通知を受け取る

UiPath Orchestrator

UiPath Orchestrator ガイド

アカウントの種類

The UiPath Identity Server stores local accounts and the roles assigned to them, but also validates any directory accounts used in Orchestrator.

ローカル アカウント


An account that was created and can be managed from Orchestrator, through the Management portal, is considered to be local to the UiPath ecosystem.
ローカル アカウントについては、名前やメール アドレスなどのアカウント属性が、すべて Identity Server に保存されます。

ディレクトリ アカウント


UiPath エコシステム外のディレクトリ (Azure Active Directory など) で作成されたユーザー アカウントはディレクトリ ユーザーです。これらのアカウントは、ディレクトリと連携すると Orchestrator にアクセスしたり、ロールを付与されたりすることが可能になります。
ディレクトリ ユーザーについては、ロールの割り当てと Orchestrator 固有の設定のみを UiPath エコシステム (Identity Server と Orchestrator) 内で行い、アカウント固有の属性 (名前、メール、ディレクトリ グループのメンバーシップ) は外部ディレクトリの管理者が管理します。

ディレクトリ ユーザーが Orchestrator にアクセスするには、以下の 2 つの方法があります。

  1. 管理者が Orchestrator でディレクトリ アカウントにロールを割り当てる - これを「個別に追加されたアカウント」と呼びます。
  2. 管理者がグループにディレクトリ アカウントを追加して、ユーザーがディレクトリ アカウントでログインする。
  3. Orchestrator 管理者がローカル グループにディレクトリ グループを追加してから、ディレクトリ管理者がディレクトリ グループにユーザー アカウントを追加する - これを「自動プロビジョニングされたアカウント」と呼びます。

ディレクトリ アカウントは、その種類にかかわらず、常にそれらのアカウントが属するグループからロールを継承します (グループが Orchestrator 内に存在する場合)。

ローカル グループ


ローカル グループはIdentity Server に由来するエンティティで、ユーザー アカウントとロボット アカウントのコレクションを表します。ロールやライセンスを個々のユーザーに割り当てるのではなく、グループに割り当てることができます。グループに割り当てられたものは、すべてのグループ メンバーに自動的に割り当てられます。

ディレクトリ グループ


Orchestrator インスタンス内で、リンク先ディレクトリのグループを参照することで作成されるエンティティです。グループのすべてのメンバーは、Orchestrator の潜在的なユーザーです。グループに属するユーザーは、そのグループに割り当てられたすべてのロールを、自動プロビジョニングまたは個別の追加のいずれかにより継承します。

  • 複数のグループに属するユーザーは、それらすべてのグループからロールを継承します。
  • 複数のグループに属し、ロールも明示的に付与されているユーザーは、継承されたロールと明示的に割り当てられたロールをすべて合わせ持ちます。

ディレクトリ グループを使用すると、ディレクトリ グループで追加または削除されるユーザーに基づいた、グループ権限での自動アクセスが可能となり (部門の切り換えなど)、ユーザー権限を個別に管理する必要はなくなります。

Directory GroupsInherited RightsExplicit Rights
Added group X with X set of access rights and group Y with Y set of access rights.John Smith belongs to both Group X and Y. He logs in to Orchestrator. His user is auto-provisioned with the following rights: X, Y.In addition to the X and Y sets, John is also granted the Z set explicitly. John now has the following rights: X, Y, Z.

Deleting groups X and Y leaves John with Z.
  • You don't need an explicit user entry to log in to Orchestrator, if you belong to a group that has been added to Orchestrator (step 1 - Behavior section).
  • 継承されたアクセス権は、関連するディレクトリ グループに依存しています。ディレクトリが削除されると、継承されたアクセス権も削除されます。
  • 明示的に設定されたアクセス権は、ディレクトリ グループから独立しています。グループのステートに関係なく、セッション間で維持されます。

Robot


ロボット アカウント

ロボット アカウントは、特定のユーザーの責任にならないバックオフィスの無人プロセスを実行する必要があるときに役立ちます。これらは、サービス アカウントに相当する RPA 固有のアカウントです。Windows サービスが OAuth モデルのアプリケーション ID として実行するアカウントと同様に、無人プロセスの実行に使用される、非ユーザー ID です。

ロボット アカウントを操作する

ロボット アカウントは、権限という観点ではユーザー アカウントと同じように機能します。UiPath Orchestrator では、他のアカウントの場合と同じようにロボット アカウントを追加したり、これらのアカウントの権限を設定したりできます。
ユーザー アカウントとの違いは、以下の点のみです。

  • ロボット アカウントでは、対話型プロセス設定は許可されていません。
  • ロボット アカウントの作成にメール アドレスは不要です。

ユーザー アカウントとおおむね同様に、ロボット アカウントを検索し操作できます。

  • 組織管理者は、[管理] > [アカウントとグループ] ページでロボット アカウントを作成して管理することができます (ただし、[ユーザー] タブではなく、専用の [ロボット アカウント] タブから)。
    ロボット アカウントはグループに含めて、グループの一部として管理することもできます。
  • Orchestrator でロールを割り当てるときに、アカウントを検索すると、選択できるユーザー、グループ、およびロボット アカウントが表示されます。

ロボット エンティティ (非推奨)

📘

これはクラシック フォルダーにのみ適用されます。

For classic folders, when you manually deploy a robot to Orchestrator, a robot robot entity is automatically created, viewable on the Robots tab.
Robot users have the Robot role assigned to them by default.

サービス アカウント


サービス アカウントは人間以外のアカウントであり、人間のアカウントが存在する必要がないワークロード (サーバー間認証など) を実行するためのセキュリティ コンテキストを提供する場合に使用します。このような場合、Orchestrator がサービス アカウントの ID を引き受けます。

1 つの Orchestrator インスタンスに対して作成されるサービス アカウントは 1 つのみです。このサービス アカウントはユーザー インターフェイスには表示されず、データベース テーブル内でのみ確認できます。
この種類のアカウントには認証情報が付随しないため、ブラウザーや Cookie を使用して対話型でログインすることはできません。

ワークロードの実行に直接の影響があるため、サービス アカウントを無効化または削除しないことをお勧めします。

約 1 か月前に更新


アカウントの種類


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。