UiPath Documentation
test-cloud
latest
false
Guía de administración de Test Cloud
Importante :
La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.

Sincronización de usuario de SCIM

Nota:

Vista previa pública: SCIM User Sync está en vista previa pública.

Empresa Esta característica está disponible con el plan de licencias Enterprise.

Nota:

La disponibilidad de las características depende de la oferta en la nube que utilices. Para obtener más información, consulta la página Disponibilidad de características.

La integración del directorio SCIM (Sistema para la gestión de identidades entre dominios) permite a las empresas sincronizar de forma segura las identidades de usuario y los eventos del ciclo de vida entre UiPath y sus proveedores de identidad corporativa (IdP).

Sobre la base de las integraciones existentes de Microsoft Entra ID y el lenguaje de marcado de aserción de seguridad (SAML) basado en el inicio de sesión único (SSO), SCIM User Sync automatiza la creación, las actualizaciones y el desaprovisionamiento de usuarios, eliminando la gestión manual de identidades mientras mantiene el control centralizado.

Capacidades clave

Gestión automatizada del ciclo de vida del usuario

Sincroniza la creación, las actualizaciones y la eliminación de usuarios entre tu IdP y UiPath.

Sincronización de atributos de usuario

Los atributos de usuario (nombre, correo electrónico, cargo, departamento y otros atributos) se actualizan automáticamente según las indicaciones del directorio de origen de SCIM. Los cambios se reflejan en UiPath sin necesidad de volver a iniciar sesión.

Desaprovisionamiento y cumplimiento

Garantiza un control de acceso seguro y libera las asignaciones de licencias cuando los empleados abandonan la organización, lo que te ayuda a cumplir con los requisitos de retención de datos y auditoría.

Proveedores de identidad compatibles

  • ID de Microsoft Entra (Azure AD)
  • OKTA

Operaciones SCIM compatibles

RecursoOperacionesDescripción
UsuariosOBTENER, PUBLICAR, PONER, PARCHE, ELIMINARRecuperar, crear, modificar o desactivar usuarios
GruposNo compatibleLos grupos y las pertenencias a grupos no se sincronizan a través de SCIM

SCIM User Sync aprovisiona solo usuarios : los grupos y las pertenencias a grupos no se sincronizan. Para saber cómo se comporta el acceso basado en grupos en cada método SSO, consulta la siguiente sección Comparación de características por método SSO .

El servidor SCIM 2.0 también expone los puntos finales de descubrimiento de servicios estándar en tu URL base de SCIM (la URL de SCIM de la configuración, por ejemplo https://cloud.uipath.com/{orgId}/identity_/api/scim/v2):

  • .../ServiceProviderConfig
  • .../ResourceTypes
  • .../Schemas

Estos puntos finales aceptan solicitudes autenticadas con tu token de autorización SCIM y devuelven las capacidades del servidor, los tipos de recursos y los esquemas compatibles.

Gestión del ciclo de vida del usuario

SCIM gestiona los siguientes eventos del ciclo de vida:

  • Aprovisionamiento: cuando se asigna un usuario en el directorio de origen, el IdP envía al usuario a UiPath.
  • Actualizando: cuando los atributos de un usuario cambian en el directorio de origen, el IdP envía actualizaciones a UiPath.
  • Desaprovisionamiento:
    • Desactivar: cuando un usuario se desactiva o se desasigna en el directorio de origen, UiPath lo marca como desactivado.
    • Eliminar: cuando se elimina un usuario del directorio de origen, UiPath lo elimina.
  • Reactivación: cuando se reactiva un usuario en el directorio de origen, UiPath lo reactiva. Las licencias deben reasignarse después de la reactivación.

La siguiente tabla describe cómo afecta cada evento del ciclo de vida a UiPath:

CrearActualizarDesactivarEliminar
Admin: gestión de usuarios y gruposEl usuario está disponible para consultar y asignar grupos, roles y permisos.Los atributos de usuario se actualizan.Se conservan todos los roles y permisos.Se eliminan todos los registros del usuario.
Gestión de licenciasLa licencia del usuario se libera y se devuelve a tu grupo disponible.La licencia del usuario se libera y se devuelve a tu grupo disponible.
Servicios de origen (Orchestrator, Automation Hub, Task Mining)El usuario se marca como inactivo; los artefactos que hacen referencia a ellos muestran un indicador inactivo.El usuario se elimina; los artefactos que hacen referencia a ellos muestran un indicador inactivo.
Otros serviciosVersión futuraVersión futuraVersión futuraVersión futura
Nota:

Cuando un usuario se desactiva o deshabilita en tu proveedor de identidades, no solo cuando se elimina, UiPath libera automáticamente su licencia y la devuelve a tu grupo disponible para su reasignación. Esto te permite recuperar licencias de usuarios inactivos o que se van sin necesidad de una limpieza manual. Si el usuario se reactiva más tarde, las licencias deben reasignarse.

Métodos de autorización

Los siguientes métodos de autorización están disponibles en función de tu proveedor de identidad:

Método de autorizaciónID de entradaOKTA
Token portador de larga duraciónCompatibleCompatible
Concesión de código de autorización OAuthNo compatibleCompatible
Concesión de credenciales de cliente OAuthCompatibleNo compatible

Comportamiento del directorio con SCIM habilitado

Cuando SCIM está habilitado, UiPath origina usuarios del directorio exclusivamente de los usuarios aprovisionados a través de SCIM. Solo los usuarios aprovisionados con SCIM se devuelven donde se buscan o consultan los usuarios del directorio, incluso cuando buscas usuarios en el portal de administración de UiPath y a través de la API del directorio. Esto se aplica tanto a las integraciones de Microsoft Entra ID como a las de SAML:

  • Microsoft Entra ID: UiPath no llama a la API de Microsoft Graph para recuperar usuarios: los usuarios son atendidos desde el directorio aprovisionado por SCIM. (La búsqueda de grupos sigue utilizando una llamada a Graph API en tiempo real).
  • SAML: los usuarios que no se aprovisionaron a través de SCIM se filtran de los resultados del directorio.
Importante:

El conjunto de usuarios que pueden iniciar sesión debe ser exactamente el mismo que el conjunto de usuarios aprovisionados a través de SCIM. Debido a que las consultas de directorio solo devuelven usuarios aprovisionados por SCIM, un usuario que puede autenticarse pero que no fue aprovisionado a través de SCIM no se puede encontrar, asignar permisos o gestionar de otro modo en UiPath. Los usuarios asignados a tu aplicación SSO y tu aplicación SCIM deben ser idénticos.

Comparación de características por método SSO

La siguiente tabla compara cómo se comporta SCIM User Sync dependiendo del método SSO configurado para tu organización:

Entra ID SSO + SCIMSAML SSO + SCIM
¿Cómo inician sesión los usuarios del directorio?Inicio de sesión único utilizando el protocolo OpenID Connect (OIDC) a través de la URL específica de la organización.Inicio de sesión único utilizando el protocolo SAML 2.0 a través de la URL específica de la organización.
¿Cómo y cuándo se aprovisionan los usuarios del directorio?Los usuarios se aprovisionan desde el directorio de origen de SCIM a UiPath tras la configuración; las actualizaciones posteriores se envían de forma asíncrona.Los usuarios se aprovisionan desde el directorio de origen de SCIM a UiPath tras la configuración; las actualizaciones posteriores se envían de forma asíncrona.
¿Cómo y cuándo se actualizan los atributos de usuario del directorio?Los atributos de usuario se actualizan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM.Los atributos de usuario se actualizan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM.
¿Cómo y cuándo se desaprovisionan o desactivan los usuarios del directorio?Los usuarios se desaprovisionan o desactivan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM.Los usuarios se desaprovisionan o desactivan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM.
¿Cómo y cuándo se aprovisionan los grupos de directorio?Los grupos de directorio no se aprovisionan a través de SCIM, sino que se materializan en un directorio en caché tras la asignación de permisos o roles en UiPath.Los grupos de directorio no se aprovisionan a través de SCIM.
¿Cómo se evalúa la pertenencia a un grupo de directorio?La pertenencia a grupos se evalúa con una llamada a la API de Microsoft Graph en tiempo real.La pertenencia a un grupo no se evalúa a través de SCIM. Las reglas de aprovisionamiento just-in-time (JIT) pueden colocar a los usuarios en grupos locales de UiPath en función de las reclamaciones SAML.
¿Cómo se buscan los usuarios del directorio y cómo se asignan los permisos?Se realiza una llamada al directorio en caché de UiPath de usuarios aprovisionados con SCIM. Debes haber iniciado sesión utilizando Enterprise SSO para consultar a los usuarios del directorio.Se realiza una llamada al directorio en caché de UiPath de usuarios aprovisionados con SCIM. Debes haber iniciado sesión utilizando Enterprise SSO para consultar a los usuarios del directorio.
¿Cómo se buscan los grupos del directorio y cómo se asignan los permisos?Se realiza una llamada al directorio de UiPath para los usuarios locales y a Entra ID para los grupos del directorio a través de una llamada a la API de Microsoft Graph en tiempo real.Los grupos de directorio no se pueden consultar. Las reglas de aprovisionamiento JIT se pueden configurar para colocar automáticamente a los usuarios en grupos locales de UiPath.

Asignación de atributos

La siguiente tabla muestra cómo los atributos de SCIM se asignan a los atributos de usuario de UiPath. Tu proveedor de identidad envía el atributo SCIM; UiPath lo almacena como el atributo de usuario de UiPath.

Atributo SCIMAtributo de usuario de UiPathObligatorio
externalIdIdentificador de directorio utilizado para hacer coincidir y vincular al usuario
userNameNombre de usuario
displayNameNombre para mostrar
emails[type eq "work"].valueCorreo electrónico
name.givenNameNombre
name.familyNameApellidos
titlePuesto de trabajo
addresses[type eq "work"].localityCiudad
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departmentDepartamento
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organizationNombre de la compañía
Nota:

externalId es la forma en que UiPath identifica y vincula a cada usuario aprovisionado, por lo que debe ser estable y único: se almacena como el ID de directorio del usuario. Okta rellena externalId automáticamente; en Microsoft Entra ID, debes asignarlo explícitamente (normalmente al ID de objeto del usuario) en las asignaciones de atributos de SCIM.

Las asignaciones de atributos de tu proveedor de identidades deben incluir estos campos obligatorios antes de habilitar el aprovisionamiento de SCIM.

Importante:

Los atributos que envía tu proveedor de identidades deben asignarse a los atributos de SCIM que UiPath espera, como se indica en la tabla de asignación de atributos anterior. Cuando SAML SSO está en uso, las asignaciones de atributos SAML deben producir estos valores; en particular, el userName enviado a través de SCIM debe coincidir con el identificador utilizado en la aserción SAML, de modo que un usuario aprovisionado y su inicio de sesión SSO se resuelvan en el mismo UiPath usuario.

Limitaciones

  • Usuarios obsoletos: los usuarios inactivos existentes no se eliminan automáticamente. Una actualización futura proporcionará herramientas para limpiar usuarios inactivos.
  • Sincronización de grupos y pertenencia a grupos: no compatible.
  • Conjuntos de usuarios coherentes: el conjunto de usuarios configurados para SSO debe coincidir con el conjunto de usuarios configurados para la sincronización de SCIM.

Límites de tarifa

Las solicitudes de SCIM tienen una tasa limitada por organización:

Tipo de solicitudLímite
Solicitudes de lectura (GET)300 solicitudes por 5 minutos
Solicitudes de escritura (POST, PUT, PATCH, DELETE)160 solicitudes por 5 minutos

Las solicitudes que superan estos límites reciben una respuesta HTTP 429 Too Many Requests . Los conectores del proveedor de identidades retroceden y reintentan las solicitudes aceleradas automáticamente, por lo que el aprovisionamiento continúa sin intervención manual.

Guías de configuración

SSO debe configurarse para su proveedor de identidades antes de que se pueda habilitar la sincronización de usuario de SCIM. Las guías de configuración están disponibles para:

¿Te ha resultado útil esta página?

Conectar

¿Necesita ayuda? Soporte

¿Quiere aprender? UiPath Academy

¿Tiene alguna pregunta? Foro de UiPath

Manténgase actualizado