通知を受け取る

UiPath Orchestrator

UiPath Orchestrator ガイド

ユーザー

ユーザーとは、割り当てられたロールに応じて Orchestrator の表示と制御が許可される、アクセス権限に依存する能力を持つエンティティです。ユーザーは、Orchestrator でローカルに作成する (ローカル ユーザー) ことも、外部ディレクトリで作成および管理する (ディレクトリ ユーザー、ディレクトリ グループ) こともできます。
Read about AD Integration for a better understanding of directory integration.
User types are described here.
Learn about Orchestrator's access-control model.

ユーザー管理は、主に [ユーザー] ページ ([管理] メニュー > [ユーザー]) で行います。このページには、使用可能なすべてのユーザーが表示されます。ユーザーの追加または削除、およびユーザーの種類によって課される制限内でのユーザーの詳細情報の編集を行うことができます。

Active Directory との連携


Orchestrator で参照される Active Directory では、そのメンバーが潜在的な Orchestrator ユーザーとなります。ディレクトリのアクセス レベルは、Orchestrator で、グループ レベル (ディレクトリ グループ) またはユーザー レベル (ディレクトリ ユーザー) のいずれかで設定されます。

📘

Active Directory との連携によって、Attended ロボットの自動プロビジョニングおよび階層フォルダーと共に、大規模なデプロイを効率的に進めるための基盤が構築されます。Orchestrator でそのようなデプロイを管理する方法については、こちらをご覧ください。

前提条件

  • WindowsAuth.Enabled パラメーターが true に設定されていること。
  • WindowsAuth.Domain パラメーターに、有効なドメインが指定されていること。ユーザー/グループを追加するときに、WindowsAuth.Domain パラメーターで指定されているドメインと双方向の信頼関係にあるフォレストのすべてのドメインとサブドメインが使用可能であること。
  • Orchestrator がインストールされているマシンが、WindowsAuth.Domain パラメーターで設定されているドメインに参加していること。デバイスがドメインに参加しているかどうかを確認するには、コマンド プロンプトから dsregcmd /status を実行して、[デバイスのステート] セクションに移動します。
  • Orchestrator ApplicationPool を実行する ID は、Windows 認証アクセス (WAA) グループに属している必要があります。

動作

  1. Active Directory グループを追加すると、ディレクトリ グループと呼ばれるユーザー エンティティが Orchestrator に作成されるので、それらのグループに対し、必要に応じてアクセス権を設定します。このエントリは、Active Directory におけるグループへの参照のように機能します。
  2. ログインすると、Orchestrator はグループ メンバーシップを Active Directory データベースと照合します。確認されると、ユーザーをディレクトリ ユーザーとして自動的にプロビジョニングし、それをディレクトリ グループから継承したアクセス権に関連付けます (手順 1)。継承された権限は、ユーザー セッションの間だけ保持されます。
  3. 自動プロビジョニングは、最初のログイン時に行われます。自動プロビジョニングされたユーザーは、監査目的でエントリが必要になる可能性があるため、ログアウト時に削除されません。
  4. Active Directory グループ メンバーシップに対して行った変更は各ログイン時に Orchestrator と同期されるほか、アクティブなユーザー セッション向けに 1 時間に 1 度同期されます。この値は WindowsAuth.GroupMembershipCacheExpireHours を使用して変更できます。X グループのメンバーである場合は、次のようになります。
    • ログインすると、Orchestrator がグループ メンバーシップを確認し、Active Directory データベースに対する ID を確認します。その後、Orchestrator の構成に応じてアクセス権が付与されます。アクティブなセッション中にシステム管理者がグループ メンバーシップをグループ X からグループ Y に変更すると、その変更は 1 時間ごとまたは次回のログイン時に Orchestrator によって問い合わせられます。
  5. グループ メンバーシップの変更方法に関係なく、セッション間で保持されるアクセス権を構成する唯一の方法は、Orchestrator でユーザーごとに明示的に設定することです。それらを明示的なアクセス権と呼びます。
  6. 継承されたアクセス権を特定できない Active Directory ユーザーは、明示的に設定されたアクセス権のみを使用して、ローカル ユーザーと同じように振る舞うことができます。
  7. Active Directory のグループは Orchestrator と同期しますが、その逆には同期しません。Orchestrator に加えた変更は、Active Directory のユーザー構成には影響しません。

既知の問題

  • ネットワークや設定の諸問題により、[ドメイン名] のドロップダウン リストに表示されるドメインの一部にアクセスできない可能性があります。
  • Active Directory のユーザー/グループ名を変更しても、その変更が Orchestrator に反映されません。
  • 双方向に信頼関係にあるドメインを新たに追加すると、ドメインのリストを更新するのに最大 1 時間ほどかかることがあります。
  • GetOrganizationUnits(Id) および GetRoles(Id) 要求を送信しても、自動プロビジョニングされたユーザーに明示的に設定されたフォルダーおよびロールしか返されません。グループの設定を継承したフォルダーやロールを取得するには、/api/DirectoryService/GetDirectoryPermissions?userId={userId} エンドポイントを使用してください。
  • [ユーザー] ページには明示的なアクセス権だけが表示されます。継承されたアクセス権は、[ユーザーの権限] ウィンドウ ([ユーザー] > [その他のアクション] > [権限を確認]) で確認できます。
  • 既定では、自動プロビジョニングされたユーザーはアラートのサブスクリプションの設定を親グループから継承せず、アラートを受信しません。ユーザーがアラートにアクセスできるようにするには、アラートへの権限を明示的にユーザーに付与する必要があります。
  • ディレクトリ グループを削除したときに、関連付けられたディレクトリ ユーザーがフォルダーから割り当て解除されたとしても、そのユーザーのライセンスは削除されません。ライセンスを解放するには UiPath Assistant を閉じてください。
  • ブラウザーによっては、Active Directory 資格情報を使用して Orchestrator にログインする際に必要なのはユーザー名のみで、ドメインを指定する必要がありません。このため、domain\username の構文が機能しない場合はユーザー名のみを入力してみてください。

監査の考慮事項

  • ユーザー メンバーシップ: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承するディレクトリ グループ] に割り当てられました。
  • 自動プロビジョニング: ユーザー [ユーザー名] は、次のディレクトリ グループ [ユーザーが現在のセッションでアクセス権を継承したディレクトリ グループ] から自動的にプロビジョニングされました。

同時接続実行の無効化


モダン フォルダーでのリソース消費の最適化や実行能力の最大化では、ジョブへのユーザーの割り当てが、ほとんど、あるいはまったく制御されません。資格情報を一度に複数回使用できない場合 (SAP など) のために、Unattended の同時実行を制限できます。ユーザーが複数のジョブを同時に実行できないよう制限して、ジョブの割り当てのアルゴリズムを調整できます。

管理者ユーザー


Orchestrator は、あらかじめ設定された admin ユーザーのみに有効となります。ユーザー名を変更、削除することはできません。管理者のロールのみに有効となりますが、その他のロールを追加し、さらに無効にすることができます。現在ログインしているユーザーは無効にはできません。

Administrator ロールを持つユーザーは、他のユーザーのアクティブ化、非アクティブ化、削除およびパスワードを含む情報を編集できます。Administrator ロールを持つユーザーを削除することはできません。

ユーザー権限


[ユーザー] ページと [プロファイル] ページでさまざまな操作を実行できるようにするためには、関連する権限を付与されている必要があります。

  • ユーザーの 表示 - [ユーザー] ページと [プロファイル] ページを表示します。
  • ユーザーの編集 - [プロファイル] ページのユーザーの詳細と設定を編集し、[ユーザー] ページでユーザーを有効化/無効化します。[プロファイル] ページの [アラート] セクションを構成するには、アラート カテゴリごとに対応する [表示] 権限が必要です。詳細についてはこちらをご覧ください。
  • ユーザーの [表示]、ロールの [表示] - [ユーザーの権限] ウィンドウでユーザー権限を表示します。
  • ユーザーの [編集]、ロールの [表示] - [ユーザー] ページでユーザーの詳細と設定を編集します。
  • ユーザーで作成、役割の表示 - ユーザーを作成します。
  • ユーザーの表示、ロールの編集 - [ユーザーを管理] ウィンドウの [ロール] ページでユーザー ロールを管理します。
  • ユーザーの削除 - ユーザーを削除します。

詳細については、「ロールについて」をご覧ください。

セキュリティに関する考慮事項


基本認証

By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication setting. This enables you to create local users that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied upon basic authentication when calling Orchestrator API.

基本認証はユーザーを作成および編集するときに有効化できます。

アカウント ロック

After 10 failed login attempts, you are locked out for 5 minutes. These are the default Account Lockout settings which can be changed on the Security tab.
同じユーザーとして異なるマシン上でログインすると、そのユーザーは最初のマシンから切断されます。

8 か月前に更新


ユーザー


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。