よくある質問

1.複数のグループに属するユーザーのアクセス権はどうなりますか?

ユーザーは、所属先の各グループに関連付けられているアクセス権の和集合としてのアクセス権を有します。

例: ジョン・スミスは HR グループと Finance グループに属していて、両グループが Orchestrator に追加されています。HR グループは、Management ロールが割り当てられ、HR フォルダーへのアクセス権を有しています。Finance グループは、Executor ロールが割り当てられ、Finance フォルダーへのアクセス権を有しています。両方のグループに属するジョンには、Management ロールと Executor ロールが割り当てられ、HR フォルダーと Finance フォルダーの両方へのアクセス権があります。

2.グループに所属するユーザーに、アクセス権を個別に追加した場合、そのユーザーのアクセス権はどうなりますか?

そのユーザーは、その所属先グループに関連付けられているアクセス権とユーザー自身に明示的に設定されているアクセス権の和集合としてのアクセス権を有します。継承されたアクセス権はグループ設定に依存すること、また明示的に設定されたアクセス権はグループ設定に依存しないことに注意が必要です。

例: ジョン・スミスは、AD から個別に追加されて明示的に Executor ロールを割り当てられているほか、Finance フォルダーへのアクセス権も有しています。ジョンが属する HR グループも Orchestrator に追加されていて、Management ロールを割り当てられ、HR フォルダーへのアクセス権を有しています。ジョンには、Management ロールと Executor ロールが割り当てられ、HR フォルダーと Finance フォルダーの両方へのアクセス権があります。ジョンが AD レベルで HR グループから削除された場合、Management ロールと HR フォルダーへのアクセス権を失いますが、明示的に設定されたアクセス権はそのままです。

3. ユーザーが 2 つのグループに属しています。最初のグループはロボットの自動作成を許可しますが、2 番目のグループは許可しません。ロボットはユーザー用に作成されますか?

各ユーザーは、その所属先グループのそれぞれに関連付けられているアクセス権すべての和集合としたアクセス権を有します。したがって、1 番目のグループに対する構成に基づいて、そのユーザーのロボットが作成されます。

4. ディレクトリ グループを削除/非アクティブ化しました。関連するディレクトリ ユーザーは引き続きログインできますか?

いいえ。それらのディレクトリ ユーザーにアクセス権を明示的に設定していない場合は、ログインできません。Orchestrator でそれらのディレクトリ ユーザーにアクセス権を個別に付与している場合は、ログインできます。継承されたアクセス権は、アクティブなユーザー セッションが持続している期間でのみ保持されます。明示的に設定したアクセス権のみが、複数のセッションにわたって保持されます。ディレクトリ グループを削除またはディアクティベーションすると、そこで継承されたアクセス権は削除されますが、明示的に設定したアクセス権には何の影響もありません。

5. Active Directory グループに加えられた変更が Orchestrator で有効化されるのはいつですか?