アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。
- アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
- ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。
アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。
アカウントについて
アカウントとは、割り当てられたアクセス権に基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。
アカウントの管理は以下のように行われます。
- 以下の場所から、ローカル (ローカル アカウント) で作成・管理できます。
Management portal. See Managing accounts for more information.
Admin > Accounts & Groups page at the organization level in Automation Suite. See Managing accounts and groups in the Automation Suite documentation.
- created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integration.
詳細情報:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.
アカウントは組織レベルの管理ポータルで追加して、対応する組織内でのみ使用できます。
正常に追加されたアカウントに Orchestrator へのアクセス権を付与するには、次の 2 つの方法があります。1 つはアカウントをグループに追加してグループのロールを継承させる方法、もう 1 つはサービス レベルでアカウントごとにロールを割り当てる方法です。2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。
: モダン フォルダーでは、ロボットの管理をユーザー レベルで行います。アカウントを管理する方法について詳しくは、こちらをご覧ください。
Active Directory との連携
Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリ アカウントのアクセス レベルは、Orchestrator 内で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。
以下と連携できます。
- a local Active Directory (standalone Orchestrator | Automation Suite Orchestrator)
- Azure Active Directory (standalone Orchestrator | Automation Suite Orchestrator)
Active Directory の連携機能を Attended ロボットの自動プロビジョニング や階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。
前提条件
WindowsAuth.Enabled
パラメーターがtrue
に設定されていること。WindowsAuth.Domain
パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain
パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。- Orchestrator がインストールされているマシンが、
WindowsAuth.Domain
パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトからdsregcmd /status
を実行して、[デバイスのステート] セクションに移動します。 - Orchestrator のアプリケーション プールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。
動作
- ディレクトリ グループを追加すると、必要なアクセス権を設定できるユーザー グループ エンティティが Orchestrator 内に作成されます。この Orchestrator のエントリは、Active Directory のグループへの参照として機能します。
- ログインすると、Orchestrator はグループ メンバーシップを確認します。確認が済むと、ユーザー アカウントが自動的にプロビジョニングされ、グループから継承されたアクセス権が関連付けられます。継承された権限は、ユーザー セッションの間だけ保持されます。
- 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザー アカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
- ディレクトリのグループ メンバーシップに対して行った変更は各ログイン時に Orchestrator と同期されるほか、アクティブなユーザー セッション向けに 1 時間に 1 度同期されます。システム管理者が、ユーザーのグループ メンバーシップを、たとえば Administrators グループから Automation Developers グループに変更し、アクティブなセッションが存在する場合、その変更は次回のログイン時、または既にログインしている場合は 1 時間以内に Orchestrator によって照会されます。
This value can be changed using theWindowsAuth.GroupMembershipCacheExpireHours
. - Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
- (グループ メンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカル ユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
- アクセス権がグループ メンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループを使用してロールを割り当てるのではなく、Orchestrator のユーザー アカウントにロールを直接割り当てることです。
既知の問題
- ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
- Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
- 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
GetOrganizationUnits(Id)
およびGetRoles(Id)
要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId}
エンドポイントを使用してください。- ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
- 既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
- ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
- ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。
監査の考慮事項
- ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
- 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。
ユーザーの種類
グループ
ユーザー グループへの参照として機能するエンティティです。Orchestrator で参照されるユーザー グループは、そのグループ メンバー全員を潜在的な Orchestrator ユーザーにします。
The membership of a user is set from Admin > Users & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 4 default local groups: Administrators, Automation Users, Automation Developers, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.
グループのロールは、自動プロビジョニングされたユーザーまたは手動で追加されたユーザーを問わず、そのグループに属するすべてのユーザーに渡されます。これらのロールは、アカウントごとにのみ設定できる「直接割り当てられたロール」とは対照的に「継承されたロール」と呼ばれます。
注意
複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
複数のグループに属し、ロールを直接的にも付与されているユーザーは、グループから継承されたロールと直接割り当てられたロールの和集合を所持します。
Orchestrator に追加済みのグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザー アカウントを必要としません。
継承されるロールは、関連付けられたユーザー グループに依存します。グループがサービスから削除されると、アカウントの継承されたロールも削除されます。
直接割り当てられたロールは、アカウントが存在するグループの影響を受けません。これらのロールは、グループのステートに関係なく保持されます。
例
たとえば、ジョン・スミスさんを組織の Automation Users と Administrators ユーザー グループに追加したとしましょう。
- Automation User グループは Finance Orchestrator サービス内に存在します。
- Administrator グループは HR Orchestrator サービス内に存在します。
- ジョンのアカウントには、両方のサービスで直接的にもロールが割り当てられています。
ジョンには各サービスの継承した権限と明示的権限の和集合が与えられます。
Service/Roles | User Groups | Inherited Roles | Explicit Roles | Overall |
---|---|---|---|---|
Finance | Automation User | |||
Tenant Level Roles | Allow to be Automation User | Allow to be Automation User | Allow to be Folder Administrator | Allow to be Automation User Allow to be Folder Administrator |
Folder Level Roles | Automation User on Folder A Automation User on Folder B | Automation User on Folder A Automation User on Folder B | Folder Administrator on Folder A | Automation User on Folder A Automation User on Folder B Folder Administrator on Folder A |
HR | Administrators | |||
Tenant Level Roles | Allow to be Folder Administrator | Allow to be Folder Administrator | Allow to be Folder Administrator | |
Folder Level Roles | Folder Administrator on Folder D Folder Administrator on Folder E | Folder Administrator on Folder D Folder Administrator on Folder E | Folder Administrator on Folder F | Folder Administrator on Folder D Folder Administrator on Folder E Folder Administrator on Folder F |
ユーザー
Orchestrator へのユーザーの追加に使用されるメカニズムによって、ユーザーは 2 つのカテゴリに分類できます。
手動で追加されたユーザー
Orchestrator に手動で追加され、テナント レベルまたはフォルダー レベルのいずれかで明示的に権限を付与されたユーザーです。手動で追加されたユーザー アカウントが、Orchestrator サービスに追加されたグループに属している場合、アカウントはそのグループのアクセス権も継承します。
自動でプロビジョニングされたユーザー
ローカル グループに追加され、Orchestrator にログインするユーザーです。これらのユーザーは、グループから継承した権限に基づいて Orchestrator にアクセスできます。Orchestrator に初めてログインした時に自動的にプロビジョニングされます。
On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.
Manually Added User | Auto-provisioned User | |
---|---|---|
Inherits access rights | ||
Can have explicit access rights | ||
Cloud Portal is the central hub for user information | ||
SSO |
Robot
The Robot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.
アカウントとグループのアイコン
アカウント、グループ、ロールを管理するページでは、アカウントの種類やグループの種類を認識しやすくするために、それぞれの種類に対する固有のアイコンが表示されます。
アカウントのアイコン
- UiPath user account: user account that is linked to a UiPath account and signed in using basic authentication
- SSO user account: user account linked to a UiPath account that signed in using SSO; also applies to user accounts that have both a UiPath user account and a directory account
- Directory user account: the account originates from a directory and signed in with Enterprise SSO
- Robot account
グループのアイコン
- Local group (or plainly, group): the group was created by a host administrator.
- Directory group: the group originates in a linked directory.
ユーザーを管理するための権限
[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。
- ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
- ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
- Users - View and Roles - View - Displaying user permissions in the User Permissions window.
- ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
- ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
- ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
- ユーザー - 削除 - Orchestrator からユーザーを削除できます。
ロールについて
Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定のエンティティを使用するために必要な複数の権限がロールに割り当てられます。
Role-permissions and user-roles relationships allow for a certain level of access to Orchestrator. A user gets the permissions required to perform particular operations through one or multiple roles. Since users are not assigned permissions directly, but only acquire them through roles, management of access rights involves assigning appropriate roles to the user. See Modifying the Roles of a User.

権限の種類とロールの種類
権限には次の 2 つのカテゴリがあります。
- テナントの権限 - リソースへのユーザーのアクセスをテナント レベルで定義します。
- Folder permissions - Define the user's access and ability within each folder to which they are assigned.
ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。
- テナント ロール - テナントの権限が含まれ、テナント レベルで作業を行うために必要になります。
- フォルダー ロール - フォルダー内で作業を行うための権限が含まれます。
- 混合ロール - 両方の種類の権限が含まれます。
混合ロールの場合、グローバル操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作では、カスタム ロールが定義されている場合、フォルダーの権限は、存在するすべてのテナントの権限を優先して適用されます。
注:
混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナント ロールとフォルダー ロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。
割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。
Tenant Resources | Folder Resources |
---|---|
Alerts Audit Background tasks Libraries License Machines ML Logs Packages Robots Roles Settings Folders Users Webhooks | Assets Storage Files Storage Buckets Connections Environments Execution Media Folder Packages Jobs Logs Monitoring Processes Queues Triggers Subfolders Action Assignment Action Catalogs Actions Test Case Execution Artifacts Test Data Queue Items Test Data Queues Test Set Executions Test Sets Test Set Schedules Transactions |
You can disable permissions completely from the user interface and API using the Auth.DisabledPermissions
parameter in UiPath.Orchestrator.dll.config
.
さまざまな種類のロールを割り当てる
ロールの割り当て方法はその種類によって異なるため、ロールの種類は重要です。
- [テナント] > [設定] > [全般] の [クラシック フォルダーをアクティブ化] がオフになっている場合
[ユーザー] ページ、または [ロール] ページからは、テナント ロールと混合ロールを割り当てることができます。
[フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。 - [テナント] > [設定] > [全般] の [クラシック フォルダーをアクティブ化] がオンになっている場合
[ユーザー] ページ、または [ロール] ページからは、3 種類すべてのロールを割り当てることができます。
[フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。
影響されない権限
通常、任意の権限に対して、利用可能なすべての権限 (表示、編集、作成、削除) を選択できますが、以下の権限は表示されている権限には影響しないため、編集できません。
Permission type | Permission | Unavailable rights |
---|---|---|
Tenant | Alerts | Delete |
Audit | Edit Create Delete | |
License | Edit Create Delete | |
Folder | Execution Media | Edit |
Logs | Edit Delete | |
Monitoring | Create Delete | |
Connections | View Edit Create Delete |
これは、たとえば、システム生成ログを編集することはできないためです。
セキュリティに関する考慮事項
基本認証
By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication
setting. This enables you to create local accounts that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied on basic authentication when calling Orchestrator API.
Enabling basic authentication can be done when creating and editing accounts.
アカウント ロック
既定では、ログインしようとして 10 回失敗すると、5 分間ロックアウトされます。
System administrators can customize the Account Lockout settings from the host Management portal.
Logging in with the same account on a different machine disconnects the user from the first machine.
オートメーションを実行できるようアカウントを設定する
UiPath アカウントは、Orchestrator リソースへのアクセスを許可する必要のある人間 (ユーザー アカウント) または人間以外のユーザー (ロボット アカウント) を表すための ID と考えることができます。これらのアカウント、およびアカウントとロールとの関連付けにより、Orchestrator のリソースに対して一定レベルのアクセスを許可できます。
ユーザー アカウントとロボット アカウントでオートメーションを実行できるようにするには、管理者がオートメーション機能をアカウント レベルで設定する必要があります。
- Personal automations: Automations that run under a user's identity either locally on the user's machine, or remotely (personal remote automations) on server-side resources to which the user has no direct access to. Learn how to enable users to run personal automation.
- Unattended automations: Automations that are suited for processes that perform privileged operations, requiring elevated permissions and credentials. For this reason they typically run under robot accounts on remote infrastructure. Learn how to configure robot accounts to run unattended automation.
- Unattended automations run on behalf of a user via an unattended robot. Automations running on remote infrastructure, on an unattended robot that impersonates a user. An administrator can enable an unattended robot to impersonate a user account, that is act on behalf of that user identity, to allow the robot to run automations with the same privileges as the user it impersonates. Learn how to enable users to run automations on unattended infrastructure via unattended robots.
同時接続実行を無効化する
1 つの資格情報を一度に複数回使用できない場合 (例: SAP)、管理者は 1 つのアカウントによる複数ジョブの同時実行を制限できます。[一度に 1 つのジョブのみを実行] オプションをアカウント レベルで有効化すると、アカウントによる複数ジョブの同時実行を制限できます。
2 か月前に更新