- 基本情報
- ベスト プラクティス
- テナント
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- クラシック ロボット
- ホストの管理
- 組織管理者
- トラブルシューティング
アクセス権とオートメーションの機能を管理する
[アクセス権を管理] ページでは、ロールを定義して割り当てることができます。Orchestrator では、アカウントに付与すべきアクセス レベルをロールを使用して制御できます。このページでは、アクセスの制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。
アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。
- アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
- ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。
アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。
アカウントとは、割り当てられたロールに基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。
アカウントの管理は以下のように行われます。
-
以下の場所から、ローカル (ローカル アカウント) で作成・管理できます。
- 外部ディレクトリ (ディレクトリ アカウントとディレクトリ グループ) で作成および管理できます。ディレクトリ連携の仕組みをよりよく理解するには、「Active Directory との連携」をご覧ください。
アカウントは 1 つの組織内でのみ利用可能です。
アカウントが正常に追加されると、Orchestrator の権限を以下の 2 つの方法で付与できます。
- アカウントをグループに追加して、そのグループのロールを継承するか、
- サービス レベルでアカウントにロールを割り当てる
2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。
Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリ アカウントのアクセス レベルは、Orchestrator 内で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。
以下と連携できます。
- ローカル Active Directory
- Azure Active Directory
-
ディレクトリを持つかディレクトリに接続する、他の ID プロバイダー
注: ディレクトリの連携機能を Attended ロボットの自動プロビジョニングや階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。
前提条件
- 外部ディレクトリへの接続で使用する認証オプションが有効化されています。
- 認証設定時に有効なドメインが指定されていること。ユーザーまたはグループを追加するときに、指定されたドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインを使用できるようになります。
- Orchestrator がインストールされているマシンが、指定したドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから
dsregcmd /status
を実行して、[デバイスのステート] セクションに移動します。 - Orchestrator のアプリケーション プールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。
動作
- ディレクトリ グループを追加すると、ディレクトリ グループと呼ばれるエンティティが Orchestrator に作成されるので、それらのグループに対し、必要に応じてアクセス権を設定します。このエントリは、Active Directory におけるグループへの参照のように機能します。
- ログインすると、Orchestrator はグループ メンバーシップを Active Directory データベースおよび UiPath Identity Serverと照合します。確認が済むと、ユーザーをディレクトリ ユーザーとして自動的にプロビジョニングし、ディレクトリ グループから継承したアクセス権に関連付けます。継承された権限は、ユーザー セッションの間だけ保持されます。
- 自動プロビジョニングは、ユーザーの最初のログイン時に行われます。自動プロビジョニングされたユーザー アカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
-
ディレクトリのグループ メンバーシップに対して行った変更は各ログイン時に Orchestrator と同期されるほか、アクティブなユーザー セッション向けに 1 時間に 1 度同期されます。
-
この値は WindowsAuth.GroupMembershipCacheExpireHours を使用して変更できます。
-
X グループのメンバーである場合は、次のようになります。
-
ログインすると、Orchestrator はグループ メンバーシップを確認してから、ID を Active Directory データベースおよび Identity Server と照合します。続いて、Orchestrator の設定に従い、アクセス権が付与されます。ユーザー セッションがアクティブな間にシステム管理者がグループ メンバーシップをグループ X からグループ Y に変更した場合、Orchestrator は 1 時間ごとまたは次回のログイン時に変更を問い合わせます。
- アクセス権がグループ メンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループ メンバーシップを使用してではなく、ユーザー アカウントに直接ロールを割り当てることです。
- (グループ メンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカル ユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
- Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
既知の問題
- ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
- Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
- 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
GetOrganizationUnits(Id)
およびGetRoles(Id)
要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId}
エンドポイントを使用してください。- ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
- 既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
- ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
- ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。
監査の考慮事項
- ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
- 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。
[ユーザー] ページと [プロファイル] ページでさまざまな操作を実行できるようにするためには、関連する権限を付与されている必要があります。
- ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
- ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
- ユーザー - 表示 と ロール - 表示 - ユーザーの権限を表示できます。
- ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
- ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
- ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
- ユーザー - 削除 - Orchestrator からユーザーを削除できます。
任意の権限に対して、利用可能なすべての権限 (表示、編集、作成、削除) を選択できますが、以下の権限は表示されている権限には影響しません。
アクセス許可 |
カテゴリ (Category) |
---|---|
編集 |
|
作成 |
|
削除する |
|
これは、たとえば、システム生成ログを編集することはできないためです。
既定では、Orchestrator は基本認証によるユーザー アクセスを許可しません。この機能は、Auth.RestrictBasicAuthentication 設定を追加して構成することによって有効化できます。これにより、Orchestrator に基本認証資格情報を使用してアクセスできるローカル アカウントを作成できます。そのため、Orchestrator の API を呼び出すときに基本認証を使用していた、既存の連携機能を維持できます。
基本認証はアカウントを作成および編集するときに有効化できます。
既定では、ログインしようとして 10 回失敗すると、5 分間ロックアウトされます。
システム管理者は、このアカウント ロックの設定をホスト管理ポータルでカスタマイズできます。
[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。
- ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
- ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
- ユーザー - 表示 と ロール - 表示 - [ユーザーの権限] ウィンドウでユーザーの権限を表示できます。
- ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
- ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
- ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
- ユーザー - 削除 - Orchestrator からユーザーを削除できます。
1.複数のグループに属するユーザーのアクセス権はどうなりますか?
ユーザーは、所属先の各グループに関連付けられているアクセス権の和集合としてのアクセス権を有します。
例: ジョン・スミスは HR グループと Finance グループに属していて、両グループが Orchestrator に追加されています。HR グループは、Management ロールが割り当てられ、HR フォルダーへのアクセス権を有しています。Finance グループは、Executor ロールが割り当てられ、Finance フォルダーへのアクセス権を有しています。両方のグループに属するジョンには、Management ロールと Executor ロールが割り当てられ、HR フォルダーと Finance フォルダーの両方へのアクセス権があります。
2.グループに所属するユーザーに、アクセス権を個別に追加した場合、そのユーザーのアクセス権はどうなりますか?
そのユーザーは、その所属先グループに関連付けられているアクセス権とユーザー自身に明示的に設定されているアクセス権の和集合としてのアクセス権を有します。継承されたアクセス権はグループ設定に依存すること、また明示的に設定されたアクセス権はグループ設定に依存しないことに注意が必要です。
例: ジョン・スミスは、AD から個別に追加されて明示的に Executor ロールを割り当てられているほか、Finance フォルダーへのアクセス権も有しています。ジョンが属する HR グループも Orchestrator に追加されていて、Management ロールを割り当てられ、HR フォルダーへのアクセス権を有しています。ジョンには、Management ロールと Executor ロールが割り当てられ、HR フォルダーと Finance フォルダーの両方へのアクセス権があります。ジョンが AD レベルで HR グループから削除された場合、Management ロールと HR フォルダーへのアクセス権を失いますが、明示的に設定されたアクセス権はそのままです。
3. ユーザーが 2 つのグループに属しています。最初のグループはロボットの自動作成を許可しますが、2 番目のグループは許可しません。ロボットはユーザー用に作成されますか?
各ユーザーは、その所属先グループのそれぞれに関連付けられているアクセス権すべての和集合としたアクセス権を有します。したがって、1 番目のグループに対する構成に基づいて、そのユーザーのロボットが作成されます。
4. ディレクトリ グループを削除/非アクティブ化しました。関連するディレクトリ ユーザーは引き続きログインできますか?
いいえ。それらのディレクトリ ユーザーにアクセス権を明示的に設定していない場合は、ログインできません。Orchestrator でそれらのディレクトリ ユーザーにアクセス権を個別に付与している場合は、ログインできます。継承されたアクセス権は、アクティブなユーザー セッションが持続している期間でのみ保持されます。明示的に設定したアクセス権のみが、複数のセッションにわたって保持されます。ディレクトリ グループを削除またはディアクティベーションすると、そこで継承されたアクセス権は削除されますが、明示的に設定したアクセス権には何の影響もありません。
5. Active Directory グループに加えられた変更が Orchestrator で有効化されるのはいつですか?
WindowsAuth.GroupMembershipCacheExpireHours
パラメーターで変更できます。