Abonnieren

UiPath Orchestrator

Die UiPath-Orchestrator-Anleitung

Managing access and automation capabilities

Auf der Seite Zugriff verwalten können Sie Rollen definieren und zuweisen sowie die Automatisierungsfunktionen Ihrer Konten konfigurieren. Im Orchestrator verwenden Sie Rollen, um die Zugriffsebene zu steuern, die ein Benutzer haben soll.
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

Die Zugriffsebene und die Aktionen, die Ihre Benutzer ausführen können, werden mithilfe von zwei Elementen gesteuert:

  • Konten, die die Identität eines Benutzers festlegen und zum Anmelden bei Ihren UiPath-Anwendungen verwendet werden
  • Rollen, die Konten zugewiesen werden, um ihnen bestimmte Berechtigungen innerhalb des UiPath-Ökosystems zu erteilen.

Im Orchestrator werden keine Konten erstellt oder verwaltet, sondern nur Rollen und ihre Zuweisungen.

 

Über Konten


Ein Konto ist eine Entität der UiPath Platform mit zugriffsabhängigen Fähigkeiten. Die Ansicht und Steuerung des Orchestrators hängt von den zugewiesenen Zugriffsrechten ab.

Konten können:

  • lokal erstellt und verwaltet werden (lokale Konten), über:
  • created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integration.

Weitere Informationen:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.

Sie fügen Konten aus dem Verwaltungsportal auf Organisationsebene hinzu und die Konten sind nur innerhalb der jeweiligen Organisation verfügbar.
Sobald ein Konto erfolgreich hinzugefügt wurde, gibt es zwei Möglichkeiten, ihm Zugriffsrechte für den Orchestrator zu gewähren: Durch Hinzufügen des Kontos zu einer Gruppe, sodass es die Rollen der Gruppe übernimmt, oder durch Zuweisen von Rollen zu jedem Konto auf Dienstebene. Sie können beide Methoden verwenden, um den Zugriff eines Kontos in Ihrer Organisation detailliert zu steuern.

📘

: In modernen Ordnern erfolgt die Roboterverwaltung auf Benutzerebene. Weitere Informationen finden Sie unter Verwalten von Konten.

AD integration

Ein Active Directory (AD), auf das im Orchestrator verwiesen wird, macht seine Mitglieder zu potenziellen Orchestrator-Benutzern. Die Zugriffsebene für ein Verzeichniskonto wird im Orchestrator entweder auf Gruppenebene (Verzeichnisgruppe) oder auf Benutzerebene (Verzeichnisbenutzer) konfiguriert.

Sie können integrieren mit:

📘

Die Verwendung einer AD-Integration zusammen mit einer automatischen Bereitstellung von Attended-Robotern und hierarchischen Ordnern ermöglicht die mühelose Einrichtung großer Bereitstellungen. Weitere Informationen finden Sie unter Verwalten großer Bereitstellungen.

Voraussetzungen

  • Der Parameter WindowsAuth.Enabled ist auf true festgelegt.
  • Der Parameter WindowsAuth.Domain wird mit einer gültigen Domäne aufgefüllt werden. Beim Hinzufügen von Benutzern/Gruppen sind alle Domänen und Unterdomänen gemäß WindowsAuth.Domain aus Strukturen verfügbar, die eine bidirektionale Vertrauensstellung mit der hier angegebenen Domäne haben.
  • Die Maschine, auf der der Orchestrator installiert ist, ist mit der im Parameter WindowsAuth.Domain festgelegten Domäne verbunden. Um zu überprüfen, ob das Gerät mit der Domäne verbunden ist, führen Sie dsregcmd /status über die Eingabeaufforderung aus, und gehen Sie zum Abschnitt Gerätestatus.
  • Die Identität, unter welcher der Orchestrator-Anwendungspool ausgeführt wird, muss Teil der Windows Authorization Access-Gruppe (WAA) sein.

Verhalten

  • Durch Hinzufügen einer Verzeichnisgruppe wird eine Benutzergruppenentität im Orchestrator erstellt, für die Sie Zugriffsrechte beliebig konfigurieren. Dieser Eintrag im Orchestrator dient als Referenz für die Gruppe, wie sie in AD zu finden ist.
  • Wenn Sie sich anmelden, überprüft der Orchestrator Ihre Gruppenmitgliedschaft. Bei Bestätigung wird Ihr Benutzerkonto automatisch bereitgestellt und dann den von der Gruppe übernommenen Zugriffsrechten zugeordnet. Übernommene Rechte werden nur für die Dauer der Benutzersitzung beibehalten.
  • Auto-provisioning takes place the first time you log in. An auto-provisioned user account doesn't get deleted at log out as you might need the entry for audit purposes.
  • Changes made to group membership in the directory are synced with Orchestrator at every log in, or once every hour for active user sessions. If your system administrator changes your group membership from, say, the Administrators group to the Automation Developers group while you have an active session, the changes are interrogated by Orchestrator the next time you log in or, if already logged in, within the hour.
    This value can be changed using the WindowsAuth.GroupMembershipCacheExpireHours.
  • Gruppen im AD werden mit dem Orchestrator synchronisiert, aber die im Orchestrator vorgenommenen Änderungen haben keine Auswirkungen auf die Benutzerkonfiguration im AD.
  • AD-Benutzer, deren geerbte Zugriffsrechte (aus Gruppenmitgliedschaften) nicht ermittelt werden können, verhalten sich wie lokale Benutzer, d. h. sie verfügen ausschließlich über Rollen, die dem Benutzerkonto zugewiesen sind.
  • Es besteht nur eine Möglichkeit, Zugriffsrechte zu konfigurieren, die zwischen den Sitzungen bestehen bleiben, unabhängig davon, wie sich die Gruppenmitgliedschaft ändert: Sie müssen die Rolle direkt dem Benutzerkonto in Orchestrator zuweisen, anstatt Gruppen für die Rollenzuweisung zu verwenden.

Bekannte Probleme (Known Issues)

  • Aufgrund verschiedener Netzwerk- oder Konfigurationsprobleme kann es sein, dass nicht alle Domänen zugänglich sind, die in der Dropdownliste Domänenname angezeigt werden.
  • Änderungen an Benutzer- oder Gruppennamen im AD werden nicht an den Orchestrator weitergegeben.
  • Es kann bis zu einer Stunde dauern, die Domänenliste mit neu hinzugefügten Domänen mit bidirektionaler Vertrauensstellung zu aktualisieren.
  • Die Anforderungen GetOrganizationUnits(Id) und GetRoles(Id) geben nur Ordner und Rollen zurück, die explizit für einen automatisch bereitgestellten Benutzer festgelegt wurden. Die von der Gruppenkonfiguration übernommen können über den Endpunkt /api/DirectoryService/GetDirectoryPermissions?userId={userId} abgerufen werden.
  • Das gleiche gilt für die Benutzeroberfläche, bei der nur explizit festgelegte Ordner und Rollen auf der Seite Benutzer angezeigt werden, wohingegen übernommene einen neuen dedizierten Speicherort haben, das Fenster Benutzerberechtigungen (Benutzer > Weitere Aktionen > Berechtigungen überprüfen).
  • Benutzer übernehmen keine Warnungsabonnementeinstellungen von der übergeordneten Gruppe und sie erhalten standardmäßig keine Warnungen. Um Zugriff auf Warnungen zu erhalten, müssen Sie dem jeweiligen Benutzer die entsprechenden Berechtigungen explizit erteilen.
  • Wenn eine Verzeichnisgruppe entfernt wird, wird die Lizenz eines zugeordneten Verzeichnisbenutzers nicht entfernt, auch wenn die Zuweisung des Benutzers zu einem Ordner durch das Entfernen der Gruppe aufgehoben wird. Die einzige Möglichkeit, die Lizenz freizugeben, besteht darin, den Roboter-Tray zu schließen.
  • In bestimmten Browsern erfordert die Anmeldung beim Orchestrator mit Ihren AD-Anmeldeinformationen nur Ihren Benutzernamen. Es ist nicht erforderlich, auch die Domäne anzugeben. Wenn also die Syntax Domäne\Benutzername nicht funktioniert, versuchen Sie es damit, nur den Benutzernamen einzugeben.

Audit considerations

  • Benutzermitgliedschaft: Benutzer [Benutzername] wurde den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] zugewiesen.
  • Automatische Bereitstellung: Benutzer [Benutzername] wurde automatisch von den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] bereitgestellt.

Benutzertypen

„Gruppieren“ (Group)

An entity that serves as a reference to the user group. A user group referenced in Orchestrator makes all group members potential Orchestrator users.
The membership of a user is set from Admin > Users & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 4 default local groups: Administrators, Automation Users, Automation Developers, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.

More about local groups.

Die Rollen einer Gruppe werden an alle Benutzer weitergegeben, die zu dieser Gruppe gehören – sowohl automatisch bereitgestellte als auch manuell hinzugefügte. Wir bezeichnen sie als „geerbte Rollen“ im Gegensatz zu „direkt zugewiesenen Rollen“, die nur pro Konto festgelegt werden können.

📘

Nicht vergessen

Ein Benutzer, der mehreren Gruppen angehört, erbt die Zugriffsrechte von allen.
Ein Benutzer, der mehreren Gruppen angehört und dem auch direkt Rollen zugewiesen wurden, besitzt die Summe aller von Gruppen geerbten und direkt zugewiesenen Rollen.
Sie benötigen kein explizites Benutzerkonto, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde.
Geerbte Rollen sind von der zugeordneten Benutzergruppe abhängig. Wenn die Gruppe aus dem Dienst gelöscht wird, werden die geerbten Rollen dieses Kontos ebenfalls gelöscht.
Direkt zugewiesene Rollen sind nicht von Gruppen beeinflusst, in denen sich das Konto befindet. Sie bleiben unabhängig vom Status der Gruppe bestehen.

Beispiel

Angenommen, ich habe John Smith zu den Benutzergruppen „ Automation Users “ und „ Administratoren “ in meiner Organisation hinzugefügt.

  • Die Automation User-Gruppe ist im Finance Orchestrator-Dienst vorhanden.
  • Die Administrators-Gruppe ist im HR Orchestrator-Dienst vorhanden.
  • Johns Konto wurden in beiden Diensten auch direkt Rollen zugewiesen.

John hat die Summe von geerbten und expliziten Rechten für jeden Dienst:

Service/RolesUser GroupsInherited RolesExplicit RolesOverall
Finance Automation User
Tenant Level Roles Allow to be Automation User Allow to be Automation User Allow to be Folder Administrator Allow to be Automation User
Allow to be Folder Administrator
Folder Level Roles Automation User on Folder A
Automation User on Folder B
Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A
HR Administrators
Tenant Level Roles Allow to be Folder Administrator Allow to be Folder Administrator Allow to be Folder Administrator
Folder Level Roles Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F

Benutzer

Nach dem Mechanismus, mit dem Benutzerkonten im Orchestrator hinzugefügt werden, können sie in zwei Kategorien eingeteilt werden:

Manuell hinzugefügte Benutzer

Benutzer, die manuell im Orchestrator hinzugefügt wurden und denen Berechtigungen explizit auf Mandanten- oder Ordnerebene erteilt wurden. Manuell hinzugefügte Benutzerkonten erben Gruppenzugriffsrechte, wenn sie zu einer Gruppe gehören, die ebenfalls zu diesem Orchestrator-Dienst hinzugefügt wurde.

Automatisch bereitgestellte Benutzer

Benutzer, die einer lokalen Gruppe hinzugefügt wurden und sich beim Orchestrator anmelden. Sie können auf der Grundlage der Berechtigungen, die sie von der Gruppe geerbt haben, auf den Orchestrator zugreifen. Sobald sie sich zum ersten Mal beim Orchestrator anmelden, werden sie automatisch bereitgestellt.

On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.

Manually Added UserAuto-provisioned User
Inherits access rights
Can have explicit access rights
Cloud Portal is the central hub for user information
SSO

Roboter

The Robot robotrobot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.

Konto- und Gruppensymbole

Auf Seiten, auf denen Sie Konten, Gruppen oder Rollen verwalten, werden für jeden Typ bestimmte Symbole angezeigt, damit Sie den Kontotyp oder den Gruppentyp erkennen können.

Kontosymbole

UiPath_userUiPath_user - UiPath user account: user account that is linked to a UiPath account and signed in using basic authentication

UiPath_SSO_userUiPath_SSO_user - SSO user account: user account linked to a UiPath account that signed in using SSO; also applies to user accounts that have both a UiPath user account and a directory account

Azure_AD_userAzure_AD_user - Directory user account: the account originates from a directory and signed in with Enterprise SSO

Robot accountRobot account - Robot account

Gruppensymbole

local_grouplocal_group - Local group (or plainly, group): the group was created by a host administrator.

AAD_groupAAD_group - Directory group: the group originates in a linked directory.

Berechtigungen zum Verwalten von Benutzern


Um verschiedene Vorgänge auf den Seiten Benutzer und Rollen ausführen zu können, benötigen Sie die entsprechenden Berechtigungen:

  • Benutzer – Anzeigen – Anzeigen der Seiten Benutzer und Profil.
  • Benutzer – Bearbeiten – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer.
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • Benutzer – Bearbeiten und Rollen – Anzeigen – Bearbeiten von Rollenzuweisungen auf der Seite Zugriff verwalten > Rollen zuweisen.
  • Benutzer – Erstellen und Rollen – Anzeigen – Erstellen eines Benutzers.
  • Benutzer – Anzeigen und Rollen – Bearbeiten – Verwalten von Rollen im Fenster Benutzer verwalten, das auf der Seite „Zugriff verwalten“ > „Rollen“ geöffnet wird.
  • Benutzer – Löschen – Entfernen eines Benutzers aus dem Orchestrator.

 

Über Rollen


Der Orchestrator verwendet einen Zugriffssteuerungsmechanismus, der auf Rollen und Berechtigungen basiert. Rollen sind Sammlungen von Berechtigungen, was bedeutet, dass die Berechtigungen, die für die Verwendung bestimmter Orchestrator-Entitäten erforderlich sind, Rollen zugewiesen sind.

Role-permissions and user-roles relationships allow for a certain level of access to Orchestrator. A user gets the permissions required to perform particular operations through one or multiple roles. Since users are not assigned permissions directly, but only acquire them through roles, management of access rights involves assigning appropriate roles to the user. See Modifying the Roles of a User.

10811081

Berechtigungstypen und Rollentypen


Es gibt zwei Kategorien von Berechtigungen:

  • Mandantenberechtigungen – Definieren Sie den Zugriff eines Benutzers auf Ressourcen auf Mandantenebene.
  • Folder permissions - Define the user's access and ability within each folder to which they are assigned.

Basierend auf ihren enthaltenen Berechtigungen gibt es drei Typen von Rollen:

  • Mandantenrollen, die Mandantenberechtigungen enthalten und für die Arbeit auf Mandantenebene erforderlich sind.
  • Ordnerrollen, die Berechtigungen für die Arbeit in einem Ordner enthalten.
  • Gemischte Rollen, die beide Berechtigungstypen enthalten.
    Bei gemischten Rollen werden für einen globalen Vorgang nur die Mandantenberechtigungen des Benutzers berücksichtigt; für einen ordnerspezifischen Vorgang werden Ordnerberechtigungen zugunsten jeglichen vorhandenen Mandantenberechtigungen angewendet, wenn eine benutzerdefinierte Rolle definiert ist.

📘

Hinweis:

Gemischte Rollen werden nicht mehr unterstützt und Sie können keine neuen erstellen. Wenn Sie gemischte Rollen haben, empfehlen wir, sie durch eine Kombination aus Mandanten- und Ordnerrollen zu ersetzen, um die erforderlichen Berechtigungen zu gewähren.

Die folgenden Ressourcen stehen Benutzern je nach Typ ihrer Rollen zur Verfügung:

Tenant ResourcesFolder Resources
Alerts
Audit
Background tasks
Libraries
License
Machines
ML Logs
Packages
Robots
Roles
Settings
Folders
Users
Webhooks
Assets
Storage Files
Storage Buckets
Connections
Environments
Execution Media
Folder Packages
Jobs
Logs
Monitoring
Processes
Queues
Triggers
Subfolders
Action Assignment
Action Catalogs
Actions
Test Case Execution Artifacts
Test Data Queue Items
Test Data Queues
Test Set Executions
Test Sets
Test Set Schedules
Transactions

You can disable permissions completely from the user interface and API using the Auth.DisabledPermissions parameter in UiPath.Orchestrator.dll.config.

Zuweisen der verschiedenen Rollentypen

Der Rollentyp ist wichtig, weil Sie Rollen je nach Typ unterschiedlich zuweisen:

  • Wenn Klassische Ordner aktivieren unter Mandant > Einstellungen > Allgemein gelöscht wird:
    Sie weisen Mandantenrollen und gemischte Rollen auf der Seite Benutzer oder auf der Seite Rollen zu.
    Sie weisen Ordnerrollen und gemischte Rollen auf der Seite Ordner oder auf der Seite Einstellungen des Ordners zu.
  • Wenn Klassische Ordner aktivieren unter Mandant > Einstellungen > Allgemein ausgewählt ist:
    Sie weisen einen der drei Rollentypen auf der Seite Benutzer oder auf der Seite Rollen zu.
    Sie weisen Ordnerrollen und gemischte Rollen auf der Seite Ordner oder auf der Seite Einstellungen des Ordners zu.

Berechtigungen ohne Effekt

In der Regel können Sie alle verfügbaren Rechte (Anzeigen, Bearbeiten, Erstellen oder Löschen) für jede Berechtigung auswählen, aber die folgenden Rechte haben keine Auswirkungen auf die aufgeführte Berechtigung und können daher nicht bearbeitet werden:

Permission typePermissionUnavailable rights
TenantAlerts Delete
Audit Edit
Create
Delete
License only:
Edit
Create
Delete
FolderExecution Media Edit
Logs Edit
Delete
Monitoring Create
Delete
Connections View
Edit
Create
Delete

Dies liegt z. B. daran, dass es nicht möglich ist, vom System generierte Protokolle zu bearbeiten.

 

Security considerations


Basic authentication

By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication setting. This enables you to create local accounts that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied on basic authentication when calling Orchestrator API.

Enabling basic authentication can be done when creating and editing accounts.

Account lockout

By default, after 10 failed login attempts, you are locked out for 5 minutes.

System administrators can customize the Account Lockout settings from the host Management portal.

Logging in with the same account on a different machine disconnects the user from the first machine.

 

Konfigurieren von Konten zum Ausführen von Automatisierungen


UiPath-Konten können als Identitäten angesehen werden, die menschliche (Benutzerkonten) oder nicht-menschliche Benutzer (Roboterkonten) darstellen sollen, die für den Zugriff auf Orchestrator-Ressourcen autorisiert werden müssen. Diese Konten und ihre Zuordnung zu Rollen ermöglichen eine bestimmte Zugriffsebene auf Ressourcen im Orchestrator.

Um Benutzerkonten und Roboterkonten die Ausführung von Automatisierungen zu ermöglichen, muss ein Administrator die Automatisierungsfunktionen auf Kontoebene konfigurieren:

  • Personal automations: Automations that run under a user's identity either locally on the user's machine, or remotely (personal remote automations) on server-side resources to which the user has no direct access to. Learn how to enable users to run personal automation.
  • Unattended automations: Automations that are suited for processes that perform privileged operations, requiring elevated permissions and credentials. For this reason they typically run under robot accounts on remote infrastructure. Learn how to configure robot accounts to run unattended automation.
  • Unattended automations run on behalf of a user via an unattended robot. Automations running on remote infrastructure, on an unattended robot that impersonates a user. An administrator can enable an unattended robot to impersonate a user account, that is act on behalf of that user identity, to allow the robot to run automations with the same privileges as the user it impersonates. Learn how to enable users to run automations on unattended infrastructure via unattended robots.

Disabling concurrent execution

Wenn Anmeldeinformationen nicht mehrmals gleichzeitig verwendet werden können (z. B. SAP), kann ein Administrator ein Konto daran hindern, gleichzeitig mehrere Aufträge auszuführen. Wenn Sie die Option Nur einen Auftrag gleichzeitig ausführen auf Kontoebene aktivieren, wird verhindert, dass das Konto gleichzeitig mehrere Aufträge ausführt.

Updated 4 days ago


Managing access and automation capabilities


Auf der Seite Zugriff verwalten können Sie Rollen definieren und zuweisen sowie die Automatisierungsfunktionen Ihrer Konten konfigurieren. Im Orchestrator verwenden Sie Rollen, um die Zugriffsebene zu steuern, die ein Benutzer haben soll.
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

Auf API-Referenzseiten sind Änderungsvorschläge beschränkt

Sie können nur Änderungen an dem Textkörperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.