- 基本情報
- ベスト プラクティス
- テナント
- Cloud ロボット
- Automation Suite ロボット
- フォルダー コンテキスト
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- インデックス
- キュー
- アセット
- コネクション
- ビジネス ルール
- ストレージ バケット
- MCP サーバー
- Orchestrator のテスト
- リソース カタログ サービス
- Integrations
- トラブルシューティング
Orchestrator ユーザー ガイド
アクセス制御
Orchestrator では、ユーザー、グループ、ロボット アカウント、外部アプリのアクセス レベルをロールを使用して制御できます。このページでは、アクセス制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。
- アカウントとアプリ (例: ユーザー アカウント、ロボット アカウント、外部アプリ) - Orchestrator リソースへのアクセスに使用される ID を表します。
- ロール - UiPath エコシステム内で明示的な権限を付与するために、アカウントに割り当てられます。
- グループ - 複数のユーザー アカウントに同じアクセス権を付与することで、アカウントの管理を簡素化するために使用します。
Orchestrator ではアカウントは作成および管理されず、その Orchestrator のロールと割り当てのみが作成および管理されます。アカウントは組織管理者によって作成され、作成されると、Orchestrator のフォルダーまたはテナントに割り当てることができます。
権限について
Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定のエンティティを使用するために必要な複数の権限がロールに割り当てられます。
ロールと権限、ならびにユーザーとロールの組み合わせにより、Orchestrator に対して一定レベルのアクセスを許可できます。ユーザーは、1 つまたは複数のロールによって、特定の操作を実行するために必要な権限を得られます。権限はユーザーに直接割り当てられるのではなく、ロールを通じてのみ取得できるため、権限の管理では、ユーザーに適切なロールを割り当てるという作業が伴います。
権限とロールの種類
権限には、次の 2 種類があります。
- テナントの権限では、リソースへのユーザーのアクセスをテナント レベルで定義します。
- フォルダーの権限では、ユーザーが何にアクセスしてどのような操作を行えるかを、ユーザーが割り当てられているフォルダーごとに定義します。
フォルダー内での操作を制御する主な権限セットは、次の 2 つです。
- フォルダーの権限 (テナントが対象範囲):
- テナント全体のすべてのフォルダーの作成、編集、削除をユーザーに許可します。
- 通常は、管理者、または組織の管理を担当するユーザーに付与されます。
- サブフォルダーの権限 (フォルダーが対象範囲):
- 自身に割り当てられている特定のフォルダーと、その下層にあるすべてのサブフォルダーの作成、編集、削除をユーザーに許可します。
- よりきめ細かい制御が可能です。ユーザーは特定のフォルダーを管理できますが、テナント内の他のフォルダーは制御できません。
ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。
- テナント ロール - テナントの権限が含まれ、テナント レベルで作業を行うために必要になります。
- フォルダー ロール - フォルダー内で作業を行うための権限が含まれます。
- 混合ロール - 両方の種類の権限が含まれます。混合ロールでは、グローバルな操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作でカスタム ロールが定義されていると、フォルダーの権限が適用され、存在するすべてのテナントの権限が優先されます。
注:
混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナント ロールとフォルダー ロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。
割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。
| テナント リソース | フォルダーのリソース |
|---|---|
|
|
影響されない権限
通常、任意の権限に対して、利用可能なすべての権限 (表示、編集、作成、削除) を選択できますが、以下の権限はリスト内の権限に対する効力を持たないため、編集できません。
| 権限の種類 | 権限 | 利用できない権限 |
|---|---|---|
| テナント | アラート |
|
| 監査 |
| |
| フォルダー | 実行メディア |
|
| ログ |
| |
| 監視 |
|
これは、たとえば、システム生成ログを編集することはできないためです。
含める権限を決定する
各ロールは複数の権限を組み合わせたものであり、そのロールを持つアカウントがアクセスできるプログラムの領域とアクションを制御します。
例: Infra という名前のロールがあり、これはオートメーションに使用する仮想マシンを管理するユーザーを対象としています。このロールには、マシン - 表示、マシン - 編集、マシン - 作成、マシン - 削除などの権限と、そのジョブに関連する他の権限を含めることができます。
ロールを作成または編集する場合は、利用可能な権限のリストを確認した上で、どの権限を含めるかを決定する必要があります。 以下のようなアプローチを試してみることができます。
- 既定のロールから開始する: Orchestrator には、Administrator ロール、Automation User など、最も一般的な種類のオートメーション ユーザー用の既定のロールが用意されています。これらのロールを使用することも、必要なロールに最も近いロールを複製してカスタマイズすることもできます。
- カスタム ロールを作成する: ロールを作成する際に、ロールの種類に応じてテナント レベルまたはフォルダー レベルで利用可能な全権限のリストが表示され、どの権限を含めるかを決定する必要があります。
権限の情報を表示する
ロールの作成または編集時に権限のチェックボックスにホバーすると、その権限によってアクセスが許可される Orchestrator のページを確認できます。この情報は、権限を含めるかどうかを大まかに判断するのに役立ちます。
重要:
- The functions of permissions can be more complex than only access to and abilities within the context of a page. When in doubt about what permissions are necessary for a task, check the documentation for that task for detailed permission requirements.For advanced users, you can also check the Orchestrator API Swagger, which includes information about the required permissions for each operation. For instructions see Accessing the Swagger file.
- The information that is displayed for each permission only covers Orchestrator pages. It does not cover pages or actions in other UiPath services. For example, you may see that no pages are blocked by the ML Skills permissions, meaning that the permission has no effect in terms of access to Orchestrator pages. But granting permissions for ML Skills is necessary for using UiPath AI CenterTM. In this case, you must check the AI Center documentation for more information about the ML Skills permissions.