Lokaler Benutzer
Eine Benutzerentität, die nur im Orchestrator erstellt werden kann. Für lokale Benutzer werden Attribute wie Name und E-Mail im Orchestrator verwaltet, zusammen mit Rollen und anderen Orchestrator-spezifischen Einstellungen. Wird verwendet, um sich beim Orchestrator anzumelden, eine benutzerdefinierte Ansicht vom Orchestrator zu haben, abhängig von Ihrer Position innerhalb des Automatisierungsteams, und optional, um E-Mail-Benachrichtigungen zu erhalten. Sie können den Benutzernamen lokaler Benutzer nicht ändern.
Konvertieren lokaler AD-Benutzer in Verzeichnisbenutzer
There two ways to convert local users that log in with AD credentials into directory users:
- Set the
WindowsAuth.ConvertUsersAtLogin
app setting toTrue
. This converts each local AD user into a directory user after the first login with AD credentials. This only works if the login is performed on the Orchestrator Login page. - Durch das folgende Skript. Dadurch werden alle lokalen Benutzer auf einmal konvertiert, die sich jemals mit AD-Anmeldeinformationen angemeldet haben.
Diese Funktion funktioniert nur für Benutzer, die sich über die Anmeldeseite im Orchestrator anmelden. Dies funktioniert nicht für Benutzer, die sich über Studio mit interaktiver Anmeldung anmelden.
Wichtig
Sobald die Konvertierung abgeschlossen ist, können Sie die einfachen Authentifizierungsanmeldeinformationen nicht mehr verwenden, um sich bei den jeweiligen Benutzern anzumelden.
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0
Verzeichnisbenutzer
Für Verzeichnisbenutzer werden nur Rollen und Orchestrator-spezifische Einstellungen im Orchestrator verwaltet, während benutzerspezifische Attribute (Name, E-Mail, Gruppenmitgliedschaft) vom externen Verzeichnisadministrator verwaltet werden.
Ein Verzeichnisbenutzer kann auf zwei Arten erstellt werden:
- Selbst hinzugefügte AD-Benutzer bezeichnen wir als individuell hinzugefügte Benutzer.
- Indem wir uns mit einem Benutzer anmelden, der zu einer zuvor hinzugefügten AD-Gruppe gehört. Das bezeichnen wir als automatisch bereitgestellten Benutzer. Weitere Informationen finden Sie auf der Seite Über Benutzer.
Unabhängig von ihrem Typ übernehmen Verzeichnisbenutzer immer Zugriffsrechte von der übergeordneten Gruppe, wenn sie im Orchestrator vorhanden ist.
Local User | Directory User | |
---|---|---|
Inherits access-rights | ![]() | ![]() |
Can have explicit access-rights | ![]() | ![]() |
AD is the central hub for user information | ![]() | ![]() |
SSO | ![]() | ![]() |
Verzeichnisgruppe
Eine Benutzerentität, die durch Verweisen einer AD-Gruppe in Ihre Orchestrator-Instanz erstellt wird. Alle Mitglieder der Gruppe sind potenzielle Benutzer des Orchestrators. Alle Zugriffsrechte, die für eine Gruppe festgelegt sind, werden an alle Verzeichnisbenutzer weitergegeben, die zu dieser Gruppe gehören, automatisch bereitgestellt oder einzeln hinzugefügt. Wir bezeichnen sie als „übernommene Zugriffsrechte“ im Gegensatz zu „expliziten Zugriffsrechten“, die nur einzeln pro Benutzer festgelegt werden können.
- Ein Benutzer, der mehreren Gruppen angehört, übernimmt die Zugriffsrechte von allen.
- Ein Benutzer, der mehreren Gruppen angehört und dem explizit Zugriffsrechte gewährt wurden, verfügt über die Schnittmenge aller Rechte, die von übergeordneten Gruppen übernommen und explizit festgelegt wurden.
Die Verwendung von Verzeichnisgruppen ermöglicht den automatischen Zugriff mit den Gruppenberechtigungen, basierend auf Benutzern, die der Verzeichnisgruppe hinzugefügt oder aus ihr entfernt werden (z. B. beim Wechseln von Abteilungen), ohne dass Benutzerberechtigungen einzeln verwaltet werden müssen.
Verzeichnisgruppen | Geerbte Rechte | Explizite Rechte |
---|---|---|
Gruppe X mit Satz X von Zugriffsrechten und Gruppe Y mit Satz Y von Zugriffsrechten wird hinzugefügt. |
John Smith gehört zu Gruppe X und Y. Er meldet sich beim Orchestrator an. Sein Benutzer hat automatisch die folgenden Rechte: X, Y. |
Zusätzlich zu den Sätzen X und Y erhält John auch explizit den Satz Z. John hat nun folgende Rechte: X, Y, Z. Wenn die Gruppen X und Y gelöscht werden, bleibt John der Satz Z. |
- Sie benötigen keinen expliziten Benutzereintrag, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde (Schritt 1 – Abschnitt Verhalten).
- Geerbte Zugriffsrechte sind von der zugehörigen Verzeichnisgruppe abhängig. Wenn das Verzeichnis gelöscht wird, werden auch die geerbten Zugriffsrechte gelöscht.
- Explizit festgelegte Zugriffsrechte sind unabhängig von der Verzeichnisgruppe. Sie bleiben zwischen den Sitzungen bestehen, unabhängig vom Status der Gruppe.
Roboter
The Robot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default.
The Robot role grants your Robots access to multiple pages, making it able to perform various actions. See here the exact permissions of the Robot role.
Vor ungefähr einem Jahr aktualisiert