orchestrator

2020.10

false

Démarrage
- Introduction
- Connexion à Orchestrator
- Réinitialiser votre mot de passe
- Robots
  - États du Robot
  - Paramètres du Robot
- Flux d'activités
Meilleures pratiques
- Modélisation de l'organisation dans Orchestrator
- Gestion de grands déploiements
- Meilleures pratiques d'automatisation
Locataire
- À propos du contexte du locataire
- Robots
- Dossiers
- À propos des utilisateurs
- Rôles
  - Rôles par défaut
  - Gestion des rôles
- Machines
  - Gestion des machines
- Paquets
- Audit
- Magasins d'identifiants
- Webhooks
  - Types d'événements
  - Gestion des Webhooks
- À propos des licences
  - Activation de votre licence
  - Gestion de vos licences
- Alertes
  - E-mails d'alerte
  - Configuration des e-mails d'alerte
- Paramètres
Actions
- À propos des actions
- Gérer les actions
Contexte des dossiers
- À propos du contexte des dossiers
- Accueil
  - Vue d'ensemble (Overview)
Automatisations
- À propos des automatisations
Processus (Processes)
- À propos des processus
- Gestion des processus
- À propos des enregistrements
Tâches (Jobs)
- À propos des tâches
- Gestion des tâches
- États d'une tâche
Déclencheurs (Triggers)
- À propos des déclencheurs
- Gestion des déclencheurs
- Utilisation d'expressions cron
Journaux (Logs)
- À propos des journaux
- Gestion des journaux dans Orchestrator
- Niveaux de journalisation
- Journaux d'Orchestrator
- Protection des informations sensibles dans Studio
Surveillance
- À propos de la surveillance
- Machines
- Processus (Processes)
- Files d'attente (Queues)
- SLA de files dʹattente
Files d'attente (Queues)
- À propos des files d'attente et des transactions
- Gestion des files d'attente dans Orchestrator
- Gestion des files d'attente dans Studio
- Gestion des transactions
  - Modification des transactions
  - Description des champs du fichier .csv des transactions
- Demandes de révision
Actifs
- À propos des actifs
- Gestion des actifs dans Orchestrator
- Gestion des actifs dans Studio
Compartiments de stockage
- À propos des compartiments de stockage
  - Configuration CORS/CSP
- Gestion des compartiments de stockage
- Déplacement des données de compartiment entre les fournisseurs de stockage
Test Suite - Orchestrator
- Cas de test
  - Description des champs de la page Cas de test (Test Cases)
- Ensembles de tests
  - Description des champs de la page Ensembles de test (Test Sets)
- Exécutions de test
  - Description des champs de la page Exécutions de test (Test Executions)
- Planifications de test
  - Description des champs de la page Planifications de test (Test Schedules)
- Files d'attente de données de test
Catalogues d'actions (Action Catalogs)
- À propos des catalogues d’actions
- Géstion des catalogues d’actions
Profil
- À propos de la page Profil (Profile)
- Gestion des paramètres du profil
Administrateur système
- À propos des administrateurs système
- Gestion des tenants
- Description des champs de la page Paramètres de l'hôte (Host Settings)
- Mode de Maintenance
Serveur d'identité
- À propos d'Identity Server
- Portail de gestion des identités
- Fournisseurs d’identité externes
  - Description des champs de la page Fournisseurs externes (External Providers)
- Jeton d'accès de l'installation
Authentification
- Configurer l'intégration d'Active Directory
- Configuration de l'authentification unique : SAML 2.0
- Configuration de l'authentification unique : Google
- Configuration de l'authentification unique : Azure Active Directory
- Authentification par carte à puce
- Configuration de la connexion automatique des utilisateurs appartenant à un groupe Active Directory
- Configuration du serveur SMTP
- Modification du protocole d'authentification Windows
Autres configurations
- Augmentation de la limite de taille des fichiers de paquets
- Refus de la télémétrie
- Configuration de la clé de chiffrement par locataire
- Compression GZIP
Intégrations
- À propos des arguments d'entrée et de sortie
  - Exemple d'utilisation des arguments d'entrée et de sortie
Robots classiques
- Robots
- Environnements (Environments)
  - Gestion des environnements
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Surveillance
  - Robots
- Ressources
Résolution des problèmes
- Problèmes IE 11.0.9600.17031
- Erreurs d'Orchestrator fréquemment rencontrées
- Expressions cron
- Problèmes de mise à niveau

Important :

Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique.

Non pris en charge par l'assistance

Guide de l'utilisateur d'Orchestrator

PRODUIT :

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Last updated 12 déc. 2023

À propos des utilisateurs

Vue d'ensemble (Overview)

Les utilisateurs sont des entités dont l'affichage et le contrôle d'Orchestrator reposent sur les rôles qui leur ont été attribués. Les utilisateurs peuvent être créés localement dans Orchestrator (utilisateurs locaux) ou être créés et gérés dans un annuaire externe (Utilisateurs de répertoire, Groupes de répertoire).

En savoir plus sur l’intégration AD pour une meilleure compréhension de l’intégration des répertoires.
Les types d’utilisateurs sont décrits ici.
En savoir plus sur le modèle de contrôle d’accès d’Orchestrator.

La gestion des utilisateurs se fait principalement à partir de la page Utilisateurs (Users) (Contexte du Locataire (Tenant) > Utilisateurs). Cette page affiche tous les utilisateurs disponibles, vous permet de les ajouter ou de les supprimer et de modifier leurs détails.

Integration AD

Un annuaire Active Directory référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. L'accès d'un annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe de l'annuaire), soit au niveau de l'utilisateur (utilisateur de l'annuaire).

Remarque : L'intégration AD ainsi que l'enregistrement automatique des robots Attended et les dossiers hiérarchisés simplifient les déploiements importants. Reportez-vous ici pour savoir comment gérer un tel déploiement dans Orchestrator.

Prérequis

Le paramètre WindowsAuth.Enabled est défini sur true.
Le paramètre WindowsAuth.Domain est renseigné avec un domaine valide. Tous les domaines et sous-domaines de forêts se trouvant dans une relation de confiance réciproque avec le domaine spécifié dans le paramètre WindowsAuth.Domain sont disponibles lors de l'ajout d'utilisateurs/de groupes.
La machine sur laquelle Orchestrator est installé est connectée au domaine défini dans le paramètre WindowsAuth.Domain. Pour vérifier si le périphérique est connecté au domaine, exécutez le dsregcmd /status de l’invite de commande et accédez à la section État du périphérique (Device State).
L’identité sous laquelle le pool d'applications Orchestrator ApplicationPool est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).

Comportement

L'ajout d'un groupe AD crée une entité utilisateur dans Orchestrator appelée groupe du répertoire, pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée sert de référence au groupe disponible dans AD.
Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe dans la base de données AD. S'il est confirmé, il met automatiquement votre utilisateur à disposition en tant qu'utilisateur de l'annuaire, puis l'associe aux droits d'accès hérités du groupe de répertoires. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
L'enregistrement automatique a lieu à la première connexion. Un utilisateur enregistré automatiquement n'est pas supprimé à la déconnexion, car cette entrée peut être requise à des fins d'audit.
Les modifications apportées à l’appartenance à un groupe AD sont synchronisées avec Orchestrator à chaque connexion ou toutes les heures pour les sessions utilisateur actives. Cette valeur peut être modifiée à l'aide de WindowsAuth.GroupMembershipCacheExpireHours. Si vous êtes membre du groupe X, voilà ce qui se passe :
- Vous vous connectez, Orchestrator vérifie votre appartenance à un groupe, puis confirme votre identité dans la base de données AD. Vous disposez alors de droits d'accès en fonction de votre configuration d'Orchestrator. Si votre administrateur système passe votre appartenance du groupe X au groupe Y en session active, les modifications sont interrogées par Orchestrator toutes les heures ou à la prochaine connexion.
Le seul moyen de configurer les droits d'accès conservés entre les sessions, quelle que soit la manière dont l'appartenance au groupe change, est de les configurer explicitement par utilisateur dans Orchestrator. Nous les appelons droits d'accès explicites.
Les utilisateurs AD dont les droits d’accès hérités ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu’ils reposent uniquement sur des droits d’accès explicitement définis.
Groupes en synchronisation AD avec Orchestrator, mais pas l'inverse. Les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.

Problèmes connus

En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
Les modifications apportées aux noms d'utilisateur/groupe AD ne sont pas propagées à Orchestrator.
La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
Les requêtes GetOrganizationUnits(Id) et GetRoles(Id) ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison /api/DirectoryService/GetDirectoryPermissions?userId={userId}.
Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
Les utilisateurs enregistrés automatiquement n’héritent pas des paramètres d’abonnement aux alertes du groupe parent, et ne reçoivent aucune alerte par défaut. Pour leur permettre l'accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.

Considérations d'audit

Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].

Désactivation de l’exécution simultanée

L'optimisation de la consommation des ressources et la maximisation de la capacité d'exécution dans les dossiers modernes implique peu voire aucun contrôle sur la façon dont les utilisateurs sont affectés aux tâches. Pour les scénarios où une information d’identification ne peut pas être utilisée plusieurs fois en simultané (p. ex., SAP), nous avons introduit la possibilité de limiter l’exécution simultanée en mode Unattended. Cela permet de moduler l’algorithme d’attribution des tâches en empêchant un utilisateur d’exécuter simultanément plusieurs tâches.

Utilisateur administrateur

Orchestrator est fourni avec un seul utilisateur prédéfini : admin. Son nom d'utilisateur ne peut pas être modifié ni supprimé. Il dispose du rôle Administrator, mais vous pouvez lui ajouter d'autres rôles, voire le désactiver. Notez que vous ne pouvez pas désactiver l'utilisateur avec lequel vous êtes actuellement connecté.

Les utilisateurs disposant du rôle Administrator peuvent activer, désactiver et supprimer d'autres utilisateurs, ainsi que modifier des informations, y compris le mot de passe. Vous ne pouvez pas supprimer un utilisateur ayant le rôle Administrateur (Administrator).

Permissions des utilisateurs

Pour effectuer différentes opérations sur les pages Utilisateurs (Users) et Profil (Profile), les autorisations suivantes doivent vous être accordées :

Consultation (View) des utilisateurs : affichage des pages Utilisateurs (Users) et Profil (Profile).
Modification (Edit) sur les Utilisateurs (Users) - Modifier les détails et les paramètres des Utilisateurs (Users) sur la page Utilisateurs et activer/désactiver les utilisateurs sur la page Utilisateurs (Users). La configuration de la section Alertes (Alerts) sur la page Profil (Profile) nécessite les autorisations Consultation (View) correspondantes par catégorie d'alertes.
Consultation (View) des utilisateurs, Consultation (View) des rôles : affichez les autorisations utilisateur sur la fenêtre Autorisations des utilisateurs (User Permissions).
Modification (Edit) des utilisateurs, Consultation (View) des rôles : modification des détails et des paramètres de l'utilisateur sur la page Utilisateurs (Users).
Création (Create) d'utilisateurs, Consultation (View) des rôles ; création d'un utilisateur.
Consultation (View) des utilisateurs, Modification (Edit) des rôles : gestion des rôles d'utilisateur dans la fenêtre Gérer les utilisateurs (Manage Users), sur la page Rôles (Roles).
Suppression (Delete) des utilisateurs : suppression d'un utilisateur.

Apprenez-en davantage à la page à propos des rôles.

Considérations de sécurité

Authentification de base

Par défaut, Orchestrator n'autorise pas l'accès des utilisateurs via l'authentification de base. Cette fonctionnalité peut être activée avec le paramètre Auth.RestrictBasicAuthentication. Cela permet de créer des utilisateurs locaux qui peuvent accéder à Orchestrator à l'aide des identifiants d'authentification de base. Cela permet de conserver les intégrations existantes reposant sur l'authentification de base lors de l'appel de l'API d'Orchestrator.

L'activation de l'authentification de base peut s'effectuer lors de la création et de la modification des utilisateurs.

Verrouillage du compte

Après 10 tentatives de connexion avortées, vous êtes verrouillé pendant 5 minutes. Ce sont les paramètres par défaut de Verrouillage du compte (Account Lockout) qui peuvent être modifiés dans l'onglet Sécurité (Security).

La connexion avec le même utilisateur sur une machine différente déconnecte l'utilisateur de la première machine.

Sommaire de la page