通知を受け取る

UiPath Orchestrator

UiPath Orchestrator ガイド

アカウントとロール

[アクセス権を管理] ページでは、ロールを定義して割り当てることができます。Orchestrator では、アカウントに付与すべきアクセス レベルをロールを使用して制御できます。
このページでは、アクセスの制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。

アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。

  • アカウント - ユーザーの ID を確立し、UiPath アプリケーションへのログインに使用されます。
  • ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。

アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。

Orchestrator のアカウントについて


アカウントとは、割り当てられたロールに基づいて Orchestrator の表示と制御が許可される、アクセス権限に応じた能力を持つ UiPath Platform のエンティティです。

アカウントの管理は以下のように行われます。

  • 以下の場所から、ローカル (ローカル アカウント) で作成・管理できます。
  • created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integration.

詳細情報:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.

アカウントは 1 つの組織内でのみ利用可能です。
アカウントが正常に追加されると、Orchestrator の権限を以下の 2 つの方法で付与できます。

  • アカウントをグループに追加して、そのグループのロールを継承するか、
  • サービス レベルでアカウントにロールを割り当てる

2 つの方法を併用することで、組織内のアカウントに付与するアクセス権をきめ細かく制御できます。

ディレクトリとの連携

Active Directory (AD) をOrchestrator で参照すると、そのメンバーは潜在的な Orchestrator ユーザーとなります。ディレクトリ アカウントのアクセス レベルは、Orchestrator 内で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。

以下と連携できます。

📘

ディレクトリの連携機能を Attended ロボットの自動プロビジョニング階層フォルダーの機能と共に使用することで、大規模なデプロイを容易に設定できます。詳しくは、「大規模なデプロイを管理する」をご覧ください。

前提条件

  • 外部ディレクトリへの接続で使用する認証オプションが有効化されています。
  • 認証設定時に有効なドメインが指定されていること。ユーザーまたはグループを追加するときに、指定されたドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインを使用できるようになります。
  • Orchestrator がインストールされているマシンが、指定したドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから dsregcmd /status を実行して、[デバイスのステート] セクションに移動します。
  • Orchestrator のアプリケーション プールを実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。

動作

  • Adding a directory group creates an entity in Orchestrator called a directory group, for which you configure access rights as desired. This entry serves as a reference to the group as found in AD.
  • When logging in, Orchestrator checks your group membership against the AD database and UiPath Identity Server. If confirmed, it automatically provisions your user as a directory user, and then associates it to the access rights inherited from the Directory Group (step 1). Inherited rights are only kept for the duration of the user session.
  • 自動プロビジョニングは、ユーザーの最初のログイン時に行われます。自動プロビジョニングされたユーザー アカウントは、監査のためにそのエントリが必要になる可能性があるため、ログアウト時に削除されません。
  • Changes made to group membership in the directory are synced with Orchestrator at every log-in or once every hour for active user sessions. This value can be changed using the WindowsAuth.GroupMembershipCacheExpireHours. If you are a member of X group, what happens is this:
    ログインすると、Orchestrator はグループ メンバーシップを確認してから、ID を Active Directory データベースおよび Identity Server と照合します。続いて、Orchestrator の設定に従い、アクセス権が付与されます。ユーザー セッションがアクティブな間にシステム管理者がグループ メンバーシップをグループ X からグループ Y に変更した場合、Orchestrator は 1 時間ごとまたは次回のログイン時に変更を問い合わせます。
  • アクセス権がグループ メンバーシップの変更に関係なくセッション間で保持されるよう設定する唯一の方法は、グループ メンバーシップを使用してではなく、ユーザー アカウントに直接ロールを割り当てることです。
  • (グループ メンバーシップから) 継承したアクセス権を持つ Active Directory ユーザーは、ローカル ユーザーと同じように、つまりアカウントに割り当てられたロールに完全に依存して機能するようには定義できません。
  • Active Directory のグループは Orchestrator と同期しますが、Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。

既知の問題

  • ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
  • Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
  • 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
  • GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
  • ユーザー インターフェイスも同様です。[ユーザー] ページには、明示的に設定されているフォルダーとロールのみが表示されます。一方、継承されたフォルダーとロールは、新しい専用の [ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) に表示されます。
  • 既定では、ユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
  • ディレクトリ グループを削除した際、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスをリリースするにはロボット トレイを閉じてください。
  • ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

  • ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
  • 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。

同時接続実行の無効化


モダン フォルダーでのリソース消費の最適化や実行能力の最大化では、ジョブへのユーザーの割り当てが、ほとんど、あるいはまったく制御されません。資格情報を一度に複数回使用できない場合 (SAP など) のために、無人プロセスの同時実行を制限できます。ユーザーが複数のジョブを同時に実行できないよう制限して、ジョブの割り当てのアルゴリズムを調整できます。

11571157

ユーザー権限


[ユーザー] ページと [プロファイル] ページでさまざまな操作を実行できるようにするためには、関連する権限を付与されている必要があります。

  • ユーザー - 表示 - [ユーザー] ページと [プロファイル] ページを表示できます。
  • ユーザー - 編集 - [プロファイル] ページでユーザーの詳細や設定を編集したり、[ユーザー] ページでユーザーをアクティブ化/非アクティブ化したりできます。
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • ユーザー - 編集ロール - 表示 - [アクセス権を管理] > [ロールを割り当て] ページでロールの割り当てを編集できます。
  • ユーザー - 作成ロール - 表示 - ユーザーを作成できます。
  • ユーザー - 表示ロール - 編集 - [アクセス権を管理] > [ロール] ページの [ユーザーを管理] ウィンドウでロールを管理できます。
  • ユーザー - 削除 - Orchestrator からユーザーを削除できます。

詳細については、「ロールについて」をご覧ください。

影響されない権限


任意の権限に対して、利用可能なすべての権限 (表示編集作成削除) を選択できますが、以下の権限は表示されている権限には影響しません。

PermissionCategory
Edit Audit
Execution Media
Logs
Create Audit
License
Settings
Monitoring
Delete Alerts
Audit
Settings
Logs
Monitoring

これは、たとえば、システム生成ログを編集することはできないためです。

セキュリティに関する考慮事項


基本認証

By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication setting. This enables you to create local accounts that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied on basic authentication when calling Orchestrator API.

Enabling basic authentication can be done when creating and editing accounts.

アカウント ロック

既定では、ログインしようとして 10 回失敗すると、5 分間ロックアウトされます。

System administrators can customize the Account Lockout settings from the host Management portal.

Logging in with the same account on a different machine disconnects the user from the first machine.

6 か月前に更新


アカウントとロール


[アクセス権を管理] ページでは、ロールを定義して割り当てることができます。Orchestrator では、アカウントに付与すべきアクセス レベルをロールを使用して制御できます。
このページでは、アクセスの制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。