- 基本情報
- ベスト プラクティス
- テナント
- レジストリ
- Cloud ロボット
- Automation Suite ロボット
- フォルダー コンテキスト
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- インデックス
- キュー
- アセット
- コネクション
- ビジネス ルール
- ストレージ バケット
- MCP サーバー
- Orchestrator のテスト
- リソース カタログ サービス
- Integrations
- トラブルシューティング
Orchestrator ユーザー ガイド
アカウントのアクセス権を設定する
管理者は、Orchestrator を使用して、すでに組織レベルで存在するオブジェクト (グループ、ユーザー、ロボット アカウント、外部アプリ) を Orchestrator のテナントまたはフォルダーに割り当てることで、オブジェクトに対してテナントまたはフォルダー レベルで権限をきめ細かく設定できます。オブジェクトには 1 つまたは複数のロールによって、テナントまたはフォルダーで特定の操作を実行するために必要な権限が与えられます。
グループ機能を使用すれば類似したニーズを持つオブジェクトを一元管理できるため、アクセス権の制御を簡略化できます。
- ローカル グループの名前を組織レベルで変更すると、Orchestrator でも名前が変更されます。短期間に何度も名前を変更した場合、Orchestrator の監査ログには最後の変更しかキャプチャされません。このような変更をすべて表示するには、組織レベルの監査を確認します。
- ロボット アカウントのユーザー名は永続的で、設定後に変更できないため、[アクセス権を管理] の [ユーザー名] 列も変更されません。たとえば、ロボットの名前を
Testから にTest1に変更した場合、[ 名前 ] 列のみが新しい値で更新され、[ ユーザー名 ] は変更されません。詳細については、「 ロボット アカウントを追加する」をご覧ください。
利用可能なすべての種類のユーザー情報を利用するため、グループ、ユーザー、ロボット アカウント、外部アプリは、グループ、ユーザー、ロボット アカウント、および外部アプリ用の個別のページに分割されています。これらは [アクセス権を管理] ページの専用タブで確認できます。
タブの概要として、[すべて] タブには、テナント レベルでアクセス権が割り当てられたすべてのオブジェクトが含まれます。[グループ]、[ユーザー]、[ロボット アカウント]、および [外部アプリ] タブには、テナント レベルでアクセス権が割り当てられたローカル グループとディレクトリ グループ、ローカル ユーザーとディレクトリ ユーザー、ロボット アカウント、および外部アプリが含まれます。
テナント レベルのアクセス制御
[ アクセス権を管理 ] ページでは、すべてのオブジェクト (グループ、ユーザー、ロボット アカウント、外部アプリなど) のアクセスを制御できます。これは、次のことができることを意味します。
- 組織レベルですでに存在するオブジェクトをテナントに割り当てる
- Orchestrator のオブジェクトに対する権限を設定する
- 既存のオブジェクトからテナントへのアクセス権を削除する
グループ設定 (ロール、Web ログイン、ロボットの設定) は、そのグループに属するすべてのユーザーに渡され、後で追加または自動プロビジョニングされます。
テナントにグループを割り当てる
テナントでグループを割り当ててロールを追加すると、それらはそのグループに属するすべてのユーザーとロボット アカウントに継承されることに注意してください。
グループは、[管理] > [アカウントとグループ] ページで組織の管理者によって作成および維持されます。
既定では、[すべて] と [ユーザー] ページの [ユーザー アクセスの種類] フィルターは [昇格] に設定されており、アクセス権を直接割り当てられているか、昇格されたアクセス権を持つユーザーのみが表示されます。グループを介してアクセス権を継承しているユーザーを含め、すべてのユーザーを表示するには、フィルターを [すべて] に変更します。
- 検索フィールドに、テナント アクセス権を証明する既存のユーザー グループを入力します。
新しいグループが必要な場合は、[アカウントを管理] をクリックして組織レベルに移動すると、すべての新しいオブジェクトを追加できます。
- [ロール] フィールドをクリックして、選択したグループに割り当てる各ロールのチェック ボックスを選択します。
必要に応じて、[新しいロール] をクリックして新しいロールを定義できます。
- [アカウント設定] で、グループ メンバーが Orchestrator UI にログインできるかどうかを選択できます。
権限の和集合への移行後、UI へのアクセスは、アカウントが属するすべてのグループの権限の組み合わせによって決まります。つまり、少なくとも 1 つのグループが UI へのアクセスを許可すると、個々のアカウント レベルでの設定に関係なく、そのアカウントはアクセスできるようになります。
- グループ メンバーに Attended ロボットも作成する場合は、[次へ] をクリックします。
それ以外の場合は、[スキップして割り当て] をクリックして設定を適用します。
アカウントをテナントに割り当てる
ユーザーのアクセス権を管理するには、 グループにロールを割り当て てから、ユーザーを適切なグループに割り当てて必要なロールを付与することをお勧めします。
ただし、特定のユーザーに対して 1 回限りのロール割り当てを実行する必要がある場合は、次に従って、そのユーザーにアクセス権を直接付与できます。
- 検索フィールドに、テナントへのアクセス権を割り当てるユーザーを入力します。
新しいユーザーが必要な場合は、[アカウントを管理] をクリックして組織レベルに移動すると、すべての新しいオブジェクトを追加できます。
- [ロール] フィールドをクリックして、選択したユーザーに割り当てる各ロールのチェック ボックスを選択します。
必要に応じて、[新しいロール] をクリックして新しいロールを定義できます。
- [アカウント設定] で、ユーザーが Orchestrator UI にログインできるかどうかを選択できます。
権限の和集合への移行後、UI へのアクセスは、アカウントが属するすべてのグループの権限の組み合わせによって決まります。つまり、少なくとも 1 つのグループが UI へのアクセスを許可すると、個々のアカウント レベルでの設定に関係なく、そのアカウントはアクセスできるようになります。
- (任意) [更新ポリシーの設定] で、このユーザーが自分のワークステーション上の UiPath アプリケーションをどのリリース レベルまで更新する必要があるかを選択します。 ポリシーを選択すると、ユーザーは UiPath® Robot、Studio、または Assistant をポリシーで必要とされているバージョンにアップグレードするまで、それらのアプリケーションを使用できなくなります。この設定により、すべてのユーザーが確実に同じバージョンを使用するようになります。
- このユーザーに Attended または Unattended ロボットも作成する場合は、[次へ] をクリックします。
それ以外の場合は、[スキップして割り当て] をクリックして設定を適用します。
ロボット アカウントをテナントに割り当てる
ロボットのアクセス権を管理するには、 グループにロールを割り当て てから、ロボット アカウントを適切なグループに割り当てて必要なロールを付与することをお勧めします。
ただし、特定のロボット アカウントに対して 1 回限りのロール割り当てを実行する必要がある場合は、次に従って、そのロボットにアクセス権を直接付与できます。
- 検索フィールドに、テナントへのアクセス権を付与するロボット アカウントを入力します。
新しいロボットが必要な場合は、[アカウントを管理] をクリックして組織レベルに移動すると、すべての新しいオブジェクトを追加できます。
- [ロール] フィールドをクリックして、選択したロボットに割り当てる各ロールのチェック ボックスを選択します。
必要に応じて、[新しいロール] をクリックして新しいロールを定義できます。
- このユーザーに対して Unattended ロボットの作成も行う場合は、[次へ] をクリックします。
それ以外の場合は、[スキップして割り当て] をクリックして設定を適用します。
外部アプリをテナントに割り当てる
管理者は社外秘のアプリをフォルダーまたはテナントに割り当てることで、フォルダーまたはテナント レベルで権限をきめ細かく設定できます。外部アプリには 1 つまたは複数のロールによって、フォルダーまたはテナントで特定の操作を実行するために必要な権限が与えられます。
- [テナント] > [アクセス権を管理] に移動します。 [アクセス権を管理] ページが表示されます。
- [ロールを割り当て] > [外部アプリ] をクリックします。[ロールを外部アプリに割り当て] ウィンドウが表示されます。
図 1. 外部アプリへのロールの割り当て
![[ロールを割り当て] インターフェイスのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-assign-roles-interface-229789-713585a7-ddf50630.webp)
- 検索フィールドに、追加する外部アプリの名前を入力します。
- [ロール] で、このオブジェクトのロールを選択します。
- [割り当て] をクリックします。
複数のアカウントを割り当てる
- [テナント] > [アクセス権を管理] に移動して [ロール] タブをクリックします。
- [ロール] ページでリストからロールを選択し、[その他のアクション]
> [ユーザーを管理] の順にクリックします。
[ ユーザーを管理 ] ウィンドウが表示され、すべてのユーザー、グループ、ロボットがリスト表示されます。チェックボックスがオンになっている場合、オブジェクトにこのロールが割り当てられていることを示します。
- 必要に応じてチェックボックスをオンまたはオフにして、そのロールを持つ必要があるユーザーのみが選択されるようにします。
図 2. 管理者ユーザーの管理
![[Adminstrator ユーザーの管理] インターフェイスのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-manage-adminstrator-users-interface-229437-3f3cadeb-70a9b6b9.webp)
- [更新] をクリックして変更を適用します。
ロールの変更は、ユーザーのログイン時にただちに適用されるか、1 時間以内に自動的に適用されます。
割り当てられているロールを確認する
オブジェクト (ユーザー、グループ、ロボット アカウント、外部アプリ) に割り当てられているロールは、テナントレベルの以下の場所から確認できます。
- [アクセス権を管理] > [ロールを割り当て] タブ > (リストからオブジェクトを選択) > [その他のアクション] > [ロールと権限を確認]
- [アクセス権を管理] > [ロールを割り当て] > (3 点リーダー メニューのアイコン) > [ロールと権限を確認]
- [ロボット] > (リストからアカウントを選択) > [その他のアクション] > [ロールと権限を確認]
- [監視] > [ユーザー セッション] > (リストからアカウントを選択) > [ロールと権限を確認] アイコン
これらのオプションでは [権限を表示] ウィンドウが表示されます。このウィンドウは [テナントのアクセス] セクションと [フォルダーのアクセス] セクションに分かれています。その各セクションは次のもので構成されています。
- [ロール] ペイン - ロールの名前と種類 (明示的に割り当てられたのか、継承されたのか) が含まれます。
- [権限] ペイン - 選択したロールに含まれる権限のリストが表示されます。
テナントのアクセス
このセクションには、テナント レベルで付与されるロールと権限が表示されます。 次のオプションから選択できます。
- このテナント内のすべてのロール - 権限ペインには、選択したエンティティにテナント レベルで付与されたすべてのロールに対応するすべての権限が表示されます。
- 特定のロール - 権限ペインには、選択したロールに対応する権限のみが表示されます。これは選択したエンティティにテナント レベルで付与されたものです。
図 3. テナントのアクセス ![[テナントのアクセス] インターフェイスのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-tenant-access-interface-331492-c69570e4-cf9ba790.webp)
フォルダーのアクセス
このセクションには、フォルダー レベルで付与されるロールと権限が表示されます。
選択ボックスを使用して、ロールとその権限を表示する特定のフォルダーを選択できます。リストには、選択したエンティティが割り当てられているフォルダーのみが含まれます。
選択したエンティティに、選択したフォルダーに対するロールが複数ある場合は、以下のオプションから選択できます。
- このテナント内のすべてのロール - 権限ペインには、選択したエンティティにフォルダー レベルで付与されたすべてのロールに対応するすべての権限が表示されます。
- 特定のロール - 権限ペインには、選択したロールに対応する権限のみが表示されます。これは選択したエンティティにフォルダー レベルで付与されたものです。
図 4. フォルダーのアクセス ![[フォルダーのアクセス] インターフェイスのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-folder-access-interface-331966-9b6f1eea-4d6dec32.webp)
ユーザーまたはグループを削除する
Orchestrator からユーザーまたはグループを削除しても、アカウントは組織から削除されません。
- [テナント] > [アクセス権を管理] > [ロールを割り当て] タブに移動します。
- ユーザーまたはグループを選択し、[その他のアクション] をクリックして、[削除] を選択します。
削除するロールを持つユーザーに現在実行中のロボットがある場合、実行中のジョブは削除されることが通知され、削除を続行するか、操作をキャンセルするかを尋ねられます。
- 操作を確認します。
ユーザーまたはグループが Orchestrator から削除され、すべてのロールが取り消されます。
または、1 人または複数のユーザーを選択して [削除] ボタンをクリックします。
- Administrator ロールを持つユーザーは削除できません。
- トリガーに使用されるマッピングに使用されているユーザーを削除したり、トリガーが存在するフォルダーから割り当て解除したりすることはできません。削除できるようにユーザーがトリガーで実行ターゲットとして設定されていないことを確認します。
- ディレクトリ グループを削除したときに、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするには UiPath Assistant を閉じてください。
推奨されるロールとグループのマッピング
グループとロールを適切に組み合わせることで、権限を正しく分離し、適切なユーザーにきめ細かい制御を行うことができます。このためには、以下のロールとグループの組み合わせを推奨します。
| グループ | Orchestrator のインターフェイスにアクセスできる | すべてのフォルダー/個人用ワークスペースにのみアクセスできる | API にアクセスできる | テナント ロール | フォルダー ロール |
|---|---|---|---|---|---|
| Automation Users | いいえ | 個人用ワークスペース ユーザーが API を介して他のフォルダーに割り当てられている場合、ユーザーは個人用ワークスペースに加えてそれらのフォルダーにもアクセスできます。 | はい | Allow to be Automation User | Automation User |
| Automation Developers | はい | すべてのフォルダー | はい | Allow to be Automation Developer | Automation Developer |
| Administrators | はい | すべてのフォルダー | はい | Orchestrator Administrator | Folder Administrator |
| Automation Express | はい | すべてのフォルダー | はい | Allow to be Automation User | Automation User |
トラブルシューティング
「見つかりません」エラー
アカウントが組織から削除されている場合、Orchestrator からアカウントを編集、有効化/無効化、または削除しようとすると ([テナント] > [アクセス権を管理])、「見つかりません (#1002)」エラーが表示されます。
この場合、そのアカウントは実際に存在しておらず、UiPath 製品にアクセスできなくなっています。
フォルダー レベルのアクセス制御
テナントでは、フォルダーとオブジェクトの管理に使用する [フォルダー] タブや、サイドバー メニューのフォルダー コンテキストから、フォルダー レベルでアクセスを制御することもできます。
フォルダーにオブジェクトを割り当てる
[テナント] > [フォルダー] タブに移動してフォルダーを選択し、[アカウントとグループ] をクリックします。次に、[ 割り当て ] をクリックし、フォルダーに追加するオブジェクトを選択します。
カテゴリ (すべて、ユーザー、グループ、ロボット アカウント、外部アプリ) でオブジェクトを絞り込むこともできます。
オブジェクトを割り当てるには、ロールを追加する必要があります。これが完了したら、[割り当て] をクリックします。オブジェクトがリストに表示されます。
オブジェクトをフォルダーに割り当てるもう 1 つの方法は、サイドバー メニューからフォルダー コンテキストに移動し、[ユーザー] > [割り当て] をクリックすることです。フォルダーに追加するオブジェクトの名前を検索フィールドに入力し、必要なロールを選択し、[割り当て] をクリックして設定を完了します。
権限を編集する
割り当てられたオブジェクト (グループ、ユーザー、ロボット アカウント、外部アプリ) に特定のフォルダーへのアクセス権を付与するには、サイドバー メニューからフォルダーを開き、[ユーザー] に移動します。フォルダーへのアクセス権を編集するオブジェクトの横で、[その他のアクション] > [このフォルダーのロールを編集] をクリックします。割り当てページが表示され、選択したオブジェクトのロールを追加または削除できます。
[テナント] > [フォルダー] タブ > [アカウントとグループ] > [このフォルダー内のロールを編集] >変更するオブジェクトの横にある [その他のアクション] に移動しても、同じ手順を適用できます。選択したオブジェクトのロールを追加または削除することもできます。
フォルダーへのアクセス権を削除する
[テナント] > [フォルダー] タブに移動してフォルダーを選択し、[アカウントとグループ] をクリックします。削除するオブジェクトの横で、[ その他のアクション ] > [ 割り当て解除] をクリックします。これにより、オブジェクトはそのフォルダーにアクセスできなくなります。
トリガーに使用されるアカウントとマシンのマッピングの一部であるアカウントを削除したり、それらのトリガーが存在するフォルダーへの割り当てを解除したりすることはできません。アカウントがトリガーで実行ターゲットとして設定されておらず、削除できるようになっていることを確認します。
サブフォルダー アクセス
フォルダー階層には、最大 7 つの層を設定できます。最上位フォルダーがあり、その下に 6 つのサブフォルダーを層として追加できる構造です。ユーザー アクセスに関しては、親フォルダーから継承されます。つまり、フォルダーへのアクセス権が割り当てられている場合は、そのフォルダーのすべてのサブフォルダーへのアクセス権が自動的に与えられます。
アカウントが割り当てられているフォルダーが 1,000 を超える場合、[フォルダー] の選択メニューを読み込むと、パフォーマンスが低下しエラーが発生する可能性があります。
個人用ワークスペースのアクセス制御
Attended ロボットをグループまたは 1 人のユーザーに対して設定する際は、その個人用ワークスペースを作成するオプションもあります。
このオプションを設定するには、[テナント] > [アクセス権を管理] に移動し、ユーザーまたはグループを選択して [その他のアクション] > [編集] を選択します。[設定] > [UI プロファイル] で、以下のいずれかのオプションを選択します。
- なし: ユーザーは Orchestrator のユーザー インターフェイスにアクセスできません。
- 個人用ワークスペース: ユーザーは、個人用ワークスペースに固有の機能にのみアクセスできます。
- 標準: ユーザーは、自身に割り当てられているロールと権限に基づいて、標準の Orchestrator インターフェイスにアクセスできます。
重要:
[UI プロファイル] を [なし] に設定すると、Orchestrator にアクセスできなくなったり、
“No access”エラーが発生したりする可能性があります。ユーザーが予期せず Orchestrator UI にアクセスできない場合は、この設定を確認してください。
個人用ワークスペースの権限
他のユーザーのワークスペースを管理するために必要なテナント レベルの権限:
- 設定 - 表示と設定 - 編集。[テナント] > [設定] ページからテナント内の個人用ワークスペースを使用できるようにする場合。
- ユーザー - 表示とユーザー - 編集。[アクセス権を管理] ページで編集してユーザーまたはグループに対して個人用ワークスペースを有効化する場合。
個人用ワークスペースを使用するために必要なフォルダー レベルの権限:
- アラート - 表示。個人用ワークスペースに対して生成されたアラートを表示する場合。
- アクション - 表示、アクション - 編集、アクション - 作成、アクション - 削除。個人用ワークスペースでの長期実行のワークフローの実行を有効化する場合。
- アクション カタログ - 表示、アクション カタログ - 編集、アクション カタログ - 作成、アクション カタログ - 削除。ユーザーが個人用ワークスペースでアクション カタログを管理できるようにする場合。
割り当てられているロールを確認する
オブジェクト (ユーザー、グループ、ロボット アカウント、外部アプリ) に割り当てられているロールは、テナントレベルの以下の場所から確認できます。
- [アクセス権を管理] > [ロールを割り当て] タブ > (リストからオブジェクトを選択) > [その他のアクション] > [ロールと権限を確認]
- [アクセス権を管理] > [ロールを割り当て] > (3 点リーダー メニューのアイコン) > [ロールと権限を確認]
- [ロボット] > (リストからアカウントを選択) > [その他のアクション] > [ロールと権限を確認]
- [監視] > [ユーザー セッション] > (リストからアカウントを選択) > [ロールと権限を確認] アイコン
これらのオプションでは [権限を表示] ウィンドウが表示されます。このウィンドウは [テナントのアクセス] セクションと [フォルダーのアクセス] セクションに分かれています。その各セクションは次のもので構成されています。
- [ロール] ペイン - ロールの名前と種類 (明示的に割り当てられたのか、継承されたのか) が含まれます。
- [権限] ペイン - 選択したロールに含まれる権限のリストが表示されます。
テナントのアクセス
このセクションには、テナント レベルで付与されるロールと権限が表示されます。 次のオプションから選択できます。
- このテナント内のすべてのロール - 権限ペインには、選択したエンティティにテナント レベルで付与されたすべてのロールに対応するすべての権限が表示されます。
- 特定のロール - 権限ペインには、選択したロールに対応する権限のみが表示されます。これは選択したエンティティにテナント レベルで付与されたものです。
図 5. テナントのアクセス
フォルダーのアクセス
このセクションには、フォルダー レベルで付与されるロールと権限が表示されます。
選択ボックスを使用して、ロールとその権限を表示する特定のフォルダーを選択できます。リストには、選択したエンティティが割り当てられているフォルダーのみが含まれます。
選択したエンティティに、選択したフォルダーに対するロールが複数ある場合は、以下のオプションから選択できます。
- このテナント内のすべてのロール - 権限ペインには、選択したエンティティにフォルダー レベルで付与されたすべてのロールに対応するすべての権限が表示されます。
- 特定のロール - 権限ペインには、選択したロールに対応する権限のみが表示されます。これは選択したエンティティにフォルダー レベルで付与されたものです。
図 6. フォルダーのアクセス
推奨されるロールとグループのマッピング
グループとロールを適切に組み合わせることで、権限を正しく分離し、適切なユーザーにきめ細かい制御を行うことができます。このためには、以下のロールとグループの組み合わせを推奨します。
| グループ | Orchestrator のインターフェイスにアクセスできる | すべてのフォルダー/個人用ワークスペースにのみアクセスできる | API にアクセスできる | テナント ロール | フォルダー ロール |
|---|---|---|---|---|---|
| Automation Users | いいえ | 個人用ワークスペース ユーザーが API を介して他のフォルダーに割り当てられている場合、ユーザーは個人用ワークスペースに加えてそれらのフォルダーにもアクセスできます。 | はい | Allow to be Automation User | Automation User |
| Automation Developers | はい | すべてのフォルダー | はい | Allow to be Automation Developer | Automation Developer |
| Administrators | はい | すべてのフォルダー | はい | Orchestrator Administrator | Folder Administrator |
| Automation Express | はい | すべてのフォルダー | はい | Allow to be Automation User | Automation User |