Verwalten von Active Directory-Rollenzuordnungen

Ein Administrator oder Nutzer mit der Berechtigung zum Anzeigen und Verwalten von Rollen kann die Details der verfügbaren Active Directory-Rollenzuordnungen anzeigen.

Vorbereitungen

Achten Sie darauf, dass Sie beim Control Room als Administrator angemeldet sind.

Standardmäßig ruft der Control Room alle Sicherheitsgruppen aus dem Nutzerverzeichnis ab.

Wenn Sie Rollenzuordnungen mit Filtern für das Verzeichnis Nutzer zusammen mit anderen Organisationseinheiten (OUs) erstellen möchten, müssen Sie die Datei um.properties aktualisieren. Im Control Room wird das Nutzer-Verzeichnis ähnlich wie die OUs betrachtet. Daher müssen Sie den Filter in der Datei um.properties definieren.

Stellen Sie den Filter in der Datei zum Beispiel wie folgt ein:
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
Anmerkung: Gruppenfilter wie groupFilter sind optional.
In diesem Beispiel wird der Control Room durch die Anwendung dieser Änderung auf die um.properties dazu angewiesen, die folgenden Aufgaben durchzuführen:
  1. Gehe zur Domain mydomain.com.
  2. Rufe alle Sicherheitsgruppen aus der Organisationseinheit OU1 ab, deren Gruppenname mit groupFilter beginnt.
  3. Rufe alle Sicherheitsgruppen aus der Organisationseinheit OU2 ab, deren Gruppenname mit groupFilter beginnt.
  4. Rufe alle Sicherheitsgruppen aus dem Nutzerverzeichnis ab, deren Gruppenname mit groupFilter beginnt.

Durch diese Einstellung wird gewährleistet, dass die Nutzer aus den Organisationseinheiten OU1 und OU2 zusätzlich zum Nutzer-Verzeichnis abgerufen werden.

Recommendation: Mit dem Filter schränken Sie die Anzeige der Gruppen ein, da die Anzeige einer größeren Anzahl von Gruppen die Leistung beeinträchtigt und die Problembehandlung erschwert.

Die in der Datei um.properties definierten Filter werden in der Datenbank gespeichert. Wenn Sie auf eine neuere Version des Control Rooms aktualisieren, verweist der Control Room auf die in der Datenbank gespeicherten Filter, da die Standarddatei um.properties, die mit der Installation geliefert wird, diese Filter nicht enthält. Wenn Sie in der Standard-Datei um.properties neue Filter definieren, referenziert der Control Room die in der Datei um.properties definierten Filter und überschreibt die in der Datenbank gespeicherten Filter.

Mehrfache Domänenzuordnung

Zuordnungen unterstützen mehrere durch ein Komma getrennte Domänen.

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
Im obigen Beispiel führt der Control Room die zusätzlichen Prozesse durch:
  1. Gehe zu der Domäne mydomain2.com.
  2. Rufe alle Sicherheitsgruppen der Organisationseinheit OU3 ab.
  3. Rufe alle Sicherheitsgruppen der Organisationseinheit OU4 ab.

Abrufen von Sicherheitsgruppen aus verschachtelten OUs

Beispiel für das Abrufen von Sicherheitsgruppen aus verschachtelten OUs.

In der folgenden Beispiel-Organisation betrachten Sie „Marketing“ als übergeordnete OU mit zusätzlichen verschachtelten OUs und Sicherheitsgruppen, die sich in jeder dieser verschachtelten OUs befinden.

  • Marketing
    • Gruppe 1
    • Gruppe 2
    • US_OU
      • Gruppe 3
      • California_OU
        • Gruppe 4
        • NoCal_OU
          • Gruppe 5
        • SoCal_OU
          • Gruppe 6
Durch Hinzufügen des folgenden Eintrags ruft der Control Room alle Gruppen – group1, group2, group3, group4, group5 und group6 – aus Marketing und den verschachtelten OUs ab.
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Anmerkung: Die Angabe von verschachtelten OUs im Eintrag wird nicht unterstützt.

Active Directory Rollenzuordnung

Wenn Sie zu Administration > > Rollen > Active Directory-Rollenzuordnungen navigieren, werden auf der Seite alle Rollenzuordnungen angezeigt, die im Control Room erstellt wurden. Sie können die Rollenzuordnungen anzeigen oder bearbeiten. Sie können auch neue Rollenzuordnungen erstellen oder den Prozess der Rollensynchronisierung zwischen dem Control Room und Active Directory neu starten.

Wenn diese Funktion aktiviert ist, wird dieser Synchronisationsprozess standardmäßig einmal pro Tag (1440 Minuten) ausgelöst. Sie können Synchronisierungen in jedem beliebigen Intervall auslösen, indem Sie die Anzahl der Minuten ändern. Wir empfehlen Ihnen, das Intervall auf einen höheren Wert als den Standardwert einzustellen.

Recommendations:
  • Sie sollten Intervalleinstellungen größer als die Standardeinstellung von 1440 Minuten wählen.
  • Der Synchronisationsprozess von Zuordnungen und Nutzern ist prozessintensiv. Wir empfehlen Ihnen, eine kurze Liste von Gruppen zu führen und jeder dieser Gruppen im Active Directory bestimmte Nutzer zuzuweisen, damit Sie Probleme bei der Skalierbarkeit vermeiden.
  • Verwenden Sie nicht sowohl die Zuordnungen Importieren als auch Nicht importieren in demselben System, da dies die Anwendungsfälle verkomplizieren und die Fehlerbehebung bei Problemen erschweren kann.
  • Wenn sowohl die Zuordnungen Importieren als auch Nicht importieren definiert sind und ein Nutzer Teil beider Zuordnungen ist, haben die Importieren-Zuordnungen Vorrang vor den Nicht importieren-Zuordnungen.

    Betrachten Sie diese Beispiele:

    • AD Zuordnung A = Rolle A – Gruppe A – Importiert Nutzer aus dieser Gruppe in Automation 360
    • AD Zuordnung B = Rolle B – Gruppe B – Nutzer aus dieser Gruppe nicht importieren

    Nutzer D ist im Active Directory Teil der Gruppen A und B.

    Nutzer D wird in Automation 360 erstellt und erhält die Rolle A.

    • AD Zuordnung A = Rolle A – Gruppe A – Importiert Nutzer aus dieser Gruppe in Automation 360
    • AD Zuordnung B = Rolle B – Gruppe B – Nutzer aus dieser Gruppe nicht importieren
    • AD Zuordnung C = Rolle C – Gruppe C – Importiert Nutzer aus dieser Gruppe in Automation 360

    Nutzer D ist im Active Directory (AD) Teil der Gruppen A, B und C.

    Nutzer D wird in Automation 360 erstellt und erhält die Rolle A und C.

Konflikt mit der Gerätelizenz
Wenn es mehrere Zuordnungen mit unterschiedlichen Gerätelizenzen gibt und ein Nutzer allen Zuordnungen zugeordnet ist, wird es schwierig zu bestimmen, welche Gerätelizenz dem Nutzer zugewiesen wird, da eine Gerätelizenz pro Nutzer zulässig ist. Für dieses Szenario unterstützt der Control Room eine geordnete Bevorzugungsliste, die Sie in der Datei um.properties definieren können. Die Standardkonfiguration für Gerätelizenzen in der Datei um.properties lautet: um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper. Bei der Zuordnung wird die Standardlizenz in der folgenden Reihenfolge der Verfügbarkeit gewählt:
  1. Development
  2. Runtime
  3. AttendedRuntime
  4. CitizenDeveloper

Sie können die Standard-Gerätelizenz ändern, indem Sie das bevorzugte Schlüsselwort als neuen Eintrag in der Datei um.properties hinzufügen.

In der folgenden Tabelle sind die Schlüsselwörter für die Gerätelizenzen aufgeführt, die Sie für die geordnete Bevorzugungsliste verwenden müssen:
Schlüsselwörter Lizenz
Entwicklung Bot Creator
Laufzeit Unbeaufsichtigte Bot Runner
AttendedRuntime Beaufsichtigte Bot Runner
CitizenDeveloper Citizen Developer

Wenn ein Nutzer mehreren Zuordnungen zugeordnet ist und die Zuordnungen dieselbe Gerätelizenz für unterschiedliche Auto-Login-Optionen (aktiviert oder deaktiviert) haben, dann hat die Auto-Login-Konfiguration Vorrang vor den Einstellungen. Wir empfehlen daher, die Auto-Login-Option in allen Zuordnungen für dieselben Gerätelizenzen beizubehalten.

Eine oder mehrere verfügbare Rollenzuordnungen, die Ihren Suchkriterien entsprechen, werden in der Tabelle Rollenzuordnung angezeigt.
Anmerkung: Auf der Seite mit den Rollenzuordnungen wird nur die Liste der Zuordnungen angezeigt. Zuordnungen werden standardmäßig nicht überprüft. Da die Änderungen in Sicherheitsgruppen und Rollen selten sind und bei einem langsamen Netzwerk oder einer großen Anzahl von Zuordnungen mehr Zeit in Anspruch nehmen, wird auf der Seite nur die Liste der Zuordnungen angezeigt. Um die Standardüberprüfung auf der Seite für Rollenzuordnungen zu konfigurieren, fügen Sie in der Datei um.properties den folgenden Eintrag hinzu: um.ldap.groupmapping.sync.on.get.mappings=true. Die Validierung von Rollenzuordnungen erfolgt, wenn Sie die Rollenzuordnungen zwischen dem Active Directory und dem Control Room synchronisieren.

Sie können Automatisierungen entweder auf dem Gerät ausführen, das als Ihr Bot-Standardgerät festgelegt ist, oder aus einem Gerätepool, für den Sie Verbraucherrechte haben (Nutzer erstellen ). Wenn Sie die Active Directory-Rollenzuordnung verwenden und möchten, dass ein zugeordneter Active Directory-Nutzer mehr als ein Gerät verwenden kann, müssen Sie einen Gerätepool konfigurieren (Gerätepools erstellen).