orchestrator
2023.4
false
Importante :
A tradução automática foi aplicada parcialmente neste conteúdo. A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.
UiPath logo, featuring letters U and I in white

Guia do usuário do Orchestrator

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Última atualização 5 de dez de 2024

Gerenciando recursos de acesso e automação

Na página Gerenciar acesso, você pode definir e atribuir funções, bem como configurar os recursos de automação de suas contas. No Orchestrator, você usa funções para controlar o nível de acesso que um usuário deve ter. Nesta página, examinamos as noções que você precisa entender para planejar e implementar com eficácia sua estratégia de controle de acesso.

O nível de acesso e as ações que seus usuários podem executar são controlados usando dois elementos:

  • contas, que estabelecem a identidade de um usuário e são usadas para fazer login nos seus aplicativos UiPath®.
  • funções, que são atribuídas às contas para lhes conceder determinadas permissões dentro do ecossistema da UiPath.

As contas são criadas e gerenciadas pelos administradores da organização, conforme descrito em Contas e grupos. As contas já devem existir para poderem receber a atribuição de funções.

Esta página e as páginas seguintes descrevem:

  • como gerenciar funções
  • como gerenciar recursos de automação, que são configurados como parte da configuração da função.

Sobre contas

Uma conta é uma entidade da plataforma da UiPath com recursos dependentes de acesso, cuja visão e controle do Orchestrator dependem dos direitos de acesso atribuídos.

As contas podem ser:

  • criados e gerenciados localmente (contas locais)

  • criadas e gerenciadas em um diretório externo (contas de diretório e grupos de diretórios). Consulte a seção Integração do AD abaixo para entender melhor as integrações de diretórios.

As contas são adicionadas do Portal de gerenciamento no nível da organização e só ficam disponíveis dentro da organização respectiva.

Após uma conta ser adicionada com sucesso, há duas maneiras de conceder a ela direitos de acesso ao Orchestrator: adicionando a conta a um grupo para que herde as suas funções ou atribuindo funções a cada conta no nível de serviço. Você pode usar ambos os métodos para ter um controle granular sobre o acesso que uma conta tem em sua organização.

Integração do AD

Um Active Directory (AD) referenciado no Orchestrator transforma seus membros em usuários potenciais do Orchestrator. O nível de acesso para uma conta de diretório é configurado no Orchestrator, seja no nível de grupo (grupo de diretórios) ou no nível de usuário (usuário de diretório).

É possível integrar com:

Pré-requisitos

  • O parâmetro WindowsAuth.Domain é preenchido com um domínio válido. Todos os domínios e subdomínios das florestas que são confiáveis bidirecionalmente com o domínio especificado no parâmetro WindowsAuth.Domain estarão disponíveis ao adicionar usuários/grupos.
  • A máquina na qual o Orchestrator está instalado é associada ao domínio definido no parâmetro WindowsAuth.Domain. Para verificar se o dispositivo está associado ao domínio, execute o dsregcmd /status a partir do prompt de comando e navegue até a seção Estado do dispositivo.
  • A identidade sob a qual o pool de aplicativos do Orchestrator está em execução deve fazer parte do grupo de Acesso de Autorização do Windows (WAA).

Comportamento

  • A adição de um grupo de diretórios cria uma entidade de grupo de usuários no Orchestrator para a qual é possível configurar os direitos de acesso conforme desejado. Essa entrada no Orchestrator serve como referência para o grupo conforme visto no AD.
  • Ao fazer logon, o Orchestrator verifica suas associações de grupos. Se confirmado, ele provisiona automaticamente sua conta de usuário e a associa aos direitos de acesso herdados do grupo. Os direitos herdados são mantidos apenas pela duração da sessão do usuário.
  • O Autoprovisionamento ocorre na primeira vez em que você faz login. Uma conta de usuário autoprovisionado não é excluída no logout, pois você pode precisar da entrada para fins de auditoria.
  • A associação de grupos para uma conta é verificada pelo Orchestrator no logon ou uma vez por hora durante as sessões ativas. Se as associações de grupos de uma conta forem alteradas, as alterações são aplicadas na conta na próxima vez em que ela fizer logon ou, se já estiver logada, dentro de uma hora.

    Esse intervalo de uma hora para verificar a associação ao grupo pode ser alterado configurando o valor de IdentityServer.GroupMembershipCacheExpireHours.

  • Os grupos no AD sincronizam-se com o Orchestrator, mas as alterações feitas no Orchestrator não afetam a configuração de usuários no AD.
  • Os usuários do AD cujos direitos de acesso herdados (das associações de grupos) não podem ser determinados se comportam como usuários locais, o que significa que dependem apenas de funções atribuídas para a conta de usuário.
  • A única maneira de configurar os direitos de acesso que persistem entre sessões, independentemente de como a associação de grupos é alterada, é atribuir a função diretamente à conta do usuário no Orchestrator em vez de usar grupos para isso.

Problemas conhecidos

  • Devido a vários problemas de rede ou configuração, é possível que nem todos os domínios exibidos na lista suspensa Nome do domínio estejam acessíveis.
  • As alterações feitas nos nomes de usuários ou grupos no AD não são propagadas no Orchestrator.
  • Pode levar até uma hora para atualizar a lista de domínios com domínios confiáveis bidirecionais recém-adicionados.
  • As solicitações GetOrganizationUnits(Id) e GetRoles(Id) apenas retornam pastas e funções definidas explicitamente para um usuário autoprovisionado. Aquelas herdadas da configuração de grupo podem ser recuperadas por meio do endpoint /api/DirectoryService/GetDirectoryPermissions?userId={userId}.
  • O mesmo vale para a interface do usuário, onde apenas pastas e funções explicitamente definidas são exibidas na página Usuários. Ao contrário, as herdadas têm um novo local dedicado, a janela Permissões do usuário (Usuários > Mais ações > Verificar permissões).
  • Os usuários não herdam as configurações de assinatura de alerta do grupo pai, nem recebem alertas por padrão. Para ter acesso aos alertas, será solicitado que você conceda as permissões correspondentes explicitamente ao usuário.
  • Remover um grupo de diretórios não remove a licença de um usuário do diretório associado, mesmo se a remoção do grupo cancelar a atribuição do usuário de qualquer pasta. A única maneira de liberar a licença é fechar a bandeja do Robô.
  • Em determinados navegadores, fazer logon no Orchestrator usando suas credenciais do AD requer apenas seu nome de usuário. Não há necessidade de especificar também o domínio. Portanto, se a sintaxe do domínio\nome de usuário não funcionar, tente preencher apenas o nome de usuário.

Considerações sobre auditoria

  • Associação do usuário: o usuário [nome de usuário] foi atribuído aos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].
  • Provisionamento automático: o usuário [nome de usuário] foi provisionado automaticamente dos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].

Tipos de usuário

Grupo

Os grupos permitem gerenciar vários usuários por vez, através da aplicação das mesmas funções e configurações a todos por meio do grupo.

A associação de um usuário é definida em Administrador > Contas e grupos.

Os grupos de usuários habilitam o acesso automático com as permissões de grupo, com base em quais usuários são adicionados ou removidos do grupo, sem a necessidade de gerenciar as permissões de usuários individualmente.

Há quatro grupos locais padrão: Administrators, Automation Users, Automation Developers e Everyone. Todos os grupos vêm com um conjunto de permissões padrão em cada novo serviço que você criar. As funções prontas para uso podem ser personalizadas mais tarde para cada serviço do Orchestrator.

Se você precisar de mais do que os quatro grupos padrão fornecidos pela UiPath, é possível criar e moldar grupos locais personalizados. Diferentemente de grupos locais padrão, os grupos personalizados precisam ser adicionados manualmente ao Orchestrator para garantir o mapeamento correto entre a associação de um usuário ao grupo e a função correspondente no Orchestrator.

As funções de um grupo são transmitidas para qualquer usuário que pertença ao grupo, tanto as provisionadas automaticamente quanto as adicionadas manualmente. Chamamos elas de “funções herdadas”. Por sua vez, as “funções atribuídas diretamente” só podem ser definidas por conta.

Observação:
  • Um usuário que pertence a vários grupos herda direitos de acesso de todos eles.
  • Um usuário que pertence a vários grupos e que teve funções diretamente atribuídas a ele possui a união de todas as funções herdadas de grupos e atribuídas diretamente.
  • Você não precisa de uma conta de usuário explícita para fazer logon no Orchestrator se pertencer a um grupo que já foi adicionado ao Orchestrator.
  • As funções herdadas são dependentes do grupo de usuários associado. Se o grupo for excluído do serviço, as funções herdadas dessa conta também são excluídas.
  • As funções atribuídas diretamente não são influenciadas pelos grupos aos quais a conta pertence. Elas persistem independentemente do estado do grupo.
Exemplo

Digamos que eu tenha adicionado John Smith aos grupos de usuários Automation Users e Administrators em minha organização.

  • O grupo de Usuário de Automação existe no serviço Orchestrator de Finanças
  • O grupo Administrador existe no serviço Orchestrator de RH
  • Assim como as funções atribuídas diretamente à conta do John em ambos os serviços.

O John tem a união de direitos herdados e explícitos para cada serviço:

Serviço/Funções

Grupos de usuários

Funções herdadas

Funções explícitas

Geral

inquilinofinanceiro

Automation User

   

Funções em nível de tenant

  • Permitir que seja Automation User
  • Permitir que seja Automation User
  • Permitir que seja Folder Administrator
  • Permitir que seja Automation User
  • Permitir que seja Folder Administrator

Funções em nível de pasta

  • Automation User na Pasta A
  • Automation User na Pasta B
  • Automation User na Pasta A
  • Automation User na Pasta B
  • Folder Administrator na Pasta A
  • Automation User na Pasta A
  • Automation User na Pasta B
  • Folder Administrator na Pasta A

inquilinode RH

Administradores

   

Funções em nível de tenant

  • Permitir que seja Folder Administrator
  • Permitir que seja Folder Administrator
 
  • Permitir que seja Folder Administrator

Funções em nível de pasta

  • Folder Administrator na Pasta D
  • Folder Administrator na Pasta E
  • Folder Administrator na Pasta D
  • Folder Administrator na Pasta E
  • Folder Administrator na Pasta F
  • Folder Administrator na Pasta D
  • Folder Administrator na Pasta E
  • Folder Administrator na Pasta F

Usuário

De acordo com o mecanismo usado para adicionar contas de usuário ao Orchestrator, os usuários podem ser classificados em duas categorias:

Usuários adicionados manualmente

Usuários que foram adicionados manualmente ao Orchestrator e receberam permissões explicitamente no nível de tenant ou no nível de pasta. As contas de usuário adicionadas manualmente herdam direitos de acesso de grupo se pertencerem a um grupo que também tenha sido adicionado a esse serviço do Orchestrator.

Usuários provisionados automaticamente

Usuários que foram adicionados a um grupo local e fazem logon no Orchestrator. Eles podem acessar o Orchestrator com base em permissões herdadas do grupo. Após fazer logon no Orchestrator pela primeira vez, eles são provisionados automaticamente.

Importante: na página Usuários, na coluna Funções, é possível ver funções atribuídas explicitamente para um usuário, seja ele adicionado manualmente ou autoprovisionado. Funções herdadas não são exibidas nesta coluna.

Você pode verificar todo o conjunto de permissões de um usuário, inclusive permissões herdadas, navegando para Mais ações > Verificar permissões > janela Permissões do usuário para esse usuário específico.

 Usuário adicionado manualmenteUsuário autoprovisionado

Herda direitos de acesso

Sim

Sim

Pode ter direitos de acesso explícitos

Sim

Sim

Cloud Portal é o hub central para informações de usuários

Sim

Sim

Pode usar SSO

Sim

Sim

Robô

O usuário robô é criado automaticamente quando você implanta manualmente um robô no Orchestrator. Os usuários do Robô têm a função de Robô por padrão. Essa função concede ao seu Robô acesso a várias páginas, tornando-o capaz de executar diversas ações.

Icons de usuários e grupos

Em páginas onde você gerencia contas, grupos ou funções, os ícones específicos são exibidos para cada tipo para ajudar você a reconhecer o tipo de conta ou o tipo de grupo.

Ícones de conta

- conta de usuário da UiPath: conta de usuário que está vinculada a uma conta da UiPath e conectada usando a autenticação básica

- conta de usuário SSO: conta de usuário vinculada a uma conta da UiPath que se conectou usando SSO; também se aplica para contas de usuários que tem uma conta de usuário da UiPath e uma conta de diretório

- conta de usuário de diretório: a conta vem de um diretório e se conectou com o Enterprise SSO

- Conta de robô

Ícones de grupos

- Grupo local (ou, simplesmente, grupo): o grupo foi criado por um administrador host.

- Grupo de diretório: o grupo é originado em um diretório vinculado.

Permissões para Gerenciar Usuários

Para poder executar várias operações nas páginas Usuários e Funções, você precisa receber as permissões correspondentes:

  • Usuários — Exibir — exibição das páginas Usuários e Perfil.
  • Usuários — Editar — edição dos detalhes e configurações do usuário na página Perfil e ativar/desativar os usuários na página Usuários.
  • Usuários - Exibição e funções - Exibição - Exibição de permissões do usuário.
  • Usuários — Editar e Funções — Exibir — edição das atribuições de função na página Gerenciar acesso > Atribuir funções.
  • Usuários — Criar e Funções — Exibir — criação de um usuário.
  • Usuários — Exibir e Funções — Editar — gerenciamento de funções na janela Gerenciar usuários, aberta a partir da página Gerenciar acesso > Funções.
  • Usuários — Excluir — remoção de um usuário do Orchestrator.

Sobre as funções

O Orchestrator usa um mecanismo de controle de acesso baseado em funções e permissões. As funções são coleções de permissões o que significa que as permissões necessárias para usar certas entidades do Orchestrator são atribuídas a funções.

Permissões de funções e relações entre usuário e função permitem um certo nível de acesso ao Orchestrator. Um usuário recebe as permissões necessárias para executar operações específicas por meio de uma ou várias funções. Como os usuários não recebem permissões atribuídas diretamente, mas apenas as adquirem por meio de funções, o gerenciamento dos direitos de acesso envolve a atribuição de funções apropriadas ao usuário. Veja Modificação das funções de um usuário.



Tipos de permissões e funções

Há dois tipos de permissões, da seguinte forma:

  • As permissões de tenant definem o acesso de um usuário aos recursos no nível do tenant.
  • As permissões de pasta definem o acesso e a capacidade do usuário dentro de cada pasta à qual ele é atribuído.
Dois conjuntos de permissões principais governam operações dentro de pastas:
  • Permissões de pasta (com escopo de tenant):
    • permitir que um usuário crie, edite ou exclua todas as pastas dentro de todo o tenant.
    • normalmente são concedidos aos administradores ou usuários responsáveis por gerenciar a organização.
  • Permissões de subpasta (com escopo de pasta):
    • permitir que um usuário crie, edite ou exclua uma pasta específica à qual ele é atribuído, junto com quaisquer subpastas sob ela.
    • oferecer controle mais granular, permitindo que usuários gerenciem pastas específicas sem ter controle sobre as outras pastas no tenant.

Com base nas permissões que ele incluir, há três tipos de funções:

  • Funções de tenant, que incluem permissões de tenant e são necessárias para trabalhar no nível do tenant.
  • Funções de pastas, que incluem permissões para funcionar dentro de uma pasta.
  • Funções mistas, que incluem ambos os tipos de permissões.

    Com funções mistas, para uma operação global, apenas as permissões de tenant do usuário são levadas em consideração. Para uma operação específica da pasta, se uma função personalizada for definida, as permissões da pasta serão aplicadas em favor de quaisquer permissões de tenant presentes.

    Observação: funções mistas não são mais compatíveis, e você não pode criar novas. Se você tiver funções mistas, recomendamos substituí-las por uma combinação de funções de tenant e pasta para conceder as permissões necessárias.

Os seguintes recursos estão disponíveis para usuários dependendo do tipo de funções que eles têm:

Recursos do tenant

Recursos da pasta

  • Alertas
  • Auditar
  • Tarefas em segundo plano
  • Bibliotecas
  • Licença
  • Máquinas
  • Logs de ML
  • Pacotes de ML
  • Robôs
  • Funções
  • Configurações
  • Pastas
  • Usuários
  • Webhooks
  • Ativos
  • Armazenar Arquivos
  • Armazenar Buckets
  • Conexões
  • Ambientes
  • Meios de Execução
  • Pacotes da Pasta
  • Trabalhos
  • Logs
  • Monitoramento
  • Processos
  • Filas
  • Gatilhos
  • Subpastas
  • Atribuição de Ação
  • Catálogos de Ações
  • Ações
  • Artefatos de Execução de Casos de Teste
  • Testar Itens de Fila de Dados
  • Testar Filas de Dados
  • Execuções de Conjuntos de Testes
  • Conjuntos de Testes
  • Agendamentos de Conjuntos de Testes
  • Transações
Você tem a possibilidade de desabilitar permissões completamente a partir da interface do usuário e da API usando o parâmetro Auth.DisabledPermissions em UiPath.Orchestrator.dll.config.

Atribuir os diferentes tipos de funções

O tipo de função é importante porque você atribui funções de forma diferente com base em seu tipo:

  • Se Ativar Pastas Clássicas estiver desmarcado em Tenant > Configurações > Geral:

    Você atribui funções de Tenant e funções Mistas a partir da página Usuários ou da página Funções.

    Você atribui funções de pasta e funções mistas da página Pastas ou da página Configurações da pasta.

  • Se Ativar Pastas Clássicas estiver selecionado em Tenant > Configurações > Geral:

    Você atribui qualquer um dos três tipos de funções da página Usuários ou da página Funções.

    Você atribui funções de pasta e funções mistas da página Pastas ou da página Configurações da pasta.

Permissões sem efeito

Normalmente, você pode selecionar todas as permissões disponíveis (Visualizar, Editar, Criar ou Excluir) para qualquer permissão, exceto as seguintes, que não têm efeito para as permissões listadas e, portanto, você não pode editá-las:

Tipo de permissão

Permissões

Permissões indisponíveis

Tenant

Alertas

  • Excluir
 

Auditar

  • Editar
  • Criar
  • Excluir

Folder

Meios de Execução

  • Editar
 

Logs

  • Editar
  • Excluir
 

Monitoramento

  • Criar
  • Excluir

Isso ocorre porque, por exemplo, não é possível editar logs gerados pelo sistema.

Considerações de segurança

Bloqueio de conta

Por padrão, após 10 tentativas de login malsucedidas, você ficará bloqueado por 5 minutos.

Os administradores do sistema podem personalizar as configurações de Bloqueio de conta no Portal de gerenciamento do host.

Observação: o login com a mesma conta em uma máquina diferente desconecta o usuário da primeira máquina.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.