- Erste Schritte
- Best Practices
- Mandant
- Aktionen
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Aktionskataloge
- Profil
- Systemadministrator
- Identity Server
- Authentication
- Konfigurieren der Active Directory-Integration
- Konfigurieren von SSO: Google
- Konfigurieren von SSO: Azure Active Directory
- SmartCard-Authentifizierung
- Einrichtung einer automatischen Anmeldung für Benutzer einer Active-Directory-Gruppe
- Konfigurieren des SMTP-Servers
- Ändern des Windows-Authentifizierungsprotokolls
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Fehlersuche und ‑behebung
Über Benutzer
Ein Benutzer ist eine Entität mit zugriffsabhängigen Fähigkeiten. Inwieweit er den Orchestrator sehen bzw. steuern kann, hängt von den zugewiesenen Zugriffsrechten ab. Benutzer können lokal im Orchestrator erstellt werden (lokale Benutzer), oder sie können in einem externen Verzeichnis erstellt und verwaltet werden (Verzeichnisbenutzer, Verzeichnisgruppen).
-
Lesen Sie mehr über AD-Integration für ein besseres Verständnis der Verzeichnisintegration.
-
Benutzertypen werden hier beschrieben.
-
Erfahren Sie mehr über das Zugangskontrollmodell vom Orchestrator.
Die Benutzerverwaltung erfolgt hauptsächlich über die Seite Benutzer (Kontext Mandant > Benutzer). Auf dieser Seite werden alle verfügbaren Benutzer angezeigt; Sie können sie hinzufügen oder entfernen und ihre Details bearbeiten.
Ein aktives Verzeichnis, auf das im Orchestrator verwiesen wird, macht seine Mitglieder zu potenziellen Orchestrator-Benutzern. Der Zugriff für ein Verzeichnis wird im Orchestrator konfiguriert, entweder auf Gruppenebene (Verzeichnisgruppe) oder auf Benutzerebene (Verzeichnisbenutzer).
- Der Parameter
WindowsAuth.Enabledist auftruefestgelegt. - Der Parameter
WindowsAuth.Domainwird mit einer gültigen Domäne aufgefüllt werden. Beim Hinzufügen von Benutzern/Gruppen sind alle Domänen und Unterdomänen gemäßWindowsAuth.Domainaus Strukturen verfügbar, die eine bidirektionale Vertrauensstellung mit der hier angegebenen Domäne haben. - Die Maschine, auf der der Orchestrator installiert ist, ist mit der im Parameter
WindowsAuth.Domainfestgelegten Domäne verbunden. Um zu überprüfen, ob das Gerät mit der Domäne verbunden ist, führen Siedsregcmd /statusüber die Eingabeaufforderung aus, und gehen Sie zum Abschnitt Gerätestatus. - Die Identität, unter welcher der Orchestrator-Anwendungspool ausgeführt wird, muss Teil der Windows Authorization Access-Gruppe (WAA) sein.
- Durch Hinzufügen einer AD-Gruppe wird eine Benutzerentität im Orchestrator mit dem Namen „Verzeichnisgruppe“ erstellt, für die Sie Zugriffsrechte beliebig konfigurieren. Dieser Eintrag dient als Referenz für die Gruppe, wie sie in AD zu finden ist.
- Wenn Sie sich anmelden, überprüft der Orchestrator Ihre Gruppenmitgliedschaft bei der AD-Datenbank. Wenn sie bestätigt wird, wird Ihr Benutzer automatisch als Verzeichnisbenutzer bereitgestellt und den von der Verzeichnisgruppe übernommenen Zugriffsrechten zugeordnet (Schritt 1). Übernommene Rechte werden nur für die Dauer der Benutzersitzung beibehalten.
- Die automatische Bereitstellung erfolgt bei der ersten Anmeldung. Ein automatisch bereitgestellter Benutzer wird beim Abmelden nicht gelöscht, da Sie den Eintrag möglicherweise für Überwachungszwecke benötigen.
-
Änderungen an der AD-Gruppenmitgliedschaft werden bei jeder Anmeldung mit dem Orchestrator synchronisiert (oder einmal pro Stunde bei aktiven Benutzersitzungen). Dieser Wert kann mit WindowsAuth.GroupMembershipCacheExpireHours geändert werden. Wenn Sie Mitglied der X-Gruppe sind, geschieht dies:
- Sie melden sich an, der Orchestrator überprüft Ihre Gruppenmitgliedschaft und bestätigt dann Ihre Identität gegenüber der AD-Datenbank. Sie erhalten dann Zugriffsrechte gemäß Ihrer Orchestrator-Konfiguration. Wenn Ihr Systemadministrator Ihre Gruppenmitgliedschaft von Gruppe X zu Gruppe Y ändert, während Sie eine aktive Sitzung haben, werden die Änderungen vom Orchestrator einmal pro Stunde oder beim nächsten Anmelden abgefragt.
- Die einzige Möglichkeit, Zugriffsrechte zu konfigurieren, die zwischen Sitzungen beibehalten werden, unabhängig davon, wie sich die Gruppenmitgliedschaft ändert, besteht darin, sie explizit pro Benutzer im Orchestrator einzurichten. Wir bezeichnen sie als explizite Zugriffsrechte.
- AD-Benutzer, deren übernommene Zugriffsrechte nicht bestimmt werden können, verhalten sich wie lokale Benutzer, d. h. sie verfügen ausschließlich über explizit festgelegte Zugriffsrechte.
- Gruppen in AD werden mit dem Orchestrator synchronisiert, aber nicht umgekehrt. Änderungen am Orchestrator wirken sich nicht auf die Benutzerkonfiguration in AD aus.
- Aufgrund verschiedener Netzwerk- oder Konfigurationsprobleme besteht die Möglichkeit, dass nicht alle Domänen zugänglich sind, die in der Dropdownliste Domänenname angezeigt werden.
- Änderungen an AD-Benutzer-/-Gruppennamen werden nicht auf den Orchestrator übertragen.
- Es kann bis zu einer Stunde dauern, die Domänenliste mit neu hinzugefügten Domänen mit bidirektionaler Vertrauensstellung zu aktualisieren.
- Die Anforderungen
GetOrganizationUnits(Id)undGetRoles(Id)geben nur Ordner und Rollen zurück, die explizit für einen automatisch bereitgestellten Benutzer festgelegt wurden. Die von der Gruppenkonfiguration übernommen können über den Endpunkt/api/DirectoryService/GetDirectoryPermissions?userId={userId}abgerufen werden. - Das gleiche gilt für die Benutzeroberfläche, bei der nur explizit festgelegte Ordner und Rollen auf der Seite Benutzer angezeigt werden, wohingegen übernommene einen neuen dedizierten Speicherort haben, das Fenster Benutzerberechtigungen (Benutzer > Weitere Aktionen > Berechtigungen überprüfen).
- Automatisch bereitgestellte Benutzer übernehmen keine Warnungsabonnementeinstellungen von der übergeordneten Gruppe, und sie erhalten standardmäßig keine Warnungen. Um Zugriff auf Warnungen zu haben, müssen Sie dem Benutzer die entsprechenden Berechtigungen explizit erteilen.
- Wenn eine Verzeichnisgruppe entfernt wird, wird die Lizenz eines zugeordneten Verzeichnisbenutzers nicht entfernt, auch wenn die Zuweisung des Benutzers zu einem Ordner durch das Entfernen der Gruppe aufgehoben wird. Die einzige Möglichkeit, die Lizenz freizugeben, besteht darin, den Roboter-Tray zu schließen.
- In bestimmten Browsern erfordert die Anmeldung beim Orchestrator mit Ihren AD-Anmeldeinformationen nur Ihren Benutzernamen. Es ist nicht erforderlich, auch die Domäne anzugeben. Wenn also die Syntax Domäne\Benutzername nicht funktioniert, versuchen Sie es damit, nur den Benutzernamen einzugeben.
- Benutzermitgliedschaft: Benutzer [Benutzername] wurde den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] zugewiesen.
- Automatische Bereitstellung: Benutzer [Benutzername] wurde automatisch von den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] bereitgestellt.
Die Optimierung des Ressourcenverbrauchs und die Maximierung der Ausführungskapazität in modernen Ordnern erfordert wenig bis gar keine Kontrolle darüber, wie Benutzer Aufträgen zugewiesen werden. Für Szenarien, in denen bestimmte Anmeldeinformationen nicht gleichzeitig mehrfach genutzt werden können (z. B. SAP), haben wir die Möglichkeit eingeführt, die gleichzeitige Unattended-Ausführung zu begrenzen. Das hilft dabei, den Algorithmus zur Auftragszuweisung anzupassen, indem ein Benutzer daran gehindert wird, mehrere Aufträge gleichzeitig auszuführen.
Orchestrator weist nur den vordefinierten Benutzer: admin auf. Sein Benutzername kann nicht geändert und nicht gelöscht werden. Er hat die Administratorrolle, aber Sie können andere Rollen hinzufügen und ihn sogar deaktivieren. Beachten Sie, dass Sie den Benutzer, mit dem Sie gerade angemeldet sind, nicht deaktivieren können.
Benutzer mit der Administratorrolle können andere Benutzer aktivieren, deaktivieren und entfernen sowie Informationen bearbeiten, darunter das Kennwort. Benutzer, welche die Administratorrolle haben, können Sie nicht löschen.
Um verschiedene Vorgänge auf den Seiten Benutzer und Profil auszuführen, müssen Ihnen die entsprechenden Berechtigungen erteilt werden:
- Anzeigen für Benutzer – Anzeigen der Seiten Benutzer und Profil.
- Bearbeiten für Benutzer – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer. Das Konfigurieren des Abschnitts Warnungen auf der Seite Profil erfordert die entsprechenden Anzeige-Berechtigungen pro Warnungskategorie.
- Anzeigen für Benutzer, Anzeigen für Rollen – Anzeigen von Benutzerberechtigungen im Fenster Benutzerberechtigungen.
- Bearbeiten für Benutzer, Anzeigen für Rollen – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Benutzer.
- Erstellen für Benutzer, Anzeigen für Rollen – Erstellen eines Benutzers.
- Anzeigen für Benutzer, Bearbeiten für Rollen – Verwalten von Benutzerrollen im Fenster Benutzer verwalten auf der Seite Rollen.
- Löschen für Benutzer – Entfernen eines Benutzers.
Lesen Sie mehr über Rollen.
Standardmäßig erlaubt der Orchestrator keinen Benutzerzugriff über die einfache Authentifizierung. Diese Funktion kann mit dem Parameter Auth.RestrictBasicAuthentication aktiviert werden. Dadurch können Sie lokale Benutzer erstellen, die mithilfe ihrer einfachen Authentifizierungs-Anmeldeinformationen auf den Orchestrator zugreifen können, sodass Sie vorhandene Integrationen beibehalten können, die beim Aufrufen der Orchestrator-API auf die einfache Authentifizierung angewiesen sind.
Das Aktivieren der einfachen Authentifizierung kann beim Erstellen und Bearbeiten von Benutzern erfolgen.
Nach 10 fehlgeschlagenen Anmeldeversuchen werden Sie für die Dauer von 5 Minuten gesperrt. Dies sind die standardmäßigen Einstellungen für die Kontosperrung, die auf der Registerkarte Sicherheit geändert werden können.
Anmelden unter demselben Benutzer auf einer anderen Maschine trennt den Benutzer von der vorherigen Maschine.
