- Introdução
- Melhores práticas
- Tenant
- Ações
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Catálogos de Ações
- Perfil
- Administrador do Sistema
- Servidor de Identidade
- Autenticação
- Outras configurações
- Integrações
- Robôs Clássicos
- Solução de problemas
Tipos de usuário
Os usuários locais só podem ser criados no Orchestrator. Atributos como nome e e-mail são gerenciados no Orchestrator, juntamente com funções e outras configurações específicas do Orchestrator. Eles são usados para fazer logon no Orchestrator, ter uma visão personalizada do Orchestrator dependendo da sua posição dentro da equipe de automação e, opcionalmente, para receber alertas por e-mail. Você não pode alterar o nome de usuário desse tipo de usuário.
Os usuários locais são adicionados criando o usuário, definindo atributos de usuário e atribuindo-lhe funções.Duas páginas contêm informações relativas ao usuário: a página Usuário e a página Perfil.O preenchimento de uma delas substitui as informações associadas na outra (nome, sobrenome, endereço de e-mail).
Há duas maneiras de converter usuários locais que fazem logon com credenciais do AD em usuários do diretório:
- Defina o parâmetro WindowsAuth.ConvertUsersAtLogin como
True. Isso converte cada usuário do AD local em um usuário de diretório após o primeiro logon com credenciais do AD. - Por meio do script abaixo. Isso converte de uma vez todos os usuários do AD locais que já fizeram logon com as credenciais do AD.
Esse recurso serve apenas para os usuários que fazem login usando a página Login no Orchestrator. Ela não serve para os usuários que fazem logon por meio do Studio, usando o logon interativo.
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0Para usuários do diretório, apenas funções e configurações específicas do Orchestrator são gerenciadas no Orchestrator, enquanto que o administrador do diretório externo gerencia atributos específicos do usuário (nome, e-mail, associação ao grupo).
Um usuário do diretório pode ser criado de duas maneiras:
- Adicionando um usuário do AD por si mesmo - nós o chamamos de usuário adicionado individualmente.
- Fazendo logon com um usuário que pertence a um grupo do AD adicionado anteriormente - nós o chamamos de usuário autoprovisionado.Veja mais informações na página Sobre Usuários.
Os usuários do diretório sempre herdam direitos de acesso do grupo pai se ele existir no Orchestrator.
|
Acesso |
Usuário Local | Diretório Usuário |
|---|---|---|
|
Herda direitos de acesso |
|
|
|
Pode ter direitos de acesso explícitos |
|
|
|
O AD é o hub central para as informações do usuário |
|
|
|
SSO |
|
|
Uma entidade de usuário criada fazendo referência a um grupo de AD na sua instância do Orchestrator. Todos os membros do grupo são possíveis usuários do Orchestrator. Todos os direitos de acesso definidos para um grupo são passados para todo usuário de diretório que pertença a esse grupo, seja ele autoprovisionado ou individualmente adicionado. Nós nos referimos a eles como "direitos de acesso herdados " em vez de "direitos de acesso explícitos", que só podem ser definidos individualmente por usuário.
- Um usuário que pertence a vários grupos herda direitos de acesso de todos eles.
- Um usuário que pertença a vários grupos e que também tenha recebido direitos de acesso explicitamente, tem a soma de todos os direitos herdados dos grupos pai e daqueles definidos explicitamente.
O uso de grupos de diretórios habilita o acesso automático com as permissões dos grupos, com base nos usuários que são adicionados ou removidos do grupo de diretórios (ao mudar de departamento, por exemplo), sem precisar gerenciar as permissões do usuário individualmente.
Exemplo
|
Grupos de diretório |
Direitos herdados |
Direitos explícitos |
|---|---|---|
|
Adicionados o grupo X com o conjunto X de direitos de acesso e o grupo Y com o conjunto Y de direitos de acesso. |
John Smith pertence aos grupos X e Y. Ele faz logon no Orchestrator.Seu usuário é provisionado automaticamente com os seguintes direitos: X, Y. |
Além dos conjuntos X e Y, John também recebeu a atribuição do conjunto Z explicitamente. John agora tem os seguintes direitos: X, Y, Z. A exclusão dos grupos X e Y deixa John com o Z. |
- Você não precisa de uma entrada de usuário explícita para fazer logon no Orchestrator se pertencer a um grupo adicionado ao Orchestrator (etapa 1 — seção Comportamento).
- Direitos de acesso herdados dependem do grupo do diretório associado. Se o diretório for excluído, também serão excluídos os direitos de acesso herdados.
- Os direitos de acesso explicitamente definidos são independentes do grupo de diretório. Eles persistem entre sessões, independentemente do estado do grupo.
O usuário robô 
é criado automaticamente quando você implanta manualmente um robô no Orchestrator. Os usuários do Robô têm a função de Robô por padrão.
A função do Robô concede o acesso de seus Robôs a várias páginas, permitindo que executem várias ações. Veja aqui as permissões exatas da função Robô.
Uma conta de serviço é uma conta não humana usada para fornecer um contexto de segurança para executar cargas de trabalho que não envolvem a existência de uma conta humana, como autenticações de servidor para servidor. Nesses casos, o Orchestrator assume a identidade da conta de serviço.
Apenas uma conta de serviço é criada por instância do orquestrador, não é visível na interface do usuário e só pode ser identificada nas tabelas do banco de dados.
Não há informações de autenticação anexadas a esse tipo de conta e, como tal, não pode fazer login interativamente por meio de navegadores ou cookies.
Recomendamos não desativar ou excluir a conta de serviço, pois isso terá um impacto direto nas cargas de trabalho em execução.
