通知を受け取る

UiPath Orchestrator

UiPath Orchestrator ガイド

アクセス権とオートメーションの機能を管理する

On the Manage Access page you can define and assign roles as well as configure the automation capabilities of your accounts. In Orchestrator, you use roles to control the level of access a user should have.
このページでは、アクセスの制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。

アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。

  • アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
  • ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。

アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。

アカウントについて


ユーザー アカウントとは、割り当てられたロールに応じて Orchestrator の表示と制御が許可される、アクセス権限に依存する能力を持つエンティティです。

各組織のユーザー アカウントは、Orchestrator ではなくポータルの [管理] > [ユーザーとグループ] ページで作成および管理されます。

ユーザー アカウントが組織に正常に追加されたら、次の 2 つの方法で Orchestrator サービスへのアクセス権を付与できます。

  • アカウントをグループに追加して、グループに割り当てられたロールが継承されるようにする
  • サービス レベルでユーザー アカウントごとにアクセス権を明示的に付与する

これら 2 つは同時に使用することが可能です。組織内のアクセスを効率的かつきめ細かく管理するために両方を使い分けることができます。

For more information about managing accounts, see About accounts.

📘

: モダン フォルダーでは、ロボットの管理をユーザー レベルで行います。アカウントを管理する方法について詳しくは、こちらをご覧ください。

Active Directory との連携

Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリ アカウントのアクセス レベルは、Orchestrator 内で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。

以下と連携できます。

📘

Active Directory の連携機能を Attended ロボットの自動プロビジョニング階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。

動作

  • ディレクトリ グループを追加すると、必要なアクセス権を設定できるユーザー グループ エンティティが Orchestrator 内に作成されます。この Orchestrator のエントリは、Active Directory のグループへの参照として機能します。
  • ログインすると、Orchestrator はグループ メンバーシップを確認します。確認が済むと、ユーザー アカウントが自動的にプロビジョニングされ、グループから継承されたアクセス権が関連付けられます。継承された権限は、ユーザー セッションの間だけ保持されます。
  • 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザー アカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
  • ディレクトリのグループ メンバーシップに対して行った変更は各ログイン時に Orchestrator と同期されるほか、アクティブなユーザー セッション向けに 1 時間に 1 度同期されます。システム管理者が、ユーザーのグループ メンバーシップを、たとえば Administrators グループから Automation Developers グループに変更し、アクティブなセッションが存在する場合、その変更は次回のログイン時、または既にログインしている場合は 1 時間以内に Orchestrator によって照会されます。
  • Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
  • (グループ メンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカル ユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
  • アクセス権がグループ メンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループを使用してロールを割り当てるのではなく、Orchestrator のユーザー アカウントにロールを直接割り当てることです。

既知の問題

  • GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
  • ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
  • 既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
  • ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
  • ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

  • ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
  • 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。

ユーザーの種類

グループ

Automation Cloud 内のユーザー グループへの参照として機能するエンティティです。Orchestrator で参照されるユーザー グループは、そのグループ メンバー全員を潜在的な Orchestrator ユーザーにします。
The membership of a user is set from Admin > Users & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 5 default local groups: Administrators, Automation Users, Automation Developers, Automation Express, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.

More about local groups.

グループのロールは、自動プロビジョニングされたユーザーまたは手動で追加されたユーザーを問わず、そのグループに属するすべてのユーザーに渡されます。これらのロールは、アカウントごとにのみ設定できる「直接割り当てられたロール」とは対照的に「継承されたロール」と呼ばれます。

📘

注意

複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
複数のグループに属し、ロールを直接的にも付与されているユーザーは、グループから継承されたロールと直接割り当てられたロールの和集合を所持します。
Orchestrator に追加済みのグループに属しているユーザーは、Orchestrator にログインするための明示的なユーザー アカウントを必要としません。
継承されるロールは、関連付けられたユーザー グループに依存します。グループがサービスから削除されると、アカウントの継承されたロールも削除されます。
直接割り当てられたロールは、アカウントが存在するグループの影響を受けません。これらのロールは、グループのステートに関係なく保持されます。

たとえば、ジョン・スミスさんを Automation Cloud 組織の Automation UsersAdministrators ユーザー グループに追加したとしましょう。

  • Automation User グループは Finance Orchestrator サービス内に存在します。
  • Administrator グループは HR Orchestrator サービス内に存在します。
  • ジョンのアカウントには、両方のサービスで直接的にもロールが割り当てられています。

ジョンには各サービスの継承した権限と明示的権限の和集合が与えられます。

Service/RolesUser GroupsInherited RolesExplicit RolesOverall
### FinanceAutomation User
Tenant Level Roles Allow to be Automation User Allow to be Automation User Allow to be Folder Administrator Allow to be Automation User
Allow to be Folder Administrator
Folder Level Roles Automation User on Folder A
Automation User on Folder B
Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A
### HRAdministrators
Tenant Level Roles Allow to be Folder Administrator Allow to be Folder Administrator Allow to be Folder Administrator
Folder Level Roles Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F

ユーザー

Orchestrator へのユーザーの追加に使用されるメカニズムによって、ユーザーは 2 つのカテゴリに分類できます。

手動で追加されたユーザー

Orchestrator に手動で追加され、テナント レベルまたはフォルダー レベルのいずれかで明示的に権限を付与されたユーザーです。手動で追加されたユーザー アカウントが、Orchestrator サービスに追加されたグループに属している場合、アカウントはそのグループのアクセス権も継承します。

自動でプロビジョニングされたユーザー

ローカル グループに追加され、Orchestrator にログインするユーザーです。これらのユーザーは、グループから継承した権限に基づいて Orchestrator にアクセスできます。Orchestrator に初めてログインした時に自動的にプロビジョニングされます。

On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.

Manually Added UserAuto-provisioned User
Inherits access rights
Can have explicit access rights
Cloud Portal is the central hub for user information
SSO

Robot

The Robot robotrobot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.

ユーザーを管理するための権限


[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。

  • ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
  • ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • ユーザー - 編集ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
  • ユーザー - 作成ロール - 表示 - ユーザーを作成できます。
  • ユーザー - 表示ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
  • ユーザー - 削除 - Orchestrator からユーザーを削除できます。

ロールについて


Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定のエンティティを使用するために必要な複数の権限がロールに割り当てられます。

Role-permissions and user-roles relationships allow for a certain level of access to Orchestrator. A user gets the permissions required to perform particular operations through one or multiple roles. Since users are not assigned permissions directly, but only acquire them through roles, management of access rights involves assigning appropriate roles to the user. See Modifying the Roles of a User.

10811081

権限の種類とロールの種類


権限には次の 2 つのカテゴリがあります。

  • テナントの権限 - リソースへのユーザーのアクセスをテナント レベルで定義します。
  • Folder permissions - Define the user's access and ability within each folder to which they are assigned.

ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。

  • テナント ロール - テナントの権限が含まれ、テナント レベルで作業を行うために必要になります。
  • フォルダー ロール - フォルダー内で作業を行うための権限が含まれます。
  • 混合ロール - 両方の種類の権限が含まれます。
    混合ロールの場合、グローバル操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作では、カスタム ロールが定義されている場合、フォルダーの権限は、存在するすべてのテナントの権限を優先して適用されます。

📘

注:

混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナント ロールとフォルダー ロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。

割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。

Tenant ResourcesFolder Resources
Alerts
Audit
Background tasks
Libraries
License
Machines
ML Logs
ML Packages
ML Skills
Packages
Robots
Roles
Settings
Folders
Users
Webhooks
Assets
Storage Files
Storage Buckets
Connections
Environments
Execution Media
Folder Packages
Jobs
Logs
Monitoring
Processes
Queues
Triggers
Subfolders
Action Assignment
Action Catalogs
Actions
Test Case Execution Artifacts
Test Data Queue Items
Test Data Queues
Test Set Executions
Test Sets
Test Set Schedules
Transactions

さまざまな種類のロールを割り当てる

ロールの割り当て方法はその種類によって異なるため、ロールの種類は重要です。

  • [テナント] > [設定] > [全般][クラシック フォルダーをアクティブ化] がオフになっている場合
    [ユーザー] ページ、または [ロール] ページからは、テナント ロールと混合ロールを割り当てることができます。
    [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。
  • [テナント] > [設定] > [全般][クラシック フォルダーをアクティブ化] がオンになっている場合
    [ユーザー] ページ、または [ロール] ページからは、3 種類すべてのロールを割り当てることができます。
    [フォルダー] ページ、またはフォルダーの [設定] ページからは、フォルダー ロールと混合ロールを割り当てることができます。

影響されない権限

通常、任意の権限に対して、利用可能なすべての権限 (表示編集作成削除) を選択できますが、以下の権限は表示されている権限には影響しないため、編集できません

Permission typePermissionUnavailable rights
TenantAlerts Delete
Audit Edit
Create
Delete
License Edit
Create
Delete
FolderExecution Media Edit
Logs Edit
Delete
Monitoring Create
Delete

これは、たとえば、システム生成ログを編集することはできないためです。

同時接続実行の無効化

When a credential cannot be used more than once at a time (e.g., SAP), an administrator can restrict an account from simultaneously executing multiple jobs. Enabling the Run only one job at a time option at the account level restricts the account from simultaneously executing multiple jobs.

19 日前に更新


アクセス権とオートメーションの機能を管理する


On the Manage Access page you can define and assign roles as well as configure the automation capabilities of your accounts. In Orchestrator, you use roles to control the level of access a user should have.
このページでは、アクセスの制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。