- 基本情報
- ベスト プラクティス
- テナント
- アクション
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- アクション カタログ
- プロファイル
- システム管理者
- Identity Server
- 認証
- その他の構成
- Integrations
- クラシック ロボット
- トラブルシューティング
Orchestrator ユーザー ガイド
ユーザーについて
ユーザーとは、割り当てられたロールに応じて Orchestrator の表示と制御が許可される、アクセス権限に依存する能力を持つエンティティです。ユーザーは、Orchestrator でローカルに作成する (ローカル ユーザー) ことも、外部ディレクトリで作成および管理する (ディレクトリ ユーザー、ディレクトリ グループ) こともできます。
-
ディレクトリ連携の仕組みをよりよく理解するには、「Active Directory との連携」をお読みください。
-
ユーザーの種類についてはこちらをご覧ください。
-
Orchestrator のアクセス制御モデルについては、こちらをご覧ください。
ユーザー管理は、主に [ユーザー] ページ ([テナント] コンテキスト > [ユーザー]) で行います。このページには、使用可能なすべてのユーザーが表示されます。また、ユーザーの追加と削除、およびユーザーの詳細情報の編集を行うことができます。
Orchestrator で参照される Active Directory では、そのメンバーが潜在的な Orchestrator ユーザーとなります。ディレクトリへのアクセスは、Orchestrator で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。
WindowsAuth.Enabled
パラメーターがtrue
に設定されていること。WindowsAuth.Domain
パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain
パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。- Orchestrator がインストールされているマシンが、
WindowsAuth.Domain
パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトからdsregcmd /status
を実行して、[デバイスのステート] セクションに移動します。 - Orchestrator ApplicationPool を実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。
- Active Directory グループを追加すると、ディレクトリ グループと呼ばれるユーザー エンティティが Orchestrator に作成されるので、それらのグループに対し、必要に応じてアクセス権を設定します。このエントリは、Active Directory におけるグループへの参照のように機能します。
- ログインすると、Orchestrator はグループ メンバーシップを Active Directory データベースと照合します。確認が済むと、ユーザーをディレクトリ ユーザーとして自動的にプロビジョニングし、ディレクトリ グループから継承したアクセス権に関連付けます (手順 1)。継承された権限は、ユーザー セッションの間だけ保持されます。
- 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザーは、監査目的でエントリが必要になる可能性があるため、ログアウト時に削除されません。
-
Active Directory グループ メンバーシップに対して行った変更は、各ログイン時に Orchestrator と同期されるほか、アクティブなユーザー セッション向けに 1 時間に 1 度同期されます。この値は WindowsAuth.GroupMembershipCacheExpireHours を使用して変更できます。X グループのメンバーである場合は、次のようになります。
- ログインすると、Orchestrator がグループ メンバーシップを確認し、Active Directory データベースに対する ID を確認します。その後、Orchestrator の構成に応じてアクセス権が付与されます。アクティブなセッション中にシステム管理者がグループ メンバーシップをグループ X からグループ Y に変更すると、その変更は 1 時間ごとまたは次回のログイン時に Orchestrator によって問い合わせられます。
- グループ メンバーシップの変更方法に関係なく、セッション間で保持されるアクセス権を構成する唯一の方法は、Orchestrator でユーザーごとに明示的にセットアップすることです。それらを明示的なアクセス権と呼びます。
- 継承したアクセス権限が特定できない Active Directory ユーザーは明示的に設定されたアクセス権限にのみ依存するため、ローカル ユーザーと同じように機能します。
- Active Directory のグループは Orchestrator と同期しますが、その逆には同期しません。Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
- ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
- Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
- 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
GetOrganizationUnits(Id)
およびGetRoles(Id)
要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId}
エンドポイントを使用してください。- ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
- 既定では、自動プロビジョニングされたユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
- ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
- ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。
モダン フォルダーでのリソース消費の最適化や実行能力の最大化では、ジョブへのユーザーの割り当てが、ほとんど、あるいはまったく制御されません。資格情報を一度に複数回使用できないシナリオ (SAP など) に対応するため、Unattended の同時実行を制限できるようにしました。ユーザーが同時に複数のジョブを実行できないように制限できるため、ジョブの割り当てのアルゴリズムを調整できます。
Orchestrator は、あらかじめ設定された admin ユーザーのみに有効となります。ユーザー名を変更、削除することはできません。管理者のロールのみに有効となりますが、その他のロールを追加し、さらに無効にすることができます。現在ログインしているユーザーは無効にはできません。
Administrator ロールを持つユーザーは、他のユーザーのアクティブ化、非アクティブ化、削除に加えパスワードを含む情報の編集が可能です。Administrator ロールを持つユーザーは削除できません。
[ユーザー] ページと [プロファイル] ページでさまざまな操作を実行するには、対応する権限を付与されている必要があります。
- ユーザーの 表示 - [ユーザー] ページと [プロファイル] ページを表示します。
- ユーザーの編集 - [プロファイル] ページでユーザーの詳細と設定を編集し、[ユーザー] ページでユーザーを有効/無効にします。[プロファイル] ページの [アラート] セクションを設定するには、アラートのカテゴリごとに、対応する [表示] 権限が必要です。
- ユーザーの [表示]、ロールの [表示] - [ユーザーの権限] ウィンドウでユーザー権限を表示します。
- ユーザーの [編集]、ロールの [表示] - [ユーザー] ページでユーザーの詳細と設定を編集します。
- ユーザーで作成、役割の表示 - ユーザーを作成します。
- ユーザーの表示、ロールの編集 - [ユーザーを管理] ウィンドウの [ロール] ページでユーザー ロールを管理します。
- ユーザーの削除 - ユーザーを削除します。
「ロールについて」で詳細を確認してください。
既定では、Orchestrator は基本認証によるユーザー アクセスを許可しません。この機能は、Auth.RestrictBasicAuthentication パラメーターで有効化できます。これにより、Orchestrator に基本認証資格情報を使用してアクセスするローカル ユーザーを作成し、Orchestrator の API の呼び出しで基本認証を使用していた既存の連携機能を維持することができます。
基本認証はユーザーを作成および編集するときに有効化できます。
ログインに 10 回失敗すると、5 分間ロックアウトされます。これらが既定の [アカウント ロック] 設定です。この設定は、[セキュリティ] タブで変更できます。
同じユーザーとして異なるマシン上でログインすると、そのユーザーは最初のマシンから切断されます。