UiPath Orchestrator

UiPath Orchestrator ガイド

ユーザーについて

📘

cloud_platformcloud_platform
Cloud Platform のユーザー管理は、Cloud Portal から行います。Orchestrator サービスに Orchestrator サービス自体からユーザーを追加することはできません。ポータル内でのユーザーの管理方法について詳しくは、こちらをご覧ください。

📘

modern_foldersmodern_folders
モダン フォルダーでは、ロボットの管理をユーザー レベルで行います。作業の進め方について詳しくは、こちらをご覧ください。

ユーザーは、Orchestrator の表示と制御が割り当てられたアクセス権に依存するアクセス依存機能を持つエンティティです。ユーザーは、Orchestrator でローカルに作成 (ローカル ユーザー) することも、外部ディレクトリで作成および管理する (ディレクトリ ユーザー) こともできます。ディレクトリ連携の仕組みをよりよく理解するには、以下の対応するセクションを読むことを強くお勧めします。ユーザーの種類についてはこちらをご覧ください。
ユーザー管理は、主に [ユーザー] ページ ([管理] メニュー > [ユーザー]) で行います。このページには、使用可能なすべてのユーザーが表示されます。ユーザーの追加と削除、およびユーザーの種類によって課される制限内でのユーザーの詳細情報の編集を行うことができます。

Active Directory との連携


Orchestrator で参照される Active Directory は、そのすべてのメンバーを潜在的な Orchestrator ユーザーにします。ディレクトリのアクセス レベルは、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで Orchestrator で構成されます。

📘

Active Directory との連携によって、Attended ロボットの自動プロビジョニングおよび階層フォルダーと共に、大規模なデプロイを効率的に進めるための基盤が構築されます。Orchestrator でそのようなデプロイを管理する方法については、こちらをご覧ください。

前提条件

  • WindowsAuth.Enabled パラメーターが true に設定されていること。
  • WindowsAuth.Domain パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。
  • Orchestrator がインストールされているマシンが、WindowsAuth.Domain パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから dsregcmd /status を実行して、[デバイスの状態 (Device State)] セクションに移動します。
  • Orchestrator ApplicationPool を実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。
  1. Active Directory グループを追加すると、必要に応じてアクセス権 (ロールおよびフォルダー) を構成するディレクトリグループと呼ばれるユーザーエンティティが Orchestrator に作成されます。このエントリは、Active Directory で見つかったグループへの参照として機能します。
  2. ログインすると、Orchestrator はグループ メンバーシップを Active Directory データベースと照合します。確認されると、ユーザーをディレクトリ ユーザーとして自動的にプロビジョニングし、それをディレクトリ グループから継承したアクセス権に関連付けます (手順 1)。継承された権限は、ユーザー セッションの間だけ保持されます。
  3. 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザーは、監査目的でエントリが必要になる可能性があるため、ログアウト時に削除されません。
  4. Active Directory グループメンバーシップに加えられた変更は、ログインするたびに、またはアクティブなユーザーセッションの場合は 1 時間ごとに、Orchestrator と同期されます。この値は web.configWindowsAuth.GroupMembershipCacheExpireHours パラメーターを使用して変更することができます。X グループのメンバーである場合、これは次のようになります。
    • ログインすると、Orchestrator がグループ メンバーシップを確認し、Active Directory データベースに対する ID を確認します。その後、Orchestrator の構成に応じてアクセス権が付与されます。アクティブなセッション中にシステム管理者がグループメンバーシップをグループ X からグループ Y に変更すると、その変更は 1 時間ごとまたは次回のログイン時に Orchestrator によって問い合わせられます。
  5. グループメンバーシップの変更方法に関係なく、セッション間で保持されるアクセス権を構成する唯一の方法は、Orchestrator でユーザーごとに明示的にセットアップすることです。それらを明示的なアクセス権と呼びます。
  6. 継承したアクセス権限が特定できない Active Directory ユーザーは明示的に設定されたアクセス権限にのみ依存するため、ローカル ユーザーと同じように機能します。
  7. Active Directory のグループは Orchestrator と同期しますが、その逆には同期しません。Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。

  • ネットワークや設定の諸問題により、[ドメイン名 (Domain name)] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
  • Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
  • 双方向に信頼関係にあるドメインを新たに追加すると、ドメインの一覧を更新するのに最大 1 時間ほどかかることがあります。
  • GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
  • ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
  • 既定では、自動プロビジョニングされたユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへのアクセス許可を明示的にユーザーに付与する必要があります。
  • ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
  • ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

  • ユーザーメンバーシップ: ユーザー [ユーザー名] は、次のディレクトリグループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリグループ] に割り当てられました。
  • 自動プロビジョニング: ユーザー [ユーザー名] は、[ユーザーが現在のセッションでアクセス権を継承するディレクトリグループ] から自動的にプロビジョニングされました。

管理者ユーザー

Orchestrator は、あらかじめ設定された admin ユーザーのみに有効となります。ユーザー名を変更、削除することはできません。管理者のロールのみに有効となりますが、その他のロールを追加し、さらに無効にすることができます。現在ログインしているユーザーは無効にはできません。

Administrator ロールを持つユーザーは、他のユーザーのアクティブ化、非アクティブ化、削除およびパスワードを含む情報を編集できます。Administrator ロールを持つユーザーを削除することはできません。

個人のワークスペース

Attended モードのモダン ロボットを使用したロボット アクセスを許可したユーザーおよびディレクトリ グループに対しては、個人のワークスペースの作成も有効化できます。そうすると、ロボット セッションが接続されたときに、各ユーザーに対して個人のワークスペースが自動的に作成されます。このワークスペースは、実際には各ユーザーがそれぞれ専用に使用できる新しいモダン フォルダーです。このワークスペースに、各ユーザーは以下を保存できます。

  • パッケージ / プロセス
  • ジョブ (Jobs)
  • アセット (Assets)
  • ログ
  • キュー (およびキュー アイテム)
  • ストレージ バケット (テナント レベルでこの機能が有効化されている場合)

ユーザーの個人のワークスペースに保存されたパッケージは、Orchestrator のメイン フィード外に存在するため、他のユーザーは参照することも、アクセスすることもできません。アップロードされたパッケージごとに、対応するプロセスが自動的に作成されます (既存のパッケージやプロセスの場合は更新されます)。これにより、ユーザーは Orchestrator にアクセスしたり、Orchestrator を操作したりしなくても、公開後すぐにオートメーションを起動できます。

ユーザー権限

[ユーザー (Users)] ページと [プロファイル (Profile)] ページでさまざまな操作を実行できるようにするためには、対応する権限を付与されている必要があります。

  • ユーザーの表示 - [ユーザー (Users)] ページと [プロファイル (Profile)] ページを表示します。
  • ユーザーの編集 - [プロファイル (Profile)] ページのユーザーの詳細と設定を編集し、[ユーザー (Users)] ページでユーザーを有効化/無効化します。[プロファイル (Profile)] ページの [アラート (Alerts)] セクションを構成するには、アラート カテゴリごとに対応する [閲覧 (View)] 権限が必要です。詳細についてはこちらをご覧ください。
  • ユーザーの表示、ロールの表示 - [ユーザーの権限 (User Permissions)] ウィンドウでユーザー権限を表示します。
  • ユーザーの編集、役割の表示 - [ユーザー (Users)] ページでユーザーの詳細と設定を編集します。
  • ユーザーで作成、役割の表示 - ユーザーを作成します。
  • ユーザーの表示、ロールの編集 - [ユーザーの管理 (Manage Users)] ウィンドウの [ロール (Roles)] ページでユーザー ロールを管理します。
  • ユーザーの削除 - ユーザーを削除します。

詳細については、「ロールについて」をご覧ください。

セキュリティに関する考慮事項

基本認証

既定では、Orchestrator は基本認証によるユーザー アクセスを許可しません。基本認証は、web.config ファイルに Auth.RestrictBasicAuthentication 設定を追加して構成することによって有効化できます。これにより、Orchestrator に基本認証資格情報を使用してアクセスするローカル ユーザーを作成できます。その結果、Orchestrator の API を呼び出すときに基本認証を使用していた、既存の連携機能を維持できます。

基本認証はユーザーを作成または編集するときに有効化できます。

アカウント ロック

ログインに 10 回失敗すると、5 分間ロックアウトされます。これらが既定の [アカウントロック (Account Lockout)] 設定です。この設定は、[セキュリティ (Security)] タブで変更できます。
同じユーザーとして異なるマシン上でログインすると、そのユーザーは最初のマシンから切断されます。

2 か月前に更新



ユーザーについて


改善の提案は、API 参照ページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。