- Démarrage
- Meilleures pratiques
- Locataire
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Autres configurations
- Intégrations
- Robots classiques
- Administration de l'hôte
- À propos du niveau de l’hôte
- Gestion des administrateurs système
- Gestion des locataires
- Configuration des notifications par e-mail du système
- Journaux d'audit pour le portail hôte
- Mode de Maintenance
- Administration de l'organisation
- Résolution des problèmes
Gestion des capacités d'accès et d'automatisation
Sur la page Gérer l'accès (Manage Access), vous pouvez définir et attribuer des rôles. Dans Orchestrator, vous pouvez utiliser des rôles pour contrôler le niveau d'accès dont un utilisateur peut disposer.
Sur cette page, nous passons en revue les notions que vous devez comprendre pour planifier et mettre en œuvre efficacement votre stratégie de contrôle d'accès.
Le niveau d'accès et les actions que vos utilisateurs peuvent effectuer sont contrôlés à l'aide de deux éléments :
- les comptes, qui établissent l'identité d'un utilisateur et sont utilisés pour se connecter à vos applications UiPath ;
- les rôles, qui sont attribués aux comptes afin de leur accorder certaines autorisations au sein de l'écosystème UiPath.
Les comptes ne sont pas créés ou gérés dans Orchestrator. Seuls les rôles et leurs affectations le sont.
Un compte est une entité UiPath Platform dont l'affichage et le contrôle d'Orchestrator reposent sur les rôles qui lui ont été affectés.
Les comptes peuvent être :
-
créés et gérés localement (comptes locaux) depuis :
- Le portail de gestion. Voir Gestion des comptes (Managing accounts) pour plus d'informations.
- créés et gérés dans un annuaire externe (comptes d'annuaire et groupes annuaire). Voir la section Intégration AD (AD Integration) pour une meilleure compréhension des intégrations d'annuaire.
Les comptes ne sont disponibles qu'au sein d'une seule organisation.
Une fois qu'un compte a été ajouté avec succès, il existe deux façons de lui accorder des droits sur Orchestrator :
- en ajoutant le compte à un groupe afin qu'il hérite des rôles du groupe ou
- en attribuant des rôles au compte au niveau du service.
Vous pouvez utiliser les deux méthodes pour disposer d'un contrôle granulaire de l'accès dont dispose un compte au sein de votre organisation.
Un annuaire Active Directory (AD) référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. Le niveau d'accès d'un compte d'annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe d'annuaire), soit au niveau de l'utilisateur (utilisateur d'annuaire).
Vous pouvez effectuer l'intégration avec :
- un Active Directory local
- Azure Active Directory
-
d'autres fournisseurs d'identité qui disposent d'un annuaire ou qui s'y connectent
Remarque : L'utilisation d'une intégration d'annuaire avec l'enregistrement automatique d'Attended Robots et des dossiers hiérarchisés permet de configurer sans effort des déploiements importants. Voir Gestion des grands déploiements ( Managing large deployments) pour plus de détails.
Prérequis
- L'option d'authentification via laquelle vous vous connectez à l'annuaire externe est activée.
- Un domaine valide a été spécifié lors de la configuration de l'authentification. Tous les domaines et sous-domaines des forêts approuvées dans les deux sens avec le domaine spécifié sont disponibles lors de l'ajout d'utilisateurs/de groupes.
- La machine sur laquelle Orchestrator est installé est connectée au domaine défini. Pour vérifier si le périphérique est connecté au domaine, exécutez le
dsregcmd /status
de l’invite de commande et accédez à la section État du périphérique (Device State). - L’identité sous laquelle le pool d'applications Orchestrator est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).
Comportement
- L'ajout d'un groupe AD crée une entité utilisateur dans Orchestrator appelée groupe du répertoire, pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée sert de référence au groupe disponible dans AD.
- Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe dans la base de données AD. S'il est confirmé, il met automatiquement votre utilisateur à disposition en tant qu'utilisateur de l'annuaire, puis l'associe aux droits d'accès hérités du groupe de répertoires. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
- L'enregistrement automatique a lieu à la première connexion. Un compte utilisateur enregistré automatiquement n'est pas supprimé à la déconnexion, car cette entrée peut être requise à des fins d'audit.
-
Les modifications apportées à l’appartenance à un groupe dans le répertoire sont synchronisées avec Orchestrator à chaque connexion ou toutes les heures pour les sessions utilisateur actives.
-
Cette valeur peut être modifiée à l'aide de WindowsAuth.GroupMembershipCacheExpireHours.
-
Si vous êtes membre du groupe X, voilà ce qui se passe :
-
Vous vous connectez, Orchestrator vérifie votre appartenance à un groupe, puis confirme votre identité dans la base de données AD et Identity Server. Vous disposez alors de droits d'accès en fonction de votre configuration d'Orchestrator. Si votre administrateur système passe votre appartenance du groupe X au groupe Y en session active, les modifications sont interrogées par Orchestrator toutes les heures ou à la prochaine connexion.
- La seule façon de configurer des droits d'accès qui persistent entre les sessions, quelle que soit la modification de l'appartenance au groupe, consiste à attribuer un rôle au compte d'utilisateur directement et non via l'appartenance à un groupe.
- Les utilisateurs AD dont les droits d'accès hérités (à partir d'appartenances à des groupes) ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu'ils s'appuient uniquement sur les rôles attribués au compte utilisateur.
- Les groupes dans AD se synchronisent avec Orchestrator, mais les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.
Problèmes connus
- En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
- Les modifications apportées aux noms d'utilisateur ou de groupe dans AD ne sont pas propagées dans Orchestrator.
- La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
- Les requêtes
GetOrganizationUnits(Id)
etGetRoles(Id)
ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
- Les utilisateurs n’héritent pas des paramètres d’abonnement aux alertes du groupe parent et ne reçoivent aucune alerte par défaut. Pour avoir accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
- La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
- Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.
Considérations relatives à l'audit
- Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
- Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
Pour pouvoir effectuer différentes opérations sur les pages Utilisateurs (Users) et Profil (Profile), les autorisations suivantes doivent vous être accordées :
- Utilisateurs - Consultation (Users - View) : affichage des pages Utilisateurs (Users) et Profil (Profile).
- Utilisateurs - Modification (Users - Edit) : modification des détails et les paramètres sur la page Profil (Profile), et activation/désactivation des utilisateurs sur la page Utilisateurs (Users).
- Utilisateurs - Affichage et Rôles - Affichage - Affichent les autorisations des utilisateurs.
- Utilisateurs - Modification (Users - Edit) et Rôles - Consultation (Roles - View) : modification des attributions de rôle sur la page Gérer l'accès (Manage Access) > Attribuer des rôles (Assign Roles).
- Utilisateurs - Création (Users - Create) et Rôles - Consultation (Roles - View) : création d'un utilisateur.
- Utilisateurs - Consultation (Users - View) et Rôles - Modification (Roles - Edit) : gestion des rôles dans la fenêtre Gérer les utilisateurs (Manage Users), ouverte à partir de la page Gérer l'accès (Manage Access) > Rôles (Roles).
- Utilisateurs - Suppression (Users - Delete) : suppression d'un utilisateur d'Orchestrator.
Bien que vous puissiez sélectionner tous les droits disponibles (Afficher (View), Modifier (Edit), Création (Create) ou Suppression (Delete)) pour n'importe quelle autorisation, les droits suivants n'ont aucun effet sur l'autorisation répertoriée :
Permission |
Catégorie |
---|---|
Modifier (Edit) |
|
Créer (Create) |
|
Supprimer (Delete) |
|
En effet, il n'est par exemple pas possible de modifier les journaux générés par le système.
Par défaut, Orchestrator n'autorise pas l'accès des utilisateurs via l'authentification de base. Cette fonctionnalité peut être activée en ajoutant et en configurant le paramètre Auth.RestrictBasicAuthentication. Cela permet de créer des comptes locaux qui peuvent accéder à Orchestrator à l'aide des identifiants d'authentification de base. Cela permet de conserver les intégrations existantes reposant sur l'authentification de base lors de l'appel de l'API d'Orchestrator.
L'activation de l'authentification de base peut s'effectuer lors de la création et de la modification des comptes.
Par défaut, après 10 tentatives de connexion infructueuses, vous êtes verrouillé pendant 5 minutes.
Les administrateurs système peuvent personnaliser les paramètres de Verrouillage du compte ( Account Lockout) à partir du portail de gestion hôte.
Pour pouvoir effectuer différentes opérations sur les pages Utilisateurs (Users) et Rôles (Roles), les autorisations suivantes doivent vous être accordées :
- Utilisateurs - Consultation (Users - View) : affichage des pages Utilisateurs (Users) et Profil (Profile).
- Utilisateurs - Modification (Users - Edit) : modification des détails et les paramètres sur la page Profil (Profile), et activation/désactivation des utilisateurs sur la page Utilisateurs (Users).
- Utilisateurs - Consultation (Users - View) et Rôles - Consultation (Roles - View) : affichage des autorisations utilisateur dans la fenêtre Autorisations utilisateur (User Permissions).
- Utilisateurs - Modification (Users - Edit) et Rôles - Consultation (Roles - View) : modification des attributions de rôle sur la page Gérer l'accès (Manage Access) > Attribuer des rôles (Assign Roles).
- Utilisateurs - Création (Users - Create) et Rôles - Consultation (Roles - View) : création d'un utilisateur.
- Utilisateurs - Consultation (Users - View) et Rôles - Modification (Roles - Edit) : gestion des rôles dans la fenêtre Gérer les utilisateurs (Manage Users), ouverte à partir de la page Gérer l'accès (Manage Access) > Rôles (Roles).
- Utilisateurs - Suppression (Users - Delete) : suppression d'un utilisateur d'Orchestrator.
1. Que se passe-t-il au niveau de l'accès pour un utilisateur appartenant à plusieurs groupes ?
L’utilisateur reçoit tous les droits d’accès associés à chaque groupe auquel il appartient.
Exemple : John Smith fait partie des groupes RH et Finances (Finance) qui ont été ajoutés à Orchestrator. Le groupe RH a le rôle de gestion (Management) et accès au dossier RH, tandis que le groupe Finances (Finance) a le rôle d'exécuteur (Executor) et accès au dossier Finances (Finance). Faisant partie des deux groupes, John a les rôles de gestion (Management) et d'exécuteur (Executor), ainsi qu’accès aux dossiers RH et Finances (Finance).
2. Que se passe-t-il au niveau de l'accès lorsqu'un utilisateur est également ajouté séparément avec un groupe auquel il appartient ?
L’utilisateur reçoit tous les droits d’accès associés au groupe auquel il appartient et ceux explicitement définis. Gardez à l’esprit que les droits d’accès hérités dépendent des paramètres du groupe et que les droits d’accès explicitement définis sont indépendants des paramètres du groupe.
Exemple : John Smith a été ajouté individuellement à partir d’AD et a explicitement reçu le rôle d'exécuteur (Executor) ainsi que l’accès au dossier Finances (Finance). Le groupe RH (dont John est membre) a également été ajouté à Orchestrator et obtenu le rôle de gestion (Management) ainsi que l’accès au dossier RH. John a les rôles d'exécuteur (Executor) et Gestion (Management) ainsi que l’accès aux dossiers RH et Finances (Finance). S’il est retiré du groupe RH au niveau AD, il perd le rôle de gestion (Managementà et l’accès au dossier RH, mais conserve ceux définis explicitement.
3. Mon utilisateur appartient à deux groupes, le premier permet la création automatique de Robots contrairement au second. Un robot est-il créé pour mon utilisateur ou non ?
Étant donné qu’un utilisateur reçoit tous les droits associés à tous les groupes auxquels il appartient, un robot est créé pour votre utilisateur en fonction de la configuration faite pour le premier groupe.
4. J'ai supprimé/désactivé un groupe d'annuaire. Les utilisateurs de l'annuaire associés pourront-ils toujours se connecter ?
Non, si vous n’avez pas défini explicitement leurs droits d’accès. Oui, si vous leur avez accordé individuellement des droits d’accès dans Orchestrator. Les droits d’accès hérités ne sont conservés que pendant toute la durée de la session utilisateur active. Seuls les droits d’accès explicitement définis restent en vigueur entre les sessions. La suppression ou la désactivation d’un groupe de répertoire supprime les droits hérités, mais ne change rien à ceux qui ont été explicitement définis.
5. Quand les modifications apportées à un groupe AD prennent-elles effet dans Orchestrator ?
WindowsAuth.GroupMembershipCacheExpireHours