- Primeros pasos
- Mejores prácticas
- Tenant
- Acciones
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Catálogos de acciones
- Perfil
- Administrador de sistema
- Servidor de identidad
- Autenticación
- Otras configuraciones
- Integraciones
- Robots clásicos
- Solución de problemas
Guía del usuario de Orchestrator
Acerca de los usuarios
Un usuario es una entidad con capacidades dependientes del acceso cuya vista y control de Orchestrator dependen de los roles asignados. Los usuarios pueden crearse localmente en Orchestrator (usuarios locales) o pueden crearse y administrarse en un directorio externo (usuarios de directorio, grupos de directorio).
-
Más información sobre integración de AD para entender mejor la integración del directorio.
-
Los tipos de usuario se describen aquí.
-
Más información sobre el modelo de control de acceso de Orchestrator.
La gestión de usuarios se realiza principalmente en la página Usuarios (contexto de Tenant > Usuarios). Esta página muestra todos los usuarios disponibles, te permite añadirlos o eliminarlos y modificar sus detalles.
Un directorio activo referenciado en Orchestrator hace que todos sus miembros sean usuarios potenciales de Orchestrator. El nivel de acceso que se asigna a un directorio se configura en Orchestrator, ya sea en el nivel de grupo (Grupo del directorio) o en el nivel de usuario (Usuario del directorio).
- El parámetro
WindowsAuth.Enabled
se establece comotrue
. - El parámetro
WindowsAuth.Domain
se rellena con un dominio válido. Todos los dominios y subdominios de los bosques de confianza bidireccional con el dominio especificado en el parámetroWindowsAuth.Domain
están disponibles al añadir usuarios/grupos. - La máquina en la que está instalado Orchestrator se une al dominio establecido en el parámetro
WindowsAuth.Domain
. Para comprobar si el dispositivo está asociado al dominio, ejecutadsregcmd /status
desde el símbolo del sistema del sistema y dirígete a la sección Estado del dispositivo. - La identidad bajo la cual se ejecuta Orchestrator ApplicationPool necesita ser parte del grupo de Acceso de Autorización de Windows (WAA).
- Al añadir un grupo de AD, se crea una entidad de usuario en Orchestrator llamada Grupo de directorio, para la que configuras derechos de acceso según desees. Esta entrada sirve como referencia para el grupo, como se encuentra en AD.
- Al iniciar sesión, Orchestrator comprueba la membresía de tu grupo con la base de datos de AD. Si se confirma, se provisiona automáticamente tu usuario como Usuario de directorio y luego se asocia a los derechos de acceso heredados del grupo de directorio (paso 1). Los derechos heredados solo se conservan durante la duración de la sesión de usuario.
- Se realiza el aprovisionamiento automático la primera vez que inicias la sesión. Un usuario aprovisionado automáticamente no se elimina al cerrar la sesión ya que es posible que necesite la entrada con fines de auditoría.
-
Los cambios realizados a la membresía de grupo AD se sincronizan con Orchestrator en cada inicio de sesión o una vez cada hora para las sesiones de usuario activas. Este valor se puede personalizar mediante el parámetro WindowsAuth.GroupMembershipCacheExpireHours Si eres miembro de un grupo X lo que sucede es esto:
- Inicias sesión, Orchestrator comprueba tu afiliación a un grupo y luego confirma tu identidad contra la base de datos de AD. Entonces se te conceden permisos de acceso según tu configuración de Orchestrator. Si el administrador de tu sistema cambia tu pertenencia a grupo desde el grupo X al grupo Y mientras mantienes una sesión activa, Orchestrator consulta los cambios una vez por hora, o la siguiente vez que inicies sesión.
- La única forma de configurar derechos de acceso que persistan entre sesiones, independientemente de los cambios de membresía del grupo, es configurarlos de forma explícita por usuario en Orchestrator. Nos referimos a ellos como derechos de acceso explícitos.
- Los usuarios de AD cuyos derechos de acceso heredados no se pueden determinar se comportan como usuarios locales, lo que significa que dependen únicamente de los derechos de acceso establecidos de forma explícita.
- Los grupos de AD se sincronizan con Orchestrator, pero no al revés. Los cambios realizados en Orchestrator no afectan a la configuración de usuario en AD.
- Debido a diversos problemas de red o de configuración, existe la posibilidad de que no todos los dominios mostrados en el Nombre de dominio sean accesibles.
- Los cambios realizados en los nombres de usuarios/grupos de AD no se propagan a Orchestrator.
- La actualización de la lista de dominios con los nuevos dominios de confianza bidireccionales puede tardar hasta una hora.
- Las solicitudes
GetOrganizationUnits(Id)
yGetRoles(Id)
solo devuelven carpetas y roles establecidos explícitamente para un usuario aprovisionado automáticamente. Los heredados de la configuración del grupo pueden recuperarse a través del punto final/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - Lo mismo vale para la interfaz de usuario, donde solo se muestran carpetas y roles establecidos de forma explícita en la página Usuarios. En contraste, los heredados tienen una nueva ubicación independiente, la ventana Permisos de usuario (Usuarios > Más acciones > Comprobar permisos).
- Los usuarios aprovisionados automáticamente no heredan los ajustes de suscripción de alerta del grupo principal, ni reciben ninguna alerta de forma predeterminada. Para tener acceso a las alertas deberás otorgar los permisos correspondientes al usuario explícitamente.
- Eliminar un grupo de directorio no elimina la licencia de un usuario de directorio asociado, incluso si la eliminación del grupo quita al usuario de cualquier carpeta. La única forma de eliminar la licencia es cerrar la bandeja de Robots.
- En ciertos navegadores, iniciar sesión en Orchestrator utilizando tus credenciales de AD solo requiere tu nombre de usuario. No hace falta especificar también el dominio. Por tanto, si la sintaxis dominio/nombre de usuario no funciona, intenta rellenar solo el nombre de usuario.
- Membresía de usuario: el usuario [username] se asignó a los siguientes grupos de directorio [Grupos de directorio de los que el usuario hereda derechos de acceso en la sesión actual].
- Aprovisionamiento automático: el usuario [username] será aprovisionado automáticamente de los siguientes grupos de directorio [Grupos de directorio de los que el usuario hereda derechos de acceso en la sesión actual].
La optimización de los recursos y maximizar la capacidad de ejecución en carpetas modernas implica poco o ningún control sobre cómo se asignan usuarios a los trabajos. Para supuestos en los que unos credenciales no se pueden utilizar más de una vez (por ejemplo, SAP), hemos incluido la posibilidad de limitar la ejecución simultánea. Esto ayuda a modular el algoritmo de asignación de trabajos limitando que un usuario ejecute simultáneamente varios trabajos.
Orchestrator viene con solo un usuario predefinido: admin. Su nombre de usuario no puede cambiarse y no puede eliminarse. Tiene el rol de Administrador, pero puedes añadirle otros roles e incluso desactivarlo. Ten en cuenta que no puedes desactivar el usuario con el que has iniciado sesión.
Los usuarios con el rol de Administrador pueden activar, desactivar y eliminar otros usuarios, además de editar la información de los usuarios, incluida la contraseña. No se pueden eliminar usuarios que tengan el rol de Administrador.
Para realizar varias operaciones en las páginas Usuarios y Perfil deberás tener los permisos correspondientes:
- Ver en Usuarios: muestra las páginas Usuarios y Perfil.
- Editar en usuarios: edita los detalles y configuraciones del usuario en la página Perfil , y activa / desactiva usuarios en la página Usuarios . La configuración de la sección Alertas en la página Perfil requiere los permisos Ver por categoría de alerta correspondientes.
- Ver en Usuarios, Ver en Roles: mostrar los permisos del usuario en la ventana Permisos del usuario.
- Editar en Usuarios, Ver en Roles: Editar detalles de usuario y ajustes de la página Usuarios.
- Crear en Usuarios, Ver en Roles: crear un usuario.
- Ver en Usuarios, Editar en Roles: administrar roles de usuario en la ventana Administrar usuarios, en la página Roles.
- Eliminar en Usuarios: eliminar un usuario.
Consulta más información sobre roles.
De forma predeterminada, Orchestrator no permite el acceso de los usuarios a través de la autenticación básica. Esta funcionalidad puede habilitarse con el parámetro Auth.RestrictBasicAuthentication. De este modo, se habilita la creación de usuarios locales que pueden acceder a Orchestrator con sus credenciales de autenticación básicas, lo que te permite mantener las integraciones existentes que dependían de la autenticación básica al llamar a la API de Orchestrator.
Se puede habilitar la autenticación básica al crear y editar usuarios.
Después de 10 intentos de inicio de sesión fallidos, se bloquea el inicio de sesión durante 5 minutos. Esta es la configuración predeterminada de Bloqueo de cuenta, que puede cambiarse en la pestaña Seguridad.
Al iniciar sesión con el mismo usuario en una máquina diferente desconecta al usuario de la primera máquina.