- Erste Schritte
- Best Practices
- Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Verwaltung von Robotern
- Verbindung von Robotern mit Orchestrator
- Beispiele für die Einrichtung
- Speicherung von Roboterzugangsdaten in CyberArk
- Einrichten von Attended-Robotern
- Einrichten von Unattended-Robotern
- Speichern von Unattended-Roboterkennwörtern in Azure Key Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im HashiCorp Vault (schreibgeschützt)
- Löschen von getrennten und nicht reagierenden Unattended-Sitzungen
- Roboter-Authentifizierung
- Roboter-Authentifizierung mit Client-Anmeldeinformationen
- SmartCard-Authentifizierung
- Audit
- Ressourcenkatalogdienst
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Hostverwaltung
- Über die Hostebene
- Verwalten von Systemadministratoren
- Verwalten von Mandanten
- Konfigurieren von System-E-Mail-Benachrichtigungen
- Prüfungsprotokolle für das Hostportal
- Wartungsmodus
- Organisationsadministration
- Fehlersuche und ‑behebung
Orchestrator-Anleitung
Verwalten von Zugriffs- und Automatisierungsfunktionen
Die Zugriffsebene und die Aktionen, die Ihre Benutzer ausführen können, werden mithilfe von zwei Elementen gesteuert:
- Konten, die die Identität eines Benutzers festlegen und zum Anmelden bei Ihren UiPath-Anwendungen verwendet werden
- Rollen, die Konten zugewiesen werden, um ihnen bestimmte Berechtigungen innerhalb des UiPath-Ökosystems zu erteilen.
Konten werden von Organisationsadministratoren erstellt und verwaltet. Konten müssen bereits vorhanden sein, um ihnen Rollen zuweisen zu können.
Auf dieser Seite und den folgenden Seiten wird Folgendes beschrieben:
- Rollen verwalten
- wie Sie Automatisierungsfunktionen verwalten, die als Teil der Rolleneinrichtung konfiguriert werden.
Ein Konto ist eine Entität der UiPath Platform mit zugriffsabhängigen Fähigkeiten. Die Ansicht und Steuerung des Orchestrators hängt von den zugewiesenen Zugriffsrechten ab.
Konten können:
-
lokal erstellt und verwaltet werden (lokale Konten)
- in einem externen Verzeichnis erstellt und verwaltet werden (Verzeichniskonten und Verzeichnisgruppen). Weitere Informationen zu Verzeichnisintegrationen finden Sie unten im Abschnitt AD-Integration.
Sie fügen Konten aus dem Verwaltungsportal auf Organisationsebene hinzu und die Konten sind nur innerhalb der jeweiligen Organisation verfügbar.
Sobald ein Konto erfolgreich hinzugefügt wurde, gibt es zwei Möglichkeiten, ihm Zugriffsrechte für den Orchestrator zu gewähren: Durch Hinzufügen des Kontos zu einer Gruppe, sodass es die Rollen der Gruppe übernimmt, oder durch Zuweisen von Rollen zu jedem Konto auf Dienstebene. Sie können beide Methoden verwenden, um den Zugriff eines Kontos in Ihrer Organisation detailliert zu steuern.
Ein Active Directory (AD), auf das im Orchestrator verwiesen wird, macht seine Mitglieder zu potenziellen Orchestrator-Benutzern. Die Zugriffsebene für ein Verzeichniskonto wird im Orchestrator entweder auf Gruppenebene (Verzeichnisgruppe) oder auf Benutzerebene (Verzeichnisbenutzer) konfiguriert.
Sie können integrieren mit:
- ein lokales Active Directory
-
Azure Active Directory
Hinweis: Die Verwendung einer AD-Integration zusammen mit der automatischen Bereitstellung von Attended-Robotern und hierarchischen Ordnern ermöglicht die mühelose Einrichtung großer Bereitstellungen. Weitere Informationen finden Sie unter Verwalten großer Bereitstellungen.
Voraussetzungen
- Der Parameter
WindowsAuth.Domain
wird mit einer gültigen Domäne aufgefüllt werden. Beim Hinzufügen von Benutzern/Gruppen sind alle Domänen und Unterdomänen gemäßWindowsAuth.Domain
aus Strukturen verfügbar, die eine bidirektionale Vertrauensstellung mit der hier angegebenen Domäne haben. - Die Maschine, auf der der Orchestrator installiert ist, ist mit der im Parameter
WindowsAuth.Domain
festgelegten Domäne verbunden. Um zu überprüfen, ob das Gerät mit der Domäne verbunden ist, führen Siedsregcmd /status
über die Eingabeaufforderung aus, und gehen Sie zum Abschnitt Gerätestatus. - Die Identität, unter welcher der Orchestrator-Anwendungspool ausgeführt wird, muss Teil der Windows Authorization Access-Gruppe (WAA) sein.
Verhalten
- Durch Hinzufügen einer Verzeichnisgruppe wird eine Benutzergruppenentität im Orchestrator erstellt, für die Sie Zugriffsrechte beliebig konfigurieren. Dieser Eintrag im Orchestrator dient als Referenz für die Gruppe, wie sie in AD zu finden ist.
- Wenn Sie sich anmelden, überprüft der Orchestrator Ihre Gruppenmitgliedschaft. Bei Bestätigung wird Ihr Benutzerkonto automatisch bereitgestellt und dann den von der Gruppe übernommenen Zugriffsrechten zugeordnet. Übernommene Rechte werden nur für die Dauer der Benutzersitzung beibehalten.
- Die automatische Bereitstellung erfolgt bei der ersten Anmeldung. Ein automatisch bereitgestelltes Benutzerkonto wird beim Abmelden nicht gelöscht, da Sie den Eintrag möglicherweise für Prüfungszwecke benötigen.
-
Die Gruppenmitgliedschaft für ein Konto wird vom Orchestrator bei der Anmeldung oder einmal pro Stunde während aktiver Sitzungen überprüft. Wenn sich die Gruppenmitgliedschaft eines Kontos ändert, gelten die Änderungen für das Konto, wenn es sich das nächste Mal anmeldet oder, wenn es gerade angemeldet ist, innerhalb einer Stunde.
Dieses Ein-Stunden-Intervall zur Überprüfung der Gruppenmitgliedschaft kann durch das Festlegen des Werts von IdentityServer.GroupMembershipCacheExpireHours geändert werden.
- Gruppen im AD werden mit dem Orchestrator synchronisiert, aber die im Orchestrator vorgenommenen Änderungen haben keine Auswirkungen auf die Benutzerkonfiguration im AD.
- AD-Benutzer, deren geerbte Zugriffsrechte (aus Gruppenmitgliedschaften) nicht ermittelt werden können, verhalten sich wie lokale Benutzer, d. h. sie verfügen ausschließlich über Rollen, die dem Benutzerkonto zugewiesen sind.
- Es besteht nur eine Möglichkeit, Zugriffsrechte zu konfigurieren, die zwischen den Sitzungen bestehen bleiben, unabhängig davon, wie sich die Gruppenmitgliedschaft ändert: Sie müssen die Rolle direkt dem Benutzerkonto in Orchestrator zuweisen, anstatt Gruppen für die Rollenzuweisung zu verwenden.
Bekannte Probleme (Known Issues)
- Aufgrund verschiedener Netzwerk- oder Konfigurationsprobleme kann es sein, dass nicht alle Domänen zugänglich sind, die in der Dropdownliste Domänenname angezeigt werden.
- Änderungen an Benutzer- oder Gruppennamen im AD werden nicht an den Orchestrator weitergegeben.
- Es kann bis zu einer Stunde dauern, die Domänenliste mit neu hinzugefügten Domänen mit bidirektionaler Vertrauensstellung zu aktualisieren.
- Die Anforderungen
GetOrganizationUnits(Id)
undGetRoles(Id)
geben nur Ordner und Rollen zurück, die explizit für einen automatisch bereitgestellten Benutzer festgelegt wurden. Die von der Gruppenkonfiguration übernommen können über den Endpunkt/api/DirectoryService/GetDirectoryPermissions?userId={userId}
abgerufen werden. - Das gleiche gilt für die Benutzeroberfläche, bei der nur explizit festgelegte Ordner und Rollen auf der Seite Benutzer angezeigt werden, wohingegen übernommene einen neuen dedizierten Speicherort haben, das Fenster Benutzerberechtigungen (Benutzer > Weitere Aktionen > Berechtigungen überprüfen).
- Benutzer übernehmen keine Warnungsabonnementeinstellungen von der übergeordneten Gruppe und sie erhalten standardmäßig keine Warnungen. Um Zugriff auf Warnungen zu erhalten, müssen Sie dem jeweiligen Benutzer die entsprechenden Berechtigungen explizit erteilen.
- Wenn eine Verzeichnisgruppe entfernt wird, wird die Lizenz eines zugeordneten Verzeichnisbenutzers nicht entfernt, auch wenn die Zuweisung des Benutzers zu einem Ordner durch das Entfernen der Gruppe aufgehoben wird. Die einzige Möglichkeit, die Lizenz freizugeben, besteht darin, den Roboter-Tray zu schließen.
- In bestimmten Browsern erfordert die Anmeldung beim Orchestrator mit Ihren AD-Anmeldeinformationen nur Ihren Benutzernamen. Es ist nicht erforderlich, auch die Domäne anzugeben. Wenn also die Syntax Domäne\Benutzername nicht funktioniert, versuchen Sie es damit, nur den Benutzernamen einzugeben.
Prüfungsüberlegungen
- Benutzermitgliedschaft: Benutzer [Benutzername] wurde den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] zugewiesen.
- Automatische Bereitstellung: Benutzer [Benutzername] wurde automatisch von den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] bereitgestellt.
„Gruppieren“ (Group)
Mit Gruppen können Sie mehrere Benutzer gleichzeitig verwalten, indem Sie ihnen über die Gruppe die gleichen Rollen und Konfigurationen zuweisen.
-
Die Mitgliedschaft eines Benutzers wird unter „Administrator“ > „Konten und Gruppen“ festgelegt.
-
Benutzergruppen ermöglichen den automatischen Zugriff mit den Gruppenberechtigungen basierend auf dem Hinzufügen oder Entfernen von Benutzern aus der Gruppe, ohne dass Benutzerberechtigungen einzeln verwaltet werden müssen.
-
Es gibt 4 lokale Standardgruppen: Administratoren, Automatisierungsbenutzer, Automatisierungsentwickler, Jeder. Alle Gruppen verfügen über einen Standardsatz von Berechtigungen in jedem neuen Dienst, den Sie erstellen. Die Out-of-the-Box-Rollen können später für jeden Orchestrator-Dienst angepasst werden.
-
Wenn Sie mehr als die vier von UiPath bereitgestellten Standardgruppen benötigen, können Sie benutzerdefinierte lokale Gruppen erstellen. Im Gegensatz zu lokalen Standardgruppen müssen benutzerdefinierte Gruppen manuell im Orchestrator hinzugefügt werden, um die korrekte Zuordnung zwischen der Gruppenmitgliedschaft eines Benutzers und der entsprechenden Rolle im Orchestrator sicherzustellen.
Die Rollen einer Gruppe werden an alle Benutzer weitergegeben, die zu dieser Gruppe gehören – sowohl automatisch bereitgestellte als auch manuell hinzugefügte. Wir bezeichnen sie als „geerbte Rollen“ im Gegensatz zu „direkt zugewiesenen Rollen“, die nur pro Konto festgelegt werden können.
- Ein Benutzer, der mehreren Gruppen angehört, erbt die Zugriffsrechte von allen.
- Ein Benutzer, der mehreren Gruppen angehört und dem auch direkt Rollen zugewiesen wurden, besitzt die Summe aller von Gruppen geerbten und direkt zugewiesenen Rollen.
- Sie benötigen kein explizites Benutzerkonto, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde.
- Geerbte Rollen sind von der zugeordneten Benutzergruppe abhängig. Wenn die Gruppe aus dem Dienst gelöscht wird, werden die geerbten Rollen dieses Kontos ebenfalls gelöscht.
- Direkt zugewiesene Rollen sind nicht von Gruppen beeinflusst, in denen sich das Konto befindet. Sie bleiben unabhängig vom Status der Gruppe bestehen.
Beispiel
Angenommen, ich habe John Smith zu den Benutzergruppen Automation Users und Administrators in meiner Automation Cloud-Organisation hinzugefügt.
- Die Automation User-Gruppe ist im Finance Orchestrator-Dienst vorhanden.
- Die Administrators-Gruppe ist im HR Orchestrator-Dienst vorhanden.
- Johns Konto wurden in beiden Diensten auch direkt Rollen zugewiesen.
John hat die Summe von geerbten und expliziten Rechten für jeden Dienst:
Dienst/Rollen |
Benutzergruppen |
Geerbte Rollen |
Explizite Rollen |
Insgesamt |
---|---|---|---|---|
Finanzmandant |
Automation User | |||
Rollen auf Mandantenebene |
|
|
|
|
Rollen auf Ordnerebene |
|
|
|
|
HR- Mandant |
Administratoren | |||
Rollen auf Mandantenebene |
|
|
| |
Rollen auf Ordnerebene |
|
|
|
|
Benutzer
Nach dem Mechanismus, mit dem Benutzerkonten im Orchestrator hinzugefügt werden, können sie in zwei Kategorien eingeteilt werden:
Manuell hinzugefügte Benutzer
Benutzer, die manuell im Orchestrator hinzugefügt wurden und denen Berechtigungen explizit auf Mandanten- oder Ordnerebene erteilt wurden. Manuell hinzugefügte Benutzerkonten erben Gruppenzugriffsrechte, wenn sie zu einer Gruppe gehören, die ebenfalls zu diesem Orchestrator-Dienst hinzugefügt wurde.
Automatisch bereitgestellte Benutzer
Benutzer, die einer lokalen Gruppe hinzugefügt wurden und sich beim Orchestrator anmelden. Sie können auf der Grundlage der Berechtigungen, die sie von der Gruppe geerbt haben, auf den Orchestrator zugreifen. Sobald sie sich zum ersten Mal beim Orchestrator anmelden, werden sie automatisch bereitgestellt.
Sie können den gesamten Berechtigungssatz eines Benutzers überprüfen, einschließlich der übernommenen, indem Sie zum Fenster unter Weitere Aktionen > Berechtigungen überprüfen > Benutzerberechtigungen für diesen bestimmten Benutzer gehen.
Manuell hinzugefügter Benutzer |
Automatisch bereitgestellter Benutzer | |
---|---|---|
Erbt Zugriffsrechte |
|
|
Kann explizite Zugriffsrechte haben |
|
|
Cloud Portal ist der zentrale Hub für Benutzerinformationen |
|
|
SSO |
|
|
Roboter
Der Roboterbenutzer wird automatisch erstellt, wenn Sie einen Roboter manuell im Orchestrator bereitstellen. Roboterbenutzer haben standardmäßig die Roboterrolle. Diese Rolle gewährt Ihrem Roboter Zugriff auf mehrere Seiten, sodass er verschiedene Aktionen ausführen kann.
Auf Seiten, auf denen Sie Konten, Gruppen oder Rollen verwalten, werden für jeden Typ bestimmte Symbole angezeigt, damit Sie den Kontotyp oder den Gruppentyp erkennen können.
Kontosymbole
– UiPath-Benutzerkonto: Benutzerkonto, das mit einem UiPath-Konto verknüpft und mit der Standardauthentifizierung angemeldet ist
– SSO-Benutzerkonto: Benutzerkonto, das mit einem UiPath-Konto verknüpft ist, das sich mit SSO angemeldet hat; Gilt auch für Benutzerkonten, die sowohl ein UiPath-Benutzerkonto als auch ein Verzeichniskonto haben
– Verzeichnisbenutzerkonto: Das Konto stammt aus einem Verzeichnis und ist mit Enterprise SSO angemeldet
– Robot-Konto
Gruppensymbole
- Lokale Gruppe (oder einfach Gruppe): Die Gruppe wurde von einem Hostadministrator erstellt.
– Verzeichnisgruppe: Die Gruppe stammt aus einem verknüpften Verzeichnis.
Der Orchestrator verwendet einen Zugriffssteuerungsmechanismus, der auf Rollen und Berechtigungen basiert. Rollen sind Sammlungen von Berechtigungen, d. h. die für die Nutzung bestimmter Orchestrator-Funktionen erforderlichen Berechtigungen sind in Rollen enthalten.
Hier ist zum Beispiel eine benutzerdefinierte Rolle, in der Sie einige der darin enthaltenen Berechtigungen sehen können:
Es gibt zwei Arten von Berechtigungen:
- Mandantenberechtigungen definieren den Zugriff eines Benutzers auf Ressourcen auf Mandantenebene.
- Die Ordnerberechtigungen definieren den Zugriff und die Möglichkeiten des Benutzers innerhalb jedes Ordners, dem er zugewiesen ist.
- Ordnerberechtigungen (Mandanten-Scope):
- ermöglichen einem Benutzer das Erstellen, Bearbeiten oder Löschen aller Ordner innerhalb des gesamten Mandanten.
- werden in der Regel Administratoren gewährt oder Benutzern, die für die Verwaltung der Organisation verantwortlich sind.
- Berechtigungen für Unterordner (Ordner-Scope):
- ermöglichen es einem Benutzer, einen bestimmten Ordner, dem er zugewiesen ist, zusammen mit allen Unterordnern zu erstellen, zu bearbeiten oder zu löschen.
- bieten eine detailliertere Kontrolle, sodass Benutzer bestimmte Ordner verwalten können, ohne die Kontrolle über die anderen Ordner im Mandanten zu haben.
Basierend auf ihren enthaltenen Berechtigungen gibt es drei Typen von Rollen:
- Mandantenrollen, die Mandantenberechtigungen enthalten und für die Arbeit auf Mandantenebene erforderlich sind.
- Ordnerrollen, die Berechtigungen für die Arbeit in einem Ordner enthalten.
-
Gemischte Rollen, die beide Berechtigungstypen enthalten.
Bei gemischten Rollen werden für einen globalen Vorgang nur die Mandantenberechtigungen des Benutzers berücksichtigt. Wenn für einen ordnerspezifischen Vorgang eine benutzerdefinierte Rolle definiert ist, werden diese Berechtigungen zugunsten vorhandener Berechtigungen auf Mandantenebene angewendet.
Hinweis: Gemischte Rollen werden nicht mehr unterstützt und Sie können keine neuen erstellen. Wenn Sie gemischte Rollen haben, empfehlen wir, sie durch eine Kombination aus Mandanten- und Ordnerrollen zu ersetzen, um die erforderlichen Berechtigungen zu gewähren.
Die folgenden Ressourcen stehen Benutzern je nach Typ ihrer Rollen zur Verfügung:
Mandantenressourcen |
Ordnerressourcen |
---|---|
|
|
UiPath.Orchestrator.dll.config
vollständig deaktivieren.
Der Rollentyp ist wichtig, da Sie Rollen je nach Typ unterschiedlich zuweisen und es zudem davon abhängt, ob klassische Ordner aktiviert sind:
-
Wenn Klassische Ordner aktivieren unter Mandant > Einstellungen > Allgemein gelöscht wird:
- Sie weisen Mandantenrollen und gemischte Rollen entweder über die Registerkarte Rollen zuweisen oder über die Registerkarte Rollen auf der Seite Mandant > Zugriff verwalten zu.
- Sie weisen Ordnerrollen und gemischte Rollen auf der Seite Ordner oder auf der Seite Einstellungen des Ordners zu.
-
Wenn Klassische Ordner aktivieren unter Mandant > Einstellungen > Allgemein ausgewählt ist:
- Sie weisen einen der drei Rollentypen entweder über die Registerkarte Rollen zuweisen oder über die Registerkarte Rollen auf der Seite Mandant > Zugriff verwalten zu.
- Sie weisen Ordnerrollen und gemischte Rollen auf der Seite Ordner oder auf der Seite Einstellungen des Ordners zu.
In der Regel können Sie alle verfügbaren Rechte (Anzeigen, Bearbeiten, Erstellen oder Löschen) für jede Berechtigung auswählen, aber die folgenden Rechte haben keine Auswirkungen auf die aufgeführte Berechtigung und können daher nicht bearbeitet werden:
Berechtigungstypen |
Berechtigung |
Nicht verfügbare Rechte |
---|---|---|
Mandant |
Warnungen |
|
Audit |
| |
Ordner |
Ausführungsmedien |
|
Protokolle |
| |
Überwachung |
|
Dies liegt z. B. daran, dass es nicht möglich ist, vom System generierte Protokolle zu bearbeiten.
Um verschiedene Vorgänge auf den Seiten Benutzer und Rollen ausführen zu können, benötigen Sie die entsprechenden Berechtigungen:
- Benutzer – Anzeigen – Anzeigen der Seiten Benutzer und Profil.
- Benutzer – Bearbeiten – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer.
- Benutzer – Ansicht und Rollen – Ansicht – Anzeigen von Benutzerberechtigungen im Fenster „Benutzerberechtigungen“.
- Benutzer – Bearbeiten und Rollen – Anzeigen – Bearbeiten von Rollenzuweisungen auf der Seite Zugriff verwalten > Rollen zuweisen.
- Benutzer – Erstellen und Rollen – Anzeigen – Erstellen eines Benutzers.
- Benutzer – Anzeigen und Rollen – Bearbeiten – Verwalten von Rollen im Fenster Benutzer verwalten, das auf der Seite „Zugriff verwalten“ > „Rollen“ geöffnet wird.
- Benutzer – Löschen – Entfernen eines Benutzers aus dem Orchestrator.
Standardmäßig erlaubt der Orchestrator keinen Benutzerzugriff über die einfache Authentifizierung. Diese Funktion kann durch Hinzufügen und Konfigurieren der Einstellung Auth.RestrictBasicAuthentication aktiviert werden. Dadurch können Sie lokale Benutzer erstellen, die mithilfe ihrer einfachen Authentifizierungs-Anmeldeinformationen auf den Orchestrator zugreifen können, sodass Sie vorhandene Integrationen beibehalten können, die beim Aufrufen der Orchestrator-API auf die einfache Authentifizierung angewiesen sind.
Das Aktivieren der einfachen Authentifizierung kann beim Erstellen und Bearbeiten von Benutzern erfolgen.
Standardmäßig werden Sie nach 10 fehlgeschlagenen Anmeldeversuchen für 5 Minuten gesperrt.
Systemadministratoren können die Einstellungen für die Kontosperrungim Hostverwaltungsportal anpassen.