アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。
- アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
- ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。
アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。
アカウントについて
アカウントとは、割り当てられたロールに基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。
アカウントの管理は以下のように行われます。
- 以下の場所から、ローカル (ローカル アカウント) で作成・管理できます。
Management portal. See Managing accounts for more information.
Admin > Accounts & Groups page at the organization level in Automation Suite. See Managing accounts and groups in the Automation Suite documentation.
- created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integration.
詳細情報:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.
アカウントは 1 つの組織内でのみ利用可能です。
アカウントが正常に追加されると、Orchestrator の権限を以下の 2 つの方法で付与できます。
- アカウントをグループに追加して、そのグループのロールを継承するか、
- サービス レベルでアカウントにロールを割り当てる
2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。
ディレクトリとの連携
Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリ アカウントのアクセス レベルは、Orchestrator 内で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。
以下と連携できます。
- a local Active Directory (standalone Orchestrator | Automation Suite Orchestrator)
- Azure Active Directory (standalone Orchestrator | Automation Suite Orchestrator)
- other identity providers that have or connect to a directory (standalone Orchestrator | Automation Suite Orchestrator)
ディレクトリの連携機能を Attended ロボットの自動プロビジョニングや階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。
前提条件
- 外部ディレクトリへの接続で使用する認証オプションが有効化されています。
- 認証設定時に有効なドメインが指定されていること。ユーザーまたはグループを追加するときに、指定されたドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインを使用できるようになります。
- Orchestrator がインストールされているマシンが、指定したドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから
dsregcmd /status
を実行して、[デバイスのステート] セクションに移動します。 - Orchestrator のアプリケーション プールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。
動作
- Adding a directory group creates an entity in Orchestrator called a directory group, for which you configure access rights as desired. This entry serves as a reference to the group as found in AD.
- When logging in, Orchestrator checks your group membership against the AD database and UiPath Identity Server. If confirmed, it automatically provisions your user as a directory user, and then associates it to the access rights inherited from the Directory Group (step 1). Inherited rights are only kept for the duration of the user session.
- 自動プロビジョニングは、ユーザーの最初のログイン時に行われます。自動プロビジョニングされたユーザー アカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
- Changes made to group membership in the directory are synced with Orchestrator at every log-in or once every hour for active user sessions. This value can be changed using the
WindowsAuth.GroupMembershipCacheExpireHours
. If you are a member of X group, what happens is this:
ログインすると、Orchestrator はグループ メンバーシップを確認してから、ID を Active Directory データベースおよび Identity Server と照合します。続いて、Orchestrator の設定に従い、アクセス権が付与されます。ユーザー セッションがアクティブな間にシステム管理者がグループ メンバーシップをグループ X からグループ Y に変更した場合、Orchestrator は 1 時間ごとまたは次回のログイン時に変更を問い合わせます。 - アクセス権がグループ メンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループ メンバーシップを使用してではなく、ユーザー アカウントに直接ロールを割り当てることです。
- (グループ メンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカル ユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
- Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。
既知の問題
- ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
- Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
- 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
GetOrganizationUnits(Id)
およびGetRoles(Id)
要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId}
エンドポイントを使用してください。- ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
- 既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
- ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
- ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。
監査の考慮事項
- ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
- 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。
ユーザー権限
[ユーザー] ページと [プロファイル] ページでさまざまな操作を実行できるようにするためには、関連する権限を付与されている必要があります。
- ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
- ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
- Users - View and Roles - View - Displaying user permissions in the User Permissions window.
- ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
- ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
- ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
- ユーザー - 削除 - Orchestrator からユーザーを削除できます。
詳細については、「ロールについて」をご覧ください。
影響されない権限
任意の権限に対して、利用可能なすべての権限 (表示、編集、作成、削除) を選択できますが、以下の権限は表示されている権限には影響しません。
Permission | Category |
---|---|
Edit | Audit Execution Media Logs |
Create | Audit License Settings Monitoring |
Delete | Alerts Audit Settings Logs Monitoring |
これは、たとえば、システム生成ログを編集することはできないためです。
セキュリティに関する考慮事項
基本認証
By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication
setting. This enables you to create local accounts that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied on basic authentication when calling Orchestrator API.
Enabling basic authentication can be done when creating and editing accounts.
アカウント ロック
既定では、ログインしようとして 10 回失敗すると、5 分間ロックアウトされます。
System administrators can customize the Account Lockout settings from the host Management portal.
Logging in with the same account on a different machine disconnects the user from the first machine.
ユーザーを管理するための権限
[ユーザー] ページや [ロール] ページでさまざまな操作を実行するには、関連する権限を付与されている必要があります。
- ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
- ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
- Users - View and Roles - View - Displaying user permissions in the User Permissions window.
- ユーザー - 編集 と ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
- ユーザー - 作成 と ロール - 表示 - ユーザーを作成できます。
- ユーザー - 表示 と ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
- ユーザー - 削除 - Orchestrator からユーザーを削除できます。
約 1 か月前に更新