Abonnieren

UiPath Orchestrator

Die UiPath-Orchestrator-Anleitung

Accounts and roles

On the Manage Access page you can define and assign roles. In Orchestrator, you use roles to control the level of access an account should have.
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

Die Zugriffsebene und die Aktionen, die Ihre Benutzer ausführen können, werden mithilfe von zwei Elementen gesteuert:

  • Konten, die die Identität eines Benutzers festlegen und zum Anmelden bei Ihren UiPath-Anwendungen verwendet werden
  • Rollen, die Konten zugewiesen werden, um ihnen bestimmte Berechtigungen innerhalb des UiPath-Ökosystems zu erteilen.

Im Orchestrator werden keine Konten erstellt oder verwaltet, sondern nur Rollen und ihre Zuweisungen.

About accounts in Orchestrator


An account is a UiPath platform entity with access-dependent capabilities and whose view and control of Orchestrator rely on the assigned roles.

Konten können:

  • lokal erstellt und verwaltet werden (lokale Konten), über:
  • created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integration.

Weitere Informationen:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.

Accounts are only available within the one organization.
Once an account has been successfully added, there are two ways of granting them rights to Orchestrator:

  • by adding the account to a group so that it inherits the roles of the group or
  • by assigning roles to the account at the service level.

You can use both methods for granular control over the access an account has in your organization.

Directory integration

Ein Active Directory (AD), auf das im Orchestrator verwiesen wird, macht seine Mitglieder zu potenziellen Orchestrator-Benutzern. Die Zugriffsebene für ein Verzeichniskonto wird im Orchestrator entweder auf Gruppenebene (Verzeichnisgruppe) oder auf Benutzerebene (Verzeichnisbenutzer) konfiguriert.

Sie können integrieren mit:

📘

Using a directory integration together with attended robots auto-provisioning and hierarchical folders allow for effortlessly setting up large deployments. See Managing large deployments for details.

Voraussetzungen

  • The authentication option through which you connect to the external directory is enabled.
  • A valid domain was specified during authentication configuration. All domains and subdomains from forests 2-way trusted with the specified domain are available when adding users/groups.
  • The machine on which Orchestrator is installed is joined to the specified domain. To check whether the device is joined to the domain, run dsregcmd /status from the Command Prompt, and navigate to the Device State section.
  • Die Identität, unter welcher der Orchestrator-Anwendungspool ausgeführt wird, muss Teil der Windows Authorization Access-Gruppe (WAA) sein.

Verhalten

  • Adding a directory group creates an entity in Orchestrator called a directory group, for which you configure access rights as desired. This entry serves as a reference to the group as found in AD.
  • When logging in, Orchestrator checks your group membership against the AD database and UiPath Identity Server. If confirmed, it automatically provisions your user as a directory user, and then associates it to the access rights inherited from the Directory Group (step 1). Inherited rights are only kept for the duration of the user session.
  • Auto-provisioning takes place the first time a user logs in. An auto-provisioned user account doesn't get deleted at log out as you might need the entry for audit purposes.
  • Changes made to group membership in the directory are synced with Orchestrator at every log-in or once every hour for active user sessions. This value can be changed using the WindowsAuth.GroupMembershipCacheExpireHours. If you are a member of X group, what happens is this:
    You log in, Orchestrator checks your group membership, then confirms your identity against the AD database and Identity Server. You are then granted access rights according to your Orchestrator configuration. If your system administrator changes your group membership from group X to group Y while you have an active session, the changes are interrogated by Orchestrator once every hour or the next time you log in.
  • The only way to configure access rights that persist between sessions, regardless of how group membership changes, is to assign a role to the user account directly and not through group membership.
  • AD-Benutzer, deren geerbte Zugriffsrechte (aus Gruppenmitgliedschaften) nicht ermittelt werden können, verhalten sich wie lokale Benutzer, d. h. sie verfügen ausschließlich über Rollen, die dem Benutzerkonto zugewiesen sind.
  • Gruppen im AD werden mit dem Orchestrator synchronisiert, aber die im Orchestrator vorgenommenen Änderungen haben keine Auswirkungen auf die Benutzerkonfiguration im AD.

Bekannte Probleme (Known Issues)

  • Aufgrund verschiedener Netzwerk- oder Konfigurationsprobleme kann es sein, dass nicht alle Domänen zugänglich sind, die in der Dropdownliste Domänenname angezeigt werden.
  • Änderungen an Benutzer- oder Gruppennamen im AD werden nicht an den Orchestrator weitergegeben.
  • Es kann bis zu einer Stunde dauern, die Domänenliste mit neu hinzugefügten Domänen mit bidirektionaler Vertrauensstellung zu aktualisieren.
  • Die Anforderungen GetOrganizationUnits(Id) und GetRoles(Id) geben nur Ordner und Rollen zurück, die explizit für einen automatisch bereitgestellten Benutzer festgelegt wurden. Die von der Gruppenkonfiguration übernommen können über den Endpunkt /api/DirectoryService/GetDirectoryPermissions?userId={userId} abgerufen werden.
  • Das gleiche gilt für die Benutzeroberfläche, bei der nur explizit festgelegte Ordner und Rollen auf der Seite Benutzer angezeigt werden, wohingegen übernommene einen neuen dedizierten Speicherort haben, das Fenster Benutzerberechtigungen (Benutzer > Weitere Aktionen > Berechtigungen überprüfen).
  • Benutzer übernehmen keine Warnungsabonnementeinstellungen von der übergeordneten Gruppe und sie erhalten standardmäßig keine Warnungen. Um Zugriff auf Warnungen zu erhalten, müssen Sie dem jeweiligen Benutzer die entsprechenden Berechtigungen explizit erteilen.
  • Wenn eine Verzeichnisgruppe entfernt wird, wird die Lizenz eines zugeordneten Verzeichnisbenutzers nicht entfernt, auch wenn die Zuweisung des Benutzers zu einem Ordner durch das Entfernen der Gruppe aufgehoben wird. Die einzige Möglichkeit, die Lizenz freizugeben, besteht darin, den Roboter-Tray zu schließen.
  • In bestimmten Browsern erfordert die Anmeldung beim Orchestrator mit Ihren AD-Anmeldeinformationen nur Ihren Benutzernamen. Es ist nicht erforderlich, auch die Domäne anzugeben. Wenn also die Syntax Domäne\Benutzername nicht funktioniert, versuchen Sie es damit, nur den Benutzernamen einzugeben.

Audit considerations

  • Benutzermitgliedschaft: Benutzer [Benutzername] wurde den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] zugewiesen.
  • Automatische Bereitstellung: Benutzer [Benutzername] wurde automatisch von den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] bereitgestellt.

Disabling concurrent execution


Optimizing resource consumption and maximizing execution capacity in modern folders involves little to no control over how users are allocated to jobs. For scenarios where a credential cannot be used more than once at a time (for example, with SAP), you can limit concurrent execution for unattended processes. This helps modulate the job allocation algorithm by restricting a user from simultaneously executing multiple jobs.

11571157

Users permissions


Um verschiedene Vorgänge auf den Seiten Benutzer und Profil auszuführen, müssen Ihnen die entsprechenden Berechtigungen erteilt werden:

  • Benutzer – Anzeigen – Anzeigen der Seiten Benutzer und Profil.
  • Benutzer – Bearbeiten – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer.
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • Benutzer – Bearbeiten und Rollen – Anzeigen – Bearbeiten von Rollenzuweisungen auf der Seite Zugriff verwalten > Rollen zuweisen.
  • Benutzer – Erstellen und Rollen – Anzeigen – Erstellen eines Benutzers.
  • Benutzer – Anzeigen und Rollen – Bearbeiten – Verwalten von Rollen im Fenster Benutzer verwalten, das auf der Seite „Zugriff verwalten“ > „Rollen“ geöffnet wird.
  • Benutzer – Löschen – Entfernen eines Benutzers aus dem Orchestrator.

Lesen Sie mehr über Rollen.

Berechtigungen ohne Effekt


Auch wenn Sie alle verfügbaren Rechte (Anzeigen, Bearbeiten, Erstellen oder Löschen) für jede Berechtigung auswählen können, haben die folgenden Rechte keine Auswirkungen auf die gelistete Berechtigung:

PermissionCategory
Edit Audit
Execution Media
Logs
Create Audit
License
Settings
Monitoring
Delete Alerts
Audit
Settings
Logs
Monitoring

Dies liegt z. B. daran, dass es nicht möglich ist, vom System generierte Protokolle zu bearbeiten.

Security considerations


Basic authentication

By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication setting. This enables you to create local accounts that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied on basic authentication when calling Orchestrator API.

Enabling basic authentication can be done when creating and editing accounts.

Account lockout

By default, after 10 failed login attempts, you are locked out for 5 minutes.

System administrators can customize the Account Lockout settings from the host Management portal.

Logging in with the same account on a different machine disconnects the user from the first machine.

Aktualisiert vor 6 Monaten


Accounts and roles


On the Manage Access page you can define and assign roles. In Orchestrator, you use roles to control the level of access an account should have.
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

Auf API-Referenzseiten sind Änderungsvorschläge beschränkt

Sie können nur Änderungen an dem Textkörperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.