The UiPath Identity Server stores local accounts and the roles assigned to them, but also validates any directory accounts used in Orchestrator.
Lokales Konto
An account that was created and can be managed from Orchestrator, through the Management portal, is considered to be local to the UiPath ecosystem.
Für lokale Konten werden alle Kontoattribute wie Name und E-Mail-Adresse im Identity Server gespeichert.
Verzeichniskonto
Benutzerkonten, die aus einem Verzeichnis außerhalb des UiPath-Ökosystems stammen (z. B. aus Azure Active Directory), sind Verzeichnisbenutzer. Diese Konten können auf den Orchestrator zugreifen und Rollen erhalten, wenn Sie in das Verzeichnis integrieren.
Für Verzeichnisbenutzer werden nur Rollenzuweisungen und Orchestrator-spezifische Einstellungen innerhalb des UiPath-Ökosystems, im Identity Server und im Orchestrator, verwaltet. Der externe Verzeichnisadministrator verwaltet kontospezifische Attribute (Name, E-Mail, Verzeichnisgruppenmitgliedschaft).
Es gibt zwei Möglichkeiten, wie ein Verzeichnisbenutzer Zugriff auf den Orchestrator erhalten kann:
- Ein Administrator weist dem Verzeichniskonto im Orchestrator Rollen zu – wir bezeichnen dies als individuell hinzugefügtes Konto.
- Ein Administrator fügt das Verzeichniskonto zu einer Gruppe hinzu und der Benutzer meldet sich mit dem Verzeichniskonto an.
- Ein Orchestrator-Administrator fügt eine Verzeichnisgruppe zu einer lokalen Gruppe hinzu, dann fügt ein Verzeichnisadministrator das Benutzerkonto zu der Verzeichnisgruppe hinzu – wir bezeichnen dies als automatisch bereitgestelltes Konto.
Unabhängig von ihrem Typ erben Verzeichniskonten immer die Rollen der Gruppen, zu denen sie gehören, sofern diese im Orchestrator vorhanden sind.
Lokale Gruppe
Lokale Gruppen sind Entitäten, die aus dem Identity Server stammen und eine Sammlung von Benutzer- und Roboterkonten darstellen. Sie können Rollen und Lizenzen zu Gruppen zuweisen, anstatt sie einzelnen Benutzern zuzuweisen. Alles, was der Gruppe zugewiesen ist, wird automatisch allen Gruppenmitgliedern zugewiesen.
Verzeichnisgruppe
Eine Entität, die durch Verweisen auf eine Gruppe aus einem verknüpften Verzeichnis in Ihrer Orchestrator-Instanz erstellt wird. Alle Mitglieder der Gruppe sind potenzielle Benutzer des Orchestrators. Alle Rollen, die einer Gruppe zugewiesen sind, werden an die Benutzer dieser Gruppe vererbt – sowohl an automatisch bereitgestellte als auch an einzeln hinzugefügte Benutzer.
- Ein Benutzer, der mehreren Gruppen angehört, erbt die Rollen von allen.
- Ein Benutzer, der mehreren Gruppen angehört und dem auch explizit Rollen gewährt wurden, hat die Vereinigung aller Rollen, die geerbt und explizit zugewiesen wurden.
Die Verwendung von Verzeichnisgruppen ermöglicht den automatischen Zugriff mit den Gruppenberechtigungen, basierend darauf, dass Benutzer der Verzeichnisgruppe hinzugefügt oder daraus entfernt werden (z. B. beim Wechseln von Abteilungen), ohne dass Benutzerberechtigungen einzeln verwaltet werden müssen.
Beispiel
| Directory Groups | Inherited Rights | Explicit Rights |
|---|---|---|
| Added group X with X set of access rights and group Y with Y set of access rights. | John Smith belongs to both Group X and Y. He logs in to Orchestrator. His user is auto-provisioned with the following rights: X, Y. | In addition to the X and Y sets, John is also granted the Z set explicitly. John now has the following rights: X, Y, Z. Deleting groups X and Y leaves John with Z. |
- You don't need an explicit user entry to log in to Orchestrator, if you belong to a group that has been added to Orchestrator (step 1 - Behavior section).
- Geerbte Zugriffsrechte sind von der zugeordneten Verzeichnisgruppe abhängig. Wenn das Verzeichnis gelöscht wird, werden auch vererbte Zugriffsrechte gelöscht.
- Explizit festgelegte Zugriffsrechte sind unabhängig von der Verzeichnisgruppe. Sie bleiben zwischen Sitzungen bestehen, unabhängig vom Status der Gruppe.
Roboter
Robot-Konten
Roboterkonten sind hilfreich, wenn Sie Unattended-Prozesse im Back-Office ausführen müssen, die nicht in der Verantwortung eines bestimmten Benutzers liegen sollten. Dies sind unsere RPA-spezifischen Äquivalente von Dienstkonten. Ähnlich wie die Konten, die Windows-Dienste als Anwendungsidentitäten im OAuth-Modell ausführen, sind sie eine Identität ohne Benutzer, die zur Ausführung von Unattended-Prozessen verwendet wird.
Arbeiten mit Roboterkonten
Roboterkonten verhalten sich im Bezug auf Berechtigungen wie Benutzerkonten. Im UiPath Orchestrator können Sie Roboterkonten hinzufügen und Berechtigungen dafür auf die gleiche Weise wie bei jedem anderen Konto konfigurieren.
Die einzigen Unterschiede im Vergleich zu Benutzerkonten sind:
- Bei Roboterkonten sind keine interaktiven Prozesskonfigurationen zulässig.
- Zum Erstellen eines Roboterkontos ist keine E-Mail-Adresse erforderlich.
Sie können Roboterkonten auf die gleiche Weise finden und mit ihnen arbeiten wie bei Benutzerkonten:
- Organisationsadministratoren können Roboterkonten auf der Seite „Administrator“ > „Konten und Gruppen“ erstellen und verwalten – nicht aber auf der Registerkarte Benutzer, sondern auf der dedizierten Registerkarte Roboterkonten.
Roboterkonten können auch in Gruppen aufgenommen und als Teil der Gruppe verwaltet werden. - Bei der Zuweisung von Rollen im Orchestrator werden bei der Suche nach Konten Benutzer, Gruppen und auch Roboterkonten zur Auswahl angezeigt.
Robot entity (deprecated)
This only applies to classic folders.
For classic folders, when you manually deploy a robot to Orchestrator, a robot 
entity is automatically created, viewable on the Robots tab.
Robot users have the Robot role assigned to them by default.
Service account
A service account is a non-human account used to provide a security context for running workloads which don't involve the existence of a human account, such as server-to-server authentications. In these cases, Orchestrator assumes the identity of the service account.
Only one service account is created per Orchestrator instance — it is not visible in the user interface, and can only be identified in database tables.
There is no authentication information attached to this type of account, and, as such, it cannot log in interactively via browsers or cookies.
We recommend not to disable or delete the service account, as this will have a direct impact on running workloads.
Vor etwa einem Monat aktualisiert