- Introdução
- Melhores práticas
- Tenant
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Outras configurações
- Integrações
- Robôs Clássicos
- Administração do host
- Sobre o nível do host
- Gerenciamento dos administradores do sistema
- Gerenciando Tenants
- Configurando notificações de e-mail do sistema
- Logs de auditoria para o portal do host
- Modo de Manutenção
- Administração da organização
- Solução de problemas
Gerenciando recursos de acesso e automação
Na página Gerenciar Acesso, você pode definir e atribuir funções. No Orchestrator, você usa funções para controlar o nível de acesso que uma conta deve ter. Nesta página, examinamos as noções que você precisa entender para planejar e implementar com eficácia sua estratégia de controle de acesso.
O nível de acesso e as ações que seus usuários podem executar são controlados usando dois elementos:
- contas, que estabelecem a identidade de um usuário e são usadas para fazer logon em seus aplicativos da UiPath
- funções, que são atribuídas às contas para lhes conceder determinadas permissões dentro do ecossistema da UiPath.
As contas não são criadas ou gerenciadas no Orchestrator; apenas as funções e suas atribuições o são.
Uma conta é uma entidade da UiPath Platform com recursos dependentes de acesso e cuja visualização e controle do Orchestrator dependem das funções atribuídas.
As contas podem ser:
-
criadas e gerenciadas localmente (contas locais) a partir do:
- Portal de gerenciamento. Consulte Gerenciamento de contas para obter mais informações.
- criadas e gerenciadas em um diretório externo (contas de diretório e grupos de diretórios). Consulte a seção Integração do AD para entender melhor a integração de diretórios.
As contas estão disponíveis apenas dentro de uma organização.
Depois que uma conta for adicionada com sucesso, há duas maneiras de conceder a ela direitos ao orquestrador:
- adicionando a conta a um grupo para que ela herde as funções do grupo ou
- atribuindo funções à conta no nível de serviço.
Você pode usar ambos os métodos para ter um controle granular sobre o acesso que uma conta tem em sua organização.
Um Active Directory (AD) referenciado no Orchestrator transforma seus membros em usuários potenciais do Orchestrator. O nível de acesso para uma conta de diretório é configurado no Orchestrator, seja no nível de grupo (grupo de diretórios) ou no nível de usuário (usuário de diretório).
É possível integrar com:
- um Active Directory local
- Azure Active Directory
-
outros provedores de identidade que têm ou se conectam a um diretório
Observação: o uso de uma integração de diretórios junto com o provisionamento automático de robôs Attended e pastas hierárquicas permite configurar facilmente grandes implantações. Consulte Como gerenciar grandes implantações para obter mais detalhes.
Pré-requisitos
- A opção de autenticação através da qual você se conecta ao diretório externo está habilitada.
- Um domínio válido foi especificado durante a configuração da autenticação. Todos os domínios e subdomínios de florestas bidirecionais confiáveis com o domínio especificado estão disponíveis ao adicionar usuários/grupos.
- A máquina na qual o Orchestrator está instalado é ingressada no domínio especificado. Para verificar se o dispositivo ingressou no domínio, execute
dsregcmd /status
no prompt de comando e navegue até a seção Estado do dispositivo. - A identidade sob a qual o pool de aplicativos do Orchestrator está em execução deve fazer parte do grupo de Acesso de Autorização do Windows (WAA).
Comportamento
- A adição de um grupo de diretórios cria uma entidade no Orchestrator chamada de grupo de diretórios, para a qual você configura os direitos de acesso conforme desejado. Essa entrada serve como referência ao grupo conforme encontrado no AD.
- Ao fazer login, o Orchestrator verifica sua participação no grupo no banco de dados do AD e no UiPath Identity Server. Se confirmado, ele provisiona automaticamente seu usuário como um usuário de diretório e o associa aos direitos de acesso herdados do grupo de diretório. Os direitos herdados são mantidos apenas pela duração da sessão do usuário.
- O provisionamento automático ocorre na primeira vez que um usuário faz login. Uma conta de usuário autoprovisionado não é excluída no logout, pois você pode precisar da entrada para fins de auditoria.
-
As alterações feitas na associação do grupo no diretório são sincronizadas com o Orchestrator a cada login ou uma vez a cada hora para sessões de usuário ativas.
-
Esse valor pode ser alterado usando WindowsAuth.GroupMembershipCacheExpireHours.
-
Se você for membro do grupo X, eis o que acontece:
-
Você faz login, o Orchestrator verifica sua associação no grupo e, em seguida, confirma sua identidade no banco de dados do AD e no Identity Server. Em seguida, você recebe direitos de acesso concedidos de acordo com sua configuração do Orchestrator. Se seu administrador do sistema alterar sua associação do grupo X para o grupo Y enquanto você tiver uma sessão ativa, as alterações são interrogadas pelo Orchestrator a cada hora ou na próxima vez que você fizer login.
- A única maneira de configurar os direitos de acesso que persistem entre as sessões, independentemente de como a associação ao grupo muda, é atribuir uma função à conta do usuário diretamente e não por meio da associação ao grupo.
- Os usuários do AD cujos direitos de acesso herdados (das associações de grupos) não podem ser determinados se comportam como usuários locais, o que significa que dependem apenas de funções atribuídas para a conta de usuário.
- Os grupos no AD sincronizam-se com o Orchestrator, mas as alterações feitas no Orchestrator não afetam a configuração de usuários no AD.
Problemas conhecidos
- Devido a vários problemas de rede ou configuração, é possível que nem todos os domínios exibidos na lista suspensa Nome do domínio estejam acessíveis.
- As alterações feitas nos nomes de usuários ou grupos no AD não são propagadas no Orchestrator.
- Pode levar até uma hora para atualizar a lista de domínios com domínios confiáveis bidirecionais recém-adicionados.
- As solicitações
GetOrganizationUnits(Id)
eGetRoles(Id)
apenas retornam pastas e funções definidas explicitamente para um usuário autoprovisionado. Aquelas herdadas da configuração de grupo podem ser recuperadas por meio do endpoint/api/DirectoryService/GetDirectoryPermissions?userId={userId}
. - O mesmo vale para a interface do usuário, onde apenas pastas e funções explicitamente definidas são exibidas na página Usuários. Ao contrário, as herdadas têm um novo local dedicado, a janela Permissões do usuário (Usuários > Mais ações > Verificar permissões).
- Os usuários não herdam as configurações de assinatura de alerta do grupo pai, nem recebem alertas por padrão. Para ter acesso aos alertas, será solicitado que você conceda as permissões correspondentes explicitamente ao usuário.
- Remover um grupo de diretórios não remove a licença de um usuário do diretório associado, mesmo se a remoção do grupo cancelar a atribuição do usuário de qualquer pasta. A única maneira de liberar a licença é fechar a bandeja do Robô.
- Em determinados navegadores, fazer logon no Orchestrator usando suas credenciais do AD requer apenas seu nome de usuário. Não há necessidade de especificar também o domínio. Portanto, se a sintaxe do domínio\nome de usuário não funcionar, tente preencher apenas o nome de usuário.
Considerações sobre auditoria
- Associação do usuário: o usuário [nome de usuário] foi atribuído aos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].
- Provisionamento automático: o usuário [nome de usuário] foi provisionado automaticamente dos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].
Para ser capaz de executar várias operações nas páginas Usuários e Perfil, você precisa receber as permissões correspondentes:
- Usuários — Exibir — exibição das páginas Usuários e Perfil.
- Usuários — Editar — edição dos detalhes e configurações do usuário na página Perfil e ativar/desativar os usuários na página Usuários.
- Usuários - Exibição e funções - Exibição - Exibição de permissões do usuário.
- Usuários — Editar e Funções — Exibir — edição das atribuições de função na página Gerenciar acesso > Atribuir funções.
- Usuários — Criar e Funções — Exibir — criação de um usuário.
- Usuários — Exibir e Funções — Editar — gerenciamento de funções na janela Gerenciar usuários, aberta a partir da página Gerenciar acesso > Funções.
- Usuários — Excluir — remoção de um usuário do Orchestrator.
Embora você possa selecionar todos os direitos disponíveis (Exibir, Editar, Criar ou Excluir) para qualquer permissão, os seguintes direitos não têm efeito para a permissão listada:
Permission |
Categoria |
---|---|
Editar |
|
Criar |
|
Excluir |
|
Isso ocorre porque, por exemplo, não é possível editar logs gerados pelo sistema.
Por padrão, o Orchestrator não permite o acesso do usuário por meio de autenticação básica. Essa funcionalidade pode ser habilitada adicionando e definindo a configuração Auth.RestrictBasicAuthentication. Isso permite que você crie contas locais que podem acessar o Orchestrator usando suas credenciais de autenticação básicas, permitindo que você mantenha as integrações existentes que dependiam da autenticação básica ao chamar a API do Orchestrator.
A habilitação da autenticação básica pode ser feita ao criar e editar contas.
Por padrão, após 10 tentativas de login malsucedidas, você ficará bloqueado por 5 minutos.
Os administradores do sistema podem personalizar as configurações de Bloqueio de conta no Portal de gerenciamento do host.
Para poder executar várias operações nas páginas Usuários e Funções, você precisa receber as permissões correspondentes:
- Usuários — Exibir — exibição das páginas Usuários e Perfil.
- Usuários — Editar — edição dos detalhes e configurações do usuário na página Perfil e ativar/desativar os usuários na página Usuários.
- Usuários - Exibir e Funções - Exibir - Exibição das permissões de usuário na janela Permissões de usuário.
- Usuários — Editar e Funções — Exibir — edição das atribuições de função na página Gerenciar acesso > Atribuir funções.
- Usuários — Criar e Funções — Exibir — criação de um usuário.
- Usuários — Exibir e Funções — Editar — gerenciamento de funções na janela Gerenciar usuários, aberta a partir da página Gerenciar acesso > Funções.
- Usuários — Excluir — remoção de um usuário do Orchestrator.
1. O que acontece com relação ao acesso como um todo de um usuário que pertence a vários grupos?
O usuário recebe a união dos direitos de acesso associados a cada grupo ao qual ele pertence.
Exemplo: John Smith pertence aos grupos RH e Finanças, que foram adicionados ao Orchestrator. O grupo RH tem a função Gerenciamento e acesso à pasta RH; Finanças tem a função Executor e acesso à pasta Finanças. Como faz parte de ambos os grupos, o John tem as funções Gerenciamento e Executor, e acesso às pastas RH e Finanças.
2. O que acontece com relação ao acesso como um todo quando um usuário também é adicionado separadamente junto com um grupo ao qual ele pertence?
O usuário recebe a união dos direitos de acesso associados ao grupo ao qual ele pertence e aqueles definidos explicitamente. Lembre-se de que os direitos de acesso herdados dependem das configurações do grupo, e que direitos de acesso definidos explicitamente são independentes das configurações do grupo.
Exemplo: John Smith foi adicionado individualmente do AD e recebeu a função Executor e acesso à pasta Finanças. O grupo RH (do qual John é membro) também foi adicionado ao Orchestrator, e recebeu a função Gerenciamento e acesso à pasta RH. John tem as funções Executor e Gerenciamento, e acesso às pastas RH e Finanças. Se ele for removido do grupo RH no nível do AD, perderá a função Gerenciamento e acesso à pasta RH, mas manterá as definidas explicitamente.
3. Meu usuário pertence a dois grupos: o primeiro permite a criação automática de um robô, e o segundo não. Um robô será criado para meu usuário ou não?
Como um usuário recebe a união dos direitos associados a todos os grupos aos quais ele pertence, um robô é criado para seu usuário com base na configuração feita para o primeiro grupo.
4. Eu excluí/desabilitei um grupo do diretório. Os usuários do diretório associado ainda poderão fazer logon?
Não, se você não tiver definido direitos de acesso explicitamente para eles. Sim, se você concedeu a eles direitos de acesso individualmente no Orchestrator. Direitos de acesso herdados são mantidos apenas pela duração da sessão do usuário ativa. Apenas direitos de acesso definidos explicitamente persistem entre as sessões. Excluir ou desativar um grupo do diretório exclui os direitos herdados, mas não faz nada em relação àqueles que foram definidos explicitamente.
5. Quando as alterações feitas em um grupo do AD entram em vigor no Orchestrator?
WindowsAuth.GroupMembershipCacheExpireHours
.