- Démarrage
- Meilleures pratiques
- Locataire
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Autres configurations
- Intégrations
- Robots classiques
- Administration de l'hôte
- À propos du niveau de l’hôte
- Gestion des administrateurs système
- Gestion des locataires
- Configuration des notifications par e-mail du système
- Journaux d'audit pour le portail hôte
- Mode de Maintenance
- Administration de l'organisation
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
Comptes et groupes
Sur la page Comptes et groupes (Accounts & Groups), vous pouvez définir des comptes utilisateur locaux, des comptes Robot et des groupes locaux pour votre organisation.
Le niveau d'accès et les actions que vos utilisateurs peuvent effectuer sont contrôlés à l'aide de deux éléments :
- les comptes, qui établissent l'identité d'un utilisateur et sont utilisés pour se connecter à vos applications UiPath ;
- les rôles, qui sont attribués aux comptes afin de leur accorder certaines autorisations au sein de l'écosystème UiPath.
Les comptes ne sont pas créés ou gérés dans Orchestrator. Seuls les rôles et leurs affectations le sont.
Un compte est une entité UiPath Platform dont l'affichage et le contrôle d'Orchestrator reposent sur les droits d'accès qui lui ont été affectés.
Les comptes peuvent être :
-
créés et gérés localement (comptes locaux) depuis :
- Le portail de gestion. Voir Gestion des comptes (Managing accounts) pour plus d'informations.
- créés et gérés dans un annuaire externe (comptes d'annuaire et groupes annuaire). Voir la section Intégration AD (AD Integration) pour une meilleure compréhension des intégrations d'annuaire.
Vous ajoutez des comptes à partir du portail de gestion au niveau de l'organisation, et les comptes ne sont disponibles qu'au sein de l'organisation concernée.
Une fois qu'un compte a été ajouté avec succès, il existe deux façons de lui accorder des droits d'accès à Orchestrator : en ajoutant le compte à un groupe afin qu'il hérite de ses rôles, ou en attribuant des rôles à chaque compte au niveau du service. Vous pouvez utiliser les deux méthodes pour disposer d'un contrôle granulaire de l'accès dont dispose un compte au sein de votre organisation.
Un annuaire Active Directory (AD) référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. Le niveau d'accès d'un compte d'annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe d'annuaire), soit au niveau de l'utilisateur (utilisateur d'annuaire).
Vous pouvez effectuer l'intégration avec :
- un répertoire Active Directory local (Orchestrator autonome)
-
Azure Active Directory (Orchestrator autonome)
Remarque : L'utilisation d'une intégration AD avec l'enregistrement automatique d'Attended Robots et des dossiers hiérarchisés permet de configurer sans effort des déploiements importants. Voir Gestion de grands déploiements (Managing large deployments) pour plus de détails.
Prérequis
- Le paramètre
WindowsAuth.Domain
est renseigné avec un domaine valide. Tous les domaines et sous-domaines de forêts se trouvant dans une relation de confiance réciproque avec le domaine spécifié dans le paramètreWindowsAuth.Domain
sont disponibles lors de l'ajout d'utilisateurs/de groupes. - La machine sur laquelle Orchestrator est installé est connectée au domaine défini dans le paramètre
WindowsAuth.Domain
. Pour vérifier si le périphérique est connecté au domaine, exécutez ledsregcmd /status
de l’invite de commande et accédez à la section État du périphérique (Device State). - L’identité sous laquelle le pool d'applications Orchestrator est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).
Comportement
- L'ajout d'un groupe d'annuaire crée une entité de groupe d'utilisateurs dans Orchestrator pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée dans Orchestrator sert de référence au groupe disponible dans AD.
- Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe. Si elle est confirmée, il enregistre automatiquement votre compte utilisateur, puis l'associe aux droits d'accès hérités du groupe. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
- L'enregistrement automatique a lieu la première fois que vous vous connectez. Un compte d'utilisateur enregistré automatiquement n'est pas supprimé lors de la déconnexion, car vous pourriez avoir besoin de l'entrée à des fins d'audit.
-
L'appartenance d'un compte à un groupe est vérifiée par Orchestrator lors de la connexion, ou une fois par heure pendant les sessions actives. Si l'appartenance d'un compte à des groupes change, ces modifications s'appliqueront au compte la prochaine fois qu'il se connectera ou, s'il est actuellement connecté, dans l'heure qui suit.
Cet intervalle d'une heure pour vérifier l'appartenance à un groupe peut être modifié en définissant la valeur de IdentityServer.GroupMembershipCacheExpireHours.
- Les groupes dans AD se synchronisent avec Orchestrator, mais les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.
- Les utilisateurs AD dont les droits d'accès hérités (à partir d'appartenances à des groupes) ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu'ils s'appuient uniquement sur les rôles attribués au compte utilisateur.
- La seule façon pour vous de configurer des droits d'accès qui persistent entre les sessions, quelle que soit la façon dont l'appartenance au groupe change, consiste à attribuer directement le rôle au compte utilisateur dans Orchestrator, au lieu d'utiliser des groupes pour affecter des rôles.
Problèmes connus
- En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
- Les modifications apportées aux noms d'utilisateur ou de groupe dans AD ne sont pas propagées dans Orchestrator.
- La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
- Les requêtes
GetOrganizationUnits(Id)
etGetRoles(Id)
ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
- Les utilisateurs n’héritent pas des paramètres d’abonnement aux alertes du groupe parent et ne reçoivent aucune alerte par défaut. Pour avoir accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
- La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
- Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.
Considérations relatives à l'audit
- Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
- Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
Groupe
Les groupes vous permettent de gérer plusieurs utilisateurs à la fois, en leur appliquant les mêmes rôles et la même configuration via le groupe.
-
L'adhésion d'un utilisateur est définie dans Admin > Comptes et groupes (Accounts & Groups).
-
Les groupes d’utilisateurs permettent un accès automatique avec les autorisations de groupe, en fonction des utilisateurs ajoutés ou supprimés du groupe sans devoir gérer les autorisations utilisateur individuellement.
-
Il existe 4 groupes locaux par défaut : Administrators, Automation Users, Automation Developers, Everyone. Tous les groupes sont livrés avec un ensemble d'autorisations par défaut dans chaque nouveau service que vous créez. Les rôles prêts à l'emploi peuvent être personnalisés ultérieurement pour chaque service Orchestrator.
-
Si vous avez besoin de plus que les 4 groupes par défaut fournis par UiPath, vous pouvez créer des groupes locaux personnalisés. Contrairement aux groupes d'utilisateurs par défaut, les groupes personnalisés doivent être ajoutés manuellement dans Orchestrator pour garantir le mappage correct entre l'adhésion au groupe d'un utilisateur et le rôle correspondant dans Orchestrator.
Les rôles d'un groupe sont transmis à tous les utilisateurs qui appartiennent à ce groupe, qu'ils aient été enregistrés automatiquement ou ajoutés manuellement. Nous les appelons « rôles hérités », par opposition aux « rôles directement attribués », qui ne peuvent être définis que par compte.
- Un utilisateur qui appartient à plusieurs groupes hérite de tous les droits d'accès associés.
- Un utilisateur qui appartient à plusieurs groupes et qui s'est également vu attribuer directement des rôles, a l'union de tous les rôles hérités des groupes et rôles directement attribués.
- Vous n'avez pas besoin d'un compte utilisateur explicite pour vous connecter à Orchestrator si vous appartenez à un groupe qui a été ajouté à Orchestrator.
- Les rôles hérités dépendent du groupe d'utilisateurs associé. Si le groupe est supprimé du service, les rôles hérités de ce compte le sont également.
- Les rôles attribués directement ne sont pas influencés par les groupes auxquels appartient le compte. Ils sont conservés quel que soit l'état du groupe.
Exemple
Imaginons que j’aie ajouté John Smith aux groupes d’utilisateurs Automation Users et Administrateurs (Administrators) dans mon organisation Automation Cloud.
- Le groupe Automation User existe dans le service Finances (Finance) d'Orchestrator
- Le groupe Administrator existe dans le service RH (HR) d'Orchestrator
- Les rôles directement attribués au compte de John dans les deux services également.
John a l'union des droits hérités et explicites pour chaque service :
Service/Rôles |
Groupes d'utilisateurs |
Rôles hérités |
Rôles explicites |
Global |
---|---|---|---|---|
Locatairefinancier |
Utilisateur d'automatisation | |||
Rôles au niveau du locataire |
|
|
|
|
Rôles au niveau du dossier |
|
|
|
|
LocataireRH |
Administrators | |||
Rôles au niveau du locataire |
|
|
| |
Rôles au niveau du dossier |
|
|
|
|
Utilisateur (User)
Selon le mécanisme utilisé pour ajouter des comptes utilisateur à Orchestrator, ceux-ci peuvent être classés en deux catégories :
Utilisateurs ajoutés manuellement
Les utilisateurs qui ont été ajoutés manuellement dans Orchestrator et auxquels des autorisations ont été explicitement accordées au niveau du locataire ou au niveau du dossier. Les comptes utilisateur ajoutés manuellement héritent des droits d'accès du groupe s'ils appartiennent à un groupe qui a également été ajouté à ce service Orchestrator.
Utilisateurs enregistrés automatiquement
Les utilisateurs qui ont été ajoutés à un groupe local et qui se connectent à Orchestrator. Ils peuvent accéder à Orchestrator en fonction des autorisations héritées du groupe. Une fois qu'ils se connectent à Orchestrator pour la première fois, ils sont automatiquement enregistrés.
Vous pouvez vérifier l’ensemble des autorisations d’un utilisateur, héritées incluses, en accédant à Autres actions (More Actions) > Vérifier les autorisations (Check Permissions) > fenêtre Autorisations des utilisateurs (User Permissions) pour cet utilisateur spécifique.
Utilisateur ajouté manuellement |
Utilisateur enregistré automatiquement | |
---|---|---|
Hérite des droits d'accès |
|
|
Peut disposer de droits d'accès explicites |
|
|
Le portail Cloud est le noyau central des informations utilisateur |
|
|
Authentification unique |
|
|
Robot
L'utilisateur de Robot est automatiquement créé lorsque vous déployez manuellement un Robot dans Orchestrator. Les utilisateurs Robot ont le rôle Robot par défaut. Ce rôle accorde à votre Robot l'accès à plusieurs pages, ce qui lui permet d'effectuer diverses actions.
Sur les pages de gestion des comptes, des groupes ou des rôles, des icônes spécifiques s'affichent pour chaque type pour vous aider à reconnaître le type de compte ou le type de groupe.
Icônes de compte
- Compte utilisateur UiPath : compte utilisateur associé à un compte UiPath et connecté en utilisant l'authentification de base
- Compte utilisateur SSO : compte utilisateur associé à un compte UiPath connecté via SSO ; s'applique également aux comptes utilisateur ayant un compte utilisateur UiPath et un compte annuaire
- Compte utilisateur d'annuaire : le compte provient d'un annuaire et est connecté avec Enterprise SSO
- Compte Robot
Icônes de groupe
- Groupe local (ou simplement, groupe) : le groupe a été créé par un administrateur hôte.
- Groupe d'annuaires : le groupe provient d'un annuaire associé.
Orchestrator utilise un mécanisme de contrôle d’accès basé sur les rôles et les autorisations. Les rôles sont des collections d’autorisations, ce qui signifie que les autorisations nécessaires à l’utilisation de certaines entités Orchestrator sont affectées à des rôles.
Les relations rôles-autorisations et utilisateurs-rôles permettent un certain niveau d'accès à Orchestrator. Un utilisateur obtient les autorisations requises pour effectuer certaines opérations particulières grâce à un ou plusieurs rôles. Étant donné que les autorisations ne sont pas directement affectées aux utilisateurs, mais qu'ils les acquièrent par le biais de rôles, la gestion des droits d’accès implique l’affectation de rôles appropriés à l’utilisateur.
Voir pour plus d'informations.
Pour pouvoir effectuer différentes opérations sur les pages Utilisateurs (Users) et Rôles (Roles), les autorisations suivantes doivent vous être accordées :
- Utilisateurs - Consultation (Users - View) : affichage des pages Utilisateurs (Users) et Profil (Profile).
- Utilisateurs - Modification (Users - Edit) : modification des détails et les paramètres sur la page Profil (Profile), et activation/désactivation des utilisateurs sur la page Utilisateurs (Users).
- Utilisateurs - Consultation(Users - View) et Rôles - Consultation (Roles - View ) : affichage des autorisations utilisateur dans la fenêtre Autorisations utilisateur (User Permissions ).
- Utilisateurs - Modification (Users - Edit) et Rôles - Consultation (Roles - View) : modification des attributions de rôle sur la page Gérer l'accès (Manage Access) > Attribuer des rôles (Assign Roles).
- Utilisateurs - Création (Users - Create) et Rôles - Consultation (Roles - View) : création d'un utilisateur.
- Utilisateurs - Consultation (Users - View) et Rôles - Modification (Roles - Edit) : gestion des rôles dans la fenêtre Gérer les utilisateurs (Manage Users), ouverte à partir de la page Gérer l'accès (Manage Access) > Rôles (Roles).
- Utilisateurs - Suppression (Users - Delete) : suppression d'un utilisateur d'Orchestrator.