Management ConsoleManagement Console Configuration et interface utilisateurAdministrationUtilisateurs et groupes

Utilisateurs et groupes

Utilisez cette section pour gérer les utilisateurs et les groupes qui peuvent avoir accès à la Management Console et aux projets. Le modèle de sécurité est défini en fonction des rôles ; après avoir créé un utilisateur, vous devez l'ajouter à un ou plusieurs groupes associés à des rôles spécifiques dans un ou plusieurs projets.

Nous vous recommandons de créer d'abord des groupes, car un utilisateur ne peut pas se connecter tant qu'il n'a pas été ajouté à un groupe qui se voit attribuer un rôle de Viewer au sein d'au moins un projet.

La section contient deux onglets :

  • L'onglet Utilisateurs vous permet de créer de nouveaux utilisateurs et de modifier, supprimer et réinitialiser les mots de passe de certains utilisateurs.
  • L'onglet Groupes vous aide à créer, supprimer et modifier des groupes.

Les noms d'utilisateur et de groupe dans Kofax RPA doivent respecter les règles relatives aux noms de connexion pour Microsoft Windows. Ces noms ne doivent pas contenir les caractères suivants :

" / \ [ ] : ; | = , + * ? < >

Pour plus d'informations, voir la rubrique Création de comptes d'utilisateurs et de groupes sur technet.microsoft.com.

Vous pouvez modifier la façon dont les informations de chaque onglet sont présentées comme suit :

  • Filtrez les listes du tableau en appliquant des filtres dans le champ Filtre. Voir Filtrage pour plus d'informations.
  • Sélectionnez les colonnes du tableau à afficher à l'aide de l'icône du menu sur la droite.
  • Actualisez les informations affichées en cliquant sur l'icône d'actualisation à droite.
  • Réinitialisez les paramètres de colonne personnalisés en cliquant sur l'icône de réinitialisation à droite.
  • Sélectionnez le nombre d'éléments à afficher par page et accédez aux pages en utilisant le menu de navigation dans l'angle inférieur droit.

Utilisateurs

Par défaut, les colonnes du tableau suivant sont affichées pour chaque utilisateur.

Colonne Description
Nom d'utilisateur Nom de l'utilisateur.
Origine de l'utilisateur Origine de l'utilisateur en fonction de la méthode de création de l'utilisateur.

  • inconnue : L'utilisateur est créé après la restauration d'une sauvegarde.

    Si vous n'utilisez aucun des fournisseurs d'identité externes, tels que SAML, LDAP ou SiteMinder, vous pouvez remplacer l'origine inconnue par interne en cliquant sur Définir l'origine interne pour l'utilisateur sélectionné.

  • interne : L'utilisateur est créé manuellement sur la page Utilisateurs et groupes.

  • saml : L'utilisateur est créé après la connexion via SAML.

  • siteminder : L'utilisateur est créé après la connexion via SiteMinder.

  • ldap#{ldapDirectoryIdentifier} : L'utilisateur est créé après la connexion via LDAP.

Pour plus d'informations sur les fournisseurs d'identité externes et l'authentification des utilisateurs, voir Console de gestion Tomcat > Configuration avancée dans le Guide de l'administrateur Kofax RPA.
Nom complet Nom complet de l'utilisateur.
E-mail Adresse e-mail de l'utilisateur.
Nombre de connexions Nombre de sessions effectuées par cet utilisateur.
Dernière connexion Date et heure de la dernière connexion de l'utilisateur.
Dernière adresse IP Dernière adresse IP à partir de laquelle l'utilisateur s'est connecté.
Groupes Groupes auxquels l'utilisateur appartient.

Créer un utilisateur

Si vous n'avez pas encore les groupes requis, nous vous recommandons de les créer d'abord, car un utilisateur ne peut pas se connecter tant qu'il n'est pas ajouté à un groupe qui se voit accorder un rôle de Viewer dans au moins un projet.

  1. Dans l'onglet Utilisateurs, cliquez sur le signe plus.

    La boîte de dialogue « Créer un utilisateur » apparaît.

  2. Indiquez un nom d'utilisateur, un mot de passe, un nom complet et un e-mail pour l'utilisateur, puis sélectionnez un ou plusieurs groupes auxquels l'utilisateur appartiendra.

  3. Cliquez sur OK.

    L'utilisateur apparaît dans le tableau.

Vous pouvez modifier un utilisateur à partir du menu contextuel de .

Groupes

Par défaut, les informations suivantes sont affichées pour chaque groupe.

Colonne Description
Nom du groupe Le nom du groupe.
Description Description du groupe.
Nombre d'utilisateurs Le nombre d'utilisateurs contenus dans le groupe.
Utilisé dans des projets Projets utilisant ce groupe.

Créer un groupe

  1. Dans l'onglet Groupes, cliquez sur le signe plus.

    La boîte de dialogue « Créer un groupe » apparaît.

  2. Indiquez un nom de groupe, une description et sélectionnez les utilisateurs à inclure dans ce groupe.

  3. Cliquez sur OK.

    Le groupe apparaît dans le tableau.

Vous pouvez modifier un groupe à partir du menu contextuel de .

Réinitialisation du mot de passe pour l'utilisateur

  1. Dans l'onglet Utilisateurs, sélectionnez l'utilisateur et cliquez sur dans le coin supérieur gauche.

    La boîte de dialogue « Réinitialiser le mot de passe pour » apparaît.

  2. Tapez le nouveau mot de passe, tapez-le à nouveau pour le confirmer, puis cliquez sur OK.

    Vous pouvez choisir d'envoyer un e-mail pour que l'utilisateur reçoive une notification concernant le changement de mot de passe. L'« Adresse expéditeur » doit être pré-configurée pour envoyer les notifications.

Rôles intégrés

Management Console propose quelques rôles intégrés pour les utilisateurs. Les rôles sont attribués à l'utilisateur d'un groupe de sécurité. Les permissions des utilisateurs sont calculées en fonction des rôles qui sont associés aux groupes de sécurité dont l'utilisateur est membre. Vous pouvez modifier les rôles intégrés ou ajouter des rôles supplémentaires.

Un utilisateur ne peut pas attribuer des rôles avec des permissions que cet utilisateur n'a pas. Par exemple, l'administrateur de projet ne peut pas attribuer les rôles d'administrateur Kapplet, d'utilisateur Kapplet et de client Process Discovery.

  • Administrateur du projet : un utilisateur ayant ce rôle administre un ou plusieurs projets et a le droit d'attribuer un rôle à un groupe pour ces projets. Cet utilisateur a un droit de regard sur RoboServer et les paramètres du cluster sans les modifier. L'administrateur de projet n'est pas membre du groupe Administrateurs RPA (de plus amples informations vous sont proposées dans cette section).
  • Développeur : les développeurs ont le droit de charger, télécharger et visualiser tous les types de ressources du répertoire. Un utilisateur ayant ce rôle peut créer, modifier et supprimer des planifications, exécuter des robots, consulter des journaux d'exécution et des clusters.
  • Visionneuse : Les téléspectateurs ont les mêmes droits de regard que les développeurs et le droit de modifier ou d'exécuter n'importe quoi.
  • API (Cet utilisateur se connecte uniquement en tant que service, en s'authentifiant via l'API) : Un utilisateur ayant ce rôle peut utiliser l'API du répertoire pour lire et écrire dans le répertoire. Un utilisateur ayant ce rôle ne peut pas faire fonctionner des robots en utilisant REST, mais il peut exécuter des robots en utilisant RQL.
  • RoboServer (Cet utilisateur se connecte uniquement en tant que service, en s'authentifiant via l'API) : Un utilisateur restreint qui ne peut lire qu'à partir du répertoire. Ce rôle est utilisé par les RoboServers pour accéder à un cluster, récupérer des éléments du répertoire et demander des mots de passe au magasin des mots de passe.
  • Administrateur Kapplet : un utilisateur qui peut créer, visualiser, exécuter et modifier des Kapplets.
  • Utilisateur Kapplet : un utilisateur qui peut visualiser et exécuter des Kapplets. Un utilisateur ayant ce rôle ne peut pas accéder à Management Console s'il n'a pas d'autres droits.

    Pour plus d'informations sur les rôles des utilisateurs de Kapplets, voir Utilisateurs et groupes d'utilisateurs.

  • Utilisateur du service Kapplets : Un utilisateur qui ne peut lire qu'à partir du répertoire. Ce rôle est utilisé uniquement pour récupérer des informations sur les robots, les types, les snippets et les ressources disponibles pour le projet donné et n'est donc utilisé qu'à des fins de communication entre les Kapplets et la Management Console. Ce rôle est automatiquement appliqué à tous les projets Management Console.
  • Client Magasin des mots de passe : Un utilisateur ayant ce rôle complémentaire peut accéder au magasin des mots de passe. Le rôle est fourni en plus des autres rôles, tout comme le rôle de développeur. Ce rôle ne donne accès qu'au magasin des mots de passe de Management Console.
  • Utilisateur DAS Client (Cet utilisateur se connecte uniquement en tant que service, en s'authentifiant via l'API) : Il s'agit d'un utilisateur créé pour les clients distants du Desktop Automation Service (DAS), et qui ne peut accéder qu'à l'API DAS. L'utilisateur du client DAS a le droit d'annoncer un DAS à Management Console, et de récupérer la configuration du DAS.
  • Utilisateur du service VCS (cet utilisateur se connecte uniquement en tant que service, en s'authentifiant via l'API) : L'utilisateur du service de contrôle de version se voit accorder un ensemble de droits spéciaux pour le Synchronizer. Ce rôle a le droit d'ajouter, de modifier et de supprimer des ressources. C'est le seul rôle qui peut se déployer au nom d'un autre utilisateur pour utiliser la fonction de « déploiement » dans le service de contrôle de version.
  • Client Process Discovery (cet utilisateur se connecte uniquement en tant que service, en s'authentifiant via l'API) : Ce rôle permet aux composants de Process Discovery d'interagir avec Management Console.

Utilisateur « admin » intégré

admin est un super-utilisateur qui a accès à tout. Il n'est pas membre du groupe Administrateurs RPA et ne peut être membre d'aucun groupe. Le mot de passe par défaut de l'utilisateur admin est disponible (nom d'utilisateur - admin, mot de passe - admin). Vous pouvez modifier le mot de passe de l'utilisateur admin comme décrit dans la section « Réinitialiser le mot de passe de l'utilisateur » de cette section.

Dans une configuration d'intégration LDAP, le groupe Administration est défini dans le cadre de la configuration LDAP. L'utilisateur admin peut alors se connecter et définir quels groupes LDAP doivent être mis en correspondance avec le développeur, l'administrateur de projet, RoboServer, et d'autres rôles.

Dans une configuration d'utilisateur interne, l'utilisateur admin est créé au premier démarrage et peut ensuite se connecter et créer des administrateurs, des développeurs et d'autres utilisateurs.

Droits spéciaux pour les utilisateurs « admin » intégrés

Outre le fait d'être l'utilisateur initial, admin dispose de droits spéciaux, comme :

  • Dans la section RoboServers, l'administrateur peut cliquer sur un nœud RoboServer et demander un suivi de la pile à partir du nœud RoboServercorrespondant.

  • Seul l'utilisateur admin peut créer et importer des sauvegardes.

  • Dans le magasin des mots de passe, l'utilisateur admin peut déplacer les mots de passe vers un autre projet.

Groupe intégré
Administrateurs RPA : Les utilisateurs appartenant à ce groupe ont tous les droits pour tous les projets (à l'exception des droits spéciaux des utilisateurs admin), tels que la création de nouveaux administrateurs et utilisateurs dans tout type de projet. Pour qu'un utilisateur devienne un administrateur, il doit être ajouté à ce groupe.

  • Le groupe Administrateurs RPA est visible lorsque la gestion interne des utilisateurs est activée, et il est vide par défaut.

  • Lors de la restauration d'une sauvegarde créée sur une version antérieure à 10.7, les utilisateurs avec le rôle d'Administrateur deviennent membres du groupe Administrateurs RPA.

Principes de gestion des utilisateurs

Les informations suivantes peuvent vous aider à comprendre certains principes de gestion des utilisateurs de Kofax RPA.

Il y a deux façons de faire fonctionner Management Console : intégré dans un RoboServer avec n'importe quelle licence et sur un serveur Tomcat autonome (requiert une licence d'entreprise). Pour des informations à propos de Management Console sur Tomcat, consultez la section « Tomcat Management Console » dans le Guide de l'administrateur Kofax RPA.

Lorsque Management Console fonctionne en mode intégré, la gestion des utilisateurs est activée par défaut pour atténuer le risque potentiel de sécurité lié à l'accès non autorisé à un Management Console à partir d'autres ordinateurs. Le nom et le mot de passe de l'administrateur par défaut sont définis comme suit :

  • Nom d'utilisateur : admin

  • Mot de passe : admin

Pour modifier le nom et le mot de passe de l'administrateur, procédez comme suit :

  1. Dans l'onglet Utilisateurs, sélectionnez l'utilisateur et cliquez sur dans le coin supérieur gauche.

    La boîte de dialogue « Réinitialiser le mot de passe pour » apparaît.

  2. Tapez le nouveau mot de passe, tapez-le à nouveau pour le confirmer, puis cliquez sur OK.

    Vous pouvez choisir d'envoyer un e-mail pour que l'utilisateur reçoive une notification concernant le changement de mot de passe. L'« Adresse expéditeur » doit être pré-configurée pour envoyer les notifications.

    Une fois que vous avez changé le mot de passe, mettez à jour les informations de connexion dans les paramètres de RoboServer.

  3. Démarrez les paramètres de l'application RoboServer en cliquant sur Paramètres RoboServer dans le menu Démarrer de Windows, soit en double-cliquant sur RoboServerSettings.exe dans le sous-dossier /bin du dossier d'installation de Kofax RPA.
  4. Dans l'onglet Général, sous la rubrique « Enregistrer sur une Management Console » indiquez le nouveau mot de passe pour enregistrer la Management Console. Cliquez sur OK pour inscrire les modifications.
  5. Redémarrez Management Console pour que les changements prennent effet.

    En fonction de votre licence et de la façon dont vous exécutez Management Console, vous pouvez gérer l'accès des utilisateurs comme suit :

    • Gestion des utilisateurs internes : Disponible en mode intégré et autonome

    • Gestion des utilisateurs externes (LDAP, SAML, ou CA Single Sign-On) : Disponible uniquement en mode autonome avec une licence d'entreprise

    Lorsque vous exécutez la version Entreprise sur un serveur Tomcat, Management Console est toujours en mode multi-utilisateurs et vous pouvez choisir de gérer vos utilisateurs soit dans Management Console (comme dans le mode intégré), soit d'obtenir les identifiants d'utilisateur sur le serveur LDAP de votre entreprise. La méthode d'authentification est affichée dans la colonne Origine de l'utilisateur.

    Vérification des tentatives de connexion

    Par défaut, la vérification du nombre de tentatives de connexion effectuées par un utilisateur et du temps d'attente avant la prochaine tentative est désactivée. Pour activer cette fonctionnalité, modifiez la section suivante dans le fichier authentication.xml qui se trouve dans : <Tomcat installation folder>\webApps\Management Console\WEB-INF\spring

    
   <bean id="loginAttemptService"
         class="com.kapowtech.scheduler.server.spring.security.LoginAttemptService" lazy-init="true">
       <constructor-arg type="boolean" value="false"/>
       <constructor-arg type="int" value="3"/>
       <constructor-arg type="int" value="10"/>
   </bean>

    Réglez la première valeur sur vrai. Les deuxième et troisième valeurs concernent respectivement le nombre de tentatives de connexion (3 dans cet exemple) et le temps d'attente en minutes avant la prochaine tentative (10 dans cet exemple).