Orchestrator
2020.10
False
Image de fond de la bannière
Non pris en charge par l'assistance
Guide de l'utilisateur d'Orchestrator
Dernière mise à jour 12 déc. 2023

À propos des utilisateurs

Vue d'ensemble (Overview)

Les utilisateurs sont des entités dont l'affichage et le contrôle d'Orchestrator reposent sur les rôles qui leur ont été attribués. Les utilisateurs peuvent être créés localement dans Orchestrator (utilisateurs locaux) ou être créés et gérés dans un annuaire externe (Utilisateurs de répertoire, Groupes de répertoire).

La gestion des utilisateurs se fait principalement à partir de la page Utilisateurs (Users) (Contexte du Locataire (Tenant) > Utilisateurs). Cette page affiche tous les utilisateurs disponibles, vous permet de les ajouter ou de les supprimer et de modifier leurs détails.



Integration AD

Un annuaire Active Directory référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. L'accès d'un annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe de l'annuaire), soit au niveau de l'utilisateur (utilisateur de l'annuaire).

Remarque : L'intégration AD ainsi que l'enregistrement automatique des robots Attended et les dossiers hiérarchisés simplifient les déploiements importants. Reportez-vous ici pour savoir comment gérer un tel déploiement dans Orchestrator.

Prérequis

  • Le paramètre WindowsAuth.Enabled est défini sur true.
  • Le paramètre WindowsAuth.Domain est renseigné avec un domaine valide. Tous les domaines et sous-domaines de forêts se trouvant dans une relation de confiance réciproque avec le domaine spécifié dans le paramètre WindowsAuth.Domain sont disponibles lors de l'ajout d'utilisateurs/de groupes.
  • La machine sur laquelle Orchestrator est installé est connectée au domaine défini dans le paramètre WindowsAuth.Domain. Pour vérifier si le périphérique est connecté au domaine, exécutez le dsregcmd /status de l’invite de commande et accédez à la section État du périphérique (Device State).
  • L’identité sous laquelle le pool d'applications Orchestrator ApplicationPool est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).

Comportement

  1. L'ajout d'un groupe AD crée une entité utilisateur dans Orchestrator appelée groupe du répertoire, pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée sert de référence au groupe disponible dans AD.
  2. Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe dans la base de données AD. S'il est confirmé, il met automatiquement votre utilisateur à disposition en tant qu'utilisateur de l'annuaire, puis l'associe aux droits d'accès hérités du groupe de répertoires. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
  3. L'enregistrement automatique a lieu à la première connexion. Un utilisateur enregistré automatiquement n'est pas supprimé à la déconnexion, car cette entrée peut être requise à des fins d'audit.

  4. Les modifications apportées à l’appartenance à un groupe AD sont synchronisées avec Orchestrator à chaque connexion ou toutes les heures pour les sessions utilisateur actives. Cette valeur peut être modifiée à l’aide de WindowsAuth.GroupMembershipCacheExpireHours. Si vous êtes membre du groupe X, voilà ce qui se passe :

    • Vous vous connectez, Orchestrator vérifie votre appartenance à un groupe, puis confirme votre identité dans la base de données AD. Vous disposez alors de droits d'accès en fonction de votre configuration d'Orchestrator. Si votre administrateur système passe votre appartenance du groupe X au groupe Y en session active, les modifications sont interrogées par Orchestrator toutes les heures ou à la prochaine connexion.
  5. Le seul moyen de configurer les droits d'accès conservés entre les sessions, quelle que soit la manière dont l'appartenance au groupe change, est de les configurer explicitement par utilisateur dans Orchestrator. Nous les appelons droits d'accès explicites.
  6. Les utilisateurs AD dont les droits d’accès hérités ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu’ils reposent uniquement sur des droits d’accès explicitement définis.
  7. Groupes en synchronisation AD avec Orchestrator, mais pas l'inverse. Les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.

Problèmes connus

  • En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
  • Les modifications apportées aux noms d'utilisateur/groupe AD ne sont pas propagées à Orchestrator.
  • La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
  • Les requêtes GetOrganizationUnits(Id) et GetRoles(Id) ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison /api/DirectoryService/GetDirectoryPermissions?userId={userId}.
  • Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
  • Les utilisateurs enregistrés automatiquement n’héritent pas des paramètres d’abonnement aux alertes du groupe parent, et ne reçoivent aucune alerte par défaut. Pour leur permettre l'accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
  • La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
  • Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.

Considérations d'audit

  • Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
  • Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].

Désactivation de l’exécution simultanée

L'optimisation de la consommation des ressources et la maximisation de la capacité d'exécution dans les dossiers modernes implique peu voire aucun contrôle sur la façon dont les utilisateurs sont affectés aux tâches. Pour les scénarios où une information d’identification ne peut pas être utilisée plusieurs fois en simultané (p. ex., SAP), nous avons introduit la possibilité de limiter l’exécution simultanée en mode Unattended. Cela permet de moduler l’algorithme d’attribution des tâches en empêchant un utilisateur d’exécuter simultanément plusieurs tâches.

Utilisateur administrateur

Orchestrator est fourni avec un seul utilisateur prédéfini : admin. Son nom d'utilisateur ne peut pas être modifié ni supprimé. Il dispose du rôle Administrator, mais vous pouvez lui ajouter d'autres rôles, voire le désactiver. Notez que vous ne pouvez pas désactiver l'utilisateur avec lequel vous êtes actuellement connecté.

Les utilisateurs disposant du rôle Administrator peuvent activer, désactiver et supprimer d'autres utilisateurs, ainsi que modifier des informations, y compris le mot de passe. Vous ne pouvez pas supprimer un utilisateur ayant le rôle Administrateur (Administrator).

Permissions des utilisateurs

Pour effectuer différentes opérations sur les pages Utilisateurs (Users) et Profil (Profile), les autorisations suivantes doivent vous être accordées :

  • Consultation (View) des utilisateurs : affichage des pages Utilisateurs (Users) et Profil (Profile).
  • Modification (Edit) sur les Utilisateurs (Users) - Modifier les détails et les paramètres des Utilisateurs (Users) sur la page Utilisateurs et activer/désactiver les utilisateurs sur la page Utilisateurs (Users). La configuration de la section Alertes (Alerts) sur la page Profil (Profile) nécessite les autorisations Consultation (View) correspondantes par catégorie d'alertes.
  • Consultation (View) des utilisateurs, Consultation (View) des rôles : affichez les autorisations utilisateur sur la fenêtre Autorisations des utilisateurs (User Permissions).
  • Modification (Edit) des utilisateurs, Consultation (View) des rôles : modification des détails et des paramètres de l'utilisateur sur la page Utilisateurs (Users).
  • Création (Create) d'utilisateurs, Consultation (View) des rôles ; création d'un utilisateur.
  • Consultation (View) des utilisateurs, Modification (Edit) des rôles : gestion des rôles d'utilisateur dans la fenêtre Gérer les utilisateurs (Manage Users), sur la page Rôles (Roles).
  • Suppression (Delete) des utilisateurs : suppression d'un utilisateur.

Apprenez-en davantage à la page à propos des rôles.

Considérations de sécurité

Authentification de base

Par défaut, Orchestrator n’autorise pas l’accès des utilisateurs via l’authentification de base. Cette fonctionnalité peut être activée avec le paramètre Auth.RestrictBasicAuthentication. Cela permet de créer des utilisateurs locaux qui peuvent accéder à Orchestrator à l’aide des identifiants d’authentification de base. Cela permet de conserver les intégrations existantes reposant sur l’authentification de base lors de l’appel de l’API d’Orchestrator.

L'activation de l'authentification de base peut s'effectuer lors de la création et de la modification des utilisateurs.

Verrouillage du compte

Après 10 tentatives de connexion avortées, vous êtes verrouillé pendant 5 minutes. Ce sont les paramètres par défaut de Verrouillage du compte (Account Lockout) qui peuvent être modifiés dans l'onglet Sécurité (Security).

La connexion avec le même utilisateur sur une machine différente déconnecte l'utilisateur de la première machine.

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
Forum UiPath
Forum de la communauté UiPath
Logo Uipath blanc
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2024 UiPath. All rights reserved.