orchestrator

latest

false

Guía del usuario de Orchestrator

ENTREGA:

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Last updated 4 de nov. de 2024

Configuring access for accounts

Como administrador, puedes configurar permisos de tenant o carpeta detallados para objetos que ya existen en el nivel de organización (es decir, grupos, usuarios, cuentas de robot, aplicaciones externas), a través de Orchestrator, asignándolos a tenants o carpetas en Orchestrator. Un objeto obtiene los permisos necesarios para realizar operaciones particulares en un tenant o carpeta a través de uno o más roles.

Puedes utilizar grupos para simplificar el control de acceso, ya que los grupos te permiten gestionar de forma conjunta objetos con necesidades similares.

Nota:

Al cambiar el nombre de un grupo local a nivel de organización, también se cambia el nombre en Orchestrator. Si lo cambias de nombre varias veces en un corto período de tiempo, solo se captura el último cambio en los registros de auditoría de Orchestrator. Si quieres ver todos los cambios, puedes comprobar la auditoría a nivel de organización.
Dado que el nombre de usuario de una cuenta de robot es permanente y no se puede cambiar después de que se establezca, la columna Nombre de usuario en Gestionar acceso también permanece sin cambios. Por ejemplo, si cambias el nombre del robot de Test a Test1, solo la columna Nombre se actualiza con el nuevo valor, dejando el Nombre de usuario sin cambios. Para obtener más información, consulta Añadir cuentas de robot.

Para hacer uso de todos los tipos de identidades disponibles, grupos, usuarios, cuentas de robot y aplicaciones externas se dividen en páginas independientes para grupos, usuarios, cuentas de robot y aplicaciones externas. Puedes encontrarlos en pestañas dedicadas, en la página Gestionar acceso.

Como descripción general de las pestañas, la pestaña Todos incluye todos los objetos a los que se ha asignado acceso en el nivel de tenant. Las pestañas Grupos, Usuarios, Cuentas de robot y Aplicaciones externas incluyen los grupos locales y de directorio, usuarios locales y de directorio, cuentas de robot y aplicaciones externas a las que se ha asignado acceso en el nivel de tenant.

Control de acceso a nivel de tenant

La página Gestionar acceso te permite controlar el acceso de todos los objetos (es decir, grupos, usuarios, cuentas de robot, aplicaciones externas). Esto significa que puedes:

asignar a un tenant cualquier objeto que ya exista en el nivel de organización
configurar permisos para objetos en Orchestrator
eliminar el acceso de tenant de los objetos existentes

La configuración de grupos (roles, inicio de sesión web y ajustes de robot) se transmite a cualquier usuario que pertenezca a ese grupo y posteriormente se añade o se autoaprovisiona.

Asignar grupos a un tenant

En un tenant, al asignar grupos y añadirle roles, ten en cuenta que estos son heredados por todos los usuarios y cuentas de robot que forman parte de ese grupo.

Los administradores de la organización crean y mantienen los grupos desde la página Admin > Cuentas y grupos.

En el campo de búsqueda, escribe un grupo de usuarios existente al que quieras demostrar el acceso de tenant.

Si se requiere un nuevo grupo, haz clic en Gestionar cuentas para llegar al nivel de organización, donde se añaden todos los objetos nuevos.
Haz clic en el campo Roles y selecciona la casilla de verificación para cada rol que quieres asignar al grupo seleccionado.

Si es necesario, puedes definir un nuevo rol haciendo clic en Nuevo rol.
En Configuración de la cuenta, puedes elegir si los miembros del grupo pueden iniciar sesión en la IU de Orchestrator.

Importante: si la configuración de acceso a la IU está habilitada para al menos uno de los grupos a los que pertenece una cuenta (incluido el grupo Todos), deshabilitarla en el nivel de cuenta o para otros grupos no tiene efecto para esa cuenta en particular, solo para otros miembros del grupo que no se encuentran en la misma situación.
Si desea crear también un robot attended para miembros del grupo, haga clic en Siguiente.

De lo contrario, haz clic en Omitir y asignar para aplicar tus ajustes.

Asignar cuentas a un tenant

Recomendamos que gestiones el acceso de usuario asignando roles a grupos y luego asignando usuarios a los grupos correctos para otorgarles los roles necesarios.

Sin embargo, si necesitas realizar una asignación de rol única para un usuario en particular, puedes proporcionar directamente acceso al usuario, como se indica a continuación:

En el campo de búsqueda, escribe el usuario al que quieres asignar acceso al tenant.

Si se requiere un grupo grupo, haz clic en Gestionar cuentas para llegar al nivel de organización, donde se añaden todos los objetos nuevos.
Haz clic en el campo Roles y selecciona la casilla de verificación para cada rol que quieras asignar al usuario seleccionado.

Si es necesario, puedes definir un nuevo rol haciendo clic en Nuevo rol.
En Configuración de la cuenta, puedes elegir si el usuario puede iniciar sesión en la IU de Orchestrator.
Si esta cuenta es miembro de cualquier grupo que tenga habilitado el acceso a la IU, el cambio de esta configuración para las cuentas individuales no tiene efecto porque la configuración a nivel de grupo es heredada por todas las cuentas. Para controlar el acceso a la IU de cuentas individuales, debes eliminar la cuenta de los grupos con una configuración conflictiva o eliminar el grupo con la configuración conflictiva de Orchestrator.
(Opcional) En Configuración de la política de actualización, elige el nivel de versión en el que quieres que se requiera a este usuario para actualizar las aplicaciones de UiPath en su estación de trabajo. Si seleccionas una política, el usuario no podrá utilizar UiPath® Robot, Studio o Assistant hasta que actualice estas aplicaciones a la versión requerida por la política. Esta configuración puede ayudarte a asegurarte de que todos tus usuarios utilizan las mismas versiones.
Si desea crear también un robot attended o unattended para este usuario, haga clic en Siguiente.

De lo contrario, haz clic en Omitir y asignar para aplicar tus ajustes.

Asignar cuentas de robot a un tenant

Te recomendamos que gestiones el acceso del robot asignando roles a grupos y luego asignando adecuadamente cuentas de robot a los grupos adecuados para concederles los roles necesarios.

Sin embargo, si necesitas realizar una asignación de roles única para una cuenta de robot en particular, puedes conceder directamente acceso al robot, de la siguiente manera:

En el campo de búsqueda, escribe la cuenta de robot a la que deseas conceder acceso al tenant.

Si se requiere un nuevo robot, haz clic en Gestionar cuentas para llegar al nivel de organización, donde se añaden todos los objetos nuevos.
Haz clic en el campo Roles y luego selecciona la casilla de verificación para cada rol que deseas asignar al robot seleccionado.

Si es necesario, puedes definir un nuevo rol haciendo clic en Nuevo rol.
Si también deseas crear un robot unattended para este usuario, haz clic en Siguiente.

De lo contrario, haz clic en Omitir y asignar para aplicar tus ajustes.

Asignar aplicaciones externas a un tenant

Como administrador, puedes configurar permisos detallados de tenant o carpeta para apps confidenciales, asignándolos a carpetas o tenants en Orchestrator. Una app externa obtiene los permisos requeridos para realizar operaciones particulares en una carpeta o tenant mediante uno o más roles.

Ve a Tenant > Gestionar acceso. Se mostrará la página Gestionar acceso.
Haz clic en Asignar roles > Aplicación externa. Se muestra la ventana Asignar roles a una aplicación externa.
En el campo de búsqueda, escribe el nombre de la aplicación externa que deseas añadir.
En Roles, selecciona los roles para este objeto.
Haz clic en Asignar.

Asignar varias cuentas

Ve a Tenant > Gestionar acceso y haz clic en la pestaña Roles.
En la página Roles, seleccione un rol de la lista y haga clic en Más acciones > Administrar usuarios.

Se muestra la ventana Administrar usuarios y todos los usuarios, grupos y robots aparecen en la lista. Si se selecciona una casilla de verificación, eso significa que los objetos tienen este rol asignado.
Activa o desactiva las casillas de verificación según sea necesario para que solo se seleccionen las personas que deben tener este rol.
Haz clic en Actualizar para aplicar los cambios.

Los cambios de los roles se aplican inmediatamente cuando un usuario inicia sesión o automáticamente cada hora.

Comprobación de roles asignados

Puedes ver qué roles están asignados a un objeto (usuario, grupo, cuenta de robot, aplicación externa) desde las siguientes ubicaciones a nivel de tenant:

Gestionar acceso > pestaña Asignar roles > selecciona el objeto en la lista > Más acciones > Comprobar roles y permisos
Gestionar acceso > Asignar roles > icono de tres puntos > Comprobar roles y permisos
Robots > selecciona la cuenta en la lista > Más acciones > Comprobar roles y permisos
Supervisión > Sesiones de usuario > selecciona la cuenta en la lista > Comprobar roles y permisos

Estas opciones muestran la ventana Ver permisos, que se divide entre las secciones Acceso al tenant y Acceso a la carpeta. A su vez, cada sección está compuesta por:

El panel de roles: incluye el nombre del rol y su tipo (es decir, asignado explícitamente o heredado).
El panel de permisos: enumera los permisos incluidos en los roles seleccionados.

Acceso del tenant

Esta sección muestra los roles y permisos concedidos a nivel de tenant. Puedes elegir entre estas opciones:

Todos los roles de este tenant: el panel de permisos muestra todos los permisos correspondientes a todos los roles otorgados a la entidad seleccionada a nivel de tenant.
Rol específico: el panel de permisos solo muestra los permisos correspondientes al rol seleccionado, tal y como se otorgan a la entidad seleccionada a nivel de tenant.

Acceso de la carpeta

Esta sección muestra los roles y permisos concedidos a nivel de folder.

Puedes utilizar el cuadro de selección para elegir la carpeta concreta para la que quieres mostrar los roles y sus permisos. La lista solo contiene carpetas en las que se asigna la entidad seleccionada.

Si la entidad seleccionada tiene más de una función para la carpeta elegida, puedes elegir entre estas opciones:

Todos los roles de este tenant: el panel de permisos muestra todos los permisos correspondientes a todos los roles otorgados a la entidad seleccionada a nivel de carpeta.
Rol específico: el panel de permisos solo muestra los permisos correspondientes al rol seleccionado, tal y como se otorgan a la entidad seleccionada a nivel de carpeta.

Eliminar un usuario o grupo

Eliminar un usuario o grupo de Orchestrator no elimina la cuenta de tu organización.

Dirígete a la pestaña Tenant > Administrar acceso > Asignar roles.
Selecciona el usuario o grupo, haz clic en Más acciones y selecciona Eliminar.

Si el usuario cuyo rol quieres eliminar tiene un UiPath Robot actualmente ocupado, se te informa de que cualquier trabajo en ejecución será eliminado, y se te pregunta si quieres continuar con la eliminación o cancelar la operación.
Confirma la operación.

El usuario o grupo se eliminará de Orchestrator y se revocarán todos los roles

De forma alternativa, selecciona uno o varios usuarios y haz clic en el botón Eliminar.

Importante:

No puedes eliminar un usuario que tenga el rol de Administrador.
No se pueden eliminar ni desasignar usuarios que sean parte de asignaciones utilizadas en desencadenadores desde la carpeta en la que reside el desencadenador. Para poder eliminarlo, asegúrate de que el usuario no esté establecido como destino de ejecución en un desencadenador.
Eliminar un grupo de directorio no elimina la licencia de un usuario de directorio asociado, aunque la eliminación del grupo elimine al usuario de cualquier carpeta. La única forma de liberar la licencia es cerrar UiPath Assistant.

Asignación de rol a grupo recomendada

La combinación correcta de grupo y rol te permite separar correctamente los permisos y otorgar control detallado a las personas adecuadas. Para lograrlo, recomendamos el siguiente emparejamiento de roles y grupos:

Grupo	Tiene acceso a la interfaz de Orchestrator	Tiene acceso solo a todas las carpetas/espacio de trabajo personal	Tiene acceso a la API	rol del tenant	rol de carpeta
Usuarios de automatización	No	Espacio de trabajo personal Importante: Si un usuario está asignado a otras carpetas a través de la API, también tiene acceso a ellas, además del espacio de trabajo personal.	Sí	Permite ser Usuario de automatización	Automation User
Desarrolladores de automatización	Sí	Todas las carpetas	Sí	Permite ser Automation Developer	Automation Developer
Administradores	Sí	Todas las carpetas	Sí	Administrador de Orchestrator	Administrador de carpeta
Automation Express	Sí	Todas las carpetas	Sí	Permite ser Usuario de automatización	Automation User

Solución de problemas

El error No encontrado

Si se eliminó una cuenta de la organización, al intentar editar, habilitar / deshabilitar o eliminar la cuenta de Orchestrator (Tenant > Administrar acceso), se muestra un error Not found (#1002) .

En este caso, la cuenta ya no existe y ya no tiene acceso a los productos de UiPath.

Control de acceso a nivel de carpeta

En el tenant, el acceso también puede controlarse a nivel de carpeta desde la pestaña Carpetas, utilizada para gestionar carpetas y objetos, y desde el contexto de la carpeta, en el menú de la barra lateral.

Asignar objetos a una carpeta

Ve a Tenant > pestaña Carpetas, elige la carpeta y haz clic en Cuentas y grupos. A continuación, haz clic en Asignar y selecciona el objeto que se añadirá a la carpeta.

Nota: también puedes filtrar objetos por categoría (todos, usuario, grupo, cuenta de robot, aplicación externa).

Para asignar el objeto, se te requiere que le añadas un rol. Una vez hecho esto, haz clic en Asignar y el objeto se vuelve visible en la lista.

Otro método para asignar objetos a una carpeta es ir al contexto de la carpeta desde el menú de la barra lateral y hacer clic en Usuarios > Asignar. En el campo de búsqueda, escribe el nombre del objeto que deseas añadir a la carpeta, selecciona los roles que necesita y haz clic en Asignar para finalizar la configuración.

Editar acceso

Para dar acceso a carpetas específicas a objetos asignados (grupos, usuarios, cuentas de robot, aplicaciones externas), abre una carpeta desde el menú de la barra lateral y ve a Usuarios. Junto al objeto para el que deseas editar el acceso a la carpeta, haz clic en Más acciones > Editar rol en esta carpeta. Esto abre la página de asignación, donde puedes añadir o eliminar cualquier rol para el objeto seleccionado.

Los mismos pasos pueden aplicarse al ir a Tenant > pestaña Carpeta > Cuentas y grupos > Más acciones junto al objeto que deseas modificar > Editar rol en esta carpeta. Ahora puedes añadir o eliminar cualquier rol para el objeto seleccionado.

Eliminar el acceso a la carpeta

Ve a Tenant > pestaña Carpetas, elige la carpeta y haz clic en Cuentas y grupos. Junto al objeto que te gustaría eliminar, haz clic en Más acciones > Cancelar asignación. Una vez que se realiza esto, el objeto ya no tiene acceso a esa carpeta.

Importante: las cuentas que forman parte de las asignaciones cuenta-máquina que se emplean en desencadenadores no se pueden eliminar ni desasignar de la carpeta en la que reside el desencadenador. Para poder eliminarla, asegúrate de que la cuenta no esté establecida como destino de ejecución en un desencadenador.

Acceso a subcarpetas

Se puede establecer una jerarquía de carpetas con hasta 7 niveles. Esta estructura incluye la carpeta de nivel superior y permite 6 capas adicionales de subcarpetas debajo de ella. En términos de acceso de usuario, se hereda de las carpetas principales. Esto significa que si se te asigna acceso a una carpeta, obtienes automáticamente acceso a todas sus subcarpetas.

Importante: se produce una degradación del rendimiento y posibles errores al cargar el menú de selección de Carpeta para una cuenta asignada a más de 1000 carpetas.

Control de acceso al espacio de trabajo personal

Al configurar robots attended para un grupo o un único usuario, también tienes la opción de crear un espacio de trabajo personal para él.

Para habilitar esta opción, ve a Tenant > Gestionar acceso > selecciona el usuario o grupo > Más acciones > Editar > Siguiente > marca la opción Habilitar a este usuario para ejecutar automatizaciones > marca la opción Crear un espacio de trabajo personal para este usuario. Una vez hecho esto, una nueva carpeta, Mi espacio de trabajo, es visible en el menú de la barra lateral, junto a las otras carpetas.

Permisos de espacios de trabajo personales

Permisos en el nivel de tenant requeridos para gestionar los espacios de trabajo de otros usuarios:

Configuración - Ver y Configuración - Editar para permitir el uso de espacios de trabajo personales en el tenant desde la página Tenant > Configuración.
Usuarios - Ver y Usuarios - Editar para habilitar un espacio de trabajo personal para un usuario o grupo editándolo desde la página Gestionar acceso.

Permisos de nivel de carpeta necesarios para usar un espacio de trabajo personal

Alertas - Ver para ver alertas generadas por el espacio de trabajo personal.
Acciones - Ver, Acciones - Editar, Acciones - Crear y Acciones - Eliminar para habilitar la ejecución de flujo de trabajo de larga duración en el espacio de trabajo personal.
Catálogos de acción - ver, Catálogos de acción - Editar, Catálogos de acción - Crear, Catálogos de acción - Eliminar para permitir al usuario gestionar catálogos de acción en el espacio de trabajo personal.