- Démarrage
- Meilleures pratiques
- Locataire
- Actions
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Catalogues d'actions (Action Catalogs)
- Profil
- Administrateur système
- Serveur d'identité
- Authentification
- Configurer l'intégration d'Active Directory
- Configuration de l'authentification unique : Google
- Configuration de l'authentification unique : Azure Active Directory
- Authentification par carte à puce
- Configuration de la connexion automatique des utilisateurs appartenant à un groupe Active Directory
- Configuration du serveur SMTP
- Modification du protocole d'authentification Windows
- Autres configurations
- Intégrations
- Robots classiques
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
Types d'utilisateurs
Les utilisateurs locaux ne peuvent être créés que dans Orchestrator. Les attributs tels que le nom et l'e-mail sont gérés dans Orchestrator, ainsi que les rôles et autres paramètres spécifiques à Orchestrator. Elle permet de se connecter à Orchestrator, d'avoir une vue personnalisée d'Orchestrator, en fonction de votre position au sein de l'équipe d'automatisation et, éventuellement, recevoir des alertes par e-mail. Vous ne pouvez pas modifier le nom d'utilisateur de ce type d'utilisateur.
Les utilisateurs locaux sont ajoutés en créant l'utilisateur, en définissant des attributs utilisateur et en affectant des rôles. Deux pages contiennent des informations relatives à l'utilisateur : la page Utilisateur (User) et la page Profil (Profile). Remplir l'une des deux écrase les informations associées dans l'autre (nom, prénom, adresse e-mail).
Vous pouvez convertir les utilisateurs locaux qui se connectent à l'aide d'informations d’identification AD en utilisateurs de répertoire de deux manières :
- Définissez le paramètre WindowsAuth.ConvertUsersAtLogin sur
True
. Cela convertit chaque utilisateur AD local en utilisateur d'annuaire après la première connexion avec les informations d'identification AD. - À l'aide du script ci-dessous. Cette méthode convertit en une seule fois tous les utilisateurs d’AD locaux qui se sont déjà connectés avec les informations d’identification AD.
Cette fonctionnalité ne fonctionne que pour les utilisateurs qui se connectent à l'aide de la page Connexion (Login) dans Orchestrator. Cela ne fonctionne pas pour les utilisateurs qui se connectent via Studio en utilisant la connexion interactive.
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0
Pour les utilisateurs de l'annuaire, seuls les rôles et les paramètres spécifiques à Orchestrator sont gérés dans Orchestrator, tandis que les attributs spécifiques à l'utilisateur (nom, e-mail, appartenance au groupe) sont gérés par l'administrateur de l'annuaire externe.
Un utilisateur de répertoire peut être créé de deux façons :
- En ajoutant un utilisateur AD par lui-même : nous nous référons à lui comme un utilisateur ayant été ajouté individuellement.
- En vous connectant avec un utilisateur appartenant à un groupe AD précédemment ajouté : nous nous référons à lui comme un utilisateur ayant été enregistré automatiquement. Pour plus d'informations, consultez la page À propos des utilisateurs.
Les utilisateurs de l'annuaire héritent toujours des droits d'accès du groupe parent si celui-ci existe dans Orchestrator.
Accès |
Utilisateur local | Utilisation de l’annuaire |
---|---|---|
Hérite des droits d'accès |
|
|
Peut disposer de droits d'accès explicites |
|
|
AD est le noyau central des informations utilisateur |
|
|
Authentification unique |
|
|
Une entité utilisateur créée en référant un groupe AD dans votre instance Orchestrator. Tous les membres du groupe sont des utilisateurs potentiels d’Orchestrator. Tous les droits d’accès attribués à un groupe sont transmis à tous les utilisateurs d’annuaires qui appartiennent à ce groupe, qu'ils aient été enregistrés automatiquement ou ajoutés individuellement. Nous les appelons « droits d’accès hérités » par opposition aux « droits d’accès explicites » qui ne peuvent être définis qu’individuellement par utilisateur.
- Un utilisateur qui appartient à plusieurs groupes hérite de tous les droits d'accès associés.
- Un utilisateur qui appartient à plusieurs groupes, et qui s’est vu accorder explicitement des droits d’accès, a l’union de tous les droits hérités des groupes parentaux et explicitement définis.
L'utilisation de groupes de l'annuaire permet un accès automatique avec les autorisations de groupe, en fonction des utilisateurs ajoutés ou supprimés du groupe de l'annuaire (lors du basculement de services, par exemple) sans devoir gérer les autorisations utilisateur individuellement.
Exemple
Groupes de l'annuaire |
Droits hérités |
Droits explicites |
---|---|---|
Ajout du groupe X avec X ensemble de droits d'accès et du groupe Y avec Y ensemble de droits d'accès. |
John Smith appartient aux groupes X et Y. Il se connecte à Orchestrator. Son utilisateur est enregistré automatiquement avec les droits suivants : X, Y. |
En plus des ensembles X et Y, John reçoit également explicitement l'accès à l'ensemble Z. John dispose désormais des droits suivants : X, Y, Z. La suppression des groupes X et Y laisse John avec Z. |
- Vous n'avez pas besoin d'une entrée utilisateur explicite pour vous connecter à Orchestrator, si vous appartenez à un groupe qui a été ajouté à Orchestrator (étape 1 : section Comportement).
- Les droits d'accès hérités dépendent du groupe d'annuaires associé. Si le répertoire est supprimé, les droits d'accès hérités le sont également.
- Les droits d'accès explicitement définis sont indépendants du groupe d'annuaires. Ils persistent entre les sessions, quel que soit l'état du groupe.
L'utilisateur de Robot est automatiquement créé lorsque vous déployez manuellement un Robot dans Orchestrator. Les utilisateurs Robot ont le rôle Robot par défaut.
Le rôle Robot accorde à votre Robot l'accès à plusieurs pages, ce qui lui permet d'effectuer diverses actions. Voir ici les autorisations exactes du rôle Robot.
Un compte de service est un compte non humain utilisé pour fournir un contexte de sécurité pour l'exécution de charges de travail qui n'impliquent pas l'existence d'un compte humain, telles que les authentifications de serveur à serveur. Dans ces cas, Orchestrator assume l'identité du compte de service.
Un seul compte de service est créé par instance d'Orchestrator. Il n'est pas visible dans l'interface utilisateur et ne peut être identifié que dans les tables de la base de données.
Aucune information d'authentification n'est associée à ce type de compte et, en tant que tel, il ne peut pas se connecter de manière interactive via des navigateurs ou des cookies.
Nous vous recommandons de ne pas désactiver ou supprimer le compte de service, car cela aurait un impact direct sur les charges de travail en cours d'exécution.