orchestrator

2022.10

false

重要 :

このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。

Orchestrator ユーザーガイド

デリバリー:

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Last updated 2024年10月17日

アクセス権とオートメーションの機能を管理する

アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。

アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。

アカウントは、組織管理者によって作成および管理されます。

アカウントにロールを割り当てるには、アカウントが既に存在している必要があります。

このページ以降で説明する内容は次のとおりです。

ロールの管理方法
オートメーション機能の管理方法 (ロール設定の一環として設定)

アカウントについて

アカウントとは、割り当てられたアクセス権に基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。

アカウントの管理は以下のように行われます。

ローカル (ローカルアカウント) で作成・管理できます。
外部ディレクトリ (ディレクトリアカウントとディレクトリグループ) で作成および管理できます。ディレクトリ連携の仕組みをよりよく理解するには、以下の「Active Directory との連携」をご覧ください。

アカウントは組織レベルの管理ポータルで追加して、対応する組織内でのみ使用できます。

正常に追加されたアカウントに Orchestrator へのアクセス権を付与するには、次の 2 つの方法があります。1 つはアカウントをグループに追加してグループのロールを継承させる方法、もう 1 つはサービスレベルでアカウントごとにロールを割り当てる方法です。2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。

Active Directory との連携

Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリアカウントのアクセスレベルは、Orchestrator 内で、グループレベル (ディレクトリグループ) またはユーザーレベル (ディレクトリユーザー) のいずれかで設定されます。

以下と連携できます。

注: Active Directory の連携機能を Attended ロボットの自動プロビジョニングや階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。

前提条件

WindowsAuth.Domain パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。
Orchestrator がインストールされているマシンが、WindowsAuth.Domain パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンドプロンプトから dsregcmd /status を実行して、[デバイスのステート] セクションに移動します。
Orchestrator のアプリケーションプールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。

動作

ディレクトリグループを追加すると、必要なアクセス権を設定できるユーザーグループエンティティが Orchestrator 内に作成されます。この Orchestrator のエントリは、Active Directory のグループへの参照として機能します。
ログインすると、Orchestrator はグループメンバーシップを確認します。確認が済むと、ユーザーアカウントが自動的にプロビジョニングされ、グループから継承されたアクセス権が関連付けられます。継承された権限は、ユーザーセッションの間だけ保持されます。
自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザーアカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
アカウントのグループメンバーシップは、Orchestrator によってログイン時に、またはアクティブなセッションでは 1 時間に 1 度確認されます。アカウントのグループメンバーシップが変更された場合、アカウントに対しする変更は次回のアカウントのログイン時に適用されますが、アカウントが現在ログイン中である場合は、1 時間以内に変更が適用されます。

グループメンバーシップを確認する期間は既定では 1 時間ですが、IdentityServer.GroupMembershipCacheExpireHours パラメーターの値を設定して変更できます。
Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
(グループメンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカルユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
アクセス権がグループメンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループを使用してロールを割り当てるのではなく、Orchestrator のユーザーアカウントにロールを直接割り当てることです。

既知の問題

ネットワークや設定の諸問題により、[ドメイン名] のドロップダウンリストに表示されるドメインの一部にアクセスできない可能性があります。
Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
ユーザーインターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
ディレクトリグループを削除した際、関連付けられたディレクトリユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボットトレイを閉じてください。
ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

ユーザーメンバーシップ: ユーザー [ユーザー名] は、次のディレクトリグループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリグループ] に割り当てられました。
自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリグループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリグループ] から自動的にプロビジョニングされました。

ユーザーの種類

グループ

グループを使用すると同じロールや設定を複数のユーザーに適用できるため、一度に複数のユーザーを管理できます。

ユーザーのメンバーシップは、[管理] > [アカウントとグループ] から設定します。

ユーザーグループを使用するとグループ権限による自動アクセス制御が可能になります。ユーザー権限はグループに対するユーザーの追加または削除に基づいて設定され、個別に管理する必要がありません。

既定のグループは、Administrators、Automation Users、Automation Developers、Everyone です。すべてのグループには、作成する新規サービスごとに、既定の権限セットが付属しています。そのまま使用できる、この付属のロールは、Orchestrator のサービスごとに後ほどカスタマイズできます。

UiPath が提供する 4 つの既定グループよりも多くのグループが必要な場合は、カスタムローカルグループを作成できます。既定のローカルグループと異なり、カスタムグループは Orchestrator 内で手動で追加する必要があります。ユーザーが持つグループメンバーシップとそれに対応する Orchestrator 内のロールが正しくマッピングされるようにするためです。

グループのロールは、自動プロビジョニングされたユーザーまたは手動で追加されたユーザーを問わず、そのグループに属するすべてのユーザーに渡されます。これらのロールは、アカウントごとにのみ設定できる「直接割り当てられたロール」とは対照的に「継承されたロール」と呼ばれます。

注:

複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
複数のグループに属し、ロールを直接的にも付与されているユーザーは、グループから継承されたロールと直接割り当てられたロールの和集合を所持します。
Orchestrator に追加済みのグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザーアカウントを必要としません。
継承されるロールは、関連付けられたユーザーグループに依存します。グループがサービスから削除されると、アカウントの継承されたロールも削除されます。
直接割り当てられたロールは、アカウントが存在するグループの影響を受けません。これらのロールは、グループのステートに関係なく保持されます。

例

たとえば、ジョン・スミスさんを組織の Automation Users と Administrators ユーザーグループに追加したとしましょう。

Automation User グループは Finance Orchestrator サービス内に存在します。
Administrator グループは HR Orchestrator サービス内に存在します。
ジョンのアカウントには、両方のサービスで直接的にもロールが割り当てられています。

ジョンには各サービスの継承した権限と明示的権限の和集合が与えられます。

サービス/ロール	ユーザーグループ	継承されたロール	明示的なロール	全般
Finance テナント	Automation User
テナントレベルのロール	Allow to be Automation User	Allow to be Automation User	Allow to be Folder Administrator	Allow to be Automation User Allow to be Folder Administrator
フォルダーレベルのロール	フォルダー A の Automation User フォルダー B の Automation User	フォルダー A の Automation User フォルダー B の Automation User	フォルダー A の Folder Administrator	フォルダー A の Automation User フォルダー B の Automation User フォルダー A の Folder Administrator
HR テナント	Administrators
テナントレベルのロール	Allow to be Folder Administrator	Allow to be Folder Administrator		Allow to be Folder Administrator
フォルダーレベルのロール	フォルダー D の Folder Administrator フォルダー E の Folder Administrator	フォルダー D の Folder Administrator フォルダー E の Folder Administrator	フォルダー F の Folder Administrator	フォルダー D の Folder Administrator フォルダー E の Folder Administrator フォルダー F の Folder Administrator

ユーザー (User)

Orchestrator へのユーザーの追加に使用されるメカニズムによって、ユーザーは 2 つのカテゴリに分類できます。

手動で追加されたユーザー

Orchestrator に手動で追加され、テナントレベルまたはフォルダーレベルのいずれかで明示的に権限を付与されたユーザーです。手動で追加されたユーザーアカウントが、Orchestrator サービスに追加されたグループに属している場合、アカウントはそのグループのアクセス権も継承します。

自動でプロビジョニングされたユーザー

ローカルグループに追加され、Orchestrator にログインするユーザーです。これらのユーザーは、グループから継承した権限に基づいて Orchestrator にアクセスできます。Orchestrator に初めてログインした時に自動的にプロビジョニングされます。

重要: [ユーザー] ページの [ロール] 列には、ユーザーに明示的に割り当てられたロールが表示されます。手動で追加されたか、自動プロビジョニングされたかは問いません。この列には、継承されたロールは表示されません。

特定ユーザーに対する [その他のアクション] > [権限を確認] > [ユーザー権限] ウィンドウでは、そのユーザーのすべての権限セット (継承したものも含む) を確認できます。

	手動で追加されたユーザー	自動プロビジョニングされたユーザー
アクセス権を継承する	はい	はい
明示的なアクセス権を持つことができる	はい	はい
Cloud Portal がユーザー情報の一元的なハブである	はい	はい
SSO を使用できる	はい	はい

Robot

ロボットを Orchestrator に手動でデプロイすると、ロボットユーザーが自動的に作成されます。ロボットユーザーには、既定で Robot ロールが割り当てられます。このロールでは、複数のページへのアクセス権がロボットに付与されるため、ロボットはさまざまなアクションを実行できます。

アカウントとグループのアイコン

アカウント、グループ、ロールを管理するページでは、アカウントの種類やグループの種類を認識しやすくするために、それぞれの種類に対する固有のアイコンが表示されます。

アカウントのアイコン

- UiPath ユーザーアカウント: UiPath アカウントに関連付けられ、基本認証を使用してサインインするユーザーアカウントです。

- SSO ユーザーアカウント: SSO を使用してサインインする、UiPath アカウントに関連付けられたユーザーアカウントです。UiPath のユーザーアカウントとディレクトリアカウントの両方を所有するユーザーアカウントにも、このアイコンが表示されます。

- ディレクトリユーザーアカウント: ディレクトリから作成され、Enterprise SSO を使用してサインインするアカウントです。

- ロボットアカウント

グループのアイコン

- ローカルグループ (または、単にグループ): ホスト管理者によって作成されたグループ。

- ディレクトリグループ: 関連付けられたディレクトリ内で作成されたグループです。

ユーザーを管理するための権限

[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。

ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
ユーザー - 表示 と ロール - 表示 - [ユーザーの権限] ウィンドウでユーザーの権限を表示できます。
ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
ユーザー - 削除 - Orchestrator からユーザーを削除できます。

ロールについて

Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定の機能を使用するために必要な複数の権限がロールに含まれています。

たとえば、カスタムロールに含まれる権限の一部を以下に示します。

権限とロールの種類

権限には、次の 2 種類があります。

テナントの権限では、リソースへのユーザーのアクセスをテナントレベルで定義します。
フォルダーの権限では、ユーザーが何にアクセスしてどのような操作を行えるかを、ユーザーが割り当てられているフォルダーごとに定義します。

フォルダー内での操作を制御する主な権限セットは、次の 2 つです。

フォルダーの権限 (テナントが対象範囲):
- テナント全体のすべてのフォルダーの作成、編集、削除をユーザーに許可します。
- 通常は、管理者、または組織の管理を担当するユーザーに付与されます。
サブフォルダーの権限 (フォルダーが対象範囲):
- 自身に割り当てられている特定のフォルダーと、その下層にあるすべてのサブフォルダーの作成、編集、削除をユーザーに許可します。
- よりきめ細かい制御が可能です。ユーザーは特定のフォルダーを管理できますが、テナント内の他のフォルダーは制御できません。

ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。

テナントロール - テナントの権限が含まれ、テナントレベルで作業を行うために必要になります。
フォルダーロール - フォルダー内で作業を行うための権限が含まれます。
混合ロール - 両方の種類の権限が含まれます。

混合ロールの場合、グローバル操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作では、カスタムロールが定義されている場合はフォルダーの権限は、存在するすべてのテナントの権限を優先して適用されます。

注: 混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナントロールとフォルダーロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。

割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。

テナントリソース	フォルダーのリソース
アラート監査バックグラウンドタスクライブラリライセンスマシン ML ログパッケージロボットロール設定フォルダーユーザー Webhook	アセットストレージファイルストレージバケットコネクション環境 (ロボットグループ) 実行メディアフォルダーパッケージジョブログ監視プロセスキュートリガーサブフォルダーアクションの割り当てアクションカタログアクションテストケース実行の成果物テストデータのキューアイテムテストデータのキューテストセットの実行テストセットテストセットのスケジュールトランザクション

テナントリソース

フォルダーのリソース

アラート
監査
バックグラウンドタスク
ライブラリ
ライセンス
マシン
ML ログ
パッケージ
ロボット
ロール
設定
フォルダー
ユーザー
Webhook

アセット
ストレージファイル
ストレージバケット
コネクション
環境 (ロボットグループ)
実行メディア
フォルダーパッケージ
ジョブ
ログ
監視
プロセス
キュー
トリガー
サブフォルダー
アクションの割り当て
アクションカタログ
アクション
テストケース実行の成果物
テストデータのキューアイテム
テストデータのキュー
テストセットの実行
テストセット
テストセットのスケジュール
トランザクション

さまざまな種類のロールを割り当てる

ロールの割り当て方法はその種類によって異なるため、ロールの種類は重要な意味を持ちます。ロールの割り当て方法は、クラシックフォルダーが有効かどうかによっても異なります。

[テナント] > [設定] > [全般] の [クラシックフォルダーをアクティブ化] がオフになっている場合
- [テナント] > [アクセス権を管理] ページの [ロールを割り当て] タブまたは [ロール] タブからは、テナントロールと混合ロールを割り当てることができます。
- [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダーロールと混合ロールを割り当てることができます。
[テナント] > [設定] > [全般] の [クラシックフォルダーをアクティブ化] がオンになっている場合
- [テナント] > [アクセス権を管理] ページの [ロールを割り当て] タブまたは [ロール] タブからは、3 種類すべてのロールを割り当てることができます。
- [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダーロールと混合ロールを割り当てることができます。

影響されない権限

通常、任意の権限に対して、利用可能なすべての権限 (表示、編集、作成、削除) を選択できますが、以下の権限は表示されている権限には影響しないため、編集できません。

権限の種類	アクセス許可	利用できない権限
テナント	アラート	削除する
	監査	編集作成削除する
	ライセンス	編集作成削除する
フォルダー	実行メディア	編集
	ログ	編集削除する
	監視	作成削除する