Orchestrator

2023.10

偽

基本情報
- はじめに
- ユーザーオプション
- Orchestrator にログインする
- パスワードをリセットする
- ロボット
  - ロボットのステータス
  - ロボットの設定
- クライアントコンポーネントを自動更新する
- Orchestrator の構成チェックリスト
ベストプラクティス
- Orchestrator の組織モデリング
- 大規模なデプロイを管理する
- オートメーションのベストプラクティス
- マシンテンプレートを使用して無人インフラストラクチャを最適化する
- 無人オートメーション
- タグを使用してリソースを整理する
- Orchestrator の読み取り専用レプリカ
- グリッドをバックグラウンドでエクスポートする
テナント
- テナントコンテキストについて
- テナント内でリソースを検索する
- ロボット
- フォルダー
- 監視
- アクセス権とオートメーションの機能を管理する
- マシン
- パッケージ
- 監査
- 資格情報ストア
  - 資格情報ストアを管理する
  - 資格情報ストアを連携する
- Webhook
  - イベントの種類
  - Webhook を管理する
- アラート
- 設定 - テナントレベル
リソースカタログサービス
- リソースカタログサービスについて
フォルダーコンテキスト
- フォルダーコンテキストについて
- ホーム
自動化
- オートメーションについて
プロセス
- プロセスについて
- プロセスを管理する
- パッケージ要件を管理する
- レコーディング
ジョブ
- ジョブについて
- ジョブを管理する
- ジョブのステート
- 長期実行のワークフローを使用する
- 個人 (リモート) オートメーションを実行する
- プロセスのデータ保持ポリシー
トリガー
- トリガーについて
  - タイムトリガー
  - キュートリガー
- トリガーを管理する
  - タイムトリガーを作成する
  - キュートリガーを作成する
- 非稼働日を管理する
- cron 式を使用する
  - 月の最後の日にジョブをトリガーする
ログ
- ログについて
- Orchestrator でログを管理する
- ログレベル
- Orchestrator のログ
監視
- 監視について
- マシン
- プロセス
- キュー
- キュー SLA
キュー
- キューおよびトランザクションについて
- キューアイテムを CSV ファイルを使用して一括アップロードする
- Orchestrator でキューを管理する
- Studio でキューを管理する
- トランザクションを管理する
  - トランザクションを編集する
  - トランザクション .csv ファイルのフィールドの説明
- レビューリクエスト
アセット
- アセットについて
- Orchestrator でアセットを管理する
- Studio でアセットを管理する
- アセットを Azure Key Vault (読み取り専用) に保存する
- アセットを HashiCorp Vault (読み取り専用) に保存する
- アセットを AWS Secrets Manager (読み取り専用) に保存する
ストレージバケット
- ストレージバケットについて
  - CORS/CSP の設定
- ストレージバケットを管理する
- ストレージプロバイダー間でバケットデータを移動する
Test Suite - Orchestrator
- テストオートメーション
- テストケース
  - [テストケース] ページのフィールドの説明
- テストセット
  - [テストセット] ページのフィールドの説明
- テスト実行
  - [テスト実行] ページのフィールドの説明
- テストスケジュール
  - [テストスケジュール] ページのフィールドの説明
- テストデータのキュー
- データ保持ポリシーをテストする
ホストの管理
- ホスト管理ポータル
- システムメール通知を設定する
- システム管理者を管理する
- ホストライセンスを管理する
  - テナントにホストライセンスを割り当てる
  - ライセンスを管理する
- Orchestrator のホストの設定
  - テナント設定 - ホストレベル
  - テナントを管理する
- ホストの認証設定
  - アップグレード後に認証を再設定する
- ホスト監査ログ
- ログインページをカスタマイズする
- メンテナンスモード
Identity Server
- UiPath Identity Server について
認証
- Active Directory との連携を構成する
- SSO を構成する: SAML 2.0
- SSO を構成する: Google
- SSO を構成する: Azure Active Directory
- スマートカード認証
組織管理者
- ライセンスについて
  - ライセンスをアクティベーションする
- アカウントとグループ
  - アカウントとグループを管理する
  - よくある質問
- 外部アプリケーションを認可する
  - 外部アプリケーションを管理する
  - 外部アプリのきめ細かいアクセス権を設定する
- タグを管理する
- 監査ログ
- 認証とセキュリティを上書きする
- システムメールの設定を上書きする
その他の構成
- パッケージファイルのサイズ制限を増やす
- テナントごとに暗号化キーを設定する
- GZIP 圧縮
Integrations
- 入力および出力引数について
  - 入力および出力引数の使用例
トラブルシューティング
- トラブルシューティングについて
- よく発生する Orchestrator エラー
- cron 式

Orchestrator ユーザーガイド

最終更新日 2024年4月19日

アカウントとグループ

[アカウントおよびグループ] ページでは、組織のローカルユーザーアカウント、ロボットアカウント、およびローカルグループを定義できます。

アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。

アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。

アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。

アカウントについて

アカウントとは、割り当てられたアクセス権に基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。

アカウントの管理は以下のように行われます。

以下の場所から、ローカル (ローカルアカウント) で作成・管理できます。
- 管理ポータル。アカウントの管理方法について詳しくは、こちらをご覧ください。
外部ディレクトリ (ディレクトリアカウントとディレクトリグループ) で作成および管理できます。ディレクトリ連携の仕組みをよりよく理解するには、以下の「Active Directory との連携」をご覧ください。

詳細情報:

詳しくは、こちらをご覧ください。
Orchestrator のアクセス制御モデルについて詳しくは、こちらをご覧ください。これはロールの割り当てに依存します。

アカウントは組織レベルの管理ポータルで追加して、対応する組織内でのみ使用できます。

正常に追加されたアカウントに Orchestrator へのアクセス権を付与するには、次の 2 つの方法があります。1 つはアカウントをグループに追加してグループのロールを継承させる方法、もう 1 つはサービスレベルでアカウントごとにロールを割り当てる方法です。2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。

注: ロボットの管理はユーザーレベルで行います。アカウントを管理する方法について詳しくは、こちらをご覧ください。

Active Directory との連携

Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリアカウントのアクセスレベルは、Orchestrator 内で、グループレベル (ディレクトリグループ) またはユーザーレベル (ディレクトリユーザー) のいずれかで設定されます。

以下と連携できます。

Azure Active Directory (スタンドアロンの Orchestrator)
Azure Active Directory (スタンドアロンの Orchestrator)

注: Active Directory の連携機能を Attended ロボットの自動プロビジョニングや階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。

前提条件

WindowsAuth.Domain パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。
Orchestrator がインストールされているマシンが、WindowsAuth.Domain パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンドプロンプトから dsregcmd /status を実行して、[デバイスのステート] セクションに移動します。
Orchestrator のアプリケーションプールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。

動作

ディレクトリグループを追加すると、必要なアクセス権を設定できるユーザーグループエンティティが Orchestrator 内に作成されます。この Orchestrator のエントリは、Active Directory のグループへの参照として機能します。
ログインすると、Orchestrator はグループメンバーシップを確認します。確認が済むと、ユーザーアカウントが自動的にプロビジョニングされ、グループから継承されたアクセス権が関連付けられます。継承された権限は、ユーザーセッションの間だけ保持されます。
自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザーアカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
アカウントのグループメンバーシップは、Orchestrator によってログイン時に、またはアクティブなセッションでは 1 時間に 1 度確認されます。アカウントのグループメンバーシップが変更された場合、アカウントに対しする変更は次回のアカウントのログイン時に適用されますが、アカウントが現在ログイン中である場合は、1 時間以内に変更が適用されます。

グループメンバーシップを確認する期間は既定では 1 時間ですが、IdentityServer.GroupMembershipCacheExpireHours パラメーターの値を設定して変更できます。
Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
(グループメンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカルユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
アクセス権がグループメンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループを使用してロールを割り当てるのではなく、Orchestrator のユーザーアカウントにロールを直接割り当てることです。

既知の問題

ネットワークや設定の諸問題により、[ドメイン名] のドロップダウンリストに表示されるドメインの一部にアクセスできない可能性があります。
Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
ユーザーインターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
ディレクトリグループを削除した際、関連付けられたディレクトリユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボットトレイを閉じてください。
ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

ユーザーメンバーシップ: ユーザー [ユーザー名] は、次のディレクトリグループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリグループ] に割り当てられました。
自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリグループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリグループ] から自動的にプロビジョニングされました。

ユーザーの種類

グループ

グループを使用すると同じロールや設定を複数のユーザーに適用できるため、一度に複数のユーザーを管理できます。

ユーザーのメンバーシップは、[管理] > [アカウントとグループ] から設定します。

ユーザーグループを使用するとグループ権限による自動アクセス制御が可能になります。ユーザー権限はグループに対するユーザーの追加または削除に基づいて設定され、個別に管理する必要がありません。

既定のグループは、Administrators、Automation Users、Automation Developers、Citizen Developers、Automation Express、Everyone です。すべてのグループには、作成する新規サービスごとに、既定の権限セットが付属しています。そのまま使用できる、この付属のロールは、Orchestrator のサービスごとに後ほどカスタマイズできます。

UiPath が提供する 4 つの既定グループよりも多くのグループが必要な場合は、カスタムローカルグループを作成できます。既定のローカルグループと異なり、カスタムグループは Orchestrator 内で手動で追加する必要があります。ユーザーが持つグループメンバーシップとそれに対応する Orchestrator 内のロールが正しくマッピングされるようにするためです。

グループのロールは、自動プロビジョニングされたユーザーまたは手動で追加されたユーザーを問わず、そのグループに属するすべてのユーザーに渡されます。これらのロールは、アカウントごとにのみ設定できる「直接割り当てられたロール」とは対照的に「継承されたロール」と呼ばれます。

注:

複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
複数のグループに属し、ロールを直接的にも付与されているユーザーは、グループから継承されたロールと直接割り当てられたロールの和集合を所持します。
Orchestrator に追加済みのグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザーアカウントを必要としません。
継承されるロールは、関連付けられたユーザーグループに依存します。グループがサービスから削除されると、アカウントの継承されたロールも削除されます。
直接割り当てられたロールは、アカウントが存在するグループの影響を受けません。これらのロールは、グループのステートに関係なく保持されます。

例

たとえば、ジョン・スミスさんを組織の Automation Users と Administrators ユーザーグループに追加したとしましょう。

Automation User グループは Finance Orchestrator サービス内に存在します。
Administrator グループは HR Orchestrator サービス内に存在します。
ジョンのアカウントには、両方のサービスで直接的にもロールが割り当てられています。

ジョンには各サービスの継承した権限と明示的権限の和集合が与えられます。

サービス/ロール	ユーザーグループ	継承されたロール	明示的なロール	全般
Finance テナント	Automation User
テナントレベルのロール	Allow to be Automation User	Allow to be Automation User	Allow to be Folder Administrator	Allow to be Automation User Allow to be Folder Administrator
フォルダーレベルのロール	フォルダー A の Automation User フォルダー B の Automation User	フォルダー A の Automation User フォルダー B の Automation User	フォルダー A の Folder Administrator	フォルダー A の Automation User フォルダー B の Automation User フォルダー A の Folder Administrator
HR テナント	Administrators
テナントレベルのロール	Allow to be Folder Administrator	Allow to be Folder Administrator		Allow to be Folder Administrator
フォルダーレベルのロール	フォルダー D の Folder Administrator フォルダー E の Folder Administrator	フォルダー D の Folder Administrator フォルダー E の Folder Administrator	フォルダー F の Folder Administrator	フォルダー D の Folder Administrator フォルダー E の Folder Administrator フォルダー F の Folder Administrator

ユーザー (User)

Orchestrator へのユーザーの追加に使用されるメカニズムによって、ユーザーは 2 つのカテゴリに分類できます。

手動で追加されたユーザー

Orchestrator に手動で追加され、テナントレベルまたはフォルダーレベルのいずれかで明示的に権限を付与されたユーザーです。手動で追加されたユーザーアカウントが、Orchestrator サービスに追加されたグループに属している場合、アカウントはそのグループのアクセス権も継承します。

自動でプロビジョニングされたユーザー

ローカルグループに追加され、Orchestrator にログインするユーザーです。これらのユーザーは、グループから継承した権限に基づいて Orchestrator にアクセスできます。Orchestrator に初めてログインした時に自動的にプロビジョニングされます。

重要: [ユーザー] ページの [ロール] 列には、ユーザーに明示的に割り当てられたロールが表示されます。手動で追加されたか、自動プロビジョニングされたかは問いません。この列には、継承されたロールは表示されません。

特定ユーザーに対する [その他のアクション] > [権限を確認] > [ユーザー権限] ウィンドウでは、そのユーザーのすべての権限セット (継承したものも含む) を確認できます。

	手動で追加されたユーザー	自動プロビジョニングされたユーザー
アクセス権を継承する	はい	はい
明示的なアクセス権を持つことができる	はい	はい
Cloud Portal がユーザー情報の一元的なハブである	はい	はい
SSO を使用できる	はい	はい

Robot

ロボットを Orchestrator に手動でデプロイすると、ロボットユーザーが自動的に作成されます。ロボットユーザーには、既定で Robot ロールが割り当てられます。このロールでは、複数のページへのアクセス権がロボットに付与されるため、ロボットはさまざまなアクションを実行できます。

アカウントとグループのアイコン

アカウント、グループ、ロールを管理するページでは、アカウントの種類やグループの種類を認識しやすくするために、それぞれの種類に対する固有のアイコンが表示されます。

アカウントのアイコン

- UiPath ユーザーアカウント: UiPath アカウントに関連付けられ、基本認証を使用してサインインするユーザーアカウントです。

- SSO ユーザーアカウント: SSO を使用してサインインする、UiPath アカウントに関連付けられたユーザーアカウントです。UiPath のユーザーアカウントとディレクトリアカウントの両方を所有するユーザーアカウントにも、このアイコンが表示されます。

- ディレクトリユーザーアカウント: ディレクトリから作成され、Enterprise SSO を使用してサインインするアカウントです。

- ロボットアカウント

グループのアイコン

- ローカルグループ (または、単にグループ): ホスト管理者によって作成されたグループ。

- ディレクトリグループ: 関連付けられたディレクトリ内で作成されたグループです。

ロールについて

Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定のエンティティを使用するために必要な複数の権限がロールに割り当てられます。

ロール権限とユーザーロールの組み合わせにより、Orchestrator に対して一定レベルのアクセスを許可できます。ユーザーは、1 つまたは複数のロールによって、特定の操作を実行するために必要な権限を得られます。権限はユーザーに直接割り当てられるのではなく、ロールを通じてのみ取得できるため、アクセス権限の管理では、ユーザーに適切なロールを割り当てるという作業が伴います。

詳しくは、「ロールを管理する」をご覧ください。

ユーザーを管理するための権限

[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。

ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
ユーザー - 表示 と ロール - 表示 - [ユーザーの権限] ウィンドウでユーザーの権限を表示できます。
ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
ユーザー - 削除 - Orchestrator からユーザーを削除できます。

アカウントの種類

ローカルアカウント

Orchestrator の管理ポータルで作成され、管理できるアカウントは、UiPath エコシステムではローカルと見なされます。

ローカルアカウントについては、名前やメールアドレスなどのアカウント属性が、すべて Identity Server に保存されます。

ディレクトリアカウント

UiPath エコシステム外のディレクトリ (Azure Active Directory など) で作成されたユーザーアカウントはディレクトリユーザーです。これらのアカウントは、ディレクトリと連携すると Orchestrator にアクセスしたり、ロールを付与されたりすることが可能になります。

ディレクトリユーザーについては、ロールの割り当てと Orchestrator 固有の設定のみを UiPath エコシステム (Identity Server と Orchestrator) 内で行い、アカウント固有の属性 (名前、メール、ディレクトリグループのメンバーシップ) は外部ディレクトリの管理者が管理します。

ディレクトリユーザーが Orchestrator にアクセスするには、以下の 2 つの方法があります。

管理者が Orchestrator でディレクトリアカウントにロールを割り当てる - これを「個別に追加されたアカウント」と呼びます。
管理者がグループにディレクトリアカウントを追加して、ユーザーがディレクトリアカウントでログインする。
Orchestrator 管理者がローカルグループにディレクトリグループを追加してから、ディレクトリ管理者がディレクトリグループにユーザーアカウントを追加する - これを「自動プロビジョニングされたアカウント」と呼びます。

ディレクトリアカウントは、その種類にかかわらず、常にそれらのアカウントが属するグループからロールを継承します (グループが Orchestrator 内に存在する場合)。

ローカルグループ

ローカルグループはIdentity Server に由来するエンティティで、ユーザーアカウントとロボットアカウントのコレクションを表します。ロールやライセンスを個々のユーザーに割り当てるのではなく、グループに割り当てることができます。グループに割り当てられたものは、すべてのグループメンバーに自動的に割り当てられます。

ディレクトリグループ

Orchestrator インスタンス内で、リンク先ディレクトリのグループを参照することで作成されるエンティティです。グループのすべてのメンバーは、Orchestrator の潜在的なユーザーです。グループに属するユーザーは、そのグループに割り当てられたすべてのロールを、自動プロビジョニングまたは個別の追加のいずれかにより継承します。

複数のグループに属するユーザーは、それらすべてのグループからロールを継承します。
複数のグループに属し、ロールも明示的に付与されているユーザーは、継承されたロールと明示的に割り当てられたロールをすべて合わせ持ちます。

ディレクトリグループを使用すると、ディレクトリグループで追加または削除されるユーザーに基づいた、グループ権限での自動アクセスが可能となり (部門の切り換えなど)、ユーザー権限を個別に管理する必要はなくなります。

例

ディレクトリグループ	継承された権利	明示的な権利
アクセス権セット X を持つグループ X とアクセス権セット Y を持つグループ Y が追加されています。	ジョン・スミスはグループ X と Y の両方に属します。彼は Orchestrator にログインします。彼のユーザーは、X、Y の権限で自動プロビジョニングされます。	ジョンには、セット X とセット Y のほか、セット Z も明示的に付与されます。ジョンには現在、X、Y、Z の権限があります。グループ X と Y を削除すると、ジョンは Z のままになります。

Orchestrator に追加されたグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザーエントリを必要としません。
継承されたアクセス権は、関連するディレクトリグループに依存しています。ディレクトリが削除されると、継承されたアクセス権も削除されます。
明示的に設定されたアクセス権は、ディレクトリグループから独立しています。グループのステートに関係なく、セッション間で維持されます。

Robot

ロボットアカウント

ロボットアカウントは、特定のユーザーの責任にならないバックオフィスの無人プロセスを実行する必要があるときに役立ちます。これらは、サービスアカウントに相当する RPA 固有のアカウントです。Windows サービスが OAuth モデルのアプリケーション ID として実行するアカウントと同様に、無人プロセスの実行に使用される、非ユーザー ID です。

ロボットアカウントを操作する

ロボットアカウントは、権限という観点ではユーザーアカウントと同じように機能します。UiPath Orchestrator では、他のアカウントの場合と同じようにロボットアカウントを追加したり、これらのアカウントの権限を設定したりできます。

ユーザーアカウントとの違いは、以下の点のみです。

ロボットアカウントでは、対話型プロセス設定は許可されていません。
ロボットアカウントの作成にメールアドレスは不要です。

ユーザーアカウントとおおむね同様に、ロボットアカウントを検索し操作できます。

組織管理者は、[管理] > [アカウントとグループ] ページでロボットアカウントを作成して管理することができます (ただし、[ユーザー] タブではなく、専用の [ロボットアカウント] タブから)。

ロボットアカウントはグループに含めて、グループの一部として管理することもできます。
Orchestrator でロールを割り当てるときに、アカウントを検索すると、選択できるユーザー、グループ、およびロボットアカウントが表示されます。