- 入门指南
- 简介
- 登录 Orchestrator
- 重置密码
- 机器人
- 机器人状态
- 机器人设置
- 最佳实践
- Orchestrator 中的组织建模
- 管理大型部署
- 自动化最佳实践
- 租户
- 关于租户上下文
- 机器人
- 管理机器人
- 将机器人连接到 Orchestrator
- 设置示例
- 在 CyberArk 中存储机器人凭据
- 文件夹
- 管理文件夹
- 传统文件夹与新式文件夹
- 从传统文件夹迁移到新式文件夹
- 管理新式文件夹
- 个人工作区
- 管理个人工作区
- 关于用户
- 管理用户
- <strong>用户类型</strong>
- 字段说明
- 常见问题
- 角色
- 默认角色
- 管理角色
- 计算机
- 管理计算机
- 包
- 管理包
- 关于库
- 管理库
- 审核
- 凭据存储
- 管理凭据存储
- CyberArk® 集成
- CyberArk® CCP 集成
- Azure 密钥保管库集成
- Webhooks
- 事件类型
- 管理 Webhook
- 关于许可
- 激活许可证
- 管理许可证
- 警示
- 警示电子邮件
- 设置警示电子邮件
- 设置
- 常规选项卡
- 部署选项卡
- 邮件选项卡
- 安全选项卡
- 可扩展性选项卡
- 非工作日选项卡
- 操作
- 关于操作
- 管理操作
- 文件夹上下文
- 关于文件夹上下文
- 主页
- 概述
- 自动化
- 关于自动化
- 流程
- 关于流程
- 管理流程
- 关于录制
- 作业
- 关于作业
- 管理作业
- 作业状态
- 触发器
- 关于触发器
- 管理触发器
- 使用 CRON 表达式
- 日志
- 关于日志
- 在 Orchestrator 中管理日志
- 日志记录级别
- Orchestrator 日志
- 在 Studio 中保护敏感信息
- 监控
- 关于监控
- 计算机
- 流程
- 队列
- 队列 SLA
- 队列
- 关于队列和事务
- 队列项目状态
- 业务异常与应用程序异常
- 与队列一起使用的 Studio 活动
- 在 Orchestrator 中管理队列
- 在 Studio 中管理队列
- 管理事务
- 编辑事务
- 事务 .csv 文件的字段说明
- 审核请求
- 资产
- 关于资产
- 在 Orchestrator 中管理资产
- 在 Studio 中管理资产
- 存储桶
- 关于存储桶
- CORS/CSP 配置
- 管理存储桶
- 在存储提供程序之间移动存储桶数据
- Orchestrator 测试
- 测试用例
- 测试用例页面的字段描述
- 测试集
- 测试集页面的字段描述
- 测试执行
- 测试执行页面的字段描述
- 测试计划
- 测试计划页面的字段描述
- 测试数据队列
- 在 Orchestrator 中管理测试数据队列
- 在 Studio 中管理测试数据队列
- 测试数据队列页面的字段描述
- 测试数据队列活动
- 操作目录
- 关于操作目录
- 管理操作目录
- 配置文件
- 关于“个人资料”页面
- 管理个人资料设置
- 系统管理员
- 关于系统管理员
- 管理租户
- 主机设置页面的字段说明
- 维护模式
- 身份服务器
- 关于 Identity Server
- 身份管理门户
- 外部身份提供程序
- 外部提供程序的字段说明页面
- 安装访问令牌
- 身份验证
- 配置 Active Directory 集成
- 配置 SSO:SAML 2.0
- ADFS 身份验证
- Google 身份验证
- OKTA 身份验证
- PingOne 身份验证
- 自定义映射
- 自签名证书
- 私钥证书
- 配置 SSO:Google
- 配置 SSO:Azure Active Directory
- 智能卡身份验证
- 为 Active Directory 组下的用户设置自动登录
- 配置 SMTP 服务器
- 更改 Windows 身份验证协议
- 其他配置
- 提高包文件的大小限制
- 选择退出遥测
- 根据租户设置加密密钥
- GZIP 压缩
- 集成
- 关于输入和输出参数
- 使用输入和输出参数的示例
- 传统机器人
- 机器人
- 管理机器人
- 机器人状态
- 设置示例
- 环境
- 管理环境
- 作业
- 触发器
- 时间触发器
- 排队的作业场景
- 队列触发器
- 非工作日
- 监控
- 机器人
- 资源
- 故障排除
- IE 11.0.9600.17031 问题
- Orchestrator 常见错误
- CRON 表达式
- 升级问题
Orchestrator 用户指南
Orchestrator 中引用的活动目录使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中,可以在组级别(目录组)或用户级别(目录用户)配置目录的访问权限。
先决条件
WindowsAuth.Enabled参数设置为true。- 在
WindowsAuth.Domain参数中填充有效的域。添加目录用户/组时,与WindowsAuth.Domain参数中指定的域双向信任的林中的所有域和子域均可用。 - 将安装了 Orchestrator 的计算机加入到
WindowsAuth.Domain参数中设置的域中。要查看设备是否已加入域,请从命令提示符中运行dsregcmd /status,然后导航至“设备状态”部分。 - 运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。
行为
- 添加 AD 组会在 Orchestrator 中创建一个名为目录组的用户实体,您可以根据需要为其配置访问权限。此条目用作 AD 中找到的组的参考。
- 登录时,Orchestrator 会根据 AD 数据库检查您的组成员身份。如果确认,它会自动将您的用户配置为目录用户,然后将其与从目录组继承的访问权限相关联(步骤 1)。继承的权限仅在用户会话期间保留。
- 自动配置在您首次登录时进行。自动配置的用户在注销时不会被删除,因为出于审核目的,您可能需要该条目。
-
每次登录时,对 AD 组成员身份所做的更改都会与 Orchestrator 同步,对于活动的用户会话,则每小时同步一次。可使用 WindowsAuth.GroupMembershipCacheExpireHours 更改此值。如果您是 X 组的成员,将会发生以下情况:
- 您登录后,Orchestrator 会检查您的组成员身份,然后根据 AD 数据库确认您的身份。系统随后会根据 Orchestrator 配置向您授予访问权限。如果在您有活动会话的情况下,系统管理员将您的组成员身份从组 X 更改为组 Y,则 Orchestrator 将每小时询问一次更改,或者在您下次登录时询问。
- 要配置在会话间持续保留的访问权限,使其不受组成员身份更改影响,唯一方法是在 Orchestrator 中为每个用户显式设置访问权限。我们将它们称为显式访问权限。
- 无法确定所继承访问权限的 AD 用户的行为类似于本地用户,这意味着它们仅依赖显式设置的访问权限。
- AD 中的组将与 Orchestrator 同步,但不会反向同步。对 Orchestrator 所做的更改不会影响 AD 中的用户配置。
已知问题
- 由于各种网络或配置问题,可能并非“域名”下拉列表中显示的所有域都可访问。
- 对 AD 用户/组名称所做的更改不会传播到 Orchestrator。
- 使用新添加的双向信任域更新域列表最多可能需要一个小时。
GetOrganizationUnits(Id)和GetRoles(Id)请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过/api/DirectoryService/GetDirectoryPermissions?userId={userId}端点检索。- 用户界面也是如此,用户页面上仅显示显式设置的文件夹和角色。相反,继承的文件夹和角色具有新的专用位置,即用户权限窗口(用户>更多操作>查看权限)。
- 自动配置的用户不会从父组继承警示订阅设置,默认情况下,也不会收到任何警示。要访问警示,您需要显式授予用户相应的权限。
- 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
- 在某些浏览器上,使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此,如果 domain\username 语法不起作用,请尝试仅填写用户名。
审核注意事项
- 用户成员身份:用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
- 自动配置:从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。
在新式文件夹中优化资源消耗并最大程度地提高执行能力,几乎不会涉及控制将用户分配给作业的方式。对于每次不能多次使用凭据(例如 SAP)的情况,我们引入了限制并发无人值守执行的可能性。通过限制用户同时执行多个作业,这有助于调整作业分配算法。
Orchestrator 仅有一个预定义用户管理员。其用户名不能更改,该用户也不能删除。它具有 Administrator 角色,但是您可以向其添加其他角色,甚至将其停用。请注意,您不能停用当前登录的用户。
具有 Administrator 角色的用户可以激活、停用和删除其他用户以及编辑信息(包括密码)。您无法删除具有Administrator角色的用户。
要在“用户”和“个人资料”页面上执行各种操作,需要获得相应的权限:
- 对用户的“查看”权限 - 显示“用户”和“个人资料”页面。
- 用户页面上的编辑 - 在用户页面上编辑用户详细信息和设置,以及在配置文件页面上激活/停用用户。在配置文件页面上配置警示部分需要对每个警示类别具有相应的查看权限。
- 查看用户,查看角色 - 在用户权限窗口中显示用户权限。
- 对用户的“编辑”权限、对角色的“查看”权限 - 在“用户”页面上编辑用户详细信息和设置。
- 对用户的“创建”权限、对角色的“查看”权限 - 创建用户。
- 对用户“查看”权限、对角色的“编辑”权限 - 在“角色”页面的“管理用户”窗口中管理用户角色。
- 对用户的删除权限 - 删除用户。
阅读有关角色的更多信息。
基本身份验证
默认情况下,Orchestrator 不允许用户通过基本身份验证进行访问。可通过 Auth.RestrictBasicAuthentication 参数启用此功能。这使您能够创建可以使用其基本身份验证凭据访问 Orchestrator 的本地用户,从而允许您维护在调用 Orchestrator API 时依赖基本身份验证的现有集成。
创建和编辑用户时,可以启用基本身份验证。
帐户锁定
10 次尝试登录失败后,用户将被锁定 5 分钟。这些是默认的帐户锁定设置,可以在安全选项卡中进行更改。
在不同的计算机上使用同一用户登录会导致该用户与第一台计算机的连接断开。