- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenar contraseñas de robots desatendidos en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Autenticación por SmartCard
- Configurar las capacidades de automatización
- Auditoría
- Configuración: a nivel de tenant
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Pruebas de Orchestrator
- Otras configuraciones
- Integraciones
- Administración de host
- Acerca del nivel del host
- Gestionar los administradores del sistema
- Gestión de tenants
- Configuración de las notificaciones por correo electrónico del sistema
- Registros de auditoría para el portal del host
- Modo de mantenimiento
- Administración de la organización
- Solución de problemas
Guía del usuario de Orchestrator
UiPath® Identity Server es el servicio de autenticación de Orchestrator independiente. Ofrece autenticación segura y emisión de tokens para Orchestrator y sus portales de gestión. Identity Server implementa los estándares OAuth 2.0 y OpenID Connect y se integra con sistemas de identidad empresariales como Active Directory. Consulta el siguiente diagrama para comprender cómo funciona Identity Server en Orchestrator independiente.
Figura 1. Diagrama de Identity Server
Rol dentro de Orchestrator
Identity Server es responsable de:
- Autenticar usuarios y aplicaciones que acceden a Orchestrator
- Emitir tokens de acceso e identidad
- Admitir flujos de OAuth 2.0 y OpenID Connect
- Integrar con proveedores de identidad externos (por ejemplo, Active Directory, proveedores de SAML)
- Habilitar el inicio de sesión único (SSO)
- Proteger la comunicación entre Orchestrator y el portal de gestión de identidades
Orchestrator y sus portales de gestión dependen de Identity Server para la autenticación.
Flujo de autenticación en Orchestrator
- Autenticación de usuario
Cuando un usuario accede a Orchestrator o al Portal de gestión de identidades:
- La solicitud se redirige a Identity Server.
- Identity Server valida el usuario frente a:
- Cuentas locales, o
- Proveedores de identidad externos (por ejemplo, Active Directory, SAML).
- Tras una autenticación correcta, Identity Server emite un token de seguridad.
- Acceso basado en tokens
Después de la autenticación:
- Se emite un token de acceso de OAuth.
- El token acompaña las solicitudes posteriores a Orchestrator.
- Orchestrator valida el token.
- La autorización se determina en función de los roles y los permisos. Identity Server maneja la autenticación. Orchestrator aplica la autorización.
Integración de Active Directory y Kerberos
En los entornos unidos al dominio, Orchestrator independiente admite la autenticación basada en Kerberos:
- El cliente resuelve el nombre de host de Orchestrator utilizando DNS.
- El cliente obtiene un ticket de concesión de tickets de Kerberos (TGT) de Active Directory.
- El cliente solicita un ticket de servicio para el nombre principal de servicio (SPN) configurado.
- El servidor web IIS valida el ticket de Kerberos.
- Identity Server procesa la identidad autenticada y emite un token de plataforma.
Esto permite un inicio de sesión único perfecto en entornos Windows empresariales.
Consideraciones de alta disponibilidad
En implementaciones multinodo:
- Identity Server se ejecuta en varios nodos detrás de un equilibrador de carga.
- Los clientes acceden a Orchestrator y Identity Server a través de un nombre de host de equilibrador de carga compartido.
- Redis se utiliza para almacenar en caché los datos del cliente de OAuth y el estado de la sesión en todos los nodos, lo que garantiza una autenticación coherente en todo el clúster.
- El nombre principal de servicio (SPN) debe coincidir con el nombre de host del equilibrador de carga cuando se utiliza Kerberos.
- Al cambiar de una configuración de un solo nodo a una multinodo, la URL pública de Identity Server debe actualizarse en la base de datos y en el archivo UiPath.Orchestrator.dll.config.
Autenticación de aplicaciones externas
Orchestrator admite acceso seguro para:
- Aplicaciones externas
- Integraciones de API
- Comunicación de robot a Orchestrator
Las aplicaciones se autentican utilizando flujos de OAuth compatibles (como ROPC) y reciben tokens de Identity Server.
Modelo de seguridad
Orchestrator independiente utiliza un modelo de autenticación centralizado:
- Identity Server realiza la autenticación.
- Orchestrator aplica la autorización.
- El acceso basado en tokens protege las API y la IU de Orchestrator.
- La integración con proveedores de identidad externos (Active Directory, SAML) cumple con los requisitos de seguridad empresariales.