- Erste Schritte
- Best Practices
- Mandant
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Hostverwaltung
- About the host level
- Verwalten von Systemadministratoren
- Verwalten von Mandanten
- Konfigurieren von System-E-Mail-Benachrichtigungen
- Prüfungsprotokolle für das Hostportal
- Wartungsmodus
- Organisationsadministration
- Fehlersuche und ‑behebung
Verwalten von Zugriffs- und Automatisierungsfunktionen
Auf der Seite Zugriff verwalten können Sie Rollen definieren und zuweisen. Im Orchestrator verwenden Sie Rollen, um die Zugriffsebene zu steuern, die ein Benutzer haben soll. Auf dieser Seite gehen wir auf die Begriffe ein, die Sie verstehen müssen, um Ihre Zugriffskontrollstrategie effektiv zu planen und zu implementieren.
Die Zugriffsebene und die Aktionen, die Ihre Benutzer ausführen können, werden mithilfe von zwei Elementen gesteuert:
- Konten, die die Identität eines Benutzers festlegen und zum Anmelden bei Ihren UiPath-Anwendungen verwendet werden
- Rollen, die Konten zugewiesen werden, um ihnen bestimmte Berechtigungen innerhalb des UiPath-Ökosystems zu erteilen.
Im Orchestrator werden keine Konten erstellt oder verwaltet, sondern nur Rollen und ihre Zuweisungen.
Ein Konto ist eine Entität der UiPath Platform mit zugriffsabhängigen Fähigkeiten. Die Ansicht und Steuerung des Orchestrators hängt von den zugewiesenen Zugriffsrechten ab.
Konten können:
-
lokal erstellt und verwaltet werden (lokale Konten), über:
- Verwaltungsportal. Weitere Informationen finden Sie unter Verwalten von Konten .
- in einem externen Verzeichnis erstellt und verwaltet werden (Verzeichniskonten und Verzeichnisgruppen). Weitere Informationen zu Verzeichnisintegrationen finden Sie im Abschnitt AD-Integration.
Konten sind nur innerhalb einer Organisation verfügbar.
Nachdem ein Konto erfolgreich hinzugefügt wurde, gibt es zwei Möglichkeiten, ihm Rechte für den Orchestrator zu erteilen:
- durch Hinzufügen des Kontos zu einer Gruppe, sodass es die Rollen der Gruppe übernimmt, oder
- indem Sie dem Konto Rollen auf Dienstebene zuweisen.
Sie können beide Methoden verwenden, um den Zugriff eines Kontos in Ihrer Organisation detailliert zu steuern.
Ein Active Directory (AD), auf das im Orchestrator verwiesen wird, macht seine Mitglieder zu potenziellen Orchestrator-Benutzern. Die Zugriffsebene für ein Verzeichniskonto wird im Orchestrator entweder auf Gruppenebene (Verzeichnisgruppe) oder auf Benutzerebene (Verzeichnisbenutzer) konfiguriert.
Sie können integrieren mit:
- ein lokales Active Directory
- Azure Active Directory
-
andere Identitätsanbieter, die über ein Verzeichnis verfügen oder sich damit verbinden
Hinweis: Die Verwendung einer AD-Integration zusammen mit der automatischen Bereitstellung von Attended-Robotern und hierarchischen Ordnern ermöglicht die mühelose Einrichtung großer Bereitstellungen. Weitere Informationen finden Sie unter Verwalten großer Bereitstellungen.
Voraussetzungen
- Die Authentifizierungsoption, über die Sie eine Verbindung mit dem externen Verzeichnis herstellen, ist aktiviert.
- Während der Authentifizierungskonfiguration wurde eine gültige Domäne angegeben. Alle Domänen und Unterdomänen aus bidirektionalen Gesamtstrukturen mit der angegebenen Domäne sind verfügbar, wenn Benutzer/Gruppen hinzugefügt werden.
- Die Maschine, auf der der Orchestrator installiert ist, wird der festgelegten Domäne hinzugefügt. Um zu überprüfen, ob das Gerät zur Domäne hinzugefügt wurde, führen Sie
dsregcmd /status
über die Eingabeaufforderung aus, und gehen Sie zum Abschnitt Gerätestatus. - Die Identität, unter welcher der Orchestrator-Anwendungspool ausgeführt wird, muss Teil der Windows Authorization Access-Gruppe (WAA) sein.
Verhalten
- Durch Hinzufügen einer AD-Gruppe wird eine Benutzerentität im Orchestrator mit dem Namen „Verzeichnisgruppe“ erstellt, für die Sie Zugriffsrechte beliebig konfigurieren. Dieser Eintrag dient als Referenz für die Gruppe, wie sie in AD zu finden ist.
- Wenn Sie sich anmelden, überprüft der Orchestrator Ihre Gruppenmitgliedschaft bei der AD-Datenbank. Wenn sie bestätigt wird, wird Ihr Benutzer automatisch als Verzeichnisbenutzer bereitgestellt und den von der Verzeichnisgruppe übernommenen Zugriffsrechten zugeordnet (Schritt 1). Übernommene Rechte werden nur für die Dauer der Benutzersitzung beibehalten.
- Die automatische Bereitstellung erfolgt bei der ersten Anmeldung. Ein automatisch bereitgestellter Benutzer wird beim Abmelden nicht gelöscht, da Sie den Eintrag möglicherweise für Überwachungszwecke benötigen.
-
Änderungen der Gruppenmitgliedschaft im Verzeichnis werden bei jeder Anmeldung mit dem Orchestrator synchronisiert, bei aktiven Benutzer-Sitzungen einmal pro Stunde.
-
Dieser Wert kann mithilfe von WindowsAuth.GroupMembershipCacheExpireHoursgeändert werden.
-
Wenn Sie Mitglied der X-Gruppe sind, geschieht dies:
-
Sie melden sich an, der Orchestrator überprüft Ihre Gruppenmitgliedschaft und bestätigt dann Ihre Identität gegenüber der AD-Datenbank und Identity Server. Sie erhalten dann Zugriffsrechte gemäß Ihrer Orchestrator-Konfiguration. Wenn Ihr Systemadministrator Ihre Gruppenmitgliedschaft von Gruppe X zu Gruppe Y ändert, während Sie eine aktive Sitzung haben, werden die Änderungen vom Orchestrator einmal pro Stunde oder beim nächsten Anmelden abgefragt.
- Die einzige Möglichkeit, Zugriffsrechte zu konfigurieren, die zwischen Sitzungen bestehen bleiben, unabhängig davon, wie sich die Gruppenmitgliedschaft ändert, besteht darin, dem Benutzerkonto direkt und nicht über die Gruppenmitgliedschaft eine Rolle zuzuweisen.
- AD-Benutzer, deren geerbte Zugriffsrechte (aus Gruppenmitgliedschaften) nicht ermittelt werden können, verhalten sich wie lokale Benutzer, d. h. sie verfügen ausschließlich über Rollen, die dem Benutzerkonto zugewiesen sind.
- Gruppen im AD werden mit dem Orchestrator synchronisiert, aber die im Orchestrator vorgenommenen Änderungen haben keine Auswirkungen auf die Benutzerkonfiguration im AD.
Bekannte Probleme (Known Issues)
- Aufgrund verschiedener Netzwerk- oder Konfigurationsprobleme kann es sein, dass nicht alle Domänen zugänglich sind, die in der Dropdownliste Domänenname angezeigt werden.
- Änderungen an Benutzer- oder Gruppennamen im AD werden nicht an den Orchestrator weitergegeben.
- Es kann bis zu einer Stunde dauern, die Domänenliste mit neu hinzugefügten Domänen mit bidirektionaler Vertrauensstellung zu aktualisieren.
- Die Anforderungen
GetOrganizationUnits(Id)
undGetRoles(Id)
geben nur Ordner und Rollen zurück, die explizit für einen automatisch bereitgestellten Benutzer festgelegt wurden. Die von der Gruppenkonfiguration übernommen können über den Endpunkt/api/DirectoryService/GetDirectoryPermissions?userId={userId}
abgerufen werden. - Das gleiche gilt für die Benutzeroberfläche, bei der nur explizit festgelegte Ordner und Rollen auf der Seite Benutzer angezeigt werden, wohingegen übernommene einen neuen dedizierten Speicherort haben, das Fenster Benutzerberechtigungen (Benutzer > Weitere Aktionen > Berechtigungen überprüfen).
- Benutzer übernehmen keine Warnungsabonnementeinstellungen von der übergeordneten Gruppe und sie erhalten standardmäßig keine Warnungen. Um Zugriff auf Warnungen zu erhalten, müssen Sie dem jeweiligen Benutzer die entsprechenden Berechtigungen explizit erteilen.
- Wenn eine Verzeichnisgruppe entfernt wird, wird die Lizenz eines zugeordneten Verzeichnisbenutzers nicht entfernt, auch wenn die Zuweisung des Benutzers zu einem Ordner durch das Entfernen der Gruppe aufgehoben wird. Die einzige Möglichkeit, die Lizenz freizugeben, besteht darin, den Roboter-Tray zu schließen.
- In bestimmten Browsern erfordert die Anmeldung beim Orchestrator mit Ihren AD-Anmeldeinformationen nur Ihren Benutzernamen. Es ist nicht erforderlich, auch die Domäne anzugeben. Wenn also die Syntax Domäne\Benutzername nicht funktioniert, versuchen Sie es damit, nur den Benutzernamen einzugeben.
Prüfungsüberlegungen
- Benutzermitgliedschaft: Benutzer [Benutzername] wurde den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] zugewiesen.
- Automatische Bereitstellung: Benutzer [Benutzername] wurde automatisch von den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] bereitgestellt.
Um verschiedene Vorgänge auf den Seiten Benutzer und Profil auszuführen, müssen Ihnen die entsprechenden Berechtigungen erteilt werden:
- Benutzer – Anzeigen – Anzeigen der Seiten Benutzer und Profil.
- Benutzer – Bearbeiten – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer.
- Benutzer – Ansicht und Rollen – Ansicht – Anzeigen von Benutzerberechtigungen.
- Benutzer – Bearbeiten und Rollen – Anzeigen – Bearbeiten von Rollenzuweisungen auf der Seite Zugriff verwalten > Rollen zuweisen.
- Benutzer – Erstellen und Rollen – Anzeigen – Erstellen eines Benutzers.
- Benutzer – Anzeigen und Rollen – Bearbeiten – Verwalten von Rollen im Fenster Benutzer verwalten, das auf der Seite „Zugriff verwalten“ > „Rollen“ geöffnet wird.
- Benutzer – Löschen – Entfernen eines Benutzers aus dem Orchestrator.
Auch wenn Sie alle verfügbaren Rechte (Anzeigen, Bearbeiten, Erstellen oder Löschen) für jede Berechtigung auswählen können, haben die folgenden Rechte keine Auswirkungen auf die gelistete Berechtigung:
Berechtigung |
Kategorie |
---|---|
Bearbeiten |
|
Erstellen |
|
Löschen |
|
Dies liegt z. B. daran, dass es nicht möglich ist, vom System generierte Protokolle zu bearbeiten.
Standardmäßig erlaubt der Orchestrator keinen Benutzerzugriff über die einfache Authentifizierung. Diese Funktion kann durch Hinzufügen und Konfigurieren der Einstellung Auth.RestrictBasicAuthentication aktiviert werden. Dadurch können Sie lokale Benutzer erstellen, die mithilfe ihrer einfachen Authentifizierungs-Anmeldeinformationen auf den Orchestrator zugreifen können, sodass Sie vorhandene Integrationen beibehalten können, die beim Aufrufen der Orchestrator-API auf die einfache Authentifizierung angewiesen sind.
Das Aktivieren der einfachen Authentifizierung kann beim Erstellen und Bearbeiten von Benutzern erfolgen.
Standardmäßig werden Sie nach 10 fehlgeschlagenen Anmeldeversuchen für 5 Minuten gesperrt.
Systemadministratoren können die Einstellungen für die Kontosperrungim Hostverwaltungsportal anpassen.
Um verschiedene Vorgänge auf den Seiten Benutzer und Rollen ausführen zu können, benötigen Sie die entsprechenden Berechtigungen:
- Benutzer – Anzeigen – Anzeigen der Seiten Benutzer und Profil.
- Benutzer – Bearbeiten – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer.
- Benutzer – Anzeigen und Rollen – Anzeigen – Anzeigen von Benutzerberechtigungen im Fenster Benutzerberechtigungen.
- Benutzer – Bearbeiten und Rollen – Anzeigen – Bearbeiten von Rollenzuweisungen auf der Seite Zugriff verwalten > Rollen zuweisen.
- Benutzer – Erstellen und Rollen – Anzeigen – Erstellen eines Benutzers.
- Benutzer – Anzeigen und Rollen – Bearbeiten – Verwalten von Rollen im Fenster Benutzer verwalten, das auf der Seite „Zugriff verwalten“ > „Rollen“ geöffnet wird.
- Benutzer – Löschen – Entfernen eines Benutzers aus dem Orchestrator.
1. Was passiert mit dem Zugriff eines Benutzers, der mehreren Gruppen angehört?
Der Benutzer erhält die vereinten Zugriffsrechte, die jeder Gruppe zugeordnet sind, der er angehört.
Beispiel: John Smith gehört zu den HR- und Finance-Gruppen, die zum Orchestrator hinzugefügt wurden. Die HR-Gruppe hat die Management-Rolle und Zugriff auf den HR-Ordner, Finance hat die Executor-Rolle und Zugriff auf den Finance-Ordner. Als Teil beider Gruppen hat John die Management- und Executor-Rolle sowie Zugriff auf die HR- und Finance-Ordner.
2. Was passiert mit dem Zugriff, wenn ein Benutzer separat neben einer Gruppe hinzugefügt wird, zu der er gehört?
Der Benutzer erhält die gemeinsamen Zugriffsrechte, die der Gruppe zugeordnet sind, der er angehört, und die explizit festgelegt wurden. Beachten Sie, dass geerbte Zugriffsrechte von Gruppeneinstellungen abhängig sind und dass explizit festgelegte Zugriffsrechte unabhängig von Gruppeneinstellungen sind.
Beispiel: John Smith wurde einzeln von AD hinzugefügt und explizit die Executor-Rolle und Zugriff auf den Finance-Ordner verliehen. Die HR-Gruppe (der John angehört) wurde ebenfalls zum Orchestrator hinzugefügt und erhielt die Management-Rolle und Zugriff auf den HR-Ordner. John hat die Executor- und Management-Rollen sowie Zugriff auf die HR- und Finance-Ordner. Wenn er auf AD-Ebene aus der HR-Gruppe entfernt wird, verliert er die Management-Rolle und den Zugriff auf den HR-Ordner, behält jedoch die explizit festgelegten.
3. Mein Benutzer gehört zu zwei Gruppen, die erste erlaubt die automatische Robotererstellung, die zweite nicht. Wird ein Roboter für meinen Benutzer erstellt oder nicht?
Da ein Benutzer die gemeinsamen Rechte erhält, die allen Gruppen zugeordnet sind, denen er angehört, wird ein Roboter für Ihren Benutzer basierend auf der Konfiguration für die erste Gruppe erstellt.
4. Ich habe eine Verzeichnisgruppe gelöscht/deaktiviert. Können sich die zugehörigen Verzeichnisbenutzer weiterhin anmelden?
Nein, wenn Sie Zugriffsrechte nicht explizit für sie festgelegt haben. Ja, wenn Sie ihnen Zugriffsrechte einzeln im Orchestrator gewährt haben. Vererbte Zugriffsrechte werden nur für die Dauer der aktiven Benutzersitzung beibehalten. Nur explizit festgelegte Zugriffsrechte bleiben zwischen Sitzungen bestehen. Durch das Löschen oder Deaktivieren einer Verzeichnisgruppe werden geerbte Rechte gelöscht, aber an den explizit festgelegten ändert sich nichts.
5. Wann werden Änderungen an einer AD-Gruppe im Orchestrator wirksam?
WindowsAuth.GroupMembershipCacheExpireHours
geändert werden.