ローカル ユーザー
Orchestrator でのみ作成できるユーザー エンティティです。ローカル ユーザーの場合、名前やメールなどの属性は、ロールおよびその他の Orchestrator 固有の設定とともに Orchestrator で管理されます。これは、Orchestrator へのログイン時に使用されます。オートメーション チーム内のポジションに応じて Orchestrator の表示をカスタマイズできます。また、任意でメールによるアラートを受信することもできます。ローカル ユーザーのユーザー名は変更できません。
ローカル AD ユーザーからディレクトリ ユーザーに変換する
Active Directory の資格情報でログインするローカル ユーザーをディレクトリ ユーザーに変換するには、次の 2 つの方法があります。
- Set the
WindowsAuth.ConvertUsersAtLoginapp setting toTrue. This converts each local AD user into a directory user after the first login with AD credentials. This only works if the login is performed on the Orchestrator Login page. - 次に示すスクリプトを実行します。これにより、これまで AD 資格情報でログインしたことがあるすべてのローカル AD ユーザーが一度に変換されます。
この機能は、Orchestrator の [ログイン] ページからログインしているユーザーに対してのみ機能します。Studio 経由で対話型ログインを使用してサインインするユーザーに対しては機能しません。
重要
変換が完了すると、各ユーザーは基本認証の資格情報ではログインできなくなります。
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0
ディレクトリ ユーザー
ディレクトリ ユーザーの場合、ロールと Orchestrator 固有の設定のみが Orchestrator で管理され、ユーザー固有の属性 (名前、メール、グループ メンバーシップ) は外部ディレクトリ管理者によって管理されます。
ディレクトリ ユーザーは 2 つの方法で作成できます。
- Active Directory ユーザーを単独で追加。そうしたユーザーを、「個別に追加されたユーザー」と呼びます。
- 以前に追加された Active Directory グループに属するユーザーでログイン。そうしたユーザーを、「自動プロビジョニングされたユーザー」と呼びます。詳細については、「ユーザーについて」ページをご覧ください。
種類に関係なく、親グループが Orchestrator に存在する場合、ディレクトリ ユーザーは常に親グループからアクセス権を継承します。
| Local User | Directory User | |
|---|---|---|
| Inherits access-rights |  |  |
| Can have explicit access-rights | | |
| AD is the central hub for user information | | |
| SSO | | |
ディレクトリ グループ
Active Directory グループを Orchestrator インスタンスに参照することによって作成されたユーザー エンティティ。グループのすべてのメンバーは、Orchestrator の潜在的なユーザーです。グループに設定されたすべてのアクセス権は、そのグループに属するすべてのディレクトリ ユーザーに渡され、自動プロビジョニングまたは個別に追加されます。ユーザーごとに個別に設定できる「明示的なアクセス権」ではなく、「継承されたアクセス権」と呼びます。
- 複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
- 複数のグループに属し、明示的なアクセス権も付与されているユーザーは、親グループから継承されたすべての権限と明示的に設定されたすべての権限を合わせ持ちます。
ディレクトリ グループを使用すると、ユーザー権限を個別に管理する必要なく、ディレクトリ グループに追加または削除されるユーザーに基づいてグループ権限で自動アクセスが可能になります (部門の切り替えなど)。
| ディレクトリ グループ | 継承された権利 | 明示的な権利 |
|---|---|---|
|
アクセス権セット X を持つグループ X とアクセス権セット Y を持つグループ Y が追加されています。 |
ジョン・スミスはグループ X と Y の両方に属します。彼は Orchestrator にログインします。彼のユーザーは、X、Y の権限で自動プロビジョニングされます。 |
ジョンには、セット X とセット Y のほか、セット Z も明示的に付与されます。ジョンには現在、X、Y、Z の権限があります。 グループ X と Y を削除すると、ジョンは Z のままになります。 |
- Orchestrator に追加されたグループに属している場合は、Orchestrator にログインするための明示的なユーザー エントリは必要ありません (手順 1 - 動作セクション)。
- 継承されたアクセス権は、関連するディレクトリ グループに依存しています。ディレクトリが削除されると、継承されたアクセス権も削除されます。
- 明示的に設定されたアクセス権は、ディレクトリ グループから独立しています。グループのステートに関係なく、セッション間で持続します。
Robot
ロボットを Orchestrator に手動でデプロイすると、ロボット 
ユーザーが自動的に作成されます。ロボット ユーザーには、既定で Robot ロールが割り当てられます。
Robot ロールにより、複数のページへのアクセス権がロボットに付与されるので、そのロボットでさまざまなアクションを実行できるようになります。Robot ロールの正確な権限については、こちらをご覧ください。
1 年前に更新