Orchestrator

2023.10

falso

Introdução
- Introdução
- Opções do Usuário
- Como fazer logon no Orchestrator
- Redefinição da sua senha
- Robôs
  - Status do robô
  - Definições do Robô
- Atualização automática de componentes de cliente
- Lista de verificação de configuração do Orchestrator
Melhores práticas
- Modelagem de organização no Orchestrator
- Gerenciar grandes implantações
- Melhores Práticas de Automação
- Otimização da infraestrutura não assistida usando modelos de máquina
- Automação Não Assistida
- Organização de recursos com tags
- Réplica SomenteLeitura do Orchestrator
- Exportando grades em segundo plano
Tenant
- Sobre o contexto do tenant
- Pesquisa de recursos em um tenant
- Robôs
- Pastas
- Monitoramento
- Gerenciando recursos de acesso e automação
- Máquinas
- Pacotes
- Auditar
- Armazenamentos de Credenciais
  - Gerenciar armazenamentos de credenciais
  - Integração de repositórios de credenciais
- Webhooks
  - Tipos de eventos
  - Gerenciamento de webhooks
- Alertas
- Configurações - Nível do tenant
Serviço Catálogo de recursos
- Sobre o serviço Catálogo de recursos
Contexto de Pastas
- Sobre o contexto de pastas
- Início
Automações
- Sobre automações
Processos
- Sobre processos
- Gerenciar processos
- Gerenciamento de requisitos de pacote
- Gravação
Trabalhos
- Sobre trabalhos
- Gerenciamento de trabalhos
- Estados do trabalho
- Trabalho com fluxos de trabalho de longa duração
- Executando automações remotas pessoais
- Política de Retenção de Dados de Processo
Gatilhos
- Sobre gatilhos
  - Gatilhos de tempo
  - Gatilhos de fila
- Gerenciar gatilhos
  - Criação de um gatilho de tempo
  - Criação de um gatilho de fila
- Gerenciamento de dias não úteis
- Uso das expressões de Cron
  - Ativando trabalhos no último dia do mês
Logs
- Sobre logs
- Gerenciamento de logs no Orchestrator
- Níveis de Registro de Logs
- Logs do Orchestrator
Monitoramento
- Sobre monitoramento
- Máquinas
- Processos
- Filas
- Filas SLA
Filas
- Sobre filas e transações
- Upload em massa de itens da fila usando um arquivo CSV
- Gerenciamento de filas no Orchestrator
- Gerenciamento de filas no Studio
- Gerenciamento de transações
  - Editar transações
  - Descrições de campos para o arquivo .csv de transações
- Solicitações de Revisão
Ativos
- Sobre ativos
- Gerenciamento de ativos no Orchestrator
- Gerenciamento de ativos no Studio
- Armazenando ativos no Azure Key Vault (somente leitura)
- Armazenamento de ativos no HashiCorp Vault (somente leitura)
- Armazenando ativos no AWS Secrets Manager (somente leitura)
Armazenar Buckets
- Sobre buckets de armazenamento
  - Configuração CORS/CSP
- Gerenciar buckets de armazenamento
- Mover dados de bucket entre provedores de armazenamento
Test Suite - Orchestrator
- Automação de Teste
- Casos de Teste
  - Descrições do campo para a página Casos de Teste
- Conjuntos de Testes
  - Descrições do campo para a página Conjuntos de Teste
- Execuções de Teste
  - Descrições do campo para a página Execuções de Teste
- Agendamentos de Teste
  - Descrições do campo para a página Agendamentos de Teste
- Testar Filas de Dados
- Política de retenção de dados de teste
Administração do host
- Portais de administração de host
- Configurando notificações de e-mail do sistema
- Gerenciamento dos administradores do sistema
- Gerenciamento de sua licença de host
  - Alocação de licenças de host para tenants
  - Gerenciamento das suas licenças
- Configurações de host do Orchestrator
  - Configurações do locatário - nível do host
  - Gerenciando Tenants
- Configurações de autenticação do host
  - Reconfigurando a autenticação após a atualização
- Logs de auditoria do host
- Personalizando a página de Login
- Modo de Manutenção
Servidor de Identidade
- Sobre o UiPath Identity Server
Autenticação
- Configurando a integração do Active Directory
- Configurando SSO: SAML 2.0
- Configuração do SSO: Google
- Configuração do SSO: Azure Active Directory
- Autenticação do SmartCard
Administração da organização
- Sobre as licenças
  - Ativar sua licença
- Contas e grupos
  - Gerenciamento de contas e grupos
  - Perguntas frequentes
- Autorização de Aplicativos Externos
  - Gerenciando aplicativos externos
  - Configurando acesso refinado para apps externos
- Gerenciamento de tags
- Logs de Auditoria
- Como substituir a autenticação e segurança
- Substituir configurações de e-mail
Outras configurações
- Aumento do limite de tamanho dos arquivos de pacote
- Configuração de chave de criptografia por tenant
- Compactação com GZIP
Integrações
- Sobre argumentos de entrada e saída
  - Exemplo de uso de argumentos de entrada e saída
Solução de problemas
- Sobre a solução de problemas
- Erros frequentemente encontrados no Orchestrator
- Expressões Cron

Guia do usuário do Orchestrator

Última atualização 19 de abr de 2024

Contas e grupos

Na página Contas e grupos, você pode definir contas de usuário local, contas de robô e grupos locais para a sua organização.

O nível de acesso e as ações que seus usuários podem executar são controlados usando dois elementos:

contas, que estabelecem a identidade de um usuário e são usadas para fazer logon em seus aplicativos da UiPath
funções, que são atribuídas às contas para lhes conceder determinadas permissões dentro do ecossistema da UiPath.

As contas não são criadas ou gerenciadas no Orchestrator; apenas as funções e suas atribuições o são.

Sobre contas

Uma conta é uma entidade da plataforma da UiPath com recursos dependentes de acesso, cuja visão e controle do Orchestrator dependem dos direitos de acesso atribuídos.

As contas podem ser:

criadas e gerenciadas localmente (contas locais) a partir do:
- Portal de gerenciamento. Consulte Gerenciamento de contas para obter mais informações.
criado e gerenciado em um diretório externo (contas de diretório e grupos de diretório). Consulte a seção Integração do AD abaixo para entender melhor as integrações de diretório.

Mais informações

Learn more about the .
Saiba mais sobre o modelo de controle de acesso do Orchestrator, que depende da atribuição de funções.

As contas são adicionadas do Portal de gerenciamento no nível da organização e só ficam disponíveis dentro da organização respectiva.

Após uma conta ser adicionada com sucesso, há duas maneiras de conceder a ela direitos de acesso ao Orchestrator: adicionando a conta a um grupo para que herde as suas funções ou atribuindo funções a cada conta no nível de serviço. Você pode usar ambos os métodos para ter um controle granular sobre o acesso que uma conta tem em sua organização.

Observação: o gerenciamento do UiPath Robot é executado ao nível do usuário. Consulte Gerenciar contas para obter detalhes.

Integração do AD

Um Active Directory (AD) referenciado no Orchestrator transforma seus membros em usuários potenciais do Orchestrator. O nível de acesso para uma conta de diretório é configurado no Orchestrator, seja no nível de grupo (grupo de diretórios) ou no nível de usuário (usuário de diretório).

É possível integrar com:

um Active Directory local (Orchestrator independente)
Azure Active Directory (Orchestrator independente)

Observação: o uso da integração do AD com o autoprovisionamento de Attended Robots e pastas hierárquicas permite configurar facilmente grandes implantações. Consulte Como gerenciar grandes implantações para obter mais detalhes.

Pré-requisitos

O parâmetro WindowsAuth.Domain é preenchido com um domínio válido. Todos os domínios e subdomínios das florestas que são confiáveis bidirecionalmente com o domínio especificado no parâmetro WindowsAuth.Domain estarão disponíveis ao adicionar usuários/grupos.
A máquina na qual o Orchestrator está instalado é associada ao domínio definido no parâmetro WindowsAuth.Domain. Para verificar se o dispositivo está associado ao domínio, execute o dsregcmd /status a partir do prompt de comando e navegue até a seção Estado do dispositivo.
A identidade sob a qual o pool de aplicativos do Orchestrator está em execução deve fazer parte do grupo de Acesso de Autorização do Windows (WAA).

Comportamento

A adição de um grupo de diretórios cria uma entidade de grupo de usuários no Orchestrator para a qual é possível configurar os direitos de acesso conforme desejado. Essa entrada no Orchestrator serve como referência para o grupo conforme visto no AD.
Ao fazer logon, o Orchestrator verifica suas associações de grupos. Se confirmado, ele provisiona automaticamente sua conta de usuário e a associa aos direitos de acesso herdados do grupo. Os direitos herdados são mantidos apenas pela duração da sessão do usuário.
O Autoprovisionamento ocorre na primeira vez em que você faz login. Uma conta de usuário autoprovisionado não é excluída no logout, pois você pode precisar da entrada para fins de auditoria.
A associação de grupos para uma conta é verificada pelo Orchestrator no logon ou uma vez por hora durante as sessões ativas. Se as associações de grupos de uma conta forem alteradas, as alterações são aplicadas na conta na próxima vez em que ela fizer logon ou, se já estiver logada, dentro de uma hora.

Esse intervalo de uma hora para verificar a associação de grupos pode ser alterado definindo o valor de IdentityServer.GroupMembershipCacheExpireHours.
Os grupos no AD sincronizam-se com o Orchestrator, mas as alterações feitas no Orchestrator não afetam a configuração de usuários no AD.
Os usuários do AD cujos direitos de acesso herdados (das associações de grupos) não podem ser determinados se comportam como usuários locais, o que significa que dependem apenas de funções atribuídas para a conta de usuário.
A única maneira de configurar os direitos de acesso que persistem entre sessões, independentemente de como a associação de grupos é alterada, é atribuir a função diretamente à conta do usuário no Orchestrator em vez de usar grupos para isso.

Problemas conhecidos

Devido a vários problemas de rede ou configuração, é possível que nem todos os domínios exibidos na lista suspensa Nome do domínio estejam acessíveis.
As alterações feitas nos nomes de usuários ou grupos no AD não são propagadas no Orchestrator.
Pode levar até uma hora para atualizar a lista de domínios com domínios confiáveis bidirecionais recém-adicionados.
As solicitações GetOrganizationUnits(Id) e GetRoles(Id) apenas retornam pastas e funções definidas explicitamente para um usuário autoprovisionado. Aquelas herdadas da configuração de grupo podem ser recuperadas por meio do endpoint /api/DirectoryService/GetDirectoryPermissions?userId={userId}.
O mesmo vale para a interface do usuário, onde apenas pastas e funções explicitamente definidas são exibidas na página Usuários. Ao contrário, as herdadas têm um novo local dedicado, a janela Permissões do usuário (Usuários > Mais ações > Verificar permissões).
Os usuários não herdam as configurações de assinatura de alerta do grupo pai, nem recebem alertas por padrão. Para ter acesso aos alertas, será solicitado que você conceda as permissões correspondentes explicitamente ao usuário.
Remover um grupo de diretórios não remove a licença de um usuário do diretório associado, mesmo se a remoção do grupo cancelar a atribuição do usuário de qualquer pasta. A única maneira de liberar a licença é fechar a bandeja do Robô.
Em determinados navegadores, fazer logon no Orchestrator usando suas credenciais do AD requer apenas seu nome de usuário. Não há necessidade de especificar também o domínio. Portanto, se a sintaxe do domínio\nome de usuário não funcionar, tente preencher apenas o nome de usuário.

Considerações sobre auditoria

Associação do usuário: o usuário [nome de usuário] foi atribuído aos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].
Provisionamento automático: o usuário [nome de usuário] foi provisionado automaticamente dos seguintes grupos do diretório [grupos do diretório dos quais o usuário herda direitos de acesso na sessão atual].

Tipos de usuário

Grupo

Os grupos permitem gerenciar vários usuários por vez, através da aplicação das mesmas funções e configurações a todos por meio do grupo.

A associação de um usuário é definida em Administrador > Contas e grupos.

Os grupos de usuários habilitam o acesso automático com as permissões de grupo, com base em quais usuários são adicionados ou removidos do grupo, sem a necessidade de gerenciar as permissões de usuários individualmente.

There are 6 default local groups: Administrators, Automation Users, Automation Developers, Citizen Developers, Automation Express, and Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.

Se você precisar de mais do que os quatro grupos padrão fornecidos pela UiPath, é possível criar e moldar grupos locais personalizados. Diferentemente de grupos locais padrão, os grupos personalizados precisam ser adicionados manualmente ao Orchestrator para garantir o mapeamento correto entre a associação de um usuário ao grupo e a função correspondente no Orchestrator.

As funções de um grupo são transmitidas para qualquer usuário que pertença ao grupo, tanto as provisionadas automaticamente quanto as adicionadas manualmente. Chamamos elas de “funções herdadas”. Por sua vez, as “funções atribuídas diretamente” só podem ser definidas por conta.

Observação:

Um usuário que pertence a vários grupos herda direitos de acesso de todos eles.
Um usuário que pertence a vários grupos e que teve funções diretamente atribuídas a ele possui a união de todas as funções herdadas de grupos e atribuídas diretamente.
Você não precisa de uma conta de usuário explícita para fazer logon no Orchestrator se pertencer a um grupo que já foi adicionado ao Orchestrator.
As funções herdadas são dependentes do grupo de usuários associado. Se o grupo for excluído do serviço, as funções herdadas dessa conta também são excluídas.
As funções atribuídas diretamente não são influenciadas pelos grupos aos quais a conta pertence. Elas persistem independentemente do estado do grupo.

Exemplo

Digamos que eu tenha adicionado John Smith aos grupos de usuários Automation Users e Administrators em minha organização.

O grupo de Usuário de Automação existe no serviço Orchestrator de Finanças
O grupo Administrador existe no serviço Orchestrator de RH
Assim como as funções atribuídas diretamente à conta do John em ambos os serviços.

O John tem a união de direitos herdados e explícitos para cada serviço:

Serviço/Funções	Grupos de usuários	Funções herdadas	Funções explícitas	Geral
inquilinofinanceiro	Automation User
Funções em nível de tenant	Permitir que seja Automation User	Permitir que seja Automation User	Permitir que seja Folder Administrator	Permitir que seja Automation User Permitir que seja Folder Administrator
Funções em nível de pasta	Automation User na Pasta A Automation User na Pasta B	Automation User na Pasta A Automation User na Pasta B	Folder Administrator na Pasta A	Automation User na Pasta A Automation User na Pasta B Folder Administrator na Pasta A
inquilinode RH	Administradores
Funções em nível de tenant	Permitir que seja Folder Administrator	Permitir que seja Folder Administrator		Permitir que seja Folder Administrator
Funções em nível de pasta	Folder Administrator na Pasta D Folder Administrator na Pasta E	Folder Administrator na Pasta D Folder Administrator na Pasta E	Folder Administrator na Pasta F	Folder Administrator na Pasta D Folder Administrator na Pasta E Folder Administrator na Pasta F

Usuário

De acordo com o mecanismo usado para adicionar contas de usuário ao Orchestrator, os usuários podem ser classificados em duas categorias:

Usuários adicionados manualmente

Usuários que foram adicionados manualmente ao Orchestrator e receberam permissões explicitamente no nível de tenant ou no nível de pasta. As contas de usuário adicionadas manualmente herdam direitos de acesso de grupo se pertencerem a um grupo que também tenha sido adicionado a esse serviço do Orchestrator.

Usuários provisionados automaticamente

Usuários que foram adicionados a um grupo local e fazem logon no Orchestrator. Eles podem acessar o Orchestrator com base em permissões herdadas do grupo. Após fazer logon no Orchestrator pela primeira vez, eles são provisionados automaticamente.

Importante: na página Usuários, na coluna Funções, é possível ver funções atribuídas explicitamente para um usuário, seja ele adicionado manualmente ou autoprovisionado. Funções herdadas não são exibidas nesta coluna.

Você pode verificar todo o conjunto de permissões de um usuário, inclusive permissões herdadas, navegando para Mais ações > Verificar permissões > janela Permissões do usuário para esse usuário específico.

	Usuário adicionado manualmente	Usuário autoprovisionado
Herda direitos de acesso	Sim	Sim
Pode ter direitos de acesso explícitos	Sim	Sim
Cloud Portal é o hub central para informações de usuários	Sim	Sim
Pode usar SSO	Sim	Sim

Robô

O usuário robô é criado automaticamente quando você implanta manualmente um robô no Orchestrator. Os usuários do Robô têm a função de Robô por padrão. Essa função concede ao seu Robô acesso a várias páginas, tornando-o capaz de executar diversas ações.

Icons de usuários e grupos

Em páginas onde você gerencia contas, grupos ou funções, os ícones específicos são exibidos para cada tipo para ajudar você a reconhecer o tipo de conta ou o tipo de grupo.

Ícones de conta

- conta de usuário da UiPath: conta de usuário que está vinculada a uma conta da UiPath e conectada usando a autenticação básica

- conta de usuário SSO: conta de usuário vinculada a uma conta da UiPath que se conectou usando SSO; também se aplica para contas de usuários que tem uma conta de usuário da UiPath e uma conta de diretório

- conta de usuário de diretório: a conta vem de um diretório e se conectou com o Enterprise SSO

- Conta de robô

Ícones de grupos

- Grupo local (ou, simplesmente, grupo): o grupo foi criado por um administrador host.

- Grupo de diretório: o grupo é originado em um diretório vinculado.

Sobre as funções

O Orchestrator usa um mecanismo de controle de acesso baseado em funções e permissões. As funções são coleções de permissões o que significa que as permissões necessárias para usar certas entidades do Orchestrator são atribuídas a funções.

Permissões de funções e relações usuário-função permitem um certo nível de acesso ao Orchestrator. Um usuário recebe as permissões necessárias para executar operações específicas por meio de uma ou várias funções. Como os usuários não recebem permissões atribuídas diretamente, mas apenas as adquirem por meio de funções, o gerenciamento dos direitos de acesso envolve a atribuição de funções apropriadas ao usuário.

Consulte Gerenciamento de funções para obter mais informações.

Permissões para Gerenciar Usuários

Para poder executar várias operações nas páginas Usuários e Funções, você precisa receber as permissões correspondentes:

Usuários — Exibir — exibição das páginas Usuários e Perfil.
Usuários — Editar — edição dos detalhes e configurações do usuário na página Perfil e ativar/desativar os usuários na página Usuários.
Usuários - Exibir e Funções - Exibir - Exibição das permissões de usuário na janela Permissões de usuário.
Usuários — Editar e Funções — Exibir — edição das atribuições de função na página Gerenciar acesso > Atribuir funções.
Usuários — Criar e Funções — Exibir — criação de um usuário.
Usuários — Exibir e Funções — Editar — gerenciamento de funções na janela Gerenciar usuários, aberta a partir da página Gerenciar acesso > Funções.
Usuários — Excluir — remoção de um usuário do Orchestrator.

Tipos de conta

Conta local

Uma conta que foi criada e pode ser gerenciada a partir do Orchestrator, por meio do portal de Gerenciamento, é considerada local para o ecossistema da UiPath.

Para contas locais, todos os atributos de conta, como nome e endereço de e-mail são armazenados no Identity Server.

Conta de diretório

As contas de usuário que se originam de um diretório fora do ecossistema da UiPath (por exemplo, do Azure Active Directory) são usuários de diretório. Essas contas podem acessar o Orchestrator e podem receber funções se você integrar com o diretório.

Para usuários de diretório, apenas as atribuições de função e configurações específicas do Orchestrator são gerenciadas dentro do ecossistema da UiPath, no Identity Server e no Orchestrator. O administrador de diretório externo gerencia atributos específicos de conta (nome, e-mail, associação a grupos de diretório).

Há duas maneiras para um usuário de diretório ganhar acesso ao Orchestrator:

Um administrador atribui funções à sua conta de diretório no Orchestrator — chamamos isso de uma conta adicionada individualmente.
Um administrador adiciona a conta de diretório a um grupo e o usuário faz logon com sua conta de diretório
Um administrador do Orchestrator adiciona um grupo de diretório a um grupo local e, em seguida, um administrador de diretório adiciona a conta do usuário ao grupo de diretório — chamamos isso de uma conta provisionada automaticamente.

Independentemente de seu tipo, as contas de diretório sempre herdam as funções dos grupos aos quais pertencem, se existirem no Orchestrator.

Grupo Local

Grupos locais são entidades que são originadas no Identity Server e representam uma coleção de contas de usuário e robô. Você pode atribuir funções e licenças a grupos, em vez de atribuí-las a usuários individuais. Qualquer coisa atribuída a um grupo é atribuída automaticamente a todos os membros do grupo.

Diretório Grupo

Uma entidade criada ao referenciar um grupo a partir do diretório vinculado na sua instância do Orchestrator. Todos os membros do grupo são possíveis usuários do Orchestrator. Todas as funções atribuídas a um grupo são herdadas pelos usuários que pertencem a ele, sejam provisionadas automaticamente, sejam adicionadas individualmente.

Um usuário que pertence a vários grupos herda as funções de todos eles.
Um usuário que pertence a vários grupos, além de ter sido atribuído a funções explicitamente, tem a combinação de todas as funções herdadas e atribuídas explicitamente.

O uso de grupos de diretórios habilita o acesso automático com as permissões de grupo, com base nos usuários que são adicionados ou removidos do grupo de diretórios (ao mudar de departamento, por exemplo) sem precisar gerenciar as permissões do usuário individualmente.

Exemplo

Grupos de diretório	Direitos herdados	Direitos explícitos
Adicionados o grupo X com o conjunto X de direitos de acesso e o grupo Y com o conjunto Y de direitos de acesso.	John Smith pertence aos grupos X e Y. Ele faz logon no Orchestrator.Seu usuário é provisionado automaticamente com os seguintes direitos: X, Y.	Além dos conjuntos X e Y, John também recebeu a atribuição do conjunto Z explicitamente. John agora tem os seguintes direitos: X, Y, Z. A exclusão dos grupos X e Y deixa John com o Z.

Você não precisa de uma entrada de usuário explícita para fazer login no Orchestrator se você pertencer a um grupo que foi adicionado ao Orchestrator.
Direitos de acesso herdados dependem do grupo do diretório associado. Se o diretório for excluído, também serão excluídos os direitos de acesso herdados.
Os direitos de acesso explicitamente definidos são independentes do grupo de diretório. Eles persistem entre sessões, independentemente do estado do grupo.

Robô

Contas do Robot

As contas de Robô são úteis para quando você precisa executar processos de back-office não assistidos que não devem ser de responsabilidade de nenhum usuário específico. Esses são nossos equivalentes específicos de RPA de contas de serviço. Semelhante às contas que os serviços do Windows executam como identidades de aplicação no modelo OAuth, elas são uma identidade de não usuário a ser usada para executar processos não assistidos.

Trabalhando com contas de robôs

As contas de Robôs se comportam como contas de usuários em termos de permissões. No UiPath Orchestrator, você pode adicionar contas de robô e configurar permissões para elas da mesma forma que para qualquer outra conta.

As única diferenças em relação às contas de usuários são :

contas de robô não têm permissão para nenhuma configuração de processo relacionada à interação
não é necessário um endereço de e-mail para criar uma conta de robô.

Você pode encontrar e trabalhar com contas de robô de uma maneira geral da mesma forma que você trabalha com as contas de usuários:

Os administradores da organização podem criar e gerenciar contas de robô na página Administrador > Contas e grupos — não na guia Usuários, mas sim naquela dedicada a Contas de robô.

As contas de Robô também podem ser incluídas em grupos e gerenciadas como parte do grupo.
Ao atribuir funções no Orchestrator, a pesquisa de contas mostra as contas de usuários, grupos e também contas de robô para seleção.

Conta de Serviço

Uma conta de serviço é uma conta não humana usada para fornecer um contexto de segurança para executar cargas de trabalho que não envolvem a existência de uma conta humana, como autenticações de servidor para servidor. Nesses casos, o Orchestrator assume a identidade da conta de serviço.

Apenas uma conta de serviço é criada por instância do orquestrador, não é visível na interface do usuário e só pode ser identificada nas tabelas do banco de dados.

Não há informações de autenticação anexadas a esse tipo de conta e, como tal, não pode fazer login interativamente por meio de navegadores ou cookies.

Recomendamos não desativar ou excluir a conta de serviço, pois isso terá um impacto direto nas cargas de trabalho em execução.

Nesta página