- Introdução
- Melhores práticas
- Tenant
- Ações
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Catálogos de Ações
- Perfil
- Administrador do Sistema
- Servidor de Identidade
- Autenticação
- Outras configurações
- Integrações
- Robôs Clássicos
- Solução de problemas
Sobre os usuários
Um usuário é uma entidade com recursos dependentes de acesso, cuja exibição e controle do Orchestrator dependem das funções atribuídas. Os usuários podem ser criados localmente no Orchestrator (usuários locais) ou podem ser criados e gerenciados em um diretório externo (usuários do diretório, grupos do diretório).
-
Leia sobre a Integração do AD para ter uma melhor compreensão da integração do diretório.
-
Os tipos de usuário são descritos aqui.
-
Aprenda sobre o modelo de controle de acesso do Orchestrator.
O gerenciamento dos usuários é feito principalmente a partir da página Usuários (contexto do tentant > Usuários). Esta página exibe todos os usuários disponíveis e permite que você os adicione ou remova, e edite seus detalhes.
Um diretório ativo referenciado no Orchestrator faz de seus membros usuários potenciais do Orchestrator. O nível de acesso para um diretório é configurado no Orchestrator, seja no nível de grupo (grupo do diretório) ou no nível de usuário (usuário do diretório).
- O parâmetro
WindowsAuth.Enabled
é definido comotrue
. - O parâmetro
WindowsAuth.Domain
é preenchido com um domínio válido. Todos os domínios e subdomínios das florestas que são confiáveis bidirecionalmente com o domínio especificado no parâmetroWindowsAuth.Domain
estarão disponíveis ao adicionar usuários/grupos. - A máquina na qual o Orchestrator está instalado é associada ao domínio definido no parâmetro
WindowsAuth.Domain
. Para verificar se o dispositivo está associado ao domínio, execute odsregcmd /status
a partir do prompt de comando e navegue até a seção Estado do dispositivo. - A identidade sob a qual o pool de aplicativos do Orchestrator está sendo executado precisa fazer parte do grupo Windows Authorization Access (WAA).
- Adicionar um grupo AD cria uma entidade de usuário no Orchestrator chamada grupo do diretório, para a qual você pode configurar direitos de acesso conforme desejar. Essa entrada serve como referência para o grupo conforme encontrado no AD.
- Ao registrar em log, o Orchestrator verifica sua associação de grupo no banco de dados do AD. Se confirmado, ele provisiona automaticamente seu usuário como um Usuário do Diretório e o associa aos direitos de acesso herdados do Grupo de Diretório (etapa 1). Os direitos herdados são mantidos apenas pela duração da sessão do usuário.
- O Autoprovisionamento ocorre na primeira vez em que você faz login. Um usuário autoprovisionado não é excluído no logoff, pois você pode precisar da entrada para fins de auditoria.
-
As alterações feitas na associação ao grupo do AD são sincronizadas com o Orchestrator a cada login ou a cada hora para sessões do usuário ativas. Esse valor pode ser alterado usando o WindowsAuth.GroupMembershipCacheExpireHours. Se você for membro do grupo X, eis o que acontece:
- Você faz logon, o Orchestrator verifica sua associação ao grupo e, então, confirma sua identidade no banco de dados do AD. Em seguida, você recebe direitos de acesso concedidos de acordo com sua configuração do Orchestrator. Se seu administrador do sistema alterar sua associação do grupo X para o grupo Y enquanto você tiver uma sessão ativa, as alterações são interrogadas pelo Orchestrator a cada hora ou na próxima vez que você fizer logon.
- A única maneira de configurar direitos de acesso que persistam entre sessões, independentemente de como a associação do grupo muda, é configurá-los explicitamente por usuário no Orchestrator. Nós nos referimos a eles como direitos de acesso explícitos.
- Os usuários do AD cujos direitos de acesso herdados não possam ser determinados se comportam como usuários locais, o que significa que eles dependem apenas de direitos de acesso explicitamente definidos.
- Os grupos no AD se sincronizam com o Orchestrator, mas não vice-versa. As alterações feitas no Orchestrator não afetam a configuração do usuário no AD.
- Devido a vários problemas de rede ou configuração, é possível que nem todos os domínios exibidos na lista suspensa Nome do Domínio estejam acessíveis.
- As alterações feitas nos nomes de usuários/grupos do AD não são propagadas para o Orchestrator.
- Pode levar até uma hora para atualizar a lista de domínios com domínios confiáveis bidirecionais recém-adicionados.
- As solicitações
GetOrganizationUnits(Id)
eGetRoles(Id)
apenas retornam pastas e funções definidas explicitamente para um usuário autoprovisionado. Aquelas herdadas da configuração de grupo podem ser recuperadas por meio do endpoint/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - O mesmo vale para a interface do usuário, onde apenas pastas e funções explicitamente definidas são exibidas na página Usuários. Ao contrário, as herdadas têm um novo local dedicado, a janela Permissões do usuário (Usuários > Mais ações > Verificar permissões).
- Os usuários autoprovisionados não herdam as configurações de assinatura de alertas do grupo pai nem recebem quaisquer alertas por padrão. Para ter acesso aos alertas, será solicitado que você conceda as permissões correspondentes explicitamente ao usuário.
- Remover um grupo de diretórios não remove a licença de um usuário do diretório associado, mesmo se a remoção do grupo cancelar a atribuição do usuário de qualquer pasta. A única maneira de liberar a licença é fechar a bandeja do Robô.
- Em determinados navegadores, fazer logon no Orchestrator usando suas credenciais do AD requer apenas seu nome de usuário. Não há necessidade de especificar também o domínio. Portanto, se a sintaxe do domínio\nome de usuário não funcionar, tente preencher apenas o nome de usuário.
- Associação do usuário: o usuário [nome de usuário] foi atribuído aos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].
- Provisionamento automático: o usuário [nome de usuário] foi provisionado automaticamente dos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].
A otimização do consumo de recursos e a maximização da capacidade de execução em pastas modernas envolve pouco ou nenhum controle sobre como os usuários são alocados para trabalhos. Para cenários em que uma credencial não pode ser usada mais de uma vez (por exemplo, SAP), introduzimos a possibilidade de limitar a execução não assistida concorrente. Isso ajuda a modular o algoritmo de alocação de trabalhos impedindo um usuário de executar simultaneamente vários trabalhos.
O Orchestrator vem com apenas um usuário predefinido: administrador. Seu nome de usuário não pode ser alterado, e ele não pode ser excluído. Ele tem a função de Administrador, mas você pode adicionar outras funções a ele e até mesmo desativá-lo. Observe que você não pode desativar o usuário com o qual você está conectado no momento.
Os usuários com a função de Administrator podem ativar, desativar e remover outros usuários, além de editar as informações, incluindo a senha. Você não pode excluir usuários que têm a função de Administrador.
Para executar várias operações nas páginas Usuários e Perfil, você precisa receber as permissões correspondentes:
- Exibir em Usuários - Exibir as páginas de Usuários e Perfil.
- Editar em usuários - Editar detalhes e configurações do usuário na página Perfil e ativar/desativar usuários na página Usuários . A configuração da seção Alertas na página Perfil requer as permissões de Visualização correspondentes por categoria de alerta.
- Exibir nos usuários, Exibir nas funções - exibição das permissões do usuário na janela Permissões do usuário.
- Editar em Usuários, Exibir em Funções - editar detalhes do usuário e configurações na página Usuários.
- Criar em Usuários, Exibir em Funções - Criar um usuário.
- Exibir em Usuários, Editar em Funções - Gerenciar funções do usuário na janela Gerenciar Usuários, na página Funções.
- Excluir em Usuários - remover um usuário.
Leia mais sobre funções.
Por padrão, o Orchestrator não permite o acesso do usuário por meio de autenticação básica. Essa funcionalidade pode ser habilitada com o parâmetro Auth.RestrictBasicAuthentication. Isso habilita você a criar usuários locais, que podem acessar o Orchestrator usando suas credenciais de autenticação básica, permitindo que você mantenha as integrações existentes que se basearam na autenticação básica ao chamar a API do Orchestrator.
A habilitação da autenticação básica pode ser feita ao criar e editar usuários.
Após 10 tentativas de logon malsucedidas, você será bloqueado por cinco minutos. Essas são as configurações padrão de Bloqueio de conta, que podem ser alteradas na guia Segurança.
O logon com o mesmo usuário em uma máquina diferente desconecta o usuário da primeira máquina.