidad externa. De lo contrario, los usuarios pueden iniciar sesión tanto con sus cuentas locales, si las hay, como con sus cuentas de directorio.
Consulta también Niveles de configuración y herencia para obtener más información sobre esta configuración.
Configurar la autenticación básica en el ámbito de la organización
Cuando se establece en el ámbito de la organización, la configuración se aplica a todas las cuentas de la organización.
En el caso de las excepciones, la autenticación básica también puede establecerse en el ámbito de cuenta cuando se desee que esta configuración se aplique de forma distinta.
Para permitir o restringir la autenticación básica en tu organización:
Para configurar las opciones de seguridad de su organización, diríjase a Administrador > Cuentas y grupos > Configuración de autenticación y edita las opciones según sea necesario.
|
Campo |
Descripción |
|---|---|
|
Caracteres especiales |
Selecciona esta opción para obligar a los usuarios a incluir al menos un carácter especial en su contraseña. Por defecto, esta casilla no está seleccionada. |
|
Caracteres en minúscula |
Selecciona esta opción para obligar a los usuarios a incluir al menos un carácter especial en su contraseña. Por defecto, esta casilla está seleccionada. |
|
Caracteres en mayúscula |
Selecciona esta opción para obligar a los usuarios a incluir al menos un carácter en mayúscula en su contraseña. Por defecto, esta casilla no está seleccionada. |
|
Dígitos |
Selecciona esta opción para obligar a los usuarios a incluir al menos un dígito en su contraseña. Por defecto, esta casilla está seleccionada. |
|
Longitud mínima de la contraseña |
Especifica el número mínimo de caracteres que debe contener una contraseña. Por defecto, es 8. La longitud no puede ser inferior a 6 ni superior a 14. |
|
Días restantes para que caduque la contraseña |
Especifica el número de días durante los cuales estará disponible la contraseña. Después de este periodo, la contraseña expira y debe ser cambiada. El valor mínimo aceptado es 0 (la contraseña no expira) y el máximo es 120 días. |
|
Número de veces que se puede reutilizar una contraseña |
El valor mínimo aceptado es 0 (nunca permite reutilizar una contraseña), mientras que el máximo es 10. |
|
Cambiar la contraseña en el primer inicio de sesión |
Si se establece como Obligatorio, los usuarios que se conectan por primera vez deben cambiar su contraseña antes para poder acceder a Orchestrator. Si se establece como No necesario, los usuarios pueden iniciar sesión y seguir utilizando la contraseña definida por el administrador hasta que caduque. |
|
Campo |
Descripción |
|---|---|
|
Alternar Habilitado o Deshabilitado |
Si está habilitado, bloquea la cuenta durante una cantidad específica de segundos después de una cantidad específica de intentos fallidos de inicio de sesión. Esto también se aplica a la función de cambio de contraseña. |
|
Duración del bloqueo de cuenta |
El número de segundos que un usuario debe esperar antes de que se le permita volver a iniciar sesión después de superar el límite de Intentos de inicio de sesión consecutivos antes de bloquear. El valor por defecto es 5 minutos. El valor mínimo aceptado es 0 (sin duración de bloqueo), y el máximo es 2592000 (1 mes). |
|
Intentos de inicio de sesión consecutivos antes de bloquear |
El número de intentos fallidos de inicio de sesión permitidos antes de que la cuenta se bloquee. El valor por defecto es de 10 intentos. Puedes establecer un valor entre 2 y 10. |
