- Démarrage
- Meilleures pratiques
- Locataire
- Actions
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Catalogues d'actions (Action Catalogs)
- Profil
- Administrateur système
- Serveur d'identité
- Authentification
- Configurer l'intégration d'Active Directory
- Configuration de l'authentification unique : Google
- Configuration de l'authentification unique : Azure Active Directory
- Authentification par carte à puce
- Configuration de la connexion automatique des utilisateurs appartenant à un groupe Active Directory
- Configuration du serveur SMTP
- Modification du protocole d'authentification Windows
- Autres configurations
- Intégrations
- Robots classiques
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
À propos des utilisateurs
Les utilisateurs sont des entités dont l'affichage et le contrôle d'Orchestrator reposent sur les rôles qui leur ont été attribués. Les utilisateurs peuvent être créés localement dans Orchestrator (utilisateurs locaux) ou être créés et gérés dans un annuaire externe (Utilisateurs de répertoire, Groupes de répertoire).
-
En savoir plus sur l’intégration AD pour une meilleure compréhension de l’intégration des répertoires.
-
Les types d’utilisateurs sont décrits ici.
-
En savoir plus sur le modèle de contrôle d’accès d’Orchestrator.
La gestion des utilisateurs se fait principalement à partir de la page Utilisateurs (Users) (Contexte du Locataire (Tenant) > Utilisateurs). Cette page affiche tous les utilisateurs disponibles, vous permet de les ajouter ou de les supprimer et de modifier leurs détails.
Un annuaire Active Directory référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. L'accès d'un annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe de l'annuaire), soit au niveau de l'utilisateur (utilisateur de l'annuaire).
- Le paramètre
WindowsAuth.Enabled
est défini surtrue
. - Le paramètre
WindowsAuth.Domain
est renseigné avec un domaine valide. Tous les domaines et sous-domaines de forêts se trouvant dans une relation de confiance réciproque avec le domaine spécifié dans le paramètreWindowsAuth.Domain
sont disponibles lors de l'ajout d'utilisateurs/de groupes. - La machine sur laquelle Orchestrator est installé est connectée au domaine défini dans le paramètre
WindowsAuth.Domain
. Pour vérifier si le périphérique est connecté au domaine, exécutez ledsregcmd /status
de l’invite de commande et accédez à la section État du périphérique (Device State). - L’identité sous laquelle le pool d'applications Orchestrator ApplicationPool est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).
- L'ajout d'un groupe AD crée une entité utilisateur dans Orchestrator appelée groupe du répertoire, pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée sert de référence au groupe disponible dans AD.
- Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe dans la base de données AD. S'il est confirmé, il met automatiquement votre utilisateur à disposition en tant qu'utilisateur de l'annuaire, puis l'associe aux droits d'accès hérités du groupe de répertoires. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
- L'enregistrement automatique a lieu à la première connexion. Un utilisateur enregistré automatiquement n'est pas supprimé à la déconnexion, car cette entrée peut être requise à des fins d'audit.
-
Les modifications apportées à l’appartenance à un groupe AD sont synchronisées avec Orchestrator à chaque connexion ou toutes les heures pour les sessions utilisateur actives. Cette valeur peut être modifiée à l'aide de WindowsAuth.GroupMembershipCacheExpireHours. Si vous êtes membre du groupe X, voilà ce qui se passe :
- Vous vous connectez, Orchestrator vérifie votre appartenance à un groupe, puis confirme votre identité dans la base de données AD. Vous disposez alors de droits d'accès en fonction de votre configuration d'Orchestrator. Si votre administrateur système passe votre appartenance du groupe X au groupe Y en session active, les modifications sont interrogées par Orchestrator toutes les heures ou à la prochaine connexion.
- Le seul moyen de configurer les droits d'accès conservés entre les sessions, quelle que soit la manière dont l'appartenance au groupe change, est de les configurer explicitement par utilisateur dans Orchestrator. Nous les appelons droits d'accès explicites.
- Les utilisateurs AD dont les droits d’accès hérités ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu’ils reposent uniquement sur des droits d’accès explicitement définis.
- Groupes en synchronisation AD avec Orchestrator, mais pas l'inverse. Les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.
- En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
- Les modifications apportées aux noms d'utilisateur/groupe AD ne sont pas propagées à Orchestrator.
- La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
- Les requêtes
GetOrganizationUnits(Id)
etGetRoles(Id)
ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
- Les utilisateurs enregistrés automatiquement n’héritent pas des paramètres d’abonnement aux alertes du groupe parent, et ne reçoivent aucune alerte par défaut. Pour leur permettre l'accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
- La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
- Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.
- Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
- Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
L'optimisation de la consommation des ressources et la maximisation de la capacité d'exécution dans les dossiers modernes implique peu voire aucun contrôle sur la façon dont les utilisateurs sont affectés aux tâches. Pour les scénarios où une information d’identification ne peut pas être utilisée plusieurs fois en simultané (p. ex., SAP), nous avons introduit la possibilité de limiter l’exécution simultanée en mode Unattended. Cela permet de moduler l’algorithme d’attribution des tâches en empêchant un utilisateur d’exécuter simultanément plusieurs tâches.
Orchestrator est fourni avec un seul utilisateur prédéfini : admin. Son nom d'utilisateur ne peut pas être modifié ni supprimé. Il dispose du rôle Administrator, mais vous pouvez lui ajouter d'autres rôles, voire le désactiver. Notez que vous ne pouvez pas désactiver l'utilisateur avec lequel vous êtes actuellement connecté.
Les utilisateurs disposant du rôle Administrator peuvent activer, désactiver et supprimer d'autres utilisateurs, ainsi que modifier des informations, y compris le mot de passe. Vous ne pouvez pas supprimer un utilisateur ayant le rôle Administrateur (Administrator).
Pour effectuer différentes opérations sur les pages Utilisateurs (Users) et Profil (Profile), les autorisations suivantes doivent vous être accordées :
- Consultation (View) des utilisateurs : affichage des pages Utilisateurs (Users) et Profil (Profile).
- Modification (Edit) sur les Utilisateurs (Users) - Modifier les détails et les paramètres des Utilisateurs (Users) sur la page Utilisateurs et activer/désactiver les utilisateurs sur la page Utilisateurs (Users). La configuration de la section Alertes (Alerts) sur la page Profil (Profile) nécessite les autorisations Consultation (View) correspondantes par catégorie d'alertes.
- Consultation (View) des utilisateurs, Consultation (View) des rôles : affichez les autorisations utilisateur sur la fenêtre Autorisations des utilisateurs (User Permissions).
- Modification (Edit) des utilisateurs, Consultation (View) des rôles : modification des détails et des paramètres de l'utilisateur sur la page Utilisateurs (Users).
- Création (Create) d'utilisateurs, Consultation (View) des rôles ; création d'un utilisateur.
- Consultation (View) des utilisateurs, Modification (Edit) des rôles : gestion des rôles d'utilisateur dans la fenêtre Gérer les utilisateurs (Manage Users), sur la page Rôles (Roles).
- Suppression (Delete) des utilisateurs : suppression d'un utilisateur.
Apprenez-en davantage à la page à propos des rôles.
Par défaut, Orchestrator n'autorise pas l'accès des utilisateurs via l'authentification de base. Cette fonctionnalité peut être activée avec le paramètre Auth.RestrictBasicAuthentication. Cela permet de créer des utilisateurs locaux qui peuvent accéder à Orchestrator à l'aide des identifiants d'authentification de base. Cela permet de conserver les intégrations existantes reposant sur l'authentification de base lors de l'appel de l'API d'Orchestrator.
L'activation de l'authentification de base peut s'effectuer lors de la création et de la modification des utilisateurs.
Après 10 tentatives de connexion avortées, vous êtes verrouillé pendant 5 minutes. Ce sont les paramètres par défaut de Verrouillage du compte (Account Lockout) qui peuvent être modifiés dans l'onglet Sécurité (Security).
La connexion avec le même utilisateur sur une machine différente déconnecte l'utilisateur de la première machine.