A user is an entity with access-dependent capabilities whose view and control of Orchestrator rely on the assigned access-rights. Users can be created locally in Orchestrator (Local Users) or they can be created and managed in an external directory (Directory Users). For a better understanding of how directory integration works, we strongly suggest reading the corresponding section below. User types are described here.
[ユーザー] ページには、使用可能なすべてのユーザーが表示されます。ユーザーの追加と削除、およびユーザーの種類によって課される制限内でのユーザーの詳細情報の編集を行うことができます。

📘

注:

Cloud Platform のユーザー管理は、Cloud Portal から行います。Orchestrator サービスに Orchestrator サービス自体からユーザーを追加することはできません。ポータル内でのユーザーの管理方法について詳しくは、こちらをご覧ください。

Active Directory との連携

Orchestrator で参照される Active Directory は、そのすべてのメンバーを潜在的な Orchestrator ユーザーにします。ディレクトリのアクセス レベルは、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで Orchestrator で構成されます。

📘

Active Directory との連携によって、Attended ロボットの自動プロビジョニングおよび階層フォルダーと共に、大規模なデプロイを効率的に進めるための基盤が構築されます。Orchestrator でそのようなデプロイを管理する方法については、こちらをご覧ください。

前提条件

• WindowsAuth.Enabled パラメーターが true に設定されていること。
• WindowsAuth.Domain パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。
• Orchestrator がインストールされているマシンが、WindowsAuth.Domain パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから dsregcmd /status を実行して、[デバイスのステート] セクションに移動します。
• Orchestrator ApplicationPool を実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。

動作

1. Active Directory グループを追加すると、必要に応じてアクセス権 (ロールおよびフォルダー) を構成するディレクトリ グループと呼ばれるユーザー エンティティが Orchestrator に作成されます。このエントリは、Active Directory で見つかったグループへの参照として機能します。
2. ログインすると、Orchestrator はグループ メンバーシップを Active Directory データベースと照合します。確認されると、ユーザーをディレクトリ ユーザーとして自動的にプロビジョニングし、それをディレクトリ グループから継承したアクセス権に関連付けます (手順 1)。継承された権利は、ユーザー セッションの間だけ保持されます。
3. 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザーは、監査目的でエントリが必要になる可能性があるため、ログアウト時に削除されません。
4. Active Directory グループ メンバーシップに加えられた変更は、ログインするたびに、またはアクティブなユーザー セッションの場合は 1 時間ごとに、Orchestrator と同期されます。この値は web.config の WindowsAuth.GroupMembershipCacheExpireHours パラメーターを使用して変更することができます。X グループのメンバーである場合、これは次のようになります。
   • ログインすると、Orchestrator がグループ メンバーシップを確認し、Active Directory データベースに対する ID を確認します。その後、Orchestrator の構成に応じてアクセス権が付与されます。アクティブなセッション中にシステム管理者がグループ メンバーシップをグループ X からグループ Y に変更すると、その変更は 1 時間ごとまたは次回のログイン時に Orchestrator によって問い合わせられます。
5. グループ メンバーシップの変更方法に関係なく、セッション間で保持されるアクセス権を設定する唯一の方法は、Orchestrator でユーザーごとに明示的に設定することです。それらを明示的なアクセス権と呼びます。
6. 継承したアクセス権限が特定できない Active Directory ユーザーは明示的に設定されたアクセス権限にのみ依存するため、ローカル ユーザーと同じように機能します。
7. Active Directory のグループは Orchestrator と同期しますが、その逆には同期しません。Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。

既知の問題

• ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
• Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
• 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
• GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
• ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
• 既定では、自動プロビジョニングされたユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
• ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
• ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

• ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
• 自動プロビジョニング: ユーザー [ユーザー名] は、[ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] から自動的にプロビジョニングされました。

管理者ユーザー

Orchestrator は、あらかじめ設定された admin ユーザーのみに有効となります。ユーザー名を変更、削除することはできません。管理者のロールのみに有効となりますが、その他のロールを追加し、さらに無効にすることができます。現在ログインしているユーザーは無効にはできません。

Administrator ロールを持つユーザーは、他のユーザーのアクティブ化、非アクティブ化、削除およびパスワードを含む情報を編集できます。Administrator ロールを持つユーザーを削除することはできません。

ユーザー権限

[ユーザー] ページと [プロファイル] ページでさまざまな操作を実行できるようにするためには、対応する権限を付与されている必要があります。

• ユーザーの 表示 - [ユーザー] ページと [プロファイル] ページを表示します。
• ユーザーの編集 - [プロファイル] ページのユーザーの詳細と設定を編集し、[ユーザー] ページでユーザーを有効化/無効化します。[プロファイル] ページの [アラート] セクションを構成するには、アラート カテゴリごとに対応する [表示] 権限が必要です。詳細についてはこちらをご覧ください。
• ユーザーの [表示]、ロールの [表示] - [ユーザーの権限] ウィンドウでユーザー権限を表示します。
• ユーザーの [編集]、ロールの [表示] - [ユーザー] ページでユーザーの詳細と設定を編集します。
• ユーザーで作成、役割の表示 - ユーザーを作成します。
• ユーザーの表示、ロールの編集 - [ユーザーを管理] ウィンドウの [ロール] ページでユーザー ロールを管理します。
• ユーザーの削除 - ユーザーを削除します。

詳細については、「ロールについて」をご覧ください。

セキュリティに関する考慮事項

基本認証

既定では、Orchestrator は基本認証によるユーザー アクセスを許可しません。この機能は、web.config ファイルに Auth.RestrictBasicAuthentication 設定を追加して構成することによって有効化できます。これにより、Orchestrator に基本認証資格情報を使用してアクセスするローカル ユーザーを作成できます。その結果、Orchestrator の API を呼び出すときに基本認証を使用していた、既存の連携機能を維持できます。

基本認証はユーザーを作成および編集するときに有効化できます。

アカウント ロック

After 10 failed login attempts you are locked out for 5 minutes. These are the default Account Lockout settings which can be changed on the Security tab.
同じユーザーとして異なるマシン上でログインすると、そのユーザーは最初のマシンから切断されます。