Orchestrator

2023.4

False

Démarrage
- Introduction
- Options de l’utilisateur
- Connexion à Orchestrator
- Réinitialiser votre mot de passe
- Robots
  - États du Robot
  - Paramètres du Robot
- Mise à jour automatique des composants clients
- Liste de contrôle de configuration d'Orchestrator
Meilleures pratiques
- Modélisation de l'organisation dans Orchestrator
- Gestion de grands déploiements
- Meilleures pratiques d'automatisation
- Optimisation de l'infrastructure Unattended à l'aide de modèles de machine
- Automatisation non assistée
  - Concepts utiles de l'automatisation Unattended
  - Comment s'effectue l'automatisation Unattended
- Organisation des ressources avec des balises
- Réplica Orchestrator en lecture seule
- Exportation des grilles dans l'arrière-plan
Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Robots
- Dossiers
- Surveillance
- Gestion des capacités d'accès et d'automatisation
- Machines
- Paquets
- Audit
- Magasins d'identifiants
  - Gestion des magasins d'identifiants
  - Intégration des magasins d'identifiants
- Webhooks
  - Types d'événements
  - Gestion des Webhooks
- Alertes
- Paramètres - Niveau du locataire
Service de catalogue de ressources
- À propos du service de catalogue de ressources
Contexte des dossiers
- À propos du contexte des dossiers
- Accueil
Automatisations
- À propos des automatisations
Processus (Processes)
- À propos des processus
- Gestion des processus
- Gestion des exigences de package
- Enregistrement
Tâches (Jobs)
- À propos des tâches
- Gestion des tâches
- États d'une tâche
- Travailler avec des workflows de longue durée
- Exécuter des automatisations à distance personnelles
- Stratégie de conservation des données des processus
Déclencheurs (Triggers)
- À propos des déclencheurs
  - Déclencheurs de temps
  - Déclencheurs de file d'attente
- Gestion des déclencheurs
  - Création d'un déclencheur de temps
  - Création d'un déclencheur de file d'attente
- Gestion des jours non ouvrables
- Utilisation d'expressions cron
  - Déclenchement des tâches le dernier jour du mois
Journaux (Logs)
- À propos des journaux
- Gestion des journaux dans Orchestrator
- Niveaux de journalisation
- Journaux d'Orchestrator
Surveillance
- À propos de la surveillance
- Machines
- Processus (Processes)
- Files d'attente (Queues)
- SLA de files dʹattente
Files d'attente (Queues)
- À propos des files d'attente et des transactions
- Téléchargement d'éléments en bloc à l'aide d'un fichier CSV
- Gestion des files d'attente dans Orchestrator
- Gestion des files d'attente dans Studio
- Gestion des transactions
  - Modification des transactions
  - Description des champs du fichier .csv des transactions
- Demandes de révision
Actifs
- À propos des actifs
- Gestion des actifs dans Orchestrator
- Gestion des actifs dans Studio
- Stockage des ressources dans Azure Key Vault (lecture seule)
- Stockage des ressources dans HashiCorp Vault (lecture seule)
- Stockage des ressources dans AWS Secrets Manager (lecture seule)
Compartiments de stockage
- À propos des compartiments de stockage
  - Configuration CORS/CSP
- Gestion des compartiments de stockage
- Déplacement des données de compartiment entre les fournisseurs de stockage
Test Suite - Orchestrator
- Automatisation de test
- Cas de test
  - Description des champs de la page Cas de test (Test Cases)
- Ensembles de tests
  - Description des champs de la page Ensembles de test (Test Sets)
- Exécutions de test
  - Description des champs de la page Exécutions de test (Test Executions)
- Planifications de test
  - Description des champs de la page Planifications de test (Test Schedules)
- Files d'attente de données de test
- Test de la stratégie de conservation des données
Administration de l'hôte
- Portail d'administration de l'hôte
- Configuration des notifications par e-mail du système
- Gestion des administrateurs système
- Gestion de votre licence d'hôte
  - Attribution de licences d'hôte à des locataires
  - Gestion de vos licences
- Paramètres de l'hôte d'Orchestrator
  - Paramètres du locataire - Niveau de l'hôte
  - Gestion des tenants
- Paramètres d’authentification de l'hôte
  - Reconfiguration de l'authentification après la mise à niveau
- Journaux d'audit de l'hôte
- Personnalisation de la page Connexion
- Mode de Maintenance
Serveur d'identité
- À propos du serveur d'identité UiPath
Authentification
- Configurer l'intégration d'Active Directory
- Configuration de l'authentification unique : SAML 2.0
- Configuration de l'authentification unique : Google
- Configuration de l'authentification unique : Azure Active Directory
- Authentification par carte à puce
Administration de l'organisation
- À propos des licences
  - Activation de votre licence
- Comptes et groupes
- Autoriser les applications externes
  - Gestion d'applications externes
  - Configuration de l'accès précis pour les applications externes
- Gestion des balises
- Journaux d’audit
- Contournement de l'authentification et de la sécurité
- Contournement des paramètres des e-mails système
Autres configurations
- Augmentation de la limite de taille des fichiers de paquets
- Configuration de la clé de chiffrement par locataire
- Compression GZIP
Intégrations
- À propos des arguments d'entrée et de sortie
  - Exemple d'utilisation des arguments d'entrée et de sortie
Robots classiques
- Robots
- Environnements (Environments)
  - Gestion des environnements
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Surveillance
  - Robots
- Ressources
Résolution des problèmes
- À propos de la résolution des problèmes
- Erreurs d'Orchestrator fréquemment rencontrées
- Expressions cron

Guide de l'utilisateur d'Orchestrator

Dernière mise à jour 19 avr. 2024

Comptes et groupes

Sur la page Comptes et groupes (Accounts & Groups), vous pouvez définir des comptes utilisateur locaux, des comptes Robot et des groupes locaux pour votre organisation.

Le niveau d'accès et les actions que vos utilisateurs peuvent effectuer sont contrôlés à l'aide de deux éléments :

les comptes, qui établissent l'identité d'un utilisateur et sont utilisés pour se connecter à vos applications UiPath ;
les rôles, qui sont attribués aux comptes afin de leur accorder certaines autorisations au sein de l'écosystème UiPath.

Les comptes ne sont pas créés ou gérés dans Orchestrator. Seuls les rôles et leurs affectations le sont.

À propos des comptes

Un compte est une entité UiPath Platform dont l'affichage et le contrôle d'Orchestrator reposent sur les droits d'accès qui lui ont été affectés.

Les comptes peuvent être :

créés et gérés localement (comptes locaux) depuis :
- Le portail de gestion. Voir Gestion des comptes (Managing accounts) pour plus d'informations.
créés et gérés dans un annuaire externe (comptes d'annuaire et groupes d'annuaires). Voir la section Intégration AD (AD Integration) ci-dessous pour une meilleure compréhension des intégrations d'annuaire.

Plus d’informations :

En savoir plus sur les types de comptes.
En savoir plus sur le modèle de contrôle d'accès d'Orchestrator, qui repose sur l'affectation de rôles.

Vous ajoutez des comptes à partir du portail de gestion au niveau de l'organisation, et les comptes ne sont disponibles qu'au sein de l'organisation concernée.

Une fois qu'un compte a été ajouté avec succès, il existe deux façons de lui accorder des droits d'accès à Orchestrator : en ajoutant le compte à un groupe afin qu'il hérite de ses rôles, ou en attribuant des rôles à chaque compte au niveau du service. Vous pouvez utiliser les deux méthodes pour disposer d'un contrôle granulaire de l'accès dont dispose un compte au sein de votre organisation.

Remarque : Dans les dossiers modernes, la gestion des Robots s'effectue au niveau de l'utilisateur. Voir Gestion des comptes (Managing accounts) pour plus de détails.

Integration AD

Un annuaire Active Directory (AD) référencé dans Orchestrator fait de ses membres des utilisateurs potentiels d'Orchestrator. Le niveau d'accès d'un compte d'annuaire est configuré dans Orchestrator, soit au niveau du groupe (groupe d'annuaire), soit au niveau de l'utilisateur (utilisateur d'annuaire).

Vous pouvez effectuer l'intégration avec :

un répertoire Active Directory local (Orchestrator autonome)
Azure Active Directory (Orchestrator autonome)

Remarque : L'utilisation d'une intégration AD avec l' enregistrement automatique d'Attended Robots et des dossiers hiérarchisés permet de configurer sans effort des déploiements importants. Voir Gestion des grands déploiements ( Managing large deployments) pour plus de détails.

Prérequis

Le paramètre WindowsAuth.Domain est renseigné avec un domaine valide. Tous les domaines et sous-domaines de forêts se trouvant dans une relation de confiance réciproque avec le domaine spécifié dans le paramètre WindowsAuth.Domain sont disponibles lors de l'ajout d'utilisateurs/de groupes.
La machine sur laquelle Orchestrator est installé est connectée au domaine défini dans le paramètre WindowsAuth.Domain. Pour vérifier si le périphérique est connecté au domaine, exécutez le dsregcmd /status de l’invite de commande et accédez à la section État du périphérique (Device State).
L’identité sous laquelle le pool d'applications Orchestrator est en cours d’exécution doit faire partie du groupe d’accès Windows Authorization Access (WAA).

Comportement

L'ajout d'un groupe d'annuaire crée une entité de groupe d'utilisateurs dans Orchestrator pour laquelle vous configurez les droits d'accès comme vous le souhaitez. Cette entrée dans Orchestrator sert de référence au groupe disponible dans AD.
Lors de la connexion, Orchestrator vérifie l'appartenance à votre groupe. Si elle est confirmée, il enregistre automatiquement votre compte utilisateur, puis l'associe aux droits d'accès hérités du groupe. Les droits hérités ne sont conservés que pour la durée de la session de l'utilisateur.
L'enregistrement automatique a lieu la première fois que vous vous connectez. Un compte d'utilisateur enregistré automatiquement n'est pas supprimé lors de la déconnexion, car vous pourriez avoir besoin de l'entrée à des fins d'audit.
L'appartenance d'un compte à un groupe est vérifiée par Orchestrator lors de la connexion, ou une fois par heure pendant les sessions actives. Si l'appartenance d'un compte à des groupes change, ces modifications s'appliqueront au compte la prochaine fois qu'il se connectera ou, s'il est actuellement connecté, dans l'heure qui suit.

Cet intervalle d’une heure pour vérifier l’appartenance à un groupe peut être modifié en définissant la valeur de IdentityServer.GroupMembershipCacheExpireHours
Les groupes dans AD se synchronisent avec Orchestrator, mais les modifications apportées à Orchestrator n'affectent pas la configuration de l'utilisateur dans AD.
Les utilisateurs AD dont les droits d'accès hérités (à partir d'appartenances à des groupes) ne peuvent pas être déterminés se comportent comme des utilisateurs locaux, ce qui signifie qu'ils s'appuient uniquement sur les rôles attribués au compte utilisateur.
La seule façon pour vous de configurer des droits d'accès qui persistent entre les sessions, quelle que soit la façon dont l'appartenance au groupe change, consiste à attribuer directement le rôle au compte utilisateur dans Orchestrator, au lieu d'utiliser des groupes pour affecter des rôles.

Problèmes connus

En raison de divers problèmes de mise en réseau ou de configuration, il est possible que tous les domaines affichés dans la liste déroulante Nom de domaine (Domain Name) ne soient pas accessibles.
Les modifications apportées aux noms d'utilisateur ou de groupe dans AD ne sont pas propagées dans Orchestrator.
La mise à jour de la liste de domaines peut prendre une heure avec des domaines approuvés bidirectionnels récemment ajoutés.
Les requêtes GetOrganizationUnits(Id) et GetRoles(Id) ne renvoient que les dossiers et les rôles explicitement définis pour un utilisateur enregistré automatiquement. Ceux hérités de la configuration du groupe peuvent être récupérés via le point de terminaison /api/DirectoryService/GetDirectoryPermissions?userId={userId}.
Il en va de même pour l'interface utilisateur, où seuls les dossiers et les rôles explicitement définis s'affichent sur la page Utilisateurs (Users). À l'inverse, ceux hérités ont un nouvel emplacement dédié : la fenêtre Autorisations des utilisateurs (User Permissions) (Utilisateurs (Users) > Autres actions (More actions) > Vérifier les autorisations (Check Permissions)).
Les utilisateurs n’héritent pas des paramètres d’abonnement aux alertes du groupe parent et ne reçoivent aucune alerte par défaut. Pour avoir accès aux alertes, vous devez accorder explicitement les autorisations correspondantes à l’utilisateur.
La suppression d’un groupe d’annuaire ne supprime pas la licence d’un utilisateur d’annuaire associé, même si la suppression du groupe annule l’affectation de l’utilisateur aux dossiers. La seule façon de publier la licence est de fermer le panneau du robot.
Sur certains navigateurs, la connexion à Orchestrator effectuée à l’aide de vos informations d’identification AD ne nécessite que votre nom d’utilisateur. Il n’est pas nécessaire de spécifier le domaine. Par conséquent, si la syntaxe Domaine/Nom d'utilisateur ne fonctionne pas, essayez de n'entrer que le nom d’utilisateur.

Considérations relatives à l'audit

Appartenance à l'utilisateur : l'utilisateur [nom d'utilisateur] a été affecté aux groupes de l'annuaire suivants [groupes de l'annuaire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].
Enregistrement automatique : l'utilisateur [nom d'utilisateur] a été automatiquement enregistré à partir des groupes de répertoire suivants [groupes de répertoire à partir desquels l'utilisateur hérite des droits d'accès dans la session en cours].

Types d'utilisateurs

Groupe

Les groupes vous permettent de gérer plusieurs utilisateurs à la fois, en leur appliquant les mêmes rôles et la même configuration via le groupe.

L'adhésion d'un utilisateur est définie dans Admin > Comptes et groupes (Accounts & Groups).

Les groupes d’utilisateurs permettent un accès automatique avec les autorisations de groupe, en fonction des utilisateurs ajoutés ou supprimés du groupe sans devoir gérer les autorisations utilisateur individuellement.

Il existe 4 groupes locaux par défaut : Administrators (Administrators), Automation Users, Automation Developers (Automation Developers), Everyone. Tous les groupes sont livrés avec un ensemble d'autorisations par défaut dans chaque nouveau service que vous créez. Les rôles prêts à l'emploi peuvent être personnalisés ultérieurement pour chaque service Orchestrator.

Si vous avez besoin de plus que les 4 groupes par défaut fournis par UiPath, vous pouvez créer des groupes locaux personnalisés. Contrairement aux groupes d'utilisateurs par défaut, les groupes personnalisés doivent être ajoutés manuellement dans Orchestrator pour garantir le mappage correct entre l'adhésion au groupe d'un utilisateur et le rôle correspondant dans Orchestrator.

Les rôles d'un groupe sont transmis à tous les utilisateurs qui appartiennent à ce groupe, qu'ils aient été enregistrés automatiquement ou ajoutés manuellement. Nous les appelons « rôles hérités », par opposition aux « rôles directement attribués », qui ne peuvent être définis que par compte.

Remarque :

Un utilisateur qui appartient à plusieurs groupes hérite de tous les droits d'accès associés.
Un utilisateur qui appartient à plusieurs groupes et qui s'est également vu attribuer directement des rôles, a l'union de tous les rôles hérités des groupes et rôles directement attribués.
Vous n'avez pas besoin d'un compte utilisateur explicite pour vous connecter à Orchestrator si vous appartenez à un groupe qui a été ajouté à Orchestrator.
Les rôles hérités dépendent du groupe d'utilisateurs associé. Si le groupe est supprimé du service, les rôles hérités de ce compte le sont également.
Les rôles attribués directement ne sont pas influencés par les groupes auxquels appartient le compte. Ils sont conservés quel que soit l'état du groupe.

Exemple

Imaginons que j’aie ajouté John Smith aux groupes d’utilisateurs Automation Users et Administrators dans mon organisation Automation Cloud.

Le groupe Automation User existe dans le service Finances (Finance) d'Orchestrator
Le groupe Administrator existe dans le service RH (HR) d'Orchestrator
Les rôles directement attribués au compte de John dans les deux services également.

John a l'union des droits hérités et explicites pour chaque service :

Service/Rôles	Groupes d'utilisateurs	Rôles hérités	Rôles explicites	Global
Locatairefinancier	Utilisateur d'automatisation
Rôles au niveau du locataire	Autoriser à être un utilisateur d’automatisation (Allow to be Automation User)	Autoriser à être un utilisateur d’automatisation (Allow to be Automation User)	Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)	Autoriser à être un utilisateur d’automatisation (Allow to be Automation User) Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)
Rôles au niveau du dossier	Automation User au niveau du dossier A Automation User au niveau du dossier B	Automation User au niveau du dossier A Automation User au niveau du dossier B	Folder Administrator au niveau du dossier A	Automation User au niveau du dossier A Automation User au niveau du dossier B Folder Administrator au niveau du dossier A
LocataireRH	Administrators
Rôles au niveau du locataire	Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)	Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)		Autoriser à être administrateur de dossiers (Allow to be Folder Administrator)
Rôles au niveau du dossier	Folder Administrator au niveau du dossier D Folder Administrator au niveau du dossier E	Folder Administrator au niveau du dossier D Folder Administrator au niveau du dossier E	Folder Administrator au niveau du dossier F	Folder Administrator au niveau du dossier D Folder Administrator au niveau du dossier E Folder Administrator au niveau du dossier F

Utilisateur (User)

Selon le mécanisme utilisé pour ajouter des comptes utilisateur à Orchestrator, ceux-ci peuvent être classés en deux catégories :

Utilisateurs ajoutés manuellement

Les utilisateurs qui ont été ajoutés manuellement dans Orchestrator et auxquels des autorisations ont été explicitement accordées au niveau du locataire ou au niveau du dossier. Les comptes utilisateur ajoutés manuellement héritent des droits d'accès du groupe s'ils appartiennent à un groupe qui a également été ajouté à ce service Orchestrator.

Utilisateurs enregistrés automatiquement

Les utilisateurs qui ont été ajoutés à un groupe local et qui se connectent à Orchestrator. Ils peuvent accéder à Orchestrator en fonction des autorisations héritées du groupe. Une fois qu'ils se connectent à Orchestrator pour la première fois, ils sont automatiquement enregistrés.

Important : Sur la page Utilisateurs (Users), dans la colonne Rôles (Roles), vous pouvez voir les rôles explicitement attribués à un utilisateur, qu'ils soient ajoutés manuellement ou enregistrés automatiquement. Les rôles hérités ne s'affichent pas dans cette colonne.

Vous pouvez vérifier l’ensemble des autorisations d’un utilisateur, héritées incluses, en accédant à Autres actions (More Actions) > Vérifier les autorisations (Check Permissions) > fenêtre Autorisations des utilisateurs (User Permissions) pour cet utilisateur spécifique.

	Utilisateur ajouté manuellement	Utilisateur enregistré automatiquement
Hérite des droits d'accès	Oui (Yes)	Oui (Yes)
Peut disposer de droits d'accès explicites	Oui (Yes)	Oui (Yes)
Le portail Cloud est le noyau central des informations utilisateur	Oui (Yes)	Oui (Yes)
Peut utiliser l'authentification unique	Oui (Yes)	Oui (Yes)

Robot

L'utilisateur de Robot est automatiquement créé lorsque vous déployez manuellement un Robot dans Orchestrator. Les utilisateurs Robot ont le rôle Robot par défaut. Ce rôle accorde à votre Robot l'accès à plusieurs pages, ce qui lui permet d'effectuer diverses actions.

Icônes de compte et de groupe

Sur les pages de gestion des comptes, des groupes ou des rôles, des icônes spécifiques s'affichent pour chaque type pour vous aider à reconnaître le type de compte ou le type de groupe.

Icônes de compte

- Compte utilisateur UiPath : compte utilisateur associé à un compte UiPath et connecté en utilisant l'authentification de base

- Compte utilisateur SSO : compte utilisateur associé à un compte UiPath connecté via SSO ; s'applique également aux comptes utilisateur ayant un compte utilisateur UiPath et un compte annuaire

- Compte utilisateur d'annuaire : le compte provient d'un annuaire et est connecté avec Enterprise SSO

- Compte Robot

Icônes de groupe

- Groupe local (ou simplement, groupe) : le groupe a été créé par un administrateur hôte.

- Groupe d'annuaires : le groupe provient d'un annuaire associé.

À propos des rôles

Orchestrator utilise un mécanisme de contrôle d’accès basé sur les rôles et les autorisations. Les rôles sont des collections d’autorisations, ce qui signifie que les autorisations nécessaires à l’utilisation de certaines entités Orchestrator sont affectées à des rôles.

Les relations rôles-autorisations et utilisateurs-rôles permettent un certain niveau d'accès à Orchestrator. Un utilisateur obtient les autorisations requises pour effectuer certaines opérations particulières grâce à un ou plusieurs rôles. Étant donné que les autorisations ne sont pas directement affectées aux utilisateurs, mais qu'ils les acquièrent par le biais de rôles, la gestion des droits d’accès implique l’affectation de rôles appropriés à l’utilisateur.

Voir Gestion des rôles pour plus d'informations.

Autorisations pour la gestion des utilisateurs

Pour pouvoir effectuer différentes opérations sur les pages Utilisateurs (Users) et Rôles (Roles), les autorisations suivantes doivent vous être accordées :

Utilisateurs - Consultation (Users - View) : affichage des pages Utilisateurs (Users) et Profil (Profile).
Utilisateurs - Modification (Users - Edit) : modification des détails et les paramètres sur la page Profil (Profile), et activation/désactivation des utilisateurs sur la page Utilisateurs (Users).
Utilisateurs - Consultation(Users - View) et Rôles - Consultation (Roles - View ) : affichage des autorisations utilisateur dans la fenêtre Autorisations utilisateur (User Permissions ).
Utilisateurs - Modification (Users - Edit) et Rôles - Consultation (Roles - View) : modification des attributions de rôle sur la page Gérer l'accès (Manage Access) > Attribuer des rôles (Assign Roles).
Utilisateurs - Création (Users - Create) et Rôles - Consultation (Roles - View) : création d'un utilisateur.
Utilisateurs - Consultation (Users - View) et Rôles - Modification (Roles - Edit) : gestion des rôles dans la fenêtre Gérer les utilisateurs (Manage Users), ouverte à partir de la page Gérer l'accès (Manage Access) > Rôles (Roles).
Utilisateurs - Suppression (Users - Delete) : suppression d'un utilisateur d'Orchestrator.