- Démarrage
- Meilleures pratiques
- Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Gestion des Robots
- Connexion des Robots à Orchestrator
- Exemples de configurations
- Enregistrement des identifiants du Robot dans CyberArk
- Configuration des Robots Attended
- Configurer des robots Unattended
- Stockage des mots de passe d'Unattended Robot dans Azure Key Vault (lecture seule)
- Stockage des informations d'identification de l'Unattended Robot dans HashiCorp Vault (lecture seule)
- Suppression des sessions Unattended déconnectées et qui ne répondent pas
- Authentification du Robot
- Authentification du Robot avec les informations d'identification du client
- Authentification par carte à puce
- Audit
- Service de catalogue de ressources
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Autres configurations
- Intégrations
- Robots classiques
- Administration de l'hôte
- À propos du niveau de l’hôte
- Gestion des administrateurs système
- Gestion des locataires
- Configuration des notifications par e-mail du système
- Journaux d'audit pour le portail hôte
- Mode de Maintenance
- Administration de l'organisation
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
Gestion des capacités d'accès et d'automatisation
Le niveau d'accès et les actions que vos utilisateurs peuvent effectuer sont contrôlés à l'aide de deux éléments :
- les comptes, qui établissent l'identité d'un utilisateur et sont utilisés pour se connecter à vos applications UiPath ;
- les rôles, qui sont attribués aux comptes afin de leur accorder certaines autorisations au sein de l'écosystème UiPath.
Les comptes sont créés et gérés par les administrateurs de l'organisation. Les comptes doivent déjà exister pour pouvoir leur attribuer des rôles.
Cette page et les pages suivantes décrivent :
- comment gérer les rôles
- comment gérer les capacités d'automatisation, qui sont configurées dans le cadre de la configuration des rôles.
Un compte est une entité UiPath Platform dont l'affichage et le contrôle d'Orchestrator reposent sur les droits d'accès qui lui ont été affectés.
Les comptes peuvent être :
-
créés et gérés localement (comptes locaux) ;
- créés et gérés dans un annuaire externe (comptes d’annuaire et groupes d’annuaires). Voir la section Intégration AD ci-dessous pour une meilleure compréhension des intégrations d’annuaires.
Vous ajoutez des comptes à partir du portail de gestion au niveau de l'organisation, et les comptes ne sont disponibles qu'au sein de l'organisation concernée.
Une fois qu'un compte a été ajouté avec succès, il existe deux façons de lui accorder des droits d'accès à Orchestrator : en ajoutant le compte à un groupe afin qu'il hérite de ses rôles, ou en attribuant des rôles à chaque compte au niveau du service. Vous pouvez utiliser les deux méthodes pour disposer d'un contrôle granulaire de l'accès dont dispose un compte au sein de votre organisation.
Un annuaire Active Directory (AD) référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. Le niveau d'accès d'un compte d'annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe d'annuaire), soit au niveau de l'utilisateur (utilisateur d'annuaire).
Vous pouvez effectuer l'intégration avec :
- un Active Directory local
-
Azure Active Directory
Remarque : l’utilisation d’une intégration AD avec l’enregistrement automatique d’Attended Robots et des dossiers hiérarchisés permet de configurer sans effort des déploiements importants. Voir Gestion de grands déploiements pour plus de détails.
Prérequis
- Le paramètre
WindowsAuth.Domain
est renseigné avec un domaine valide. Tous les domaines et sous-domaines de forêts se trouvant dans une relation de confiance réciproque avec le domaine spécifié dans le paramètreWindowsAuth.Domain
sont disponibles lors de l'ajout d'utilisateurs/de groupes. - La machine sur laquelle Orchestrator est installé est connectée au domaine défini dans le paramètre
WindowsAuth.Domain
. Pour vérifier si le périphérique est connecté au domaine, exécutez ledsregcmd /status
de l’invite de commande et accédez à la section État du périphérique (Device State). - L’identité sous laquelle le pool d'applications Orchestrator est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).
Comportement
- L'ajout d'un groupe d'annuaire crée une entité de groupe d'utilisateurs dans Orchestrator pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée dans Orchestrator sert de référence au groupe disponible dans AD.
- Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe. Si elle est confirmée, il enregistre automatiquement votre compte utilisateur, puis l'associe aux droits d'accès hérités du groupe. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
- L'enregistrement automatique a lieu la première fois que vous vous connectez. Un compte d'utilisateur enregistré automatiquement n'est pas supprimé lors de la déconnexion, car vous pourriez avoir besoin de l'entrée à des fins d'audit.
-
L'appartenance d'un compte à un groupe est vérifiée par Orchestrator lors de la connexion, ou une fois par heure pendant les sessions actives. Si l'appartenance d'un compte à des groupes change, ces modifications s'appliqueront au compte la prochaine fois qu'il se connectera ou, s'il est actuellement connecté, dans l'heure qui suit.
Cet intervalle d’une heure pour vérifier l’appartenance à un groupe peut être modifié en définissant la valeur de IdentityServer.GroupMembershipCacheExpireHours.
- Les groupes dans AD se synchronisent avec Orchestrator, mais les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.
- Les utilisateurs AD dont les droits d'accès hérités (à partir d'appartenances à des groupes) ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu'ils s'appuient uniquement sur les rôles attribués au compte utilisateur.
- La seule façon pour vous de configurer des droits d'accès qui persistent entre les sessions, quelle que soit la façon dont l'appartenance au groupe change, consiste à attribuer directement le rôle au compte utilisateur dans Orchestrator, au lieu d'utiliser des groupes pour affecter des rôles.
Problèmes connus
- En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
- Les modifications apportées aux noms d'utilisateur ou de groupe dans AD ne sont pas propagées dans Orchestrator.
- La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
- Les requêtes
GetOrganizationUnits(Id)
etGetRoles(Id)
ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
- Les utilisateurs n’héritent pas des paramètres d’abonnement aux alertes du groupe parent et ne reçoivent aucune alerte par défaut. Pour avoir accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
- La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
- Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.
Considérations relatives à l'audit
- Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
- Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
Groupe
Les groupes vous permettent de gérer plusieurs utilisateurs à la fois, en leur appliquant les mêmes rôles et la même configuration via le groupe.
-
L'adhésion d'un utilisateur est définie dans Admin > Comptes et groupes (Accounts & Groups).
-
Les groupes d’utilisateurs permettent un accès automatique avec les autorisations de groupe, en fonction des utilisateurs ajoutés ou supprimés du groupe sans devoir gérer les autorisations utilisateur individuellement.
-
Il existe 4 groupes locaux par défaut : Administrators, Automation Users, Automation Developers, Everyone. Tous les groupes sont livrés avec un ensemble d'autorisations par défaut dans chaque nouveau service que vous créez. Les rôles prêts à l'emploi peuvent être personnalisés ultérieurement pour chaque service Orchestrator.
-
Si vous avez besoin de plus que les 4 groupes par défaut fournis par UiPath, vous pouvez créer des groupes locaux personnalisés. Contrairement aux groupes d'utilisateurs par défaut, les groupes personnalisés doivent être ajoutés manuellement dans Orchestrator pour garantir le mappage correct entre l'adhésion au groupe d'un utilisateur et le rôle correspondant dans Orchestrator.
Les rôles d'un groupe sont transmis à tous les utilisateurs qui appartiennent à ce groupe, qu'ils aient été enregistrés automatiquement ou ajoutés manuellement. Nous les appelons « rôles hérités », par opposition aux « rôles directement attribués », qui ne peuvent être définis que par compte.
- Un utilisateur qui appartient à plusieurs groupes hérite de tous les droits d'accès associés.
- Un utilisateur qui appartient à plusieurs groupes et qui s'est également vu attribuer directement des rôles, a l'union de tous les rôles hérités des groupes et rôles directement attribués.
- Vous n'avez pas besoin d'un compte utilisateur explicite pour vous connecter à Orchestrator si vous appartenez à un groupe qui a été ajouté à Orchestrator.
- Les rôles hérités dépendent du groupe d'utilisateurs associé. Si le groupe est supprimé du service, les rôles hérités de ce compte le sont également.
- Les rôles attribués directement ne sont pas influencés par les groupes auxquels appartient le compte. Ils sont conservés quel que soit l'état du groupe.
Exemple
Imaginons que j’aie ajouté John Smith aux groupes d’utilisateurs Automation Users et Administrateurs (Administrators) dans mon organisation Automation Cloud.
- Le groupe Automation User existe dans le service Finances (Finance) d'Orchestrator
- Le groupe Administrator existe dans le service RH (HR) d'Orchestrator
- Les rôles directement attribués au compte de John dans les deux services également.
John a l'union des droits hérités et explicites pour chaque service :
Service/Rôles |
Groupes d'utilisateurs |
Rôles hérités |
Rôles explicites |
Global |
---|---|---|---|---|
Locatairefinancier |
Utilisateur d'automatisation | |||
Rôles au niveau du locataire |
|
|
|
|
Rôles au niveau du dossier |
|
|
|
|
LocataireRH |
Administrators | |||
Rôles au niveau du locataire |
|
|
| |
Rôles au niveau du dossier |
|
|
|
|
Utilisateur (User)
Selon le mécanisme utilisé pour ajouter des comptes utilisateur à Orchestrator, ceux-ci peuvent être classés en deux catégories :
Utilisateurs ajoutés manuellement
Les utilisateurs qui ont été ajoutés manuellement dans Orchestrator et auxquels des autorisations ont été explicitement accordées au niveau du locataire ou au niveau du dossier. Les comptes utilisateur ajoutés manuellement héritent des droits d'accès du groupe s'ils appartiennent à un groupe qui a également été ajouté à ce service Orchestrator.
Utilisateurs enregistrés automatiquement
Les utilisateurs qui ont été ajoutés à un groupe local et qui se connectent à Orchestrator. Ils peuvent accéder à Orchestrator en fonction des autorisations héritées du groupe. Une fois qu'ils se connectent à Orchestrator pour la première fois, ils sont automatiquement enregistrés.
Vous pouvez vérifier l’ensemble des autorisations d’un utilisateur, héritées incluses, en accédant à Autres actions (More Actions) > Vérifier les autorisations (Check Permissions) > fenêtre Autorisations des utilisateurs (User Permissions) pour cet utilisateur spécifique.
Utilisateur ajouté manuellement |
Utilisateur enregistré automatiquement | |
---|---|---|
Hérite des droits d'accès |
|
|
Peut disposer de droits d'accès explicites |
|
|
Le portail Cloud est le noyau central des informations utilisateur |
|
|
Authentification unique |
|
|
Robot
L'utilisateur de Robot est automatiquement créé lorsque vous déployez manuellement un Robot dans Orchestrator. Les utilisateurs Robot ont le rôle Robot par défaut. Ce rôle accorde à votre Robot l'accès à plusieurs pages, ce qui lui permet d'effectuer diverses actions.
Sur les pages de gestion des comptes, des groupes ou des rôles, des icônes spécifiques s'affichent pour chaque type pour vous aider à reconnaître le type de compte ou le type de groupe.
Icônes de compte
- Compte utilisateur UiPath : compte utilisateur associé à un compte UiPath et connecté en utilisant l'authentification de base
- Compte utilisateur SSO : compte utilisateur associé à un compte UiPath connecté via SSO ; s'applique également aux comptes utilisateur ayant un compte utilisateur UiPath et un compte annuaire
- Compte utilisateur d'annuaire : le compte provient d'un annuaire et est connecté avec Enterprise SSO
- Compte Robot
Icônes de groupe
- Groupe local (ou simplement, groupe) : le groupe a été créé par un administrateur hôte.
- Groupe d'annuaires : le groupe provient d'un annuaire associé.
Orchestrator utilise un mécanisme de contrôle d’accès basé sur les rôles et les autorisations. Les rôles sont des collections d'autorisations, ce qui signifie que les autorisations nécessaires à l'utilisation de certaines fonctionnalités d'Orchestrator sont incluses dans les rôles.
Par exemple, voici un rôle personnalisé dont vous pouvez voir certaines des autorisations incluses :
Il existe les deux types d’autorisations suivants :
- Les autorisations de locataire définissent l’accès d’un utilisateur aux ressources au niveau du locataire.
- Les autorisations de dossier définissent l’accès et la capacité de l’utilisateur par rapport à chaque dossier qui lui est affecté.
- Les autorisations de dossier (à l’échelle du locataire) :
- permettent à un utilisateur de créer, modifier ou supprimer tous les dossiers de l’ensemble du locataire.
- sont généralement accordés aux administrateurs ou aux utilisateurs chargés de la gestion de l’organisation.
- Les autorisations de sous-dossier (à l’échelle du dossier) :
- permettent à un utilisateur de créer, modifier ou supprimer un dossier particulier auquel il est affecté, ainsi que tous les sous-dossiers situés en dessous.
- offrent un contrôle plus précis, permettant aux utilisateurs de gérer des dossiers spécifiques sans avoir de contrôle sur les autres dossiers du locataire.
En fonction des autorisations qu'ils incluent, il existe trois types de rôles :
- Les rôles de locataire, qui incluent les autorisations de locataire et sont requis pour travailler au niveau du locataire.
- Les rôles de dossier, qui incluent les autorisations pour travailler dans un dossier.
-
Les Rôles mixtes, qui incluent les deux types d'autorisations.
Avec les rôles mixtes, pour une opération globale, seules les autorisations de locataire de l’utilisateur sont prises en compte. Pour une opération spécifique au dossier, si un rôle personnalisé est défini, ces autorisations sont appliquées en faveur de toutes les autorisations présentes au niveau du locataire.
Remarque : les rôles mixtes ne sont plus pris en charge et vous ne pouvez pas en créer de nouveaux. Si vous avez des rôles mixtes, nous vous recommandons de les remplacer par une combinaison de rôles de locataire et de dossier pour accorder les autorisations requises.
Les ressources suivantes sont disponibles pour les utilisateurs selon le type de rôles qu'ils possèdent :
Ressources du locataire |
Ressources de dossier |
---|---|
|
|
UiPath.Orchestrator.dll.config
.
Le type de rôle est important car vous attribuez des rôles différemment en fonction de leur type, et cela dépend également si les dossiers classiques sont activés :
-
Si l’option Activer les dossiers classiques (Activate Classic Folders) est désactivée de Locataire (Tenant) > Paramètres (Settings) > Général (General) :
- Vous attribuez des rôles de locataire et des rôles mixtes à partir de l'onglet Attribuer des rôles (Assign roles) ou de l'onglet Rôles (Roles) de la page Locataire (Tenant) > Gérer l'accès (Manage Access).
- Vous attribuez des rôles de dossier et des rôles mixtes à partir de la page Dossiers (Folders) ou de la page Paramètres (Settings) du dossier.
-
Si l’option Activer les dossiers classiques (Activate Classic Folders) est sélectionnée dans Locataire (Tenant) > Paramètres (Settings) > Général (General) :
- Vous attribuez l'un des trois types de rôles à partir de l'onglet Attribuer des rôles (Assign roles) ou de l'onglet Rôles (Roles) de la page Tenant (Tenant) > Gérer l'accès (Manage Access).
- Vous attribuez des rôles de dossier et des rôles mixtes à partir de la page Dossiers (Folders) ou de la page Paramètres (Settings) du dossier.
En règle générale, vous pouvez sélectionner tous les droits disponibles (Consultation (View), Modification (Edit), Création (Create) ou Suppression (Delete)) pour n'importe quelle autorisation, mais les droits suivants n'ont aucun effet sur l'autorisation répertoriée, vous ne pouvez donc pas les modifier :
Type d'autorisation |
Permission |
Droits indisponibles |
---|---|---|
Locataire |
Alertes |
|
Audit |
| |
Dossier |
Supports d'exécution |
|
Journaux (Logs) |
| |
Surveillance |
|
En effet, il n'est par exemple pas possible de modifier les journaux générés par le système.
Pour pouvoir effectuer différentes opérations sur les pages Utilisateurs (Users) et Rôles (Roles), les autorisations suivantes doivent vous être accordées :
- Utilisateurs - Consultation (Users - View) : affichage des pages Utilisateurs (Users) et Profil (Profile).
- Utilisateurs - Modification (Users - Edit) : modification des détails et les paramètres sur la page Profil (Profile), et activation/désactivation des utilisateurs sur la page Utilisateurs (Users).
- Utilisateurs - Consultation (Users - View) et Rôles - Consultation (Roles - View) : affichage des autorisations utilisateur dans la fenêtre Autorisations utilisateur (User Permissions).
- Utilisateurs - Modification (Users - Edit) et Rôles - Consultation (Roles - View) : modification des attributions de rôle sur la page Gérer l'accès (Manage Access) > Attribuer des rôles (Assign Roles).
- Utilisateurs - Création (Users - Create) et Rôles - Consultation (Roles - View) : création d'un utilisateur.
- Utilisateurs - Consultation (Users - View) et Rôles - Modification (Roles - Edit) : gestion des rôles dans la fenêtre Gérer les utilisateurs (Manage Users), ouverte à partir de la page Gérer l'accès (Manage Access) > Rôles (Roles).
- Utilisateurs - Suppression (Users - Delete) : suppression d'un utilisateur d'Orchestrator.
Par défaut, Orchestrator n'autorise pas l'accès des utilisateurs via l'authentification de base. Cette fonctionnalité peut être activée en ajoutant et en configurant le paramètre Auth.RestrictBasicAuthentication. Cela permet de créer des comptes locaux qui peuvent accéder à Orchestrator à l'aide des identifiants d'authentification de base. Cela permet de conserver les intégrations existantes reposant sur l'authentification de base lors de l'appel de l'API d'Orchestrator.
L'activation de l'authentification de base peut s'effectuer lors de la création et de la modification des comptes.
Par défaut, après 10 tentatives de connexion infructueuses, vous êtes verrouillé pendant 5 minutes.
Les administrateurs système peuvent personnaliser les paramètres de Verrouillage du compte ( Account Lockout) à partir du portail de gestion hôte.
- À propos des comptes
- Integration AD
- Types d'utilisateurs
- Icônes de compte et de groupe
- À propos des rôles
- Types d’autorisations et types de rôles
- Attribution des différents types de rôles
- Autorisations sans effet
- Autorisations pour la gestion des utilisateurs
- Considérations de sécurité
- Authentification de base
- Verrouillage du compte