- 基本情報
- ベスト プラクティス
- テナント
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- クラシック ロボット
- ホストの管理
- 組織管理者
- トラブルシューティング
Orchestrator ユーザー ガイド
アカウントの種類
UiPath Identity Server は、ローカル アカウントとそれらのアカウントに割り当てられているロールを保存するだけでなく、Orchestrator で使用されるすべてのディレクトリ アカウントを検証します。
Identity Server の管理ポータルで作成され、管理できるアカウントは、UiPath エコシステムではローカルと見なされます。ローカル アカウントについては、名前やメール アドレスなどのアカウント属性が、すべて Identity Server に保存されます。
UiPath エコシステム外のディレクトリ (Azure Active Directory など) で作成されたユーザー アカウントはディレクトリ ユーザーです。これらのアカウントは、ディレクトリと連携すると Orchestrator にアクセスしたり、ロールを付与されたりすることが可能になります。
ディレクトリ ユーザーについては、ロールの割り当てと Orchestrator 固有の設定のみを UiPath エコシステム (Identity Server と Orchestrator) 内で行い、アカウント固有の属性 (名前、メール、ディレクトリ グループのメンバーシップ) は外部ディレクトリの管理者が管理します。
ディレクトリ ユーザーに Orchestrator へのアクセス権を付与するには、以下の 2 つの方法があります。
- Orchestrator でディレクトリ ユーザーにロールを割り当てる方法 - これを「個別に追加されたユーザー」と呼びます。
- あらかじめ Orchestrator に追加されていたディレクトリ グループに属するアカウントでログインする - これを「自動プロビジョニングされたユーザー」と呼びます。ユーザーの詳細については、こちらをご覧ください。
ディレクトリ ユーザーは、その種類にかかわらず、常に自分が属するグループからロールを継承します (グループが Orchestrator 内に存在する場合)。
ローカル グループはIdentity Server に由来するエンティティで、ユーザー アカウントとロボット アカウントのコレクションを表します。ロールやライセンスを個々のユーザーに割り当てるのではなく、グループに割り当てることができます。グループに割り当てられたものは、すべてのグループ メンバーに自動的に割り当てられます。
Orchestrator インスタンス内で、リンク先ディレクトリのグループを参照することで作成されるエンティティです。グループのすべてのメンバーは、Orchestrator の潜在的なユーザーです。グループに属するユーザーは、そのグループに割り当てられたすべてのロールを、自動プロビジョニングまたは個別の追加のいずれかにより継承します。
- 複数のグループに属するユーザーは、それらすべてのグループからロールを継承します。
- 複数のグループに属し、ロールも明示的に付与されているユーザーは、継承されたロールと明示的に割り当てられたロールをすべて合わせ持ちます。
ディレクトリ グループを使用すると、ディレクトリ グループで追加または削除されるユーザーに基づいた、グループ権限での自動アクセスが可能となり (部門の切り換えなど)、ユーザー権限を個別に管理する必要はなくなります。
例
ディレクトリ グループ |
継承された権利 |
明示的な権利 |
---|---|---|
アクセス権セット X を持つグループ X とアクセス権セット Y を持つグループ Y が追加されています。 |
ジョン・スミスはグループ X と Y の両方に属します。彼は Orchestrator にログインします。彼のユーザーは、X、Y の権限で自動プロビジョニングされます。 |
ジョンには、セット X とセット Y のほか、セット Z も明示的に付与されます。ジョンには現在、X、Y、Z の権限があります。 グループ X と Y を削除すると、ジョンは Z のままになります。 |
- Orchestrator に追加されたグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザー エントリを必要としません。
- 継承されたアクセス権は、関連するディレクトリ グループに依存しています。ディレクトリが削除されると、継承されたアクセス権も削除されます。
- 明示的に設定されたアクセス権は、ディレクトリ グループから独立しています。グループのステートに関係なく、セッション間で維持されます。
ロボット アカウントは、特定のユーザーの責任ではないバックオフィスの無人プロセスを実行する必要があるときに役立ちます。これらは、サービス アカウントに相当する RPA 固有のアカウントです。Windows サービスが OAuth モデルのアプリケーション ID として実行するアカウントと同様に、無人プロセスの実行に使用される、非ユーザー アイデンティティです。
ロボット アカウントを操作する
ロボット アカウントは、権限という観点ではユーザー アカウントと同じように機能します。UiPath Orchestrator では、他のアカウントの場合と同じようにロボット アカウントを追加したり、これらのアカウントの権限を設定したりできます。
ユーザー アカウントとの違いは、以下の点のみです。
- ロボット アカウントでは、対話型プロセス設定は許可されていません。
- ロボット アカウントの作成にメール アドレスは不要です。
ユーザー アカウントとおおむね同様に、ロボット アカウントを検索し操作できます。
-
管理者は、[管理] > [アカウントとグループ] ページでロボット アカウントを作成して管理することができます (ただし、[ユーザー] タブではなく、専用の [ロボット アカウント] タブから)。
ロボット アカウントはグループに含めて、グループの一部として管理することもできます。
- Orchestrator でロールを割り当てるときに、アカウントを検索すると、選択できるユーザー、グループ、およびロボット アカウントが表示されます。
クラシック フォルダーの場合、ロボットを Orchestrator に手動でデプロイすると、ロボット エンティティが自動的に作成され、[ロボット] タブに表示されます。
ロボット ユーザーには、既定で Robot ロールが割り当てられます。
サービス アカウントは人間以外のアカウントであり、人間のアカウントが存在する必要がないワークロード (サーバー間認証など) を実行するためのセキュリティ コンテキストを提供する場合に使用します。このような場合、Orchestrator がサービス アカウントの ID を引き受けます。
1 つの Orchestrator インスタンスに対して作成されるサービス アカウントは 1 つのみです。このサービス アカウントはユーザー インターフェイスには表示されず、データベース テーブル内でのみ確認できます。
この種類のアカウントには認証情報が付随しないため、ブラウザーや Cookie を使用して対話型でログインすることはできません。
ワークロードの実行に直接の影響があるため、サービス アカウントを無効化または削除しないことをお勧めします。