Orchestrator
2020.10
バナーの背景画像
サポート対象外
Orchestrator ユーザー ガイド
最終更新日 2023年12月12日

ユーザーについて

概要

ユーザーとは、割り当てられたロールに応じて Orchestrator の表示と制御が許可される、アクセス権限に依存する能力を持つエンティティです。ユーザーは、Orchestrator でローカルに作成する (ローカル ユーザー) ことも、外部ディレクトリで作成および管理する (ディレクトリ ユーザー、ディレクトリ グループ) こともできます。

  • ディレクトリ連携の仕組みをよりよく理解するには、「Active Directory との連携」をお読みください。

  • ユーザーの種類についてはこちらをご覧ください。

  • Orchestrator のアクセス制御モデルについては、こちらをご覧ください。

ユーザー管理は、主に [ユーザー] ページ ([テナント] コンテキスト > [ユーザー]) で行います。このページには、使用可能なすべてのユーザーが表示されます。また、ユーザーの追加と削除、およびユーザーの詳細情報の編集を行うことができます。



Active Directory との連携

Orchestrator で参照される Active Directory では、そのメンバーが潜在的な Orchestrator ユーザーとなります。ディレクトリへのアクセスは、Orchestrator で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。

注: Active Directory との連携機能と Attended ロボットの自動プロビジョニング階層フォルダーの機能を併用することで、大規模なデプロイを効率的に進めるための基盤が構築されます。Orchestrator でそのようなデプロイを管理する方法については、こちらをご覧ください。

前提条件

  • WindowsAuth.Enabled パラメーターが true に設定されていること。
  • WindowsAuth.Domain パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。
  • Orchestrator がインストールされているマシンが、WindowsAuth.Domain パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから dsregcmd /status を実行して、[デバイスのステート] セクションに移動します。
  • Orchestrator ApplicationPool を実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。

動作

  1. Active Directory グループを追加すると、ディレクトリ グループと呼ばれるユーザー エンティティが Orchestrator に作成されるので、それらのグループに対し、必要に応じてアクセス権を設定します。このエントリは、Active Directory におけるグループへの参照のように機能します。
  2. ログインすると、Orchestrator はグループ メンバーシップを Active Directory データベースと照合します。確認が済むと、ユーザーをディレクトリ ユーザーとして自動的にプロビジョニングし、ディレクトリ グループから継承したアクセス権に関連付けます (手順 1)。継承された権限は、ユーザー セッションの間だけ保持されます。
  3. 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザーは、監査目的でエントリが必要になる可能性があるため、ログアウト時に削除されません。

  4. Active Directory グループ メンバーシップに対して行った変更は、各ログイン時に Orchestrator と同期されるほか、アクティブなユーザー セッション向けに 1 時間に 1 度同期されます。この値は WindowsAuth.GroupMembershipCacheExpireHours を使用して変更できます。X グループのメンバーである場合は、次のようになります。

    • ログインすると、Orchestrator がグループ メンバーシップを確認し、Active Directory データベースに対する ID を確認します。その後、Orchestrator の構成に応じてアクセス権が付与されます。アクティブなセッション中にシステム管理者がグループ メンバーシップをグループ X からグループ Y に変更すると、その変更は 1 時間ごとまたは次回のログイン時に Orchestrator によって問い合わせられます。
  5. グループ メンバーシップの変更方法に関係なく、セッション間で保持されるアクセス権を構成する唯一の方法は、Orchestrator でユーザーごとに明示的にセットアップすることです。それらを明示的なアクセス権と呼びます。
  6. 継承したアクセス権限が特定できない Active Directory ユーザーは明示的に設定されたアクセス権限にのみ依存するため、ローカル ユーザーと同じように機能します。
  7. Active Directory のグループは Orchestrator と同期しますが、その逆には同期しません。Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。

既知の問題

  • ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
  • Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
  • 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
  • GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
  • ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
  • 既定では、自動プロビジョニングされたユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
  • ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
  • ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

  • ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
  • 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。

同時接続実行を無効化する

モダン フォルダーでのリソース消費の最適化や実行能力の最大化では、ジョブへのユーザーの割り当てが、ほとんど、あるいはまったく制御されません。資格情報を一度に複数回使用できないシナリオ (SAP など) に対応するため、Unattended の同時実行を制限できるようにしました。ユーザーが同時に複数のジョブを実行できないように制限できるため、ジョブの割り当てのアルゴリズムを調整できます。

管理者ユーザー

Orchestrator は、あらかじめ設定された admin ユーザーのみに有効となります。ユーザー名を変更、削除することはできません。管理者のロールのみに有効となりますが、その他のロールを追加し、さらに無効にすることができます。現在ログインしているユーザーは無効にはできません。

Administrator ロールを持つユーザーは、他のユーザーのアクティブ化、非アクティブ化、削除に加えパスワードを含む情報の編集が可能です。Administrator ロールを持つユーザーは削除できません。

ユーザー権限

[ユーザー] ページと [プロファイル] ページでさまざまな操作を実行するには、対応する権限を付与されている必要があります。

  • ユーザーの 表示 - [ユーザー] ページと [プロファイル] ページを表示します。
  • ユーザーの編集 - [プロファイル] ページでユーザーの詳細と設定を編集し、[ユーザー] ページでユーザーを有効/無効にします。[プロファイル] ページの [アラート] セクションを設定するには、アラートのカテゴリごとに、対応する [表示] 権限が必要です。
  • ユーザーの [表示]、ロールの [表示] - [ユーザーの権限] ウィンドウでユーザー権限を表示します。
  • ユーザーの [編集]、ロールの [表示] - [ユーザー] ページでユーザーの詳細と設定を編集します。
  • ユーザーで作成、役割の表示 - ユーザーを作成します。
  • ユーザーの表示、ロールの編集 - [ユーザーを管理] ウィンドウの [ロール] ページでユーザー ロールを管理します。
  • ユーザーの削除 - ユーザーを削除します。

ロールについて」で詳細を確認してください。

セキュリティに関する考慮事項

基本認証

既定では、Orchestrator は基本認証によるユーザー アクセスを許可しません。この機能は、Auth.RestrictBasicAuthentication パラメーターで有効化できます。これにより、Orchestrator に基本認証資格情報を使用してアクセスするローカル ユーザーを作成し、Orchestrator の API の呼び出しで基本認証を使用していた既存の連携機能を維持することができます。

基本認証はユーザーを作成および編集するときに有効化できます。

アカウント ロック

ログインに 10 回失敗すると、5 分間ロックアウトされます。これらが既定の [アカウント ロック] 設定です。この設定は、[セキュリティ] タブで変更できます。

同じユーザーとして異なるマシン上でログインすると、そのユーザーは最初のマシンから切断されます。

Was this page helpful?

サポートとサービス
サポートを受ける
UiPath アカデミー
RPA について学ぶ - オートメーション コース
UiPath フォーラム
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
利用規約
プライバシー ポリシー
Cookie ポリシー
© 2005-2024 UiPath. All rights reserved.