Administrar la asignación de roles de Active Directory

Un administrador o un usuario con permiso para ver y administrar roles puede ver los detalles de las asignaciones de roles disponibles en Active Directory.

Antes de empezar

Asegúrese de haber iniciado sesión en Control Room como administrador.

Por defecto, Control Room recuperará todos los grupos de seguridad del directorio Usuarios.

Para crear asignaciones de roles con filtros para el directorio Usuarios junto con otras unidades organizativas (OU), debe actualizar el archivo um.properties. En Control Room, el directorio Usuarios se considera similar a las OU. Por lo tanto, debe definir el filtro en el archivo um.properties .

Por ejemplo, configure el filtro en el archivo de la siguiente manera:
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
Nota: Los filtros de grupo como groupFilter son opcionales.
En este ejemplo, aplicar este cambio um.properties dirige el Control Room a realizar las siguientes tareas:
  1. Ir al dominio mydomain.com
  2. Recuperar todos los grupos de seguridad de la unidad organizativa OU1 que tengan el nombre del grupo que empieza con groupFilter.
  3. Recuperar todos los grupos de seguridad de la unidad organizativa OU2 que tengan el nombre del grupo que empieza con groupFilter.
  4. Recuperar todos los grupos de seguridad del directorio Usuarios que tienen el nombre del grupo que empieza por groupFilter.

Esta configuración garantiza que los usuarios de las unidades organizacionales OU1 y OU2 se recuperarán además del directorio Usuarios.

Recommendation: Utilice filtros para limitar la visualización de los grupos, ya que la visualización de un número mayor de grupos afecta al rendimiento y dificulta la resolución de problemas.

Los filtros definidos en el archivo um.properties se almacenan en la base de datos. Cuando se actualiza a una versión más nueva de Control Room, Control Room hace referencia a los filtros almacenados en la base de datos porque el archivo um.properties predeterminado con la instalación no contiene estos filtros. Si se definen nuevos filtros en el archivo um.properties predeterminado, Control Room hace referencia a los filtros definidos en el archivo um.properties y sobrescribe los almacenados en la base de datos.

Asignaciones de varios dominios

La asignación admite varios dominios separados por una coma.

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
En el ejemplo anterior, Control Room realizará los procesos adicionales:
  1. Ir al dominio mydomain2.com
  2. Recuperar todos los grupos de seguridad de la unidad organizativa OU3.
  3. Recuperar todos los grupos de seguridad de la unidad organizativa OU4.

Recuperación de grupos de seguridad de OU anidadas

Ejemplo de recuperación de grupos de seguridad de OU anidadas.

En la siguiente organización de ejemplo, considere “Marketing” como la OU primaria con OU anidadas adicionales y grupos de seguridad ubicados en cada una de estas OU anidadas.

  • Marketing
    • Grupo 1
    • Grupo 2
    • US_OU
      • Grupo 3
      • California_OU
        • Grupo 4
        • NoCal_OU
          • Grupo 5
        • SoCal_OU
          • Grupo 6
Si se agrega la siguiente entrada, Control Room recuperará todos los grupos: group1, group2, group3, group4, group5 y group6 de Marketing y las OU anidadas.
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Nota: No se admite proporcionar OU anidadas en la entrada.

Asignación de rol de Active Directory

Vaya a Administración > > Roles > Asignación de rol de Active Directory y la página muestra todas las asignaciones de roles que se han creado en la Control Room. Puede ver o editar las asignaciones de roles. También puede crear nuevas asignaciones de roles o reiniciar el proceso de sincronización de roles entre la Control Room y el Active Directory.

Este proceso de sincronización se activa de manera predeterminada una vez al día (1440 minutos) una vez que se ha activado. Las sincronizaciones pueden activarse en cualquier intervalo si se cambia el número de minutos. Le recomendamos que configure intervalos más grandes que los predeterminados.

Recommendations:
  • Debe establecer la configuración de los intervalos a un valor superior al de la configuración predeterminada de 1440 minutos.
  • El proceso de sincronización de asignaciones y usuarios es un proceso intensivo. Le recomendamos que mantenga una lista corta de grupos y asigne usuarios específicos a cada uno de estos grupos en el Active Directory para que pueda evitar cualquier problema de escalabilidad.
  • No se deben utilizar ambas asignaciones Importar y No importar en el mismo sistema, ya que puede complicar los casos de uso y dificultar la resolución de los problemas.
  • Si están definidas tanto Importar como No importar y un usuario está incluido en ambas asignaciones, entonces las asignaciones Importar tienen prioridad sobre las asignaciones No importar.

    Considere los siguientes ejemplos:

    • Asignación de AD A = Rol A - Grupo A - Importar usuarios de este grupo a Automation 360
    • Asignación de AD B = Rol B - Grupo B - No importar usuarios de este grupo

    El usuario D está incluido en los grupos A y B de Active Directory.

    El usuario D se creará en Automation 360 y se le asignará el rol A.

    • Asignación de AD A = Rol A - Grupo A - Importar usuarios de este grupo a Automation 360
    • Asignación de AD B = Rol B - Grupo B - No importar usuarios de este grupo
    • Asignación de AD C = Rol C - Grupo C - Importar usuarios de este grupo a Automation 360

    Cuando el usuario D está incluido en todos los grupos A, B y C de Active Directory (AD).

    El usuario D se creará en Automation 360 y se le asignará el rol A y el rol C.

Conflicto de licencias de dispositivos
Cuando existen varias asignaciones con diferentes licencias de dispositivo y un usuario está asignado a todas las asignaciones, resulta difícil determinar qué licencia de dispositivo se asignará al usuario, ya que se permite una licencia de dispositivo por usuario. Para este escenario, la Control Room admite una lista ordenada preferida que puede definir en el archivo um.properties. La configuración predeterminada para las licencias de dispositivos en el archivo um.properties es: um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper. La tarea de asignación elegirá la licencia predeterminada basándose en el siguiente orden de disponibilidad:
  1. Development
  2. Runtime
  3. AttendedRuntime
  4. CitizenDeveloper

Puede cambiar la licencia de dispositivo predeterminada añadiendo la palabra clave preferida como una nueva entrada en el archivo um.properties.

En la tabla siguiente se enumeran las palabras clave de las licencias de dispositivos que debe utilizar para la lista de pedidos preferentes:
Palabras clave Licencia
Desarrollo Bot Creator
Tiempo de ejecución Bot Runner no supervisados
Tiempo de ejecución supervisado Bot Runner supervisados
Desarrollador de Citizen Desarrollador de Citizen

Si un usuario está asignado a varias asignaciones y las asignaciones tienen la misma licencia de dispositivo para diferentes opciones de inicio de sesión automático (habilitar o deshabilitar), la configuración de inicio de sesión automático anulará los ajustes. Por ello, le recomendamos que mantenga la uniformidad de la opción de inicio de sesión automático en todas las asignaciones para las mismas licencias de dispositivo.

Una o más asignaciones de roles disponibles que coincidan con sus criterios de búsqueda aparecen en la tabla Asignación de roles.
Nota: La página de asignación de roles muestra solo la lista de asignaciones y no valida las asignaciones por defecto. Debido a que los cambios en los grupos y roles de seguridad son poco frecuentes y toman más tiempo en caso de una red lenta o un número mayor de asignaciones, la página muestra solo la lista de asignaciones. Para configurar la validación por defecto en la página de asignación de roles, agregue la siguiente entrada en el archivo um.properties: um.ldap.groupmapping.sync.on.get.mappings=true. La validación de las asignaciones de roles se produce cuando se sincronizan las asignaciones de roles entre Active Directory y Control Room.

Puede ejecutar las automatizaciones en el dispositivo que está configurado como su dispositivo de ejecución de bot o en un grupo de dispositivos para el que tenga privilegios de consumidor (Crear un usuario). Cuando se utiliza la asignación de rol de Active Directory, si desea que cualquier usuario asignado de Active Directory sea capaz de utilizar más de un dispositivo, debe configurar un grupo de dispositivos (Crear grupos de dispositivos).