- 基本情報
- ベスト プラクティス
- テナント
- アクション
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Orchestrator のテスト
- アクション カタログ
- プロファイル
- システム管理者
- Identity Server
- 認証
- その他の構成
- Integrations
- クラシック ロボット
- トラブルシューティング
Orchestrator ユーザー ガイド
ローカル ユーザーは、Orchestrator でのみ作成できます。名前やメールなどの属性は、ロールおよびその他の Orchestrator 固有の設定とともに Orchestrator で管理されます。これは、Orchestrator へのログイン時に使用されます。オートメーション チーム内のポジションに応じて Orchestrator の表示をカスタマイズできます。また、任意でメールによるアラートを受信することもできます。この種類のユーザーのユーザー名は変更できません。
ローカル ユーザーを追加するには、ユーザーの作成、ユーザー属性の設定、およびロールの割り当てを実行します。ユーザーに関する情報を含むページは、[ユーザー] ページと [プロファイル] ページの 2 つです。いずれかのページに入力すると、もう一方のページの関連情報 (名前、姓、メール アドレス) が上書きされます。
ローカル AD ユーザーからディレクトリ ユーザーに変換する
Active Directory の資格情報でログインするローカル ユーザーをディレクトリ ユーザーに変換するには、次の 2 つの方法があります。
- WindowsAuth.ConvertUsersAtLogin パラメーターを
Trueに設定します。各ローカル AD ユーザーが、Active Directory の資格情報で最初にログインした際に、ディレクトリ ユーザーに変換されます。 - 次に示すスクリプトを実行します。これにより、これまで AD 資格情報でログインしたことがあるすべてのローカル AD ユーザーが一度に変換されます。
この機能は、Orchestrator の [ログイン] ページからログインしているユーザーに対してのみ機能します。Studio 経由で対話型ログインを使用してサインインするユーザーに対しては機能しません。
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0ディレクトリ ユーザーの場合、ロールと Orchestrator 固有の設定のみが Orchestrator で管理され、ユーザー固有の属性 (名前、メール、グループ メンバーシップ) は外部ディレクトリ管理者によって管理されます。
ディレクトリ ユーザーは 2 つの方法で作成できます。
- Active Directory ユーザーを単独で追加。そうしたユーザーを、「個別に追加されたユーザー」と呼びます。
- 以前に追加された Active Directory グループに属するユーザーでログイン。そうしたユーザーを、「自動プロビジョニングされたユーザー」と呼びます。詳細については、「ユーザーについて」ページをご覧ください。
ディレクトリ ユーザーは、親グループが Orchestrator に存在する場合、常に親グループからアクセス権を継承します。
|
アクセス |
ローカル ユーザー | ディレクトリ ユーザー |
|---|---|---|
|
アクセス権を継承する |
|
|
|
明示的なアクセス権を持つことができる |
|
|
|
AD でユーザーの情報を一元管理 |
|
|
|
SSO |
|
|
Active Directory グループを Orchestrator インスタンスに参照することによって作成されたユーザー エンティティ。グループのすべてのメンバーは、Orchestrator の潜在的なユーザーです。グループに設定されたすべてのアクセス権は、そのグループに属するすべてのディレクトリ ユーザーに渡され、自動プロビジョニングまたは個別に追加されます。そうしたアクセス権を、ユーザーごとに個別に設定できる「明示的なアクセス権」ではなく、「継承されたアクセス権」と呼びます。
- 複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
- 複数のグループに属し、明示的なアクセス権も付与されているユーザーは、親グループから継承されたすべての権限と明示的に設定されたすべての権限を合わせ持ちます。
ディレクトリ グループを使用すると、ディレクトリ グループで追加または削除されるユーザーに基づいた、グループ権限での自動アクセスが可能となり (部門の切り替えなど)、ユーザー権限を個別に管理する必要はなくなります。
例
|
ディレクトリ グループ |
継承された権利 |
明示的な権利 |
|---|---|---|
|
アクセス権セット X を持つグループ X とアクセス権セット Y を持つグループ Y が追加されています。 |
ジョン・スミスはグループ X と Y の両方に属します。彼は Orchestrator にログインします。彼のユーザーは、X、Y の権限で自動プロビジョニングされます。 |
ジョンには、セット X とセット Y のほか、セット Z も明示的に付与されます。ジョンには現在、X、Y、Z の権限があります。 グループ X と Y を削除すると、ジョンは Z のままになります。 |
- Orchestrator に追加されたグループに属している場合は、Orchestrator にログインするための明示的なユーザー エントリは必要ありません (手順 1 - 動作セクション)。
- 継承されたアクセス権は、関連するディレクトリ グループに依存しています。ディレクトリが削除されると、継承されたアクセス権も削除されます。
- 明示的に設定されたアクセス権は、ディレクトリ グループから独立しています。グループのステートに関係なく、セッション間で維持されます。
ユーザーが自動的に作成されます。ロボット ユーザーには、既定で サービス アカウントは人間以外のアカウントであり、人間のアカウントが存在する必要がないワークロード (サーバー間認証など) を実行するためのセキュリティ コンテキストを提供する場合に使用します。このような場合、Orchestrator がサービス アカウントの ID を引き受けます。
1 つの Orchestrator インスタンスに対して作成されるサービス アカウントは 1 つのみです。このサービス アカウントはユーザー インターフェイスには表示されず、データベース テーブル内でのみ確認できます。
この種類のアカウントには認証情報が付随しないため、ブラウザーや Cookie を使用して対話型でログインすることはできません。
ワークロードの実行に直接の影響があるため、サービス アカウントを無効化または削除しないことをお勧めします。
