Orchestrator
2020.10
False
Bannerhintergrundbild
Kein Support
Orchestrator-Anleitung
Letzte Aktualisierung 12. Dez. 2023

Benutzertypen

Lokaler Benutzer

Lokale Benutzer können nur im Orchestrator erstellt werden. Attribute wie Name und E-Mail-Adresse werden im Orchestrator verwaltet, zusammen mit Rollen und anderen Orchestrator-spezifischen Einstellungen. Es wird verwendet, um sich beim Orchestrator anzumelden, eine benutzerdefinierte Ansicht vom Orchestrator zu haben, abhängig von Ihrer Position innerhalb des Automatisierungsteams, und optional, um E-Mail-Benachrichtigungen zu erhalten. Sie können den Benutzernamen bei diesem Benutzertyp nicht ändern.

Lokale Benutzer werden hinzugefügt, indem Sie den Benutzer erstellen, Benutzerattribute festlegen und Rollen zuweisen. Es gibt zwei Seiten, die benutzerbezogene Informationen enthalten: die Seite Benutzer und die Seite Profil. Wenn Sie eine von ihnen auffüllen, werden die zugehörigen Informationen in der anderen (Name, Nachname, E-Mail-Adresse) überschrieben.

Konvertieren lokaler AD-Benutzer in Verzeichnisbenutzer

Es gibt zwei Möglichkeiten, lokale Benutzer, die sich mit AD-Anmeldeinformationen anmelden, in Verzeichnisbenutzer zu konvertieren:

  • Legen Sie den Parameter WindowsAuth.ConvertUsersAtLogin auf True fest. Dadurch wird jeder lokale AD-Benutzer nach der ersten Anmeldung mit AD-Anmeldeinformationen in einen Verzeichnisbenutzer umgewandelt.
  • Durch das folgende Skript. Dadurch werden alle lokalen Benutzer auf einmal konvertiert, die sich jemals mit AD-Anmeldeinformationen angemeldet haben.

Diese Funktion funktioniert nur für Benutzer, die sich über die Anmeldeseite im Orchestrator anmelden. Dies funktioniert nicht für Benutzer, die sich über Studio mit interaktiver Anmeldung anmelden.

Wichtig: Sobald die Konvertierung abgeschlossen ist, können Sie die einfachen Authentifizierungsanmeldeinformationen nicht mehr verwenden, um sich bei den jeweiligen Benutzern anzumelden. 
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
    u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
    u.[Type] = 2
FROM
    [dbo].[Users] u
    JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE 
    u.[Type] = 0
    AND l.[LoginProvider] = 'Windows'
    AND u.[IsDeleted] = 0DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
    u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
    u.[Type] = 2
FROM
    [dbo].[Users] u
    JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE 
    u.[Type] = 0
    AND l.[LoginProvider] = 'Windows'
    AND u.[IsDeleted] = 0

Verzeichnisbenutzer

Für Verzeichnisbenutzer werden nur Rollen und Orchestrator-spezifische Einstellungen im Orchestrator verwaltet, während benutzerspezifische Attribute (Name, E-Mail, Gruppenmitgliedschaft) vom externen Verzeichnisadministrator verwaltet werden.

Ein Verzeichnisbenutzer kann auf zwei Arten erstellt werden:

  1. Selbst hinzugefügte AD-Benutzer bezeichnen wir als individuell hinzugefügte Benutzer.
  2. Indem wir uns mit einem Benutzer anmelden, der zu einer zuvor hinzugefügten AD-Gruppe gehört. Das bezeichnen wir als automatisch bereitgestellten Benutzer. Weitere Informationen finden Sie auf der Seite Über Benutzer .

Verzeichnisbenutzer übernehmen immer Zugriffsrechte von der übergeordneten Gruppe, wenn sie im Orchestrator vorhanden ist.

Zugriff

Lokaler Benutzer

Verzeichnisbenutzer

Erbt Zugriffsrechte

Kann explizite Zugriffsrechte haben

AD ist der zentrale Hub für Benutzerinformationen

SSO

Verzeichnisgruppe

Eine Benutzerentität, die durch Verweisen einer AD-Gruppe in Ihre Orchestrator-Instanz erstellt wurde. Alle Mitglieder der Gruppe sind potenzielle Benutzer des Orchestrators. Alle Zugriffsrechte, die für eine Gruppe festgelegt sind, werden an alle Verzeichnisbenutzer weitergegeben, die zu dieser Gruppe gehören, automatisch bereitgestellt oder einzeln vergeben. Wir bezeichnen sie als „übernommene Zugriffsrechte“ anstelle von „expliziten Zugriffsrechten“, die nur einzeln pro Benutzer festgelegt werden können.

  • Ein Benutzer, der mehreren Gruppen angehört, übernimmt die Zugriffsrechte von allen.
  • Ein Benutzer, der mehreren Gruppen angehört und dem explizit Zugriffsrechte gewährt wurden, verfügt über die Schnittmenge aller Rechte, die von übergeordneten Gruppen übernommen und explizit festgelegt wurden.

Die Verwendung von Verzeichnisgruppen ermöglicht den automatischen Zugriff mit den Gruppenberechtigungen, wenn Benutzer einer Verzeichnisgruppe hinzugefügt oder aus ihr entfernt werden (z. B. beim Wechseln von Abteilungen), ohne dass Benutzerberechtigungen einzeln verwaltet werden müssen.

Beispiel

Verzeichnisgruppen

Geerbte Rechte

Explizite Rechte

Gruppe X mit Zugriffsrechten X und Gruppe Y mit Zugriffsrechten Y hinzugefügt.

John Smith gehört zu Gruppe X und Y. Er meldet sich beim Orchestrator an. Sein Benutzer hat automatisch die folgenden Rechte: X, Y.

Zusätzlich zu den Sätzen X und Y erhält John auch explizit den Satz Z. John hat nun folgende Rechte: X, Y, Z.

Wenn die Gruppen X und Y gelöscht werden, bleibt John der Satz Z.

  • Sie benötigen keinen expliziten Benutzereintrag, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde (Schritt 1 – Abschnitt Verhalten).
  • Geerbte Zugriffsrechte sind von der zugeordneten Verzeichnisgruppe abhängig. Wenn das Verzeichnis gelöscht wird, werden auch vererbte Zugriffsrechte gelöscht.
  • Explizit festgelegte Zugriffsrechte sind unabhängig von der Verzeichnisgruppe. Sie bleiben zwischen Sitzungen bestehen, unabhängig vom Status der Gruppe.

Roboter

Der Roboterbenutzer  wird automatisch erstellt, wenn Sie einen Roboter manuell im Orchestrator bereitstellen. Roboterbenutzer haben standardmäßig die Roboterrolle.

Die Roboterrolle gewährt Ihrem Roboter Zugriff auf mehrere Seiten, sodass er verschiedene Aktionen ausführen kann. Hier finden Sie die genauen Berechtigungen der Roboterrolle.

Dienstkonto

Ein Dienstkonto ist ein nicht menschliches Konto, das verwendet wird, um einen Sicherheitskontext für die Ausführung von Workloads bereitzustellen, bei denen kein menschliches Konto vorhanden ist, z. B. Server-zu-Server-Authentifizierungen. In diesen Fällen übernimmt der Orchestrator die Identität des Dienstkontos.

Pro Orchestrator-Instanz wird nur ein Dienstkonto erstellt. Es ist in der Benutzeroberfläche nicht sichtbar und kann nur in Datenbanktabellen identifiziert werden.

Mit diesem Kontotyp sind keine Authentifizierungsinformationen verbunden, und daher kann er sich nicht interaktiv über Browser oder Cookies anmelden.

Wir empfehlen, das Dienstkonto nicht zu deaktivieren oder zu löschen, da dies direkte Auswirkungen auf die ausgeführten Workloads hat.

  • Lokaler Benutzer
  • Konvertieren lokaler AD-Benutzer in Verzeichnisbenutzer
  • Verzeichnisbenutzer
  • Verzeichnisgruppe
  • Roboter
  • Dienstkonto

War diese Seite hilfreich?

Support und Services
Hilfe erhalten
UiPath Academy
RPA lernen – Automatisierungskurse
UiPath-Forum
UiPath Community-Forum
UiPath Logo weiß
Vertrauen und Sicherheit
Nutzungsbedingungen
Datenschutzerklärung
Cookie-Richtlinie
© 2005-2024 UiPath. All rights reserved.