Abonnieren

UiPath Orchestrator

Die UiPath-Orchestrator-Anleitung

Kontotypen

The UiPath Identity Server stores local accounts and the roles assigned to them, but also validates any directory accounts used in Orchestrator.

Lokales Konto


An account that was created and can be managed from Orchestrator, through the Management portal, is considered to be local to the UiPath ecosystem.
Für lokale Konten werden alle Kontoattribute wie Name und E-Mail-Adresse im Identity Server gespeichert.

Verzeichniskonto


Benutzerkonten, die aus einem Verzeichnis außerhalb des UiPath-Ökosystems stammen (z. B. aus Azure Active Directory), sind Verzeichnisbenutzer. Diese Konten können auf den Orchestrator zugreifen und Rollen erhalten, wenn Sie in das Verzeichnis integrieren.
Für Verzeichnisbenutzer werden nur Rollenzuweisungen und Orchestrator-spezifische Einstellungen innerhalb des UiPath-Ökosystems, im Identity Server und im Orchestrator, verwaltet. Der externe Verzeichnisadministrator verwaltet kontospezifische Attribute (Name, E-Mail, Verzeichnisgruppenmitgliedschaft).

Es gibt zwei Möglichkeiten, wie ein Verzeichnisbenutzer Zugriff auf den Orchestrator erhalten kann:

  1. Ein Administrator weist dem Verzeichniskonto im Orchestrator Rollen zu – wir bezeichnen dies als individuell hinzugefügtes Konto.
  2. Ein Administrator fügt das Verzeichniskonto zu einer Gruppe hinzu und der Benutzer meldet sich mit dem Verzeichniskonto an.
  3. Ein Orchestrator-Administrator fügt eine Verzeichnisgruppe zu einer lokalen Gruppe hinzu, dann fügt ein Verzeichnisadministrator das Benutzerkonto zu der Verzeichnisgruppe hinzu – wir bezeichnen dies als automatisch bereitgestelltes Konto.

Unabhängig von ihrem Typ erben Verzeichniskonten immer die Rollen der Gruppen, zu denen sie gehören, sofern diese im Orchestrator vorhanden sind.

Lokale Gruppe


Lokale Gruppen sind Entitäten, die aus dem Identity Server stammen und eine Sammlung von Benutzer- und Roboterkonten darstellen. Sie können Rollen und Lizenzen zu Gruppen zuweisen, anstatt sie einzelnen Benutzern zuzuweisen. Alles, was der Gruppe zugewiesen ist, wird automatisch allen Gruppenmitgliedern zugewiesen.

Verzeichnisgruppe


Eine Entität, die durch Verweisen auf eine Gruppe aus einem verknüpften Verzeichnis in Ihrer Orchestrator-Instanz erstellt wird. Alle Mitglieder der Gruppe sind potenzielle Benutzer des Orchestrators. Alle Rollen, die einer Gruppe zugewiesen sind, werden an die Benutzer dieser Gruppe vererbt – sowohl an automatisch bereitgestellte als auch an einzeln hinzugefügte Benutzer.

  • Ein Benutzer, der mehreren Gruppen angehört, erbt die Rollen von allen.
  • Ein Benutzer, der mehreren Gruppen angehört und dem auch explizit Rollen gewährt wurden, hat die Vereinigung aller Rollen, die geerbt und explizit zugewiesen wurden.

Die Verwendung von Verzeichnisgruppen ermöglicht den automatischen Zugriff mit den Gruppenberechtigungen, basierend darauf, dass Benutzer der Verzeichnisgruppe hinzugefügt oder daraus entfernt werden (z. B. beim Wechseln von Abteilungen), ohne dass Benutzerberechtigungen einzeln verwaltet werden müssen.

Verzeichnisgruppen Geerbte Rechte Explizite Rechte

Gruppe X mit Zugriffsrechten X und Gruppe Y mit Zugriffsrechten Y hinzugefügt.

John Smith gehört zu Gruppe X und Y. Er meldet sich beim Orchestrator an. Sein Benutzer hat automatisch die folgenden Rechte: X, Y.

Zusätzlich zu den Sätzen X und Y erhält John auch explizit den Satz Z. John hat nun folgende Rechte: X, Y, Z.

Wenn die Gruppen X und Y gelöscht werden, bleibt John der Satz Z.

 

  • Sie benötigen keinen expliziten Benutzereintrag, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde (Schritt 1 – Abschnitt Verhalten).
  • Geerbte Zugriffsrechte sind von der zugeordneten Verzeichnisgruppe abhängig. Wenn das Verzeichnis gelöscht wird, werden auch vererbte Zugriffsrechte gelöscht.
  • Explizit festgelegte Zugriffsrechte sind unabhängig von der Verzeichnisgruppe. Sie bleiben zwischen Sitzungen bestehen, unabhängig vom Status der Gruppe.

Roboter


Robot-Konten

Roboterkonten sind hilfreich, wenn Sie Unattended-Prozesse im Back-Office ausführen müssen, die nicht in der Verantwortung eines bestimmten Benutzers liegen sollten. Dies sind unsere RPA-spezifischen Äquivalente von Dienstkonten. Ähnlich wie die Konten, die Windows-Dienste als Anwendungsidentitäten im OAuth-Modell ausführen, sind sie eine Identität ohne Benutzer, die zur Ausführung von Unattended-Prozessen verwendet wird.

Arbeiten mit Roboterkonten

Roboterkonten verhalten sich im Bezug auf Berechtigungen wie Benutzerkonten. Im UiPath Orchestrator können Sie Roboterkonten hinzufügen und Berechtigungen dafür auf die gleiche Weise wie bei jedem anderen Konto konfigurieren.
Die einzigen Unterschiede im Vergleich zu Benutzerkonten sind:

  • Bei Roboterkonten sind keine interaktiven Prozesskonfigurationen zulässig.
  • Zum Erstellen eines Roboterkontos ist keine E-Mail-Adresse erforderlich.

Sie können Roboterkonten auf die gleiche Weise finden und mit ihnen arbeiten wie bei Benutzerkonten:

  • Organisationsadministratoren können Roboterkonten auf der Seite „Administrator“ > „Konten und Gruppen“ erstellen und verwalten – nicht aber auf der Registerkarte Benutzer, sondern auf der dedizierten Registerkarte Roboterkonten.
    Roboterkonten können auch in Gruppen aufgenommen und als Teil der Gruppe verwaltet werden.
  • Bei der Zuweisung von Rollen im Orchestrator werden bei der Suche nach Konten Benutzer, Gruppen und auch Roboterkonten zur Auswahl angezeigt.

Roboterentität

For classic folders, when you manually deploy a robot to Orchestrator, a robot robot entity is automatically created, viewable on the Robots tab.
Robot users have the Robot role assigned to them by default.

Service account


A service account is a non-human account used to provide a security context for running workloads which don't involve the existence of a human account, such as server-to-server authentications. In these cases, Orchestrator assumes the identity of the service account.

Only one service account is created per Orchestrator instance — it is not visible in the user interface, and can only be identified in database tables.
There is no authentication information attached to this type of account, and, as such, it cannot log in interactively via browsers or cookies.

We recommend not to disable or delete the service account, as this will have a direct impact on running workloads.

Aktualisiert vor 3 Monaten


Kontotypen


Auf API-Referenzseiten sind Änderungsvorschläge beschränkt

Sie können nur Änderungen an dem Textkörperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.