orchestrator
2022.10
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique.
UiPath logo, featuring letters U and I in white
Guide de l'utilisateur d'Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 9 oct. 2024

Gestion des capacités d'accès et d'automatisation

Le niveau d'accès et les actions que vos utilisateurs peuvent effectuer sont contrôlés à l'aide de deux éléments :

  • les comptes, qui établissent l'identité d'un utilisateur et sont utilisés pour se connecter à vos applications UiPath ;
  • les rôles, qui sont attribués aux comptes afin de leur accorder certaines autorisations au sein de l'écosystème UiPath.

Les comptes sont créés et gérés par l' Administratorde l'organisation, comme décrit dans Comptes et groupes (Accounts and groups).

Les comptes doivent déjà exister pour pouvoir leur attribuer des rôles.

Cette page et les pages suivantes décrivent :

  • comment gérer les rôles
  • comment gérer les capacités d'automatisation, qui sont configurées dans le cadre de la configuration des rôles.

À propos des comptes

Un compte est une entité UiPath Platform dont l'affichage et le contrôle d'Orchestrator reposent sur les droits d'accès qui lui ont été affectés.

Les comptes peuvent être :

  • créés et gérés localement (comptes locaux) ;

  • créés et gérés dans un annuaire externe (comptes d'annuaire et groupes d'annuaires). Voir la section Intégration AD ci-dessous pour une meilleure compréhension des intégrations d'annuaires.

Vous ajoutez des comptes à partir du portail de gestion au niveau de l'organisation, et les comptes ne sont disponibles qu'au sein de l'organisation concernée.

Une fois qu'un compte a été ajouté avec succès, il existe deux façons de lui accorder des droits d'accès à Orchestrator : en ajoutant le compte à un groupe afin qu'il hérite de ses rôles, ou en attribuant des rôles à chaque compte au niveau du service. Vous pouvez utiliser les deux méthodes pour disposer d'un contrôle granulaire de l'accès dont dispose un compte au sein de votre organisation.

Integration AD

Un annuaire Active Directory (AD) référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. Le niveau d'accès d'un compte d'annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe d'annuaire), soit au niveau de l'utilisateur (utilisateur d'annuaire).

Vous pouvez effectuer l'intégration avec :

Prérequis

  • Le paramètre WindowsAuth.Domain est renseigné avec un domaine valide. Tous les domaines et sous-domaines de forêts se trouvant dans une relation de confiance réciproque avec le domaine spécifié dans le paramètre WindowsAuth.Domain sont disponibles lors de l'ajout d'utilisateurs/de groupes.
  • La machine sur laquelle Orchestrator est installé est connectée au domaine défini dans le paramètre WindowsAuth.Domain. Pour vérifier si le périphérique est connecté au domaine, exécutez le dsregcmd /status de l’invite de commande et accédez à la section État du périphérique (Device State).
  • L’identité sous laquelle le pool d'applications Orchestrator est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).

Comportement

  • L'ajout d'un groupe d'annuaire crée une entité de groupe d'utilisateurs dans Orchestrator pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée dans Orchestrator sert de référence au groupe disponible dans AD.
  • Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe. Si elle est confirmée, il enregistre automatiquement votre compte utilisateur, puis l'associe aux droits d'accès hérités du groupe. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
  • L'enregistrement automatique a lieu la première fois que vous vous connectez. Un compte d'utilisateur enregistré automatiquement n'est pas supprimé lors de la déconnexion, car vous pourriez avoir besoin de l'entrée à des fins d'audit.
  • L'appartenance d'un compte à un groupe est vérifiée par Orchestrator lors de la connexion, ou une fois par heure pendant les sessions actives. Si l'appartenance d'un compte à des groupes change, ces modifications s'appliqueront au compte la prochaine fois qu'il se connectera ou, s'il est actuellement connecté, dans l'heure qui suit.

    Cet intervalle d'une heure pour vérifier l'appartenance à un groupe peut être modifié en définissant la valeur de IdentityServer.GroupMembershipCacheExpireHours.

  • Les groupes dans AD se synchronisent avec Orchestrator, mais les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.
  • Les utilisateurs AD dont les droits d'accès hérités (à partir d'appartenances à des groupes) ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu'ils s'appuient uniquement sur les rôles attribués au compte utilisateur.
  • La seule façon pour vous de configurer des droits d'accès qui persistent entre les sessions, quelle que soit la façon dont l'appartenance au groupe change, consiste à attribuer directement le rôle au compte utilisateur dans Orchestrator, au lieu d'utiliser des groupes pour affecter des rôles.

Problèmes connus

  • En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
  • Les modifications apportées aux noms d'utilisateur ou de groupe dans AD ne sont pas propagées dans Orchestrator.
  • La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
  • Les requêtes GetOrganizationUnits(Id) et GetRoles(Id) ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison /api/DirectoryService/GetDirectoryPermissions?userId={userId}.
  • Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
  • Les utilisateurs n’héritent pas des paramètres d’abonnement aux alertes du groupe parent et ne reçoivent aucune alerte par défaut. Pour avoir accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
  • La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
  • Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.

Considérations relatives à l'audit

  • Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
  • Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].

Types d'utilisateurs

Groupe

Les groupes vous permettent de gérer plusieurs utilisateurs à la fois, en leur appliquant les mêmes rôles et la même configuration via le groupe.

L'adhésion d'un utilisateur est définie dans Admin > Comptes et groupes (Accounts & Groups).

Les groupes d’utilisateurs permettent un accès automatique avec les autorisations de groupe, en fonction des utilisateurs ajoutés ou supprimés du groupe sans devoir gérer les autorisations utilisateur individuellement.

Il existe 4 groupes locaux par défaut : Administrators (Administrators), Automation Users, Automation Developers (Automation Developers), Everyone. Tous les groupes sont livrés avec un ensemble d'autorisations par défaut dans chaque nouveau service que vous créez. Les rôles prêts à l'emploi peuvent être personnalisés ultérieurement pour chaque service Orchestrator.

Si vous avez besoin de plus que les 4 groupes par défaut fournis par UiPath, vous pouvez créer des groupes locaux personnalisés. Contrairement aux groupes d'utilisateurs par défaut, les groupes personnalisés doivent être ajoutés manuellement dans Orchestrator pour garantir le mappage correct entre l'adhésion au groupe d'un utilisateur et le rôle correspondant dans Orchestrator.

Les rôles d'un groupe sont transmis à tous les utilisateurs qui appartiennent à ce groupe, qu'ils aient été enregistrés automatiquement ou ajoutés manuellement. Nous les appelons « rôles hérités », par opposition aux « rôles directement attribués », qui ne peuvent être définis que par compte.

Remarque :
  • Un utilisateur qui appartient à plusieurs groupes hérite de tous les droits d'accès associés.
  • Un utilisateur qui appartient à plusieurs groupes et qui s'est également vu attribuer directement des rôles, a l'union de tous les rôles hérités des groupes et rôles directement attribués.
  • Vous n'avez pas besoin d'un compte utilisateur explicite pour vous connecter à Orchestrator si vous appartenez à un groupe qui a été ajouté à Orchestrator.
  • Les rôles hérités dépendent du groupe d'utilisateurs associé. Si le groupe est supprimé du service, les rôles hérités de ce compte le sont également.
  • Les rôles attribués directement ne sont pas influencés par les groupes auxquels appartient le compte. Ils sont conservés quel que soit l'état du groupe.
Exemple

Imaginons que j’aie ajouté John Smith aux groupes d’utilisateurs Automation Users et Administrators dans mon organisation Automation Cloud.

  • Le groupe Automation User existe dans le service Finances (Finance) d'Orchestrator
  • Le groupe Administrator existe dans le service RH (HR) d'Orchestrator
  • Les rôles directement attribués au compte de John dans les deux services également.

John a l'union des droits hérités et explicites pour chaque service :

Service/Rôles

Groupes d'utilisateurs

Rôles hérités

Rôles explicites

Global

Locatairefinancier

Utilisateur d'automatisation

   

Rôles au niveau du locataire

  • Autoriser à être un utilisateur d’automatisation (Allow to be Automation User)
  • Autoriser à être un utilisateur d’automatisation (Allow to be Automation User)
  • Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)
  • Autoriser à être un utilisateur d’automatisation (Allow to be Automation User)
  • Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)

Rôles au niveau du dossier

  • Automation User au niveau du dossier A
  • Automation User au niveau du dossier B
  • Automation User au niveau du dossier A
  • Automation User au niveau du dossier B
  • Folder Administrator au niveau du dossier A
  • Automation User au niveau du dossier A
  • Automation User au niveau du dossier B
  • Folder Administrator au niveau du dossier A

LocataireRH

Administrators

   

Rôles au niveau du locataire

  • Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)
  • Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)
 
  • Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)

Rôles au niveau du dossier

  • Folder Administrator au niveau du dossier D
  • Folder Administrator au niveau du dossier E
  • Folder Administrator au niveau du dossier D
  • Folder Administrator au niveau du dossier E
  • Folder Administrator au niveau du dossier F
  • Folder Administrator au niveau du dossier D
  • Folder Administrator au niveau du dossier E
  • Folder Administrator au niveau du dossier F

Utilisateur (User)

Selon le mécanisme utilisé pour ajouter des comptes utilisateur à Orchestrator, ceux-ci peuvent être classés en deux catégories :

Utilisateurs ajoutés manuellement

Les utilisateurs qui ont été ajoutés manuellement dans Orchestrator et auxquels des autorisations ont été explicitement accordées au niveau du locataire ou au niveau du dossier. Les comptes utilisateur ajoutés manuellement héritent des droits d'accès du groupe s'ils appartiennent à un groupe qui a également été ajouté à ce service Orchestrator.

Utilisateurs enregistrés automatiquement

Les utilisateurs qui ont été ajoutés à un groupe local et qui se connectent à Orchestrator. Ils peuvent accéder à Orchestrator en fonction des autorisations héritées du groupe. Une fois qu'ils se connectent à Orchestrator pour la première fois, ils sont automatiquement enregistrés.

Important : Sur la page Utilisateurs (Users), dans la colonne Rôles (Roles), vous pouvez voir les rôles explicitement attribués à un utilisateur, qu'ils soient ajoutés manuellement ou enregistrés automatiquement. Les rôles hérités ne s'affichent pas dans cette colonne.

Vous pouvez vérifier l’ensemble des autorisations d’un utilisateur, héritées incluses, en accédant à Autres actions (More Actions) > Vérifier les autorisations (Check Permissions) > fenêtre Autorisations des utilisateurs (User Permissions) pour cet utilisateur spécifique.

 Utilisateur ajouté manuellementUtilisateur enregistré automatiquement

Hérite des droits d'accès

Oui (Yes)

Oui (Yes)

Peut disposer de droits d'accès explicites

Oui (Yes)

Oui (Yes)

Le portail Cloud est le noyau central des informations utilisateur

Oui (Yes)

Oui (Yes)

Peut utiliser l'authentification unique

Oui (Yes)

Oui (Yes)

Robot

L'utilisateur de Robot est automatiquement créé lorsque vous déployez manuellement un Robot dans Orchestrator. Les utilisateurs Robot ont le rôle Robot par défaut. Ce rôle accorde à votre Robot l'accès à plusieurs pages, ce qui lui permet d'effectuer diverses actions.

Icônes de compte et de groupe

Sur les pages de gestion des comptes, des groupes ou des rôles, des icônes spécifiques s'affichent pour chaque type pour vous aider à reconnaître le type de compte ou le type de groupe.

Icônes de compte

- Compte utilisateur UiPath : compte utilisateur associé à un compte UiPath et connecté en utilisant l'authentification de base

- Compte utilisateur SSO : compte utilisateur associé à un compte UiPath connecté via SSO ; s'applique également aux comptes utilisateur ayant un compte utilisateur UiPath et un compte annuaire

- Compte utilisateur d'annuaire : le compte provient d'un annuaire et est connecté avec Enterprise SSO

- Compte Robot

Icônes de groupe

- Groupe local (ou simplement, groupe) : le groupe a été créé par un administrateur hôte.

- Groupe d'annuaires : le groupe provient d'un annuaire associé.

Autorisations pour la gestion des utilisateurs

Pour pouvoir effectuer différentes opérations sur les pages Utilisateurs (Users) et Rôles (Roles), les autorisations suivantes doivent vous être accordées :

  • Utilisateurs - Consultation (Users - View) : affichage des pages Utilisateurs (Users) et Profil (Profile).
  • Utilisateurs - Modification (Users - Edit) : modification des détails et les paramètres sur la page Profil (Profile), et activation/désactivation des utilisateurs sur la page Utilisateurs (Users).
  • Utilisateurs - Consultation (Users - View) et Rôles - Consultation (Roles - View) : affichage des autorisations utilisateur dans la fenêtre Autorisations utilisateur (User Permissions).
  • Utilisateurs - Modification (Users - Edit) et Rôles - Consultation (Roles - View) : modification des attributions de rôle sur la page Gérer l'accès (Manage Access) > Attribuer des rôles (Assign Roles).
  • Utilisateurs - Création (Users - Create) et Rôles - Consultation (Roles - View) : création d'un utilisateur.
  • Utilisateurs - Consultation (Users - View) et Rôles - Modification (Roles - Edit) : gestion des rôles dans la fenêtre Gérer les utilisateurs (Manage Users), ouverte à partir de la page Gérer l'accès (Manage Access) > Rôles (Roles).
  • Utilisateurs - Suppression (Users - Delete) : suppression d'un utilisateur d'Orchestrator.

À propos des rôles

Orchestrator utilise un mécanisme de contrôle d’accès basé sur les rôles et les autorisations. Les rôles sont des collections d'autorisations, ce qui signifie que les autorisations nécessaires à l'utilisation de certaines fonctionnalités d'Orchestrator sont incluses dans les rôles.

Par exemple, voici un rôle personnalisé dont vous pouvez voir certaines des autorisations incluses :



Types d’autorisations et types de rôles

Il existe les deux types d’autorisations suivants :

  • Les autorisations de locataire définissent l’accès d’un utilisateur aux ressources au niveau du locataire.
  • Les autorisations de dossier définissent l’accès et la capacité de l’utilisateur par rapport à chaque dossier qui lui est affecté.
Deux ensembles d’autorisations principaux régissent les opérations dans les dossiers :
  • Les autorisations de dossier (à l’échelle du locataire) :
    • permettent à un utilisateur de créer, modifier ou supprimer tous les dossiers de l’ensemble du locataire.
    • sont généralement accordés aux administrateurs ou aux utilisateurs chargés de la gestion de l’organisation.
  • Les autorisations de sous-dossier (à l’échelle du dossier) :
    • permettent à un utilisateur de créer, modifier ou supprimer un dossier particulier auquel il est affecté, ainsi que tous les sous-dossiers situés en dessous.
    • offrent un contrôle plus précis, permettant aux utilisateurs de gérer des dossiers spécifiques sans avoir de contrôle sur les autres dossiers du locataire.

En fonction des autorisations qu'ils incluent, il existe trois types de rôles :

  • Les rôles de locataire, qui incluent les autorisations de locataire et sont requis pour travailler au niveau du locataire.
  • Les rôles de dossier, qui incluent les autorisations pour travailler dans un dossier.
  • Les Rôles mixtes, qui incluent les deux types d'autorisations.

    Avec les rôles mixtes, pour une opération globale, seules les autorisations de locataire de l’utilisateur sont prises en compte. Pour une opération spécifique au dossier, si un rôle personnalisé est défini, ces autorisations sont appliquées en faveur de toutes les autorisations présentes au niveau du locataire.

    Remarque : les rôles mixtes ne sont plus pris en charge et vous ne pouvez pas en créer de nouveaux. Si vous avez des rôles mixtes, nous vous recommandons de les remplacer par une combinaison de rôles de locataire et de dossier pour accorder les autorisations requises.

Les ressources suivantes sont disponibles pour les utilisateurs selon le type de rôles qu'ils possèdent :

Ressources du locataire

Ressources de dossier

  • Alertes
  • Audit
  • Tâches d'arrière-plan
  • Bibliothèques
  • Licence (License)
  • Machines
  • Journaux ML
  • Paquets
  • Robots
  • Rôles
  • Paramètres
  • Dossiers
  • Utilisateurs
  • Webhooks
  • Actifs
  • Fichiers de stockage
  • Compartiments de stockage
  • Connexions
  • Environnements (Environments)
  • Supports d'exécution
  • Paquets de dossiers
  • Tâches (Jobs)
  • Journaux (Logs)
  • Surveillance
  • Processus (Processes)
  • Files d'attente (Queues)
  • Déclencheurs (Triggers)
  • Sous-dossiers
  • Affectation de l'action
  • Catalogues d'actions (Action Catalogs)
  • Actions
  • Artefacts d'exécution des cas de test
  • Éléments de file d’attente de données de test
  • Files d'attente de données de test
  • Exécution de l'ensemble de tests
  • Ensembles de tests
  • Planifications de l'ensemble de tests
  • Transactions
Vous pouvez désactiver les autorisations entièrement depuis l’interface utilisateur et l’API à l’aide du paramètre Auth.DisabledPermissions dans UiPath.Orchestrator.dll.config.

Attribution des différents types de rôles

Le type de rôle est important car vous attribuez des rôles différemment en fonction de leur type, et cela dépend également si les dossiers classiques sont activés :

  • Si l’option Activer les dossiers classiques (Activate Classic Folders) est désactivée de Locataire (Tenant) > Paramètres (Settings) > Général (General) :

    • Vous attribuez des rôles de locataire et des rôles mixtes à partir de l'onglet Attribuer des rôles (Assign roles) ou de l'onglet Rôles (Roles) de la page Locataire (Tenant) > Gérer l'accès (Manage Access).
    • Vous attribuez des rôles de dossier et des rôles mixtes à partir de la page Dossiers (Folders) ou de la page Paramètres (Settings) du dossier.
  • Si l’option Activer les dossiers classiques (Activate Classic Folders) est sélectionnée dans Locataire (Tenant) > Paramètres (Settings) > Général (General) :

    • Vous attribuez l'un des trois types de rôles à partir de l'onglet Attribuer des rôles (Assign roles) ou de l'onglet Rôles (Roles) de la page Tenant (Tenant) > Gérer l'accès (Manage Access).
    • Vous attribuez des rôles de dossier et des rôles mixtes à partir de la page Dossiers (Folders) ou de la page Paramètres (Settings) du dossier.

Autorisations sans effet

En règle générale, vous pouvez sélectionner tous les droits disponibles (Consultation (View), Modification (Edit), Création (Create) ou Suppression (Delete)) pour n'importe quelle autorisation, mais les droits suivants n'ont aucun effet sur l'autorisation répertoriée, vous ne pouvez donc pas les modifier :

Type d'autorisation

Permission

Droits indisponibles

Locataire

Alertes

  • Supprimer (Delete)
 

Audit

  • Modifier (Edit)
  • Créer (Create)
  • Supprimer (Delete)

Dossier

Supports d'exécution

  • Modifier (Edit)
 

Journaux (Logs)

  • Modifier (Edit)
  • Supprimer (Delete)
 

Surveillance

  • Créer (Create)
  • Supprimer (Delete)

En effet, il n'est par exemple pas possible de modifier les journaux générés par le système.

Considérations de sécurité

Verrouillage du compte

Par défaut, après 10 tentatives de connexion infructueuses, vous êtes verrouillé pendant 5 minutes.

Les administrateurs système peuvent personnaliser les paramètres de Verrouillage du compte ( Account Lockout) à partir du portail de gestion hôte.

Remarque : La connexion avec le même compte sur une machine différente déconnecte l'utilisateur de la première machine.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.