- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- ホストの管理
- 組織管理者
- トラブルシューティング
アクセス制御
Orchestrator では、ユーザー、グループ、ロボット アカウント、外部アプリのアクセス レベルをロールを使用して制御できます。このページでは、アクセス制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。
- アカウントとアプリ (例: ユーザー アカウント、ロボット アカウント、外部アプリ) - Orchestrator リソースへのアクセスに使用される ID を表します。
- ロール - UiPath エコシステム内で明示的な権限を付与するために、アカウントに割り当てられます。
- グループ - 複数のユーザー アカウントに同じアクセス権を付与することで、アカウントの管理を簡素化するために使用します。
Orchestrator ではアカウントは作成および管理されず、その Orchestrator のロールと割り当てのみが作成および管理されます。アカウントは組織管理者によって作成され、作成されると、Orchestrator のフォルダーまたはテナントに割り当てることができます。
Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定のエンティティを使用するために必要な複数の権限がロールに割り当てられます。
ロールと権限、ならびにユーザーとロールの組み合わせにより、Orchestrator に対して一定レベルのアクセスを許可できます。ユーザーは、1 つまたは複数のロールによって、特定の操作を実行するために必要な権限を得られます。権限はユーザーに直接割り当てられるのではなく、ロールを通じてのみ取得できるため、権限の管理では、ユーザーに適切なロールを割り当てるという作業が伴います。
権限には、次の 2 種類があります。
- テナントの権限では、リソースへのユーザーのアクセスをテナント レベルで定義します。
- フォルダーの権限では、ユーザーが何にアクセスしてどのような操作を行えるかを、ユーザーが割り当てられているフォルダーごとに定義します。
- フォルダーの権限 (テナントが対象範囲):
- テナント全体のすべてのフォルダーの作成、編集、削除をユーザーに許可します。
- 通常は、管理者、または組織の管理を担当するユーザーに付与されます。
- サブフォルダーの権限 (フォルダーが対象範囲):
- 自身に割り当てられている特定のフォルダーと、その下層にあるすべてのサブフォルダーの作成、編集、削除をユーザーに許可します。
- よりきめ細かい制御が可能です。ユーザーは特定のフォルダーを管理できますが、テナント内の他のフォルダーは制御できません。
ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。
- テナント ロール - テナントの権限が含まれ、テナント レベルで作業を行うために必要になります。
- フォルダー ロール - フォルダー内で作業を行うための権限が含まれます。
- 混合ロール - 両方の種類の権限が含まれます。
混合ロールの場合、グローバル操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作では、カスタム ロールが定義されている場合はフォルダーの権限は、存在するすべてのテナントの権限を優先して適用されます。
注: 混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナント ロールとフォルダー ロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。
割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。
テナント リソース |
フォルダーのリソース |
---|---|
|
|
Auth.DisabledPermissions
パラメーターを使用すれば、ユーザー インターフェイスおよび API から権限を完全に無効化することができます。
通常、任意の権限に対して、利用可能なすべての権限 (表示、編集、作成、削除) を選択できますが、以下の権限はリスト内の権限に対する効力を持たないため、編集できません。
権限の種類 |
権限 |
利用できない権限 |
---|---|---|
テナント |
アラート |
|
監査 |
| |
フォルダー |
実行メディア |
|
ログ |
| |
監視 |
|
これは、たとえば、システム生成ログを編集することはできないためです。
アカウント ロック
既定では、ログインしようとして 10 回失敗すると、5 分間ロックアウトされます。
システム管理者は、このアカウント ロックの設定をホスト管理ポータルでカスタマイズできます。