orchestrator

2023.10

false

Erste Schritte
- Einleitung
- Benutzeroptionen
- Anmelden beim Orchestrator
- Zurücksetzen Ihres Kennworts
- Roboter
  - Roboterstatus
  - Robotereinstellungen
- Automatische Aktualisierung von Clientkomponenten
- Checkliste für die Orchestrator-Konfiguration
Best Practices
- Organisationsmodellierung im Orchestrator
- Verwalten großer Bereitstellungen
- Beste Praktiken für die Automatisierung (Automation Best Practices)
- Optimieren von Unattended-Infrastruktur mithilfe von Maschinenvorlagen
- Unbeaufsichtigte Automatisierung
- Organisieren von Ressourcen mit Tags
- Schreibgeschütztes Orchestrator-Replikat
- Exportieren von Rastern im Hintergrund
Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Roboter
- Ordner
- Überwachung
- Zugriffskontrolle
- Konfigurieren von Automatisierungsfunktionen
- Maschinen
- Pakete
- Audit
- Anmeldeinformationsspeicher
  - Verwalten von Anmeldeinformationsspeichern
  - Integrieren von Anmeldeinformationsspeichern
- Webhooks
  - Ereignistypen
  - Webhooks verwalten
- Lizenzierung
  - Verwalten Ihrer Lizenzen
- Warnungen
- Einstellungen – Mandantenebene
Ressourcenkatalogdienst
- Über den Ressourcenkatalogdienst
Ordnerkontext
- Über den Kontext „Ordner“
- Startseite
Automatisierungen
- Über Automatisierungen
Prozesse
- Über Prozesse
- Verwaltung von Prozessen
- Verwalten der Paketanforderungen
- Aufzeichnung
Jobs
- Über Jobs
- Jobs verwalten
- Jobstatus
- Arbeiten mit Workflows mit langer Ausführungszeit
- Ausführen persönlicher Remote-Automatisierungen
- Richtlinie zur Prozessdatenaufbewahrung
Auslöser
- Über Trigger
  - Zeit-Trigger
  - Warteschlangen-Trigger
- Verwalten von Triggern
  - Erstellen eines Zeit-Triggers
  - Erstellen eines Warteschlangen-Triggers
- Nicht-Arbeitstage verwalten
- Verwenden von CRON-Ausdrücken
  - Auslösen von Aufträgen am letzten Tag des Monats
Protokolle
- Über Protokolle
- Verwaltung von Protokollen in Orchestrator
- Protokollierungsstufen
- Orchestrator-Protokolle
Überwachung
- Info zur Überwachung
- Maschinen
- Prozesse
- Warteschlangen
- Warteschlangen-SLA
Warteschlangen
- Über Warteschlangen und Transaktionen
- Massenupload von Elementen mithilfe einer CSV-Datei
- Verwaltung von Warteschlangen in Orchestrator
- Verwaltung von Warteschlangen in Studio
- Verwaltung von Transaktionen
  - Bearbeiten von Transaktionen
  - Feldbeschreibungen für die .csv-Transaktionsdatei
- Überprüfungsanforderungen
Assets
- Über Assets
- Verwalten von Assets in Orchestrator
- Verwalten von Assets in Studio
- Speichern von Assets im Azure Key Vault (schreibgeschützt)
- Speichern von Assets im HashiCorp Vault (schreibgeschützt)
- Speichern von Assets im AWS Secrets Manager (schreibgeschützt)
Speicher-Buckets
- Informationen zu Speicher-Buckets
  - CORS/CSP-Konfiguration
- Verwalten von Speicher-Buckets
- Verschieben von Bucket-Daten zwischen Speicheranbietern
Test Suite - Orchestrator
- Testautomatisierung
- Testfälle
  - Feldbeschreibungen für die Testfallseite
- Testsätze
  - Feldbeschreibungen für die Testsatzseite
- Testausführungen
  - Feldbeschreibungen für die Testausführungsseite
- Testzeitpläne
  - Feldbeschreibungen für die Testzeitplanseite
- Testdaten-Warteschlangen
- Testen der Datenaufbewahrungsrichtlinie
Sonstige Konfigurationen
- Erhöhung der Größenbegrenzung für Paketdateien
- Einrichten des Verschlüsselungsschlüssels pro Mandant
- GZIP-Komprimierung
Integrationen
- Über Eingabe- und Ausgabeargumente
  - Beispiele der Verwendung von Eingabe- und Ausgabeargumenten
Hostverwaltung
- About the host level
- Verwalten von Systemadministratoren
- Verwalten von Mandanten
- Konfigurieren der Hostauthentifizierungseinstellungen
- Verwalten Ihrer Hostlizenz
  - Zuweisung von Lizenzen zu Mandanten
- Konfigurieren von System-E-Mail-Benachrichtigungen
- Configuring other host settings
- Prüfungsprotokolle für das Hostportal
- Wartungsmodus
Organisationsadministration
- Über Organisationen
- Verwalten von Organisationsadministratoren
- Verwalten von Organisationseinstellungen
- Konfigurieren der Organisationsauthentifizierung
  - Einrichten der Azure-AD-Integration
  - Konfigurieren der SAML-Integration
    - Einrichten von SAML-SSO mit Azure AD
- Konfigurieren der Organisationssicherheit
  - Sitzungsrichtlinie
  - Einschränken des Zugriffs auf eine Reihe von Benutzern
- Über die Lizenzierung
  - Aktivieren Ihrer Lizenz
- Konten und Gruppen
  - Verwalten von Konten und Gruppen
  - Häufig gestellte Fragen
- Autorisieren externer Anwendungen
  - Verwalten externer OAuth-Anwendungen
  - Konfigurieren detaillierten Zugriffs für vertrauliche Apps
- Verwalten von Tags
- Überschreiben von System-E-Mail-Einstellungen
  - E-Mail-Einrichtung
    - System emails are not sent - SslHandshakeException
- Protokolle
Fehlersuche und ‑behebung
- Informationen zur Fehlerbehebung
- Häufig anzutreffende Fehler in Orchestrator
- Browsergruppenrichtlinien
- Zeitausdrücke

Orchestrator-Anleitung

BEREITSTELLUNG:

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Last updated 9. Okt. 2024

Konten und Gruppen

Auf der Seite Konten und Gruppen können Sie lokale Benutzerkonten, Roboterkonten und lokale Gruppen für Ihre Organisation definieren.

Die Zugriffsebene und die Aktionen, die Ihre Benutzer ausführen können, werden mithilfe von zwei Elementen gesteuert:

Konten, die die Identität eines Benutzers festlegen und zum Anmelden bei Ihren UiPath®-Anwendungen verwendet werden
Rollen, die Konten zugewiesen werden, um ihnen bestimmte Berechtigungen innerhalb des UiPath-Ökosystems zu erteilen.

Im Orchestrator werden keine Konten erstellt oder verwaltet, sondern nur Rollen und ihre Zuweisungen.

Über Konten

Ein Konto ist eine Entität der UiPath Platform mit zugriffsabhängigen Fähigkeiten. Die Ansicht und Steuerung des Orchestrators hängt von den zugewiesenen Zugriffsrechten ab.

Konten können:

lokal erstellt und verwaltet werden (lokale Konten), über:
- Verwaltungsportal. Weitere Informationen finden Sie unter Verwalten von Konten .
in einem externen Verzeichnis erstellt und verwaltet werden (Verzeichniskonten und Verzeichnisgruppen). Weitere Informationen zu Verzeichnisintegrationen finden Sie im Abschnitt AD-Integration unten.

Sie fügen Konten aus dem Verwaltungsportal auf Organisationsebene hinzu und die Konten sind nur innerhalb der jeweiligen Organisation verfügbar.

Sobald ein Konto erfolgreich hinzugefügt wurde, gibt es zwei Möglichkeiten, ihm Zugriffsrechte für den Orchestrator zu gewähren: Durch Hinzufügen des Kontos zu einer Gruppe, sodass es die Rollen der Gruppe übernimmt, oder durch Zuweisen von Rollen zu jedem Konto auf Dienstebene. Sie können beide Methoden verwenden, um den Zugriff eines Kontos in Ihrer Organisation detailliert zu steuern.

Hinweis: Die Roboterverwaltung erfolgt auf Benutzerebene. Weitere Informationen finden Sie unter Verwalten von Konten.

AD-Integration

Ein Active Directory (AD), auf das im Orchestrator verwiesen wird, macht seine Mitglieder zu potenziellen Orchestrator-Benutzern. Die Zugriffsebene für ein Verzeichniskonto wird im Orchestrator entweder auf Gruppenebene (Verzeichnisgruppe) oder auf Benutzerebene (Verzeichnisbenutzer) konfiguriert.

Sie können integrieren mit:

Voraussetzungen

Der Parameter WindowsAuth.Domain wird mit einer gültigen Domäne aufgefüllt werden. Beim Hinzufügen von Benutzern/Gruppen sind alle Domänen und Unterdomänen gemäß WindowsAuth.Domain aus Strukturen verfügbar, die eine bidirektionale Vertrauensstellung mit der hier angegebenen Domäne haben.
Die Maschine, auf der der Orchestrator installiert ist, ist mit der im Parameter WindowsAuth.Domain festgelegten Domäne verbunden. Um zu überprüfen, ob das Gerät mit der Domäne verbunden ist, führen Sie dsregcmd /status über die Eingabeaufforderung aus, und gehen Sie zum Abschnitt Gerätestatus.
Die Identität, unter welcher der Orchestrator-Anwendungspool ausgeführt wird, muss Teil der Windows Authorization Access-Gruppe (WAA) sein.

Verhalten

Durch Hinzufügen einer Verzeichnisgruppe wird eine Benutzergruppenentität im Orchestrator erstellt, für die Sie Zugriffsrechte beliebig konfigurieren. Dieser Eintrag im Orchestrator dient als Referenz für die Gruppe, wie sie in AD zu finden ist.
Wenn Sie sich anmelden, überprüft der Orchestrator Ihre Gruppenmitgliedschaft. Bei Bestätigung wird Ihr Benutzerkonto automatisch bereitgestellt und dann den von der Gruppe übernommenen Zugriffsrechten zugeordnet. Übernommene Rechte werden nur für die Dauer der Benutzersitzung beibehalten.
Die automatische Bereitstellung erfolgt bei der ersten Anmeldung. Ein automatisch bereitgestelltes Benutzerkonto wird beim Abmelden nicht gelöscht, da Sie den Eintrag möglicherweise für Prüfungszwecke benötigen.
Die Gruppenmitgliedschaft für ein Konto wird vom Orchestrator bei der Anmeldung oder einmal pro Stunde während aktiver Sitzungen überprüft. Wenn sich die Gruppenmitgliedschaft eines Kontos ändert, gelten die Änderungen für das Konto, wenn es sich das nächste Mal anmeldet oder, wenn es gerade angemeldet ist, innerhalb einer Stunde.

Dieses einstündige Intervall zum Überprüfen der Gruppenmitgliedschaft kann geändert werden, indem der Wert von IdentityServer.GroupMembershipCacheExpireHours festgelegtwird.
Gruppen im AD werden mit dem Orchestrator synchronisiert, aber die im Orchestrator vorgenommenen Änderungen haben keine Auswirkungen auf die Benutzerkonfiguration im AD.
AD-Benutzer, deren geerbte Zugriffsrechte (aus Gruppenmitgliedschaften) nicht ermittelt werden können, verhalten sich wie lokale Benutzer, d. h. sie verfügen ausschließlich über Rollen, die dem Benutzerkonto zugewiesen sind.
Es besteht nur eine Möglichkeit, Zugriffsrechte zu konfigurieren, die zwischen den Sitzungen bestehen bleiben, unabhängig davon, wie sich die Gruppenmitgliedschaft ändert: Sie müssen die Rolle direkt dem Benutzerkonto in Orchestrator zuweisen, anstatt Gruppen für die Rollenzuweisung zu verwenden.

Bekannte Probleme (Known Issues)

Aufgrund verschiedener Netzwerk- oder Konfigurationsprobleme kann es sein, dass nicht alle Domänen zugänglich sind, die in der Dropdownliste Domänenname angezeigt werden.
Änderungen an Benutzer- oder Gruppennamen im AD werden nicht an den Orchestrator weitergegeben.
Es kann bis zu einer Stunde dauern, die Domänenliste mit neu hinzugefügten Domänen mit bidirektionaler Vertrauensstellung zu aktualisieren.
Die Anforderungen GetOrganizationUnits(Id) und GetRoles(Id) geben nur Ordner und Rollen zurück, die explizit für einen automatisch bereitgestellten Benutzer festgelegt wurden. Die von der Gruppenkonfiguration übernommen können über den Endpunkt /api/DirectoryService/GetDirectoryPermissions?userId={userId} abgerufen werden.
Das gleiche gilt für die Benutzeroberfläche, bei der nur explizit festgelegte Ordner und Rollen auf der Seite Benutzer angezeigt werden, wohingegen übernommene einen neuen dedizierten Speicherort haben, das Fenster Benutzerberechtigungen (Benutzer > Weitere Aktionen > Berechtigungen überprüfen).
Benutzer übernehmen keine Warnungsabonnementeinstellungen von der übergeordneten Gruppe und sie erhalten standardmäßig keine Warnungen. Um Zugriff auf Warnungen zu erhalten, müssen Sie dem jeweiligen Benutzer die entsprechenden Berechtigungen explizit erteilen.
Wenn eine Verzeichnisgruppe entfernt wird, wird die Lizenz eines zugeordneten Verzeichnisbenutzers nicht entfernt, auch wenn die Zuweisung des Benutzers zu einem Ordner durch das Entfernen der Gruppe aufgehoben wird. Die einzige Möglichkeit, die Lizenz freizugeben, besteht darin, den Roboter-Tray zu schließen.
In bestimmten Browsern erfordert die Anmeldung beim Orchestrator mit Ihren AD-Anmeldeinformationen nur Ihren Benutzernamen. Es ist nicht erforderlich, auch die Domäne anzugeben. Wenn also die Syntax Domäne\Benutzername nicht funktioniert, versuchen Sie es damit, nur den Benutzernamen einzugeben.

Prüfungsüberlegungen

Benutzermitgliedschaft: Benutzer [Benutzername] wurde den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] zugewiesen.
Automatische Bereitstellung: Benutzer [Benutzername] wurde automatisch von den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] bereitgestellt.

Benutzertypen

„Gruppieren“ (Group)

Mit Gruppen können Sie mehrere Benutzer gleichzeitig verwalten, indem Sie ihnen über die Gruppe die gleichen Rollen und Konfigurationen zuweisen.

Die Mitgliedschaft eines Benutzers wird unter „Administrator“ > „Konten und Gruppen“ festgelegt.

Benutzergruppen ermöglichen den automatischen Zugriff mit den Gruppenberechtigungen basierend auf dem Hinzufügen oder Entfernen von Benutzern aus der Gruppe, ohne dass Benutzerberechtigungen einzeln verwaltet werden müssen.

Es gibt 6 lokale Standardgruppen: Administrators, Automation Users, Automation Developers, Citizen Developers, Automation Express und Everyone. Alle Gruppen verfügen über einen Standardsatz von Berechtigungen für jeden neuen Dienst, den Sie erstellen. Die sofort einsatzbereiten Rollen können später für jeden Orchestrator-Dienst angepasst werden.

Wenn Sie mehr als die vier von UiPath bereitgestellten Standardgruppen benötigen, können Sie benutzerdefinierte lokale Gruppen erstellen. Im Gegensatz zu lokalen Standardgruppen müssen benutzerdefinierte Gruppen manuell im Orchestrator hinzugefügt werden, um die korrekte Zuordnung zwischen der Gruppenmitgliedschaft eines Benutzers und der entsprechenden Rolle im Orchestrator sicherzustellen.

Die Rollen einer Gruppe werden an alle Benutzer weitergegeben, die zu dieser Gruppe gehören – sowohl automatisch bereitgestellte als auch manuell hinzugefügte. Wir bezeichnen sie als „geerbte Rollen“ im Gegensatz zu „direkt zugewiesenen Rollen“, die nur pro Konto festgelegt werden können.

Hinweis:

Ein Benutzer, der mehreren Gruppen angehört, erbt die Zugriffsrechte von allen.
Ein Benutzer, der mehreren Gruppen angehört und dem auch direkt Rollen zugewiesen wurden, besitzt die Summe aller von Gruppen geerbten und direkt zugewiesenen Rollen.
Sie benötigen kein explizites Benutzerkonto, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde.
Geerbte Rollen sind von der zugeordneten Benutzergruppe abhängig. Wenn die Gruppe aus dem Dienst gelöscht wird, werden die geerbten Rollen dieses Kontos ebenfalls gelöscht.
Direkt zugewiesene Rollen sind nicht von Gruppen beeinflusst, in denen sich das Konto befindet. Sie bleiben unabhängig vom Status der Gruppe bestehen.

Beispiel

Angenommen, ich habe John Smith zu den Benutzergruppen Automation Users und Administratoren in meiner Organisation hinzugefügt.

Die Automation User-Gruppe ist im Finance Orchestrator-Dienst vorhanden.
Die Administrators-Gruppe ist im HR Orchestrator-Dienst vorhanden.
Johns Konto wurden in beiden Diensten auch direkt Rollen zugewiesen.

John hat die Summe von geerbten und expliziten Rechten für jeden Dienst:

Dienst/Rollen	Benutzergruppen	Geerbte Rollen	Explizite Rollen	Insgesamt
Finanzmandant	Automation User
Rollen auf Mandantenebene	Allow to be Automation User	Allow to be Automation User	Allow to be Folder Administrator	Allow to be Automation User Allow to be Folder Administrator
Rollen auf Ordnerebene	Automation User auf Ordner A Automation User auf Ordner B	Automation User auf Ordner A Automation User auf Ordner B	Folder Administrator auf Ordner A	Automation User auf Ordner A Automation User auf Ordner B Folder Administrator auf Ordner A
HR- Mandant	Administratoren
Rollen auf Mandantenebene	Allow to be Folder Administrator	Allow to be Folder Administrator		Allow to be Folder Administrator
Rollen auf Ordnerebene	Folder Administrator auf Ordner D Folder Administrator auf Ordner E	Folder Administrator auf Ordner D Folder Administrator auf Ordner E	Folder Administrator auf Ordner F	Folder Administrator auf Ordner D Folder Administrator auf Ordner E Folder Administrator auf Ordner F

Benutzer

Nach dem Mechanismus, mit dem Benutzerkonten im Orchestrator hinzugefügt werden, können sie in zwei Kategorien eingeteilt werden:

Manuell hinzugefügte Benutzer

Benutzer, die manuell im Orchestrator hinzugefügt wurden und denen Berechtigungen explizit auf Mandanten- oder Ordnerebene erteilt wurden. Manuell hinzugefügte Benutzerkonten erben Gruppenzugriffsrechte, wenn sie zu einer Gruppe gehören, die ebenfalls zu diesem Orchestrator-Dienst hinzugefügt wurde.

Automatisch bereitgestellte Benutzer

Benutzer, die einer lokalen Gruppe hinzugefügt wurden und sich beim Orchestrator anmelden. Sie können auf der Grundlage der Berechtigungen, die sie von der Gruppe geerbt haben, auf den Orchestrator zugreifen. Sobald sie sich zum ersten Mal beim Orchestrator anmelden, werden sie automatisch bereitgestellt.

Wichtig: Auf der Seite Benutzer in der Spalte Rollen können Sie explizit zugewiesene Rollen für einen Benutzer sehen, unabhängig davon, ob er manuell hinzugefügt oder automatisch bereitgestellt wurde. Geerbte Rollen werden in dieser Spalte nicht angezeigt.

Sie können den gesamten Berechtigungssatz eines Benutzers überprüfen, einschließlich der übernommenen, indem Sie zum Fenster unter Weitere Aktionen > Berechtigungen überprüfen > Benutzerberechtigungen für diesen bestimmten Benutzer gehen.

	Manuell hinzugefügter Benutzer	Automatisch bereitgestellter Benutzer
Erbt Zugriffsrechte	Ja	Ja
Kann explizite Zugriffsrechte haben	Ja	Ja
Cloud Portal ist der zentrale Hub für Benutzerinformationen	Ja	Ja
Kann SSO verwenden	Ja	Ja

Roboter

Der Roboterbenutzer wird automatisch erstellt, wenn Sie einen Roboter manuell im Orchestrator bereitstellen. Roboterbenutzer haben standardmäßig die Roboterrolle. Diese Rolle gewährt Ihrem Roboter Zugriff auf mehrere Seiten, sodass er verschiedene Aktionen ausführen kann.

Konto- und Gruppensymbole

Auf Seiten, auf denen Sie Konten, Gruppen oder Rollen verwalten, werden für jeden Typ bestimmte Symbole angezeigt, damit Sie den Kontotyp oder den Gruppentyp erkennen können.

Kontosymbole

– UiPath-Benutzerkonto: Benutzerkonto, das mit einem UiPath-Konto verknüpft und mit der Standardauthentifizierung angemeldet ist

– SSO-Benutzerkonto: Benutzerkonto, das mit einem UiPath-Konto verknüpft ist, das sich mit SSO angemeldet hat; Gilt auch für Benutzerkonten, die sowohl ein UiPath-Benutzerkonto als auch ein Verzeichniskonto haben

– Verzeichnisbenutzerkonto: Das Konto stammt aus einem Verzeichnis und ist mit Enterprise SSO angemeldet

– Robot-Konto

Gruppensymbole

- Lokale Gruppe (oder einfach Gruppe): Die Gruppe wurde von einem Hostadministrator erstellt.

– Verzeichnisgruppe: Die Gruppe stammt aus einem verknüpften Verzeichnis.

Über Rollen

Der Orchestrator verwendet einen Zugriffssteuerungsmechanismus, der auf Rollen und Berechtigungen basiert. Rollen sind Sammlungen von Berechtigungen, was bedeutet, dass die Berechtigungen, die für die Verwendung bestimmter Orchestrator-Entitäten erforderlich sind, Rollen zugewiesen sind.

Rollenberechtigungen und Benutzerrollenbeziehungen ermöglichen die Regelung des Zugriffs auf den Orchestrator. Ein Benutzer erhält die erforderlichen Berechtigungen, um bestimmte Vorgänge über eine oder mehrere Rollen auszuführen. Da Benutzern keine Berechtigungen direkt zugewiesen werden, sondern sie nur über Rollen erworben werden, umfasst die Verwaltung von Zugriffsrechten das Zuweisen geeigneter Rollen zum Benutzer.

Weitere Informationen finden Sie unter Rollen verwalten.

Berechtigungen zum Verwalten von Benutzern

Um verschiedene Vorgänge auf den Seiten Benutzer und Rollen ausführen zu können, benötigen Sie die entsprechenden Berechtigungen:

Benutzer – Anzeigen – Anzeigen der Seiten Benutzer und Profil.
Benutzer – Bearbeiten – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer.
Benutzer – Ansicht und Rollen – Ansicht – Anzeigen von Benutzerberechtigungen.
Benutzer – Bearbeiten und Rollen – Anzeigen – Bearbeiten von Rollenzuweisungen auf der Seite Zugriff verwalten > Rollen zuweisen.
Benutzer – Erstellen und Rollen – Anzeigen – Erstellen eines Benutzers.
Benutzer – Anzeigen und Rollen – Bearbeiten – Verwalten von Rollen im Fenster Benutzer verwalten, das auf der Seite „Zugriff verwalten“ > „Rollen“ geöffnet wird.
Benutzer – Löschen – Entfernen eines Benutzers aus dem Orchestrator.

Kontotypen

Lokales Konto

Ein Konto, das vom Orchestrator über das Verwaltungsportal erstellt und verwaltet werden kann, gilt im Ökosystem von UiPath als lokal.

Für lokale Konten werden alle Kontoattribute wie Name und E-Mail-Adresse im Identity Server gespeichert.

Verzeichniskonto

Benutzerkonten, die aus einem Verzeichnis außerhalb des UiPath-Ökosystems stammen (z. B. aus Azure Active Directory), sind Verzeichnisbenutzer. Diese Konten können auf den Orchestrator zugreifen und Rollen erhalten, wenn Sie in das Verzeichnis integrieren.

Für Verzeichnisbenutzer werden nur Rollenzuweisungen und Orchestrator-spezifische Einstellungen innerhalb des UiPath-Ökosystems, im Identity Server und im Orchestrator, verwaltet. Der externe Verzeichnisadministrator verwaltet kontospezifische Attribute (Name, E-Mail, Verzeichnisgruppenmitgliedschaft).

Es gibt zwei Möglichkeiten, wie ein Verzeichnisbenutzer Zugriff auf den Orchestrator erhalten kann:

Ein Administrator weist dem Verzeichniskonto im Orchestrator Rollen zu – wir bezeichnen dies als individuell hinzugefügtes Konto.
Ein Administrator fügt das Verzeichniskonto zu einer Gruppe hinzu und der Benutzer meldet sich mit dem Verzeichniskonto an.
Ein Orchestrator-Administrator fügt eine Verzeichnisgruppe zu einer lokalen Gruppe hinzu, dann fügt ein Verzeichnisadministrator das Benutzerkonto zu der Verzeichnisgruppe hinzu – wir bezeichnen dies als automatisch bereitgestelltes Konto.

Unabhängig von ihrem Typ erben Verzeichniskonten immer die Rollen der Gruppen, zu denen sie gehören, sofern diese im Orchestrator vorhanden sind.

Lokale Gruppe

Lokale Gruppen sind Entitäten, die aus dem Identity Server stammen und eine Sammlung von Benutzer- und Roboterkonten darstellen. Sie können Rollen und Lizenzen zu Gruppen zuweisen, anstatt sie einzelnen Benutzern zuzuweisen. Alles, was der Gruppe zugewiesen ist, wird automatisch allen Gruppenmitgliedern zugewiesen.

Verzeichnisgruppe

Eine Entität, die durch Verweisen auf eine Gruppe aus einem verknüpften Verzeichnis in Ihrer Orchestrator-Instanz erstellt wird. Alle Mitglieder der Gruppe sind potenzielle Benutzer des Orchestrators. Alle Rollen, die einer Gruppe zugewiesen sind, werden an die Benutzer dieser Gruppe vererbt – sowohl an automatisch bereitgestellte als auch an einzeln hinzugefügte Benutzer.

Ein Benutzer, der mehreren Gruppen angehört, erbt die Rollen von allen.
Ein Benutzer, der mehreren Gruppen angehört und dem auch explizit Rollen gewährt wurden, hat die Vereinigung aller Rollen, die geerbt und explizit zugewiesen wurden.

Die Verwendung von Verzeichnisgruppen ermöglicht den automatischen Zugriff mit den Gruppenberechtigungen, basierend darauf, dass Benutzer der Verzeichnisgruppe hinzugefügt oder daraus entfernt werden (z. B. beim Wechseln von Abteilungen), ohne dass Benutzerberechtigungen einzeln verwaltet werden müssen.

Beispiel

Verzeichnisgruppen	Geerbte Rechte	Explizite Rechte
Gruppe X mit Zugriffsrechten X und Gruppe Y mit Zugriffsrechten Y hinzugefügt.	John Smith gehört zu Gruppe X und Y. Er meldet sich beim Orchestrator an. Sein Benutzer hat automatisch die folgenden Rechte: X, Y.	Zusätzlich zu den Sätzen X und Y erhält John auch explizit den Satz Z. John hat nun folgende Rechte: X, Y, Z. Wenn die Gruppen X und Y gelöscht werden, bleibt John der Satz Z.

Sie benötigen keinen expliziten Benutzereintrag, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde.
Geerbte Zugriffsrechte sind von der zugeordneten Verzeichnisgruppe abhängig. Wenn das Verzeichnis gelöscht wird, werden auch vererbte Zugriffsrechte gelöscht.
Explizit festgelegte Zugriffsrechte sind unabhängig von der Verzeichnisgruppe. Sie bleiben zwischen Sitzungen bestehen, unabhängig vom Status der Gruppe.

Roboter

Robot-Konten

Roboterkonten sind hilfreich, wenn Sie Unattended-Prozesse im Back-Office ausführen müssen, die nicht in der Verantwortung eines bestimmten Benutzers liegen sollten. Dies sind unsere RPA-spezifischen Äquivalente von Dienstkonten. Ähnlich wie die Konten, die Windows-Dienste als Anwendungsidentitäten im OAuth-Modell ausführen, sind sie eine Identität ohne Benutzer, die zur Ausführung von Unattended-Prozessen verwendet wird.

Arbeiten mit Roboterkonten

Roboterkonten verhalten sich im Bezug auf Berechtigungen wie Benutzerkonten. Im UiPath Orchestrator können Sie Roboterkonten hinzufügen und Berechtigungen dafür auf die gleiche Weise wie bei jedem anderen Konto konfigurieren.

Die einzigen Unterschiede im Vergleich zu Benutzerkonten sind:

Bei Roboterkonten sind keine interaktiven Prozesskonfigurationen zulässig.
Zum Erstellen eines Roboterkontos ist keine E-Mail-Adresse erforderlich.

Sie können Roboterkonten auf die gleiche Weise finden und mit ihnen arbeiten wie bei Benutzerkonten:

Organisationsadministratoren können Roboterkonten auf der Seite „Administrator“ > „Konten und Gruppen“ erstellen und verwalten – nicht aber auf der Registerkarte Benutzer, sondern auf der dedizierten Registerkarte Roboterkonten.

Roboterkonten können auch in Gruppen aufgenommen und als Teil der Gruppe verwaltet werden.
Bei der Zuweisung von Rollen im Orchestrator werden bei der Suche nach Konten Benutzer, Gruppen und auch Roboterkonten zur Auswahl angezeigt.

Dienstkonto

Ein Dienstkonto ist ein nicht menschliches Konto, das verwendet wird, um einen Sicherheitskontext für die Ausführung von Workloads bereitzustellen, bei denen kein menschliches Konto vorhanden ist, z. B. Server-zu-Server-Authentifizierungen. In diesen Fällen übernimmt der Orchestrator die Identität des Dienstkontos.

Pro Orchestrator-Instanz wird nur ein Dienstkonto erstellt. Es ist in der Benutzeroberfläche nicht sichtbar und kann nur in Datenbanktabellen identifiziert werden.

Mit diesem Kontotyp sind keine Authentifizierungsinformationen verbunden, und daher kann er sich nicht interaktiv über Browser oder Cookies anmelden.

Wir empfehlen, das Dienstkonto nicht zu deaktivieren oder zu löschen, da dies direkte Auswirkungen auf die ausgeführten Workloads hat.

Auf dieser Seite