通知を受け取る

UiPath Orchestrator

UiPath Orchestrator ガイド

アクセス権とオートメーションの機能を管理する

[アクセス権を管理] ページでは、ロールを定義して割り当てるとともに、アカウントのオートメーションの機能を設定できます。Orchestrator では、ユーザーに付与すべきアクセス レベルをロールを使用して制御できます。
このページでは、アクセスの制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。

アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。

  • アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
  • ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。

アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。

 

アカウントについて


アカウントとは、割り当てられたアクセス権に基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。

アカウントの管理は以下のように行われます。

  • 以下の場所から、ローカル (ローカル アカウント) で作成・管理できます。
  • created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integration.

詳細情報:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.

アカウントは組織レベルの管理ポータルで追加して、対応する組織内でのみ使用できます。
正常に追加されたアカウントに Orchestrator へのアクセス権を付与するには、次の 2 つの方法があります。1 つはアカウントをグループに追加してグループのロールを継承させる方法、もう 1 つはサービス レベルでアカウントごとにロールを割り当てる方法です。2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。

📘

: モダン フォルダーでは、ロボットの管理をユーザー レベルで行います。アカウントを管理する方法について詳しくは、こちらをご覧ください。

Active Directory との連携

Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリ アカウントのアクセス レベルは、Orchestrator 内で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。

以下と連携できます。

📘

Active Directory の連携機能を Attended ロボットの自動プロビジョニング階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。

前提条件

  • WindowsAuth.Enabled パラメーターが true に設定されていること。
  • WindowsAuth.Domain パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。
  • Orchestrator がインストールされているマシンが、WindowsAuth.Domain パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから dsregcmd /status を実行して、[デバイスのステート] セクションに移動します。
  • Orchestrator のアプリケーション プールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。

動作

  • ディレクトリ グループを追加すると、必要なアクセス権を設定できるユーザー グループ エンティティが Orchestrator 内に作成されます。この Orchestrator のエントリは、Active Directory のグループへの参照として機能します。
  • ログインすると、Orchestrator はグループ メンバーシップを確認します。確認が済むと、ユーザー アカウントが自動的にプロビジョニングされ、グループから継承されたアクセス権が関連付けられます。継承された権限は、ユーザー セッションの間だけ保持されます。
  • 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザー アカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
  • ディレクトリのグループ メンバーシップに対して行った変更は各ログイン時に Orchestrator と同期されるほか、アクティブなユーザー セッション向けに 1 時間に 1 度同期されます。システム管理者が、ユーザーのグループ メンバーシップを、たとえば Administrators グループから Automation Developers グループに変更し、アクティブなセッションが存在する場合、その変更は次回のログイン時、または既にログインしている場合は 1 時間以内に Orchestrator によって照会されます。
    This value can be changed using the WindowsAuth.GroupMembershipCacheExpireHours.
  • Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
  • (グループ メンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカル ユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
  • アクセス権がグループ メンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループを使用してロールを割り当てるのではなく、Orchestrator のユーザー アカウントにロールを直接割り当てることです。

既知の問題

  • ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
  • Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
  • 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
  • GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
  • ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
  • 既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
  • ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
  • ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

  • ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
  • 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。

ユーザーの種類

グループ

ユーザー グループへの参照として機能するエンティティです。Orchestrator で参照されるユーザー グループは、そのグループ メンバー全員を潜在的な Orchestrator ユーザーにします。
The membership of a user is set from Admin > Users & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 4 default local groups: Administrators, Automation Users, Automation Developers, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.

More about local groups.

グループのロールは、自動プロビジョニングされたユーザーまたは手動で追加されたユーザーを問わず、そのグループに属するすべてのユーザーに渡されます。これらのロールは、アカウントごとにのみ設定できる「直接割り当てられたロール」とは対照的に「継承されたロール」と呼ばれます。

📘

注意

複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
複数のグループに属し、ロールを直接的にも付与されているユーザーは、グループから継承されたロールと直接割り当てられたロールの和集合を所持します。
Orchestrator に追加済みのグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザー アカウントを必要としません。
継承されるロールは、関連付けられたユーザー グループに依存します。グループがサービスから削除されると、アカウントの継承されたロールも削除されます。
直接割り当てられたロールは、アカウントが存在するグループの影響を受けません。これらのロールは、グループのステートに関係なく保持されます。

たとえば、ジョン・スミスさんを組織の Automation UsersAdministrators ユーザー グループに追加したとしましょう。

  • Automation User グループは Finance Orchestrator サービス内に存在します。
  • Administrator グループは HR Orchestrator サービス内に存在します。
  • ジョンのアカウントには、両方のサービスで直接的にもロールが割り当てられています。

ジョンには各サービスの継承した権限と明示的権限の和集合が与えられます。

Service/RolesUser GroupsInherited RolesExplicit RolesOverall
Finance Automation User
Tenant Level Roles Allow to be Automation User Allow to be Automation User Allow to be Folder Administrator Allow to be Automation User
Allow to be Folder Administrator
Folder Level Roles Automation User on Folder A
Automation User on Folder B
Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A
HR Administrators
Tenant Level Roles Allow to be Folder Administrator Allow to be Folder Administrator Allow to be Folder Administrator
Folder Level Roles Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F

ユーザー

Orchestrator へのユーザーの追加に使用されるメカニズムによって、ユーザーは 2 つのカテゴリに分類できます。

手動で追加されたユーザー

Orchestrator に手動で追加され、テナント レベルまたはフォルダー レベルのいずれかで明示的に権限を付与されたユーザーです。手動で追加されたユーザー アカウントが、Orchestrator サービスに追加されたグループに属している場合、アカウントはそのグループのアクセス権も継承します。

自動でプロビジョニングされたユーザー

ローカル グループに追加され、Orchestrator にログインするユーザーです。これらのユーザーは、グループから継承した権限に基づいて Orchestrator にアクセスできます。Orchestrator に初めてログインした時に自動的にプロビジョニングされます。

On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.

Manually Added UserAuto-provisioned User
Inherits access rights
Can have explicit access rights
Cloud Portal is the central hub for user information
SSO

Robot

The Robot robot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.

アカウントとグループのアイコン

アカウント、グループ、ロールを管理するページでは、アカウントの種類やグループの種類を認識しやすくするために、それぞれの種類に対する固有のアイコンが表示されます。

アカウントのアイコン

UiPath_user - UiPath user account: user account that is linked to a UiPath account and signed in using basic authentication

UiPath_SSO_user - SSO user account: user account linked to a UiPath account that signed in using SSO; also applies to user accounts that have both a UiPath user account and a directory account

Azure_AD_user - Directory user account: the account originates from a directory and signed in with Enterprise SSO

Robot account - Robot account

グループのアイコン

local_group - Local group (or plainly, group): the group was created by a host administrator.

AAD_group - Directory group: the group originates in a linked directory.

ユーザーを管理するための権限


[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。

  • ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
  • ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • ユーザー - 編集ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
  • ユーザー - 作成ロール - 表示 - ユーザーを作成できます。
  • ユーザー - 表示ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
  • ユーザー - 削除 - Orchestrator からユーザーを削除できます。

 

ロールについて


Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定のエンティティを使用するために必要な複数の権限がロールに割り当てられます。

Role-permissions and user-roles relationships allow for a certain level of access to Orchestrator. A user gets the permissions required to perform particular operations through one or multiple roles. Since users are not assigned permissions directly, but only acquire them through roles, management of access rights involves assigning appropriate roles to the user. See Modifying the Roles of a User.

1081

権限の種類とロールの種類


権限には次の 2 つのカテゴリがあります。

  • テナントの権限 - リソースへのユーザーのアクセスをテナント レベルで定義します。
  • Folder permissions - Define the user's access and ability within each folder to which they are assigned.

ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。

  • テナント ロール - テナントの権限が含まれ、テナント レベルで作業を行うために必要になります。
  • フォルダー ロール - フォルダー内で作業を行うための権限が含まれます。
  • 混合ロール - 両方の種類の権限が含まれます。
    混合ロールの場合、グローバル操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作では、カスタム ロールが定義されている場合、フォルダーの権限は、存在するすべてのテナントの権限を優先して適用されます。

📘

注:

混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナント ロールとフォルダー ロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。

割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。

Tenant ResourcesFolder Resources
Alerts
Audit
Background tasks
Libraries
License
Machines
ML Logs
Packages
Robots
Roles
Settings
Folders
Users
Webhooks
Assets
Storage Files
Storage Buckets
Connections
Environments
Execution Media
Folder Packages
Jobs
Logs
Monitoring
Processes
Queues
Triggers
Subfolders
Action Assignment
Action Catalogs
Actions
Test Case Execution Artifacts
Test Data Queue Items
Test Data Queues
Test Set Executions
Test Sets
Test Set Schedules
Transactions

You can disable permissions completely from the user interface and API using the Auth.DisabledPermissions parameter in UiPath.Orchestrator.dll.config.

さまざまな種類のロールを割り当てる

ロールの割り当て方法はその種類によって異なるため、ロールの種類は重要です。

  • [テナント] > [設定] > [全般][クラシック フォルダーをアクティブ化] がオフになっている場合
    [ユーザー] ページ、または [ロール] ページからは、テナント ロールと混合ロールを割り当てることができます。
    [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。
  • [テナント] > [設定] > [全般][クラシック フォルダーをアクティブ化] がオンになっている場合
    [ユーザー] ページ、または [ロール] ページからは、3 種類すべてのロールを割り当てることができます。
    [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。

影響されない権限

通常、任意の権限に対して、利用可能なすべての権限 (表示編集作成削除) を選択できますが、以下の権限は表示されている権限には影響しないため、編集できません

Permission typePermissionUnavailable rights
TenantAlerts Delete
Audit Edit
Create
Delete
License only:
Edit
Create
Delete
FolderExecution Media Edit
Logs Edit
Delete
Monitoring Create
Delete
Connections View
Edit
Create
Delete

これは、たとえば、システム生成ログを編集することはできないためです。

 

セキュリティに関する考慮事項


基本認証

By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication setting. This enables you to create local accounts that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied on basic authentication when calling Orchestrator API.

Enabling basic authentication can be done when creating and editing accounts.

アカウント ロック

既定では、ログインしようとして 10 回失敗すると、5 分間ロックアウトされます。

System administrators can customize the Account Lockout settings from the host Management portal.

Logging in with the same account on a different machine disconnects the user from the first machine.

 

オートメーションを実行できるようアカウントを設定する


UiPath アカウントは、Orchestrator リソースへのアクセスを許可する必要のある人間 (ユーザー アカウント) または人間以外のユーザー (ロボット アカウント) を表すための ID と考えることができます。これらのアカウント、およびアカウントとロールとの関連付けにより、Orchestrator のリソースに対して一定レベルのアクセスを許可できます。

ユーザー アカウントとロボット アカウントでオートメーションを実行できるようにするには、管理者がオートメーション機能をアカウント レベルで設定する必要があります。

  • Personal automations: Automations that run under a user's identity either locally on the user's machine, or remotely (personal remote automations) on server-side resources to which the user has no direct access to. Learn how to enable users to run personal automation.
  • Unattended automations: Automations that are suited for processes that perform privileged operations, requiring elevated permissions and credentials. For this reason they typically run under robot accounts on remote infrastructure. Learn how to configure robot accounts to run unattended automation.
  • Unattended automations run on behalf of a user via an unattended robot. Automations running on remote infrastructure, on an unattended robot that impersonates a user. An administrator can enable an unattended robot to impersonate a user account, that is act on behalf of that user identity, to allow the robot to run automations with the same privileges as the user it impersonates. Learn how to enable users to run automations on unattended infrastructure via unattended robots.

同時接続実行を無効化する

1 つの資格情報を一度に複数回使用できない場合 (例: SAP)、管理者は 1 つのアカウントによる複数ジョブの同時実行を制限できます。[一度に 1 つのジョブのみを実行] オプションをアカウント レベルで有効化すると、アカウントによる複数ジョブの同時実行を制限できます。

2 か月前に更新


アクセス権とオートメーションの機能を管理する


[アクセス権を管理] ページでは、ロールを定義して割り当てるとともに、アカウントのオートメーションの機能を設定できます。Orchestrator では、ユーザーに付与すべきアクセス レベルをロールを使用して制御できます。
このページでは、アクセスの制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。