- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Acerca de la licencia
- Precios unificados: marco del plan de licencias
- Activar su licencia Enterprise
- Migrar de Test Suite a Test Cloud
- Migración de licencias
- Asignar licencias a tenants
- Asignación de licencias de usuario
- Anular la asignación de licencias de usuarios
- Monitoring license allocation
- Licencias con exceso de asignación
- Notificaciones de licencias
- Administración de licencias de usuario
- Tenants y servicios
- Cuentas y roles
- Ai Trust Layer
- Aplicaciones externas
- Notificaciones
- Registro
- Exportación de datos
- Pruebas en su organización
- Solución de problemas
- Migrar a Test Cloud
Vista previa pública: SCIM User Sync está en vista previa pública.
Esta característica está disponible con el plan de licencias Enterprise.
La disponibilidad de las características depende de la oferta en la nube que utilices. Para obtener más información, consulta la página Disponibilidad de características.
La integración del directorio SCIM (Sistema para la gestión de identidades entre dominios) permite a las empresas sincronizar de forma segura las identidades de usuario y los eventos del ciclo de vida entre UiPath y sus proveedores de identidad corporativa (IdP).
Sobre la base de las integraciones existentes de Microsoft Entra ID y el lenguaje de marcado de aserción de seguridad (SAML) basado en el inicio de sesión único (SSO), SCIM User Sync automatiza la creación, las actualizaciones y el desaprovisionamiento de usuarios, eliminando la gestión manual de identidades mientras mantiene el control centralizado.
Capacidades clave
Gestión automatizada del ciclo de vida del usuario
Sincroniza la creación, las actualizaciones y la eliminación de usuarios entre tu IdP y UiPath.
Sincronización de atributos de usuario
Los atributos de usuario (nombre, correo electrónico, cargo, departamento y otros atributos) se actualizan automáticamente según las indicaciones del directorio de origen de SCIM. Los cambios se reflejan en UiPath sin necesidad de volver a iniciar sesión.
Desaprovisionamiento y cumplimiento
Garantiza un control de acceso seguro y libera las asignaciones de licencias cuando los empleados abandonan la organización, lo que te ayuda a cumplir con los requisitos de retención de datos y auditoría.
Proveedores de identidad compatibles
- ID de Microsoft Entra (Azure AD)
- OKTA
Operaciones SCIM compatibles
| Recurso | Operaciones | Descripción |
|---|---|---|
| Usuarios | OBTENER, PUBLICAR, PONER, PARCHE, ELIMINAR | Recuperar, crear, modificar o desactivar usuarios |
| Grupos | No compatible | Los grupos y las pertenencias a grupos no se sincronizan a través de SCIM |
SCIM User Sync aprovisiona solo usuarios : los grupos y las pertenencias a grupos no se sincronizan. Para saber cómo se comporta el acceso basado en grupos en cada método SSO, consulta la siguiente sección Comparación de características por método SSO .
El servidor SCIM 2.0 también expone los puntos finales de descubrimiento de servicios estándar en tu URL base de SCIM (la URL de SCIM de la configuración, por ejemplo https://cloud.uipath.com/{orgId}/identity_/api/scim/v2):
.../ServiceProviderConfig.../ResourceTypes.../Schemas
Estos puntos finales aceptan solicitudes autenticadas con tu token de autorización SCIM y devuelven las capacidades del servidor, los tipos de recursos y los esquemas compatibles.
Gestión del ciclo de vida del usuario
SCIM gestiona los siguientes eventos del ciclo de vida:
- Aprovisionamiento: cuando se asigna un usuario en el directorio de origen, el IdP envía al usuario a UiPath.
- Actualizando: cuando los atributos de un usuario cambian en el directorio de origen, el IdP envía actualizaciones a UiPath.
- Desaprovisionamiento:
- Desactivar: cuando un usuario se desactiva o se desasigna en el directorio de origen, UiPath lo marca como desactivado.
- Eliminar: cuando se elimina un usuario del directorio de origen, UiPath lo elimina.
- Reactivación: cuando se reactiva un usuario en el directorio de origen, UiPath lo reactiva. Las licencias deben reasignarse después de la reactivación.
La siguiente tabla describe cómo afecta cada evento del ciclo de vida a UiPath:
| Crear | Actualizar | Desactivar | Eliminar | |
|---|---|---|---|---|
| Admin: gestión de usuarios y grupos | El usuario está disponible para consultar y asignar grupos, roles y permisos. | Los atributos de usuario se actualizan. | Se conservan todos los roles y permisos. | Se eliminan todos los registros del usuario. |
| Gestión de licencias | — | — | La licencia del usuario se libera y se devuelve a tu grupo disponible. | La licencia del usuario se libera y se devuelve a tu grupo disponible. |
| Servicios de origen (Orchestrator, Automation Hub, Task Mining) | — | — | El usuario se marca como inactivo; los artefactos que hacen referencia a ellos muestran un indicador inactivo. | El usuario se elimina; los artefactos que hacen referencia a ellos muestran un indicador inactivo. |
| Otros servicios | Versión futura | Versión futura | Versión futura | Versión futura |
Cuando un usuario se desactiva o deshabilita en tu proveedor de identidades, no solo cuando se elimina, UiPath libera automáticamente su licencia y la devuelve a tu grupo disponible para su reasignación. Esto te permite recuperar licencias de usuarios inactivos o que se van sin necesidad de una limpieza manual. Si el usuario se reactiva más tarde, las licencias deben reasignarse.
Métodos de autorización
Los siguientes métodos de autorización están disponibles en función de tu proveedor de identidad:
| Método de autorización | ID de entrada | OKTA |
|---|---|---|
| Token portador de larga duración | Compatible | Compatible |
| Concesión de código de autorización OAuth | No compatible | Compatible |
| Concesión de credenciales de cliente OAuth | Compatible | No compatible |
Comportamiento del directorio con SCIM habilitado
Cuando SCIM está habilitado, UiPath origina usuarios del directorio exclusivamente de los usuarios aprovisionados a través de SCIM. Solo los usuarios aprovisionados con SCIM se devuelven donde se buscan o consultan los usuarios del directorio, incluso cuando buscas usuarios en el portal de administración de UiPath y a través de la API del directorio. Esto se aplica tanto a las integraciones de Microsoft Entra ID como a las de SAML:
- Microsoft Entra ID: UiPath no llama a la API de Microsoft Graph para recuperar usuarios: los usuarios son atendidos desde el directorio aprovisionado por SCIM. (La búsqueda de grupos sigue utilizando una llamada a Graph API en tiempo real).
- SAML: los usuarios que no se aprovisionaron a través de SCIM se filtran de los resultados del directorio.
El conjunto de usuarios que pueden iniciar sesión debe ser exactamente el mismo que el conjunto de usuarios aprovisionados a través de SCIM. Debido a que las consultas de directorio solo devuelven usuarios aprovisionados por SCIM, un usuario que puede autenticarse pero que no fue aprovisionado a través de SCIM no se puede encontrar, asignar permisos o gestionar de otro modo en UiPath. Los usuarios asignados a tu aplicación SSO y tu aplicación SCIM deben ser idénticos.
Comparación de características por método SSO
La siguiente tabla compara cómo se comporta SCIM User Sync dependiendo del método SSO configurado para tu organización:
| Entra ID SSO + SCIM | SAML SSO + SCIM | |
|---|---|---|
| ¿Cómo inician sesión los usuarios del directorio? | Inicio de sesión único utilizando el protocolo OpenID Connect (OIDC) a través de la URL específica de la organización. | Inicio de sesión único utilizando el protocolo SAML 2.0 a través de la URL específica de la organización. |
| ¿Cómo y cuándo se aprovisionan los usuarios del directorio? | Los usuarios se aprovisionan desde el directorio de origen de SCIM a UiPath tras la configuración; las actualizaciones posteriores se envían de forma asíncrona. | Los usuarios se aprovisionan desde el directorio de origen de SCIM a UiPath tras la configuración; las actualizaciones posteriores se envían de forma asíncrona. |
| ¿Cómo y cuándo se actualizan los atributos de usuario del directorio? | Los atributos de usuario se actualizan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM. | Los atributos de usuario se actualizan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM. |
| ¿Cómo y cuándo se desaprovisionan o desactivan los usuarios del directorio? | Los usuarios se desaprovisionan o desactivan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM. | Los usuarios se desaprovisionan o desactivan en UiPath de forma asíncrona según las indicaciones del directorio de origen de SCIM. |
| ¿Cómo y cuándo se aprovisionan los grupos de directorio? | Los grupos de directorio no se aprovisionan a través de SCIM, sino que se materializan en un directorio en caché tras la asignación de permisos o roles en UiPath. | Los grupos de directorio no se aprovisionan a través de SCIM. |
| ¿Cómo se evalúa la pertenencia a un grupo de directorio? | La pertenencia a grupos se evalúa con una llamada a la API de Microsoft Graph en tiempo real. | La pertenencia a un grupo no se evalúa a través de SCIM. Las reglas de aprovisionamiento just-in-time (JIT) pueden colocar a los usuarios en grupos locales de UiPath en función de las reclamaciones SAML. |
| ¿Cómo se buscan los usuarios del directorio y cómo se asignan los permisos? | Se realiza una llamada al directorio en caché de UiPath de usuarios aprovisionados con SCIM. Debes haber iniciado sesión utilizando Enterprise SSO para consultar a los usuarios del directorio. | Se realiza una llamada al directorio en caché de UiPath de usuarios aprovisionados con SCIM. Debes haber iniciado sesión utilizando Enterprise SSO para consultar a los usuarios del directorio. |
| ¿Cómo se buscan los grupos del directorio y cómo se asignan los permisos? | Se realiza una llamada al directorio de UiPath para los usuarios locales y a Entra ID para los grupos del directorio a través de una llamada a la API de Microsoft Graph en tiempo real. | Los grupos de directorio no se pueden consultar. Las reglas de aprovisionamiento JIT se pueden configurar para colocar automáticamente a los usuarios en grupos locales de UiPath. |
Asignación de atributos
La siguiente tabla muestra cómo los atributos de SCIM se asignan a los atributos de usuario de UiPath. Tu proveedor de identidad envía el atributo SCIM; UiPath lo almacena como el atributo de usuario de UiPath.
| Atributo SCIM | Atributo de usuario de UiPath | Obligatorio |
|---|---|---|
externalId | Identificador de directorio utilizado para hacer coincidir y vincular al usuario | Sí |
userName | Nombre de usuario | Sí |
displayName | Nombre para mostrar | Sí |
emails[type eq "work"].value | Correo electrónico | |
name.givenName | Nombre | |
name.familyName | Apellidos | |
title | Puesto de trabajo | |
addresses[type eq "work"].locality | Ciudad | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | Departamento | |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | Nombre de la compañía |
externalId es la forma en que UiPath identifica y vincula a cada usuario aprovisionado, por lo que debe ser estable y único: se almacena como el ID de directorio del usuario. Okta rellena externalId automáticamente; en Microsoft Entra ID, debes asignarlo explícitamente (normalmente al ID de objeto del usuario) en las asignaciones de atributos de SCIM.
Las asignaciones de atributos de tu proveedor de identidades deben incluir estos campos obligatorios antes de habilitar el aprovisionamiento de SCIM.
Los atributos que envía tu proveedor de identidades deben asignarse a los atributos de SCIM que UiPath espera, como se indica en la tabla de asignación de atributos anterior. Cuando SAML SSO está en uso, las asignaciones de atributos SAML deben producir estos valores; en particular, el userName enviado a través de SCIM debe coincidir con el identificador utilizado en la aserción SAML, de modo que un usuario aprovisionado y su inicio de sesión SSO se resuelvan en el mismo UiPath usuario.
Limitaciones
- Usuarios obsoletos: los usuarios inactivos existentes no se eliminan automáticamente. Una actualización futura proporcionará herramientas para limpiar usuarios inactivos.
- Sincronización de grupos y pertenencia a grupos: no compatible.
- Conjuntos de usuarios coherentes: el conjunto de usuarios configurados para SSO debe coincidir con el conjunto de usuarios configurados para la sincronización de SCIM.
Límites de tarifa
Las solicitudes de SCIM tienen una tasa limitada por organización:
| Tipo de solicitud | Límite |
|---|---|
Solicitudes de lectura (GET) | 300 solicitudes por 5 minutos |
Solicitudes de escritura (POST, PUT, PATCH, DELETE) | 160 solicitudes por 5 minutos |
Las solicitudes que superan estos límites reciben una respuesta HTTP 429 Too Many Requests . Los conectores del proveedor de identidades retroceden y reintentan las solicitudes aceleradas automáticamente, por lo que el aprovisionamiento continúa sin intervención manual.
Guías de configuración
SSO debe configurarse para su proveedor de identidades antes de que se pueda habilitar la sincronización de usuario de SCIM. Las guías de configuración están disponibles para:
- Capacidades clave
- Proveedores de identidad compatibles
- Operaciones SCIM compatibles
- Gestión del ciclo de vida del usuario
- Métodos de autorización
- Comportamiento del directorio con SCIM habilitado
- Comparación de características por método SSO
- Asignación de atributos
- Limitaciones
- Límites de tarifa
- Guías de configuración