ローカル ユーザー
Orchestrator でのみ作成できるユーザー エンティティです。ローカル ユーザーの場合、名前やメールなどの属性は、ロールおよびその他の Orchestrator 固有の設定とともに Orchestrator で管理されます。これは、Orchestrator へのログイン時に使用されます。オートメーション チーム内のポジションに応じて Orchestrator の表示をカスタマイズできます。また、任意でメールによるアラートを受信することもできます。この種類のユーザーのユーザー名は変更できません。
ローカル ユーザーを追加するには、ユーザーの作成、ユーザー属性の設定、およびロールの割り当てを実行します。ユーザーに関する情報を含むページは、[ユーザー] ページと [プロファイル] ページの 2 つです。いずれかのページに入力すると、その情報で他のページのフィールド (名前、姓、メール アドレス) が上書きされます。
ローカル ユーザーからディレクトリ ユーザーへの変換
Active Directory の資格情報でログインするローカル ユーザーをディレクトリ ユーザーに変換するには、次の 2 つの方法があります。
web.configのWindowsAuth.ConvertUsersAtLoginパラメーターをTrueに設定します。これにより、次回 AD 資格情報でログインしたローカル ユーザーがディレクトリ ユーザーに変換されます。- 次に示すスクリプトを実行します。これにより、これまで AD 資格情報でログインしたことがあるすべてのローカル ユーザーが一度に変換されます。
重要
変換が完了すると、各ユーザーは基本認証の資格情報ではログインできなくなります。
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0
ディレクトリ ユーザー
ディレクトリ ユーザーの場合、ロールと Orchestrator 固有の設定のみが Orchestrator で管理され、ユーザー固有の属性 (名前、メール、グループ メンバーシップ) は外部ディレクトリ管理者によって管理されます。
ディレクトリ ユーザーは 2 つの方法で作成できます。
- Active Directory ユーザーを単独で追加。これは、個別に追加されたユーザーと呼びます。
- 以前に追加した Active Directory グループに属するユーザーでログイン。これは、自動プロビジョニングされたユーザーと呼びます。詳細については、「ユーザーについて」ページをご覧ください。
ディレクトリ ユーザーは、種類に関係なく、親グループが Orchestrator に存在する場合、常に親グループからアクセス権を継承します。
| Local User | Directory User | |
|---|---|---|
| Inherits access-rights |  |  |
| Can have explicit access-rights | | |
| AD is the central hub for user information | | |
| SSO | | |
ディレクトリ グループ
Active Directory グループを Orchestrator インスタンスに参照することによって作成されたユーザー エンティティ。グループのすべてのメンバーは、Orchestrator の潜在的なユーザーです。グループに設定されたすべてのアクセス権は、そのグループに属するすべてのディレクトリ ユーザーに渡され、自動プロビジョニングまたは個別に追加されます。ユーザーごとに個別に設定できる「明示的なアクセス権」ではなく、「継承されたアクセス権」と呼びます。
- 複数のグループに属するユーザーは、それらすべてのグループからアクセス権を継承します。
- 複数のグループに属し、明示的なアクセス権も付与されているユーザーは、親グループから継承されたすべての権限と明示的に設定されたすべての権限の和集合とした権限を持ちます。
ディレクトリ グループを使用すると、ユーザー権限を個別に管理する必要なく、ディレクトリ グループに追加または削除されるユーザーに基づいてグループ権限で自動アクセスが可能になります (部門の切り替えなど)。
例
| Directory Groups | Inherited Rights | Explicit Rights |
|---|---|---|
| Added group X with X set of access rights and group Y with Y set of access rights. | John Smith belongs to both Group X and Y. He logs in to Orchestrator. His user is auto-provisioned with the following rights: X, Y. | In addition to the X and Y sets, John is also granted the Z set explicitly. John now has the following rights: X, Y, Z. Deleting groups X and Y leaves John with Z. |
- You don't need an explicit user entry to log in to Orchestrator, if you belong to a group that has been added to Orchestrator (step 1 - Behavior section).
- 継承されたアクセス権は、関連するディレクトリ グループに依存しています。ディレクトリが削除されると、継承されたアクセス権も削除されます。
- 明示的に設定されたアクセス権は、ディレクトリ グループから独立しています。グループのステートに関係なく、セッション間で維持されます。
Robot
ロボットを Orchestrator に手動でデプロイすると、ロボット 
ユーザーが自動的に作成されます。ロボット ユーザーには、既定で Robot ロールが割り当てられます。
Robot ロールにより、複数のページへのアクセス権がロボットに付与されるので、そのロボットでさまざまなアクションを実行できるようになります。Robot ロールの正確な権限については、こちらをご覧ください。
約 1 か月前に更新