- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- クラシック ロボット
- ホストの管理
- 組織管理者
- トラブルシューティング
Orchestrator ユーザー ガイド
アクセス権とオートメーションの機能を管理する
アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。
- アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
- ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。
アカウントは、「アカウントとグループ」で説明しているように、組織管理者によって作成および管理されます。
アカウントにロールを割り当てるには、アカウントが既に存在している必要があります。
このページ以降で説明する内容は次のとおりです。
- ロールの管理方法
- オートメーション機能の管理方法 (ロール設定の一環として設定)
アカウントとは、割り当てられたアクセス権に基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。
アカウントの管理は以下のように行われます。
-
ローカル (ローカル アカウント) で作成・管理できます。
- 外部ディレクトリ (ディレクトリ アカウントとディレクトリ グループ) で作成および管理できます。ディレクトリ連携の仕組みをよりよく理解するには、以下の「Active Directory との連携」をご覧ください。
アカウントは組織レベルの管理ポータルで追加して、対応する組織内でのみ使用できます。
正常に追加されたアカウントに Orchestrator へのアクセス権を付与するには、次の 2 つの方法があります。1 つはアカウントをグループに追加してグループのロールを継承させる方法、もう 1 つはサービス レベルでアカウントごとにロールを割り当てる方法です。2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。
Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリ アカウントのアクセス レベルは、Orchestrator 内で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。
以下と連携できます。
前提条件
WindowsAuth.Domain
パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain
パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。- Orchestrator がインストールされているマシンが、
WindowsAuth.Domain
パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトからdsregcmd /status
を実行して、[デバイスのステート] セクションに移動します。 - Orchestrator のアプリケーション プールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。
動作
- ディレクトリ グループを追加すると、必要なアクセス権を設定できるユーザー グループ エンティティが Orchestrator 内に作成されます。この Orchestrator のエントリは、Active Directory のグループへの参照として機能します。
- ログインすると、Orchestrator はグループ メンバーシップを確認します。確認が済むと、ユーザー アカウントが自動的にプロビジョニングされ、グループから継承されたアクセス権が関連付けられます。継承された権限は、ユーザー セッションの間だけ保持されます。
- 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザー アカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
-
アカウントのグループ メンバーシップは、Orchestrator によってログイン時に、またはアクティブなセッションでは 1 時間に 1 度確認されます。アカウントのグループ メンバーシップが変更された場合、アカウントに対しする変更は次回のアカウントのログイン時に適用されますが、アカウントが現在ログイン中である場合は、1 時間以内に変更が適用されます。
グループ メンバーシップを確認する期間は既定では 1 時間ですが、IdentityServer.GroupMembershipCacheExpireHours パラメーターの値を設定して変更できます。
- Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
- (グループ メンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカル ユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
- アクセス権がグループ メンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループを使用してロールを割り当てるのではなく、Orchestrator のユーザー アカウントにロールを直接割り当てることです。
既知の問題
- ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
- Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
- 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
GetOrganizationUnits(Id)
およびGetRoles(Id)
要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId}
エンドポイントを使用してください。- ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
- 既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
- ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
- ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。
監査の考慮事項
- ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
- 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。
グループ
グループを使用すると同じロールや設定を複数のユーザーに適用できるため、一度に複数のユーザーを管理できます。
ユーザーのメンバーシップは、[管理] > [アカウントとグループ] から設定します。
ユーザー グループを使用するとグループ権限による自動アクセス制御が可能になります。ユーザー権限はグループに対するユーザーの追加または削除に基づいて設定され、個別に管理する必要がありません。
既定のグループは、Administrators、Automation Users、Automation Developers、Everyone です。すべてのグループには、作成する新規サービスごとに、既定の権限セットが付属しています。そのまま使用できる、この付属のロールは、Orchestrator のサービスごとに後ほどカスタマイズできます。
UiPath が提供する 4 つの既定グループよりも多くのグループが必要な場合は、カスタム ローカル グループを作成できます。既定のローカル グループと異なり、カスタム グループは Orchestrator 内で手動で追加する必要があります。ユーザーが持つグループ メンバーシップとそれに対応する Orchestrator 内のロールが正しくマッピングされるようにするためです。
グループのロールは、自動プロビジョニングされたユーザーまたは手動で追加されたユーザーを問わず、そのグループに属するすべてのユーザーに渡されます。これらのロールは、アカウントごとにのみ設定できる「直接割り当てられたロール」とは対照的に「継承されたロール」と呼ばれます。
- 複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
- 複数のグループに属し、ロールを直接的にも付与されているユーザーは、グループから継承されたロールと直接割り当てられたロールの和集合を所持します。
- Orchestrator に追加済みのグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザー アカウントを必要としません。
- 継承されるロールは、関連付けられたユーザー グループに依存します。グループがサービスから削除されると、アカウントの継承されたロールも削除されます。
- 直接割り当てられたロールは、アカウントが存在するグループの影響を受けません。これらのロールは、グループのステートに関係なく保持されます。
例
たとえば、ジョン・スミスさんを組織の Automation Users と Administrators ユーザー グループに追加したとしましょう。
- Automation User グループは Finance Orchestrator サービス内に存在します。
- Administrator グループは HR Orchestrator サービス内に存在します。
- ジョンのアカウントには、両方のサービスで直接的にもロールが割り当てられています。
ジョンには各サービスの継承した権限と明示的権限の和集合が与えられます。
サービス/ロール |
ユーザー グループ |
継承されたロール |
明示的なロール |
全般 |
---|---|---|---|---|
Finance テナント |
Automation User | |||
テナント レベルのロール |
|
|
|
|
フォルダー レベルのロール |
|
|
|
|
HR テナント |
Administrators | |||
テナント レベルのロール |
|
|
| |
フォルダー レベルのロール |
|
|
|
|
ユーザー (User)
Orchestrator へのユーザーの追加に使用されるメカニズムによって、ユーザーは 2 つのカテゴリに分類できます。
手動で追加されたユーザー
Orchestrator に手動で追加され、テナント レベルまたはフォルダー レベルのいずれかで明示的に権限を付与されたユーザーです。手動で追加されたユーザー アカウントが、Orchestrator サービスに追加されたグループに属している場合、アカウントはそのグループのアクセス権も継承します。
自動でプロビジョニングされたユーザー
ローカル グループに追加され、Orchestrator にログインするユーザーです。これらのユーザーは、グループから継承した権限に基づいて Orchestrator にアクセスできます。Orchestrator に初めてログインした時に自動的にプロビジョニングされます。
特定ユーザーに対する [その他のアクション] > [権限を確認] > [ユーザー権限] ウィンドウでは、そのユーザーのすべての権限セット (継承したものも含む) を確認できます。
手動で追加されたユーザー | 自動プロビジョニングされたユーザー | |
---|---|---|
アクセス権を継承する |
はい |
はい |
明示的なアクセス権を持つことができる |
はい |
はい |
Cloud Portal がユーザー情報の一元的なハブである |
はい |
はい |
SSO を使用できる |
はい |
はい |
Robot
ロボットを Orchestrator に手動でデプロイすると、ロボット ユーザーが自動的に作成されます。ロボット ユーザーには、既定で Robot ロールが割り当てられます。このロールでは、複数のページへのアクセス権がロボットに付与されるため、ロボットはさまざまなアクションを実行できます。
アカウント、グループ、ロールを管理するページでは、アカウントの種類やグループの種類を認識しやすくするために、それぞれの種類に対する固有のアイコンが表示されます。
アカウントのアイコン
- UiPath ユーザー アカウント: UiPath アカウントに関連付けられ、基本認証を使用してサインインするユーザー アカウントです。
- SSO ユーザー アカウント: SSO を使用してサインインする、UiPath アカウントに関連付けられたユーザー アカウントです。UiPath のユーザー アカウントとディレクトリ アカウントの両方を所有するユーザー アカウントにも、このアイコンが表示されます。
- ディレクトリ ユーザー アカウント: ディレクトリから作成され、Enterprise SSO を使用してサインインするアカウントです。
- ロボット アカウント
グループのアイコン
- ローカル グループ (または、単にグループ): ホスト管理者によって作成されたグループ。
- ディレクトリ グループ: 関連付けられたディレクトリ内で作成されたグループです。
[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。
- ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
- ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
- ユーザー - 表示 と ロール - 表示 - [ユーザーの権限] ウィンドウでユーザーの権限を表示できます。
- ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
- ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
- ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
- ユーザー - 削除 - Orchestrator からユーザーを削除できます。
Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定の機能を使用するために必要な複数の権限がロールに含まれています。
たとえば、カスタム ロールに含まれる権限の一部を以下に示します。
権限には、次の 2 種類があります。
- テナントの権限では、リソースへのユーザーのアクセスをテナント レベルで定義します。
- フォルダーの権限では、ユーザーが何にアクセスしてどのような操作を行えるかを、ユーザーが割り当てられているフォルダーごとに定義します。
- フォルダーの権限 (テナントが対象範囲):
- テナント全体のすべてのフォルダーの作成、編集、削除をユーザーに許可します。
- 通常は、管理者、または組織の管理を担当するユーザーに付与されます。
- サブフォルダーの権限 (フォルダーが対象範囲):
- 自身に割り当てられている特定のフォルダーと、その下層にあるすべてのサブフォルダーの作成、編集、削除をユーザーに許可します。
- よりきめ細かい制御が可能です。ユーザーは特定のフォルダーを管理できますが、テナント内の他のフォルダーは制御できません。
ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。
- テナント ロール - テナントの権限が含まれ、テナント レベルで作業を行うために必要になります。
- フォルダー ロール - フォルダー内で作業を行うための権限が含まれます。
-
混合ロール - 両方の種類の権限が含まれます。
混合ロールの場合、グローバル操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作では、カスタム ロールが定義されている場合はフォルダーの権限は、存在するすべてのテナントの権限を優先して適用されます。
注: 混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナント ロールとフォルダー ロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。
割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。
テナント リソース |
フォルダーのリソース |
---|---|
|
|
UiPath.Orchestrator.dll.config
の Auth.DisabledPermissions パラメーターを使用すれば、ユーザー インターフェイスおよび API から権限を完全に無効化することができます。
ロールの割り当て方法はその種類によって異なるため、ロールの種類は重要な意味を持ちます。ロールの割り当て方法は、クラシック フォルダーが有効かどうかによっても異なります。
-
[テナント] > [設定] > [全般] の [クラシック フォルダーをアクティブ化] がオフになっている場合
- [テナント] > [アクセス権を管理] ページの [ロールを割り当て] タブまたは [ロール] タブからは、テナント ロールと混合ロールを割り当てることができます。
- [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。
-
[テナント] > [設定] > [全般] の [クラシック フォルダーをアクティブ化] がオンになっている場合
- [テナント] > [アクセス権を管理] ページの [ロールを割り当て] タブまたは [ロール] タブからは、3 種類すべてのロールを割り当てることができます。
- [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。
既定では、ログインしようとして 10 回失敗すると、5 分間ロックアウトされます。
システム管理者は、このアカウント ロックの設定をホスト管理ポータルでカスタマイズできます。