Orchestratorの「継承解除設定モデル」非推奨化に伴う、「権限の和集合モデル」への移行について

日本 ナレッジベース
,
1

1. 非推奨化の予定

Orchestratorの継承解除設定モデルを廃止し、権限の和集合モデルに置換することが2024年5月に発表されました。
スタンドアロン版およびAutomation SuiteのOrchestrator v2024.10以前のバージョンには影響ありません。
最新情報は公式ドキュメントをご確認ください。

参考:
「非推奨化のタイムライン > Orchestrator」

2. 現行モデルと新モデルの比較

「継承解除設定モデル」と「権限の和集合モデル」は、Orchestrator の 「アクセス権を管理」機能において、グループアカウントに対する設定をグループに所属するユーザーアカウントに対して反映するモデルの種類です。

2-1 継承解除設定モデル(現行)

グループに対する設定は、ロール設定を除き、グループに所属するユーザーがOrchestrator 初回ログイン時にテナントへ自動的に割り当てられる際、ユーザー設定の初期値としてグループの設定が反映されます。
Orchestratorテナントにユーザーが割り当てられた後は、グループ設定を変更しても、既にテナントへ割り当て済みのユーザー設定に反映されません。
ただしグループに対するロール設定は、グループ設定が常に所属ユーザーに継承されます。

グループ設定 挙動
ロール グループ設定は、所属ユーザーへ常に反映する
UI プロファイルの設定 グループ所属ユーザーが自動割り当てされる際の初期値
クライアント バイナリ (Robot、Assistant、Studio) の
自動更新ポリシー		 グループ所属ユーザーが自動割り当てされる際の初期値
このグループのユーザーによるオートメーションの実行を有効化 グループ所属ユーザーが自動割り当てされる際の初期値
このグループのメンバーの個人用ワークスペースを有効化 グループ所属ユーザーが自動割り当てされる際の初期値

2-2 権限の和集合モデル(新モデル)

グループに対する設定が、グループに所属するユーザーに対して常に反映されるようになります。

グループ設定 挙動
追加のロール グループ設定は、所属ユーザーへ常に反映する
UI プロファイル グループ設定は、所属ユーザーへ常に反映する
クライアント バイナリ (Robot、Assistant、Studio) の
自動更新ポリシー		 グループ設定は、所属ユーザーへ常に反映する
個人オートメーションのセットアップ グループ設定は、所属ユーザーへ常に反映する

3. 権限の和集合モデルの詳細

3-1 追加のロール

ユーザーが利用できる権限は、以下の2つのロールの和集合によって決まります。

  1. ユーザーに直接割り当てられたロール
  2. ユーザーが所属する各グループから継承されたロール

この動作は、従来の継承解除設定モデルと変わりありません。

具体例:

  • ユーザーが所属するグループ:Automation Userグループ、Everyoneグループ、カスタムのグループ01

  • テナントにおけるロール割り当て

    • ユーザーに直接割り当てたロール:Allow to be Automation Publisher
    • Automation Userグループに割り当てたロール:Allow to be Automation User
    • カスタムのグループ01に割り当てたロール:Allow to be Folder Administrator
    • カスタムのグループ02に割り当てたロール:Orchestrator Administrator

  • フォルダーAにおけるロール割り当て

    • カスタムのグループ01に割り当てたロール:Folder Administrator

  • フォルダーBにおけるロール割り当て

    • ユーザーに直接割り当てたロール: Automation Publisher
    • Automation Userグループに割り当てたロール:Automation User
    • カスタムのグループ02に割り当てたロール:Folder Administrator

上記の場合、このユーザーは以下の権限を持つことになります:

  • テナントでの権限:Allow to be Automation Publisher、Allow to be Automation User、Allow to be Folder Administrator
  • フォルダーAでの権限:Folder Administrator
  • フォルダーBでの権限:Automation Publisher、Automation User

上記例での、テナントでの権限の和集合イメージ:

This Venn diagram depicts the overlapping permissions for Automation Publisher, Folder Administrator, and Automation User roles. (Captioned by AI)
This Venn diagram depicts the overlapping permissions for Automation Publisher, Folder Administrator, and Automation User roles. (Captioned by AI)3918×3975 439 KB

  • Everyoneグループはテナントに割り当てていないので、Everyoneグループから継承するテナントロールはありません。
  • ユーザーはカスタムのグループ02に所属していないので、グループ02から継承するロールはありません。

3-2 UI プロファイルの設定

UIプロファイルの設定では、Orchestratorユーザーが、WebブラウザでOrchestratorのどの画面を表示できるかを設定します。

設定 個人用ワークスペース 個人用ワークスペース以外の画面
UI アクセスなし
個人用ワークスペースのみ 表示できる
標準インタフーェイス 表示できる 表示できる

ユーザー設定とグループ設定との和集合で、表示できるものが決まります。

具体例:

  1. ユーザー設定が「UIアクセスなし」、グループ設定が「標準インターフェイス」の場合:グループに所属するユーザーは「標準インターフェイス」にアクセスできます
  2. ユーザー設定が「個人用ワークスペースのみ」、グループ設定が「UIアクセスなし」の場合:グループに所属するユーザーは「個人用ワークスペースのみ」にアクセスできます

3-3 クライアント バイナリ (Robot、Assistant、Studio) の自動更新ポリシー

この設定により、StudioやRobotの自動バージョンアップに関するポリシーを指定することができます。
更新ポリシーは、ユーザーレベル、グループレベル、マシンレベルの3つのレベルで設定可能です。

ユーザーレベルおよびグループレベルの更新ポリシー:

  • ユーザーモードのロボットにのみ適用可能です
  • ユーザーレベルとグループレベルの内、より新しいバージョンを指定している更新ポリシーが適用されます

マシンレベルの更新ポリシー:

  • ユーザーモードとサービスモードの両方のロボットに適用可能です
  • ユーザーレベルまたはグループレベルの更新ポリシーが「なし」以外に設定されている場合、これらの設定がマシンレベルの更新ポリシーよりも優先されます

具体例:

  • ユーザー設定:特定のバージョン「23.4.5」
  • グループ設定:「バージョン 23.10 の最新パッチ」
  • マシン設定:「最新バージョン」

この場合、更新ポリシーは次のように適用されます:

  1. サービスモードのロボットの場合:マシン設定のみが参照されるため、「最新バージョン」が適用されます
  2. ユーザーモードのロボットの場合:
    a. ユーザー設定とグループ設定が存在するため、マシン設定は無視されます
    b. ユーザー設定(23.4.5)とグループ設定(23.10の最新パッチ)を比較すると、グループ設定の方がより新しいバージョンを指定しています
    c. したがって、「バージョン 23.10 の最新パッチ」が適用されます

3-4 ユーザーによるオートメーションの実行を有効化

この設定では、UiPath Assistantからの有人実行や、UiPath Studioでオートメーション開発できるかどうかを制御します。

設定 個人用ワークスペース以外のフォルダー 個人用ワークスペース
なし
ユーザーによるオートメーションの実行を有効化 利用できる
ユーザーによるオートメーションの実行および
個人用ワークスペースを有効化		 利用できる 利用できる

ユーザー設定とグループ設定との和集合で、利用できるものが決まります。

具体例:

  1. ユーザー設定が「なし」、グループ設定も「なし」の場合:ユーザーは、UiPath Assistantで有人実行できず、Studioでオートメーション開発もできません
  2. ユーザー設定が「ユーザーによるオートメーションの実行および個人用ワークスペースを有効化」、グループ設定が「ユーザーによるオートメーションの実行を有効化」の場合:
    • 個人用ワークスペースを利用できます
    • 個人用ワークスペース以外のフォルダーのうち、自分が割り当てられたフォルダーを利用できます
    • 割り当てたユーザーライセンスの種類に応じて、ユーザーはUiPath Assistantで有人実行したり、Studioでオートメーション開発できたりします

4. 権限の和集合モデルへの移行手順

以下の手順で、権限の和集合モデルへの移行をお願いいたします。
手動で移行しない場合、非推奨化のタイムラインに沿って、権限の和集合モデルへ自動移行することを予定しております。

4-1 移行による影響の事前確認

Orchestratorテナント > アクセス権を管理> ユーザーの移行にて「レポートを取得」をクリックすることで、権限の和集合モデルへ移行した場合の影響を受けるユーザー情報が出力されます。

This is a screenshot of the UI of UiPath Orchestrator, showing the "User Migration" section with options to manage access permissions and obtain reports. (Captioned by AI)
This is a screenshot of the UI of UiPath Orchestrator, showing the "User Migration" section with options to manage access permissions and obtain reports. (Captioned by AI)1657×935 229 KB

このレポートは1日に1回まで作成でき、7日間保持されます。
レポートはCSVファイルとして出力され、以下の情報が含まれます。

  • ○○○ - Current列:現在、ユーザーに適用されている設定です
  • ○○○ - Post-migration列:権限の和集合モデルへ移行後に、ユーザーに適用される設定です
  • ○○○ - Via groups列:権限の和集合モデルへ移行後に影響する設定が、どのグループから継承されたか示します

レポートサンプル↓

User Id Name Email UI profile - Current UI profile - Post-migration UI profile - Via groups Update policy - Current Update policy - Post-migration Update policy - Via groups Enable user to run automations - Current Enable user to run automations - Post-migration Enable user to run automations - Via groups Personal workspace - Current Personal workspace - Post-migration Personal workspace - Via groups
1234 User1 Test user1@test.com Standard Standard None None FALSE TRUE Automation Users;Automation Developers FALSE TRUE Automation Users
4567 User2 Test user2@test.com Standard Standard None None TRUE TRUE FALSE TRUE Automation Users
8900 User3 Test user3@test.com Standard Standard None SpecificVersion 23.10.4 UpdatePolicyGroup TRUE TRUE FALSE TRUE Automation Users

4-2 必要に応じた設定変更

権限の和集合モデルへ移行すると、ユーザーの権限が増える可能性があります。
レポートを確認して、移行後の設定に問題がある場合は、以下の対策を事前に行ってください:

  • 関連するグループの設定を適切に変更する
  • 必要に応じて、ユーザーを特定のグループから外す

4-3 権限の和集合モデルへの移行実施

設定の確認と調整が完了したら、「移行を開始」をクリックします。
移行を開始すると、移行前には戻せません。

This is a screenshot of a UiPath Orchestrator interface in Japanese, highlighting options for managing access rights and migrating users. (Captioned by AI)
This is a screenshot of a UiPath Orchestrator interface in Japanese, highlighting options for managing access rights and migrating users. (Captioned by AI)1658×827 210 KB

権限の和集合モデルへ移行後、Orchestratorテナント > アクセス権を管理 > アクセス ルールにて「アクセス権を確認」をクリックすると、ユーザー設定とグループ設定の和集合の結果を確認できます。
The image depicts a user interface for managing access roles in UiPath Orchestrator, showing different roles assigned to users and groups with options to edit or view access permissions. (Captioned by AI)
The image depicts a user interface for managing access roles in UiPath Orchestrator, showing different roles assigned to users and groups with options to edit or view access permissions. (Captioned by AI)1920×1036 169 KB

権限の和集合モデルへの移行手順について、より詳細な情報は公式ドキュメントをご参照ください。

参考:
「継承解除モデルから権限の和集合モデルに移行する」