Management ConsoleInterface utilisateurAdministrationUtilisateurs et groupes

Utilisateurs et groupes

Cette section est disponible pour les utilisateurs ayant les rôles suivants : Administrateur et Administrateur de projet.

Les administrateurs gèrent les utilisateurs et les groupes qui peuvent avoir accès à la Management Console et aux projets. Le modèle de sécurité est défini en fonction des rôles ; après avoir créé un utilisateur, vous devez l'ajouter à un ou plusieurs groupes associés à des rôles spécifiques dans un ou plusieurs projets.

La section contient deux onglets :

  • Onglet Utilisateurs pour créer, modifier et supprimer des utilisateurs. Réinitialisez également les mots de passe des utilisateurs.
  • Onglet Groupes pour créer, supprimer et modifier des groupes.

Les noms d'utilisateur et de groupe dans Kofax RPA doivent respecter les règles relatives aux noms de connexion pour Microsoft Windows. Ces noms ne doivent pas contenir les caractères suivants :

" / \ [ ] : ; | = , + * ? < >

Personnalisez votre vue

Modifiez la façon dont les informations de chaque onglet sont présentées.

  • Filtrez les listes du tableau en appliquant des filtres dans le champ Filtre. Voir Filtrage.
  • Sélectionnez les colonnes du tableau à afficher à l'aide de l'icône du menu .
  • Actualisez les informations affichées en cliquant sur l'icône d'actualisation .
  • Réinitialisez les paramètres de colonne personnalisés en cliquant sur l'icône de réinitialisation .
  • Sélectionnez le nombre d'éléments à afficher par page et accédez aux pages en utilisant le menu de navigation.

Utilisateurs

Par défaut, les colonnes du tableau suivant sont affichées pour chaque utilisateur.

Colonne

Description

Nom d'utilisateur

Nom de l'utilisateur.

Origine de l'utilisateur

Origine de l'utilisateur en fonction de la méthode de création.

  • inconnue : L'utilisateur est créé après la restauration d'une sauvegarde.

    Si vous n'utilisez aucun des fournisseurs d'identité externes, tels que SAML, LDAP ou SiteMinder, vous pouvez remplacer l'origine inconnue par interne en cliquant sur Définir l'origine interne pour l'utilisateur sélectionné.

  • interne : L'utilisateur est créé manuellement sur la page Utilisateurs et groupes.

  • saml : L'utilisateur est créé après la connexion via SAML.

  • siteminder : L'utilisateur est créé après la connexion via SiteMinder.

  • ldap#{ldapDirectoryIdentifier} : L'utilisateur est créé après la connexion via LDAP.

Pour plus d'informations sur les fournisseurs d'identité externes et l'authentification des utilisateurs, voir Console de gestion Tomcat > Configuration avancée dans le Guide de l'administrateur Kofax RPA.

Si vous utilisez des fournisseurs d'identité externes, tels que SAML, LDAP ou SiteMinder, vous ne pouvez pas modifier certains champs pour un utilisateur sélectionné.
Nom complet

Nom complet de l'utilisateur.
E-mail

Adresse e-mail de l'utilisateur.
Nombre de connexions

Nombre de sessions effectuées par cet utilisateur.
Dernière connexion

Date et heure de la dernière connexion de l'utilisateur.

Dernière adresse IP

Dernière adresse IP à partir de laquelle l'utilisateur s'est connecté.

Groupes

Groupes auxquels l'utilisateur appartient.

Créer un utilisateur

Créez des groupes avant d'ajouter des utilisateurs au groupe. Un utilisateur ne peut pas se connecter tant qu'il n'a pas été ajouté à un groupe qui se voit attribuer un rôle Examinateur au sein d'au moins un projet.

  1. Dans l'onglet Utilisateurs, cliquez sur le signe plus.

    La boîte de dialogue « Créer un utilisateur » apparaît.

  2. Indiquez un nom d'utilisateur, un mot de passe, un nom complet et un e-mail pour l'utilisateur.

  3. Sélectionnez un ou plusieurs groupes auxquels l'utilisateur appartient.

  4. Cliquez sur OK.

    L'utilisateur apparaît dans le tableau.

Modifiez un utilisateur à partir du menu contextuel de .

Réinitialiser un mot de passe utilisateur

  1. Dans l'onglet Utilisateurs, sélectionnez l'utilisateur et cliquez sur .

    La boîte de dialogue « Réinitialiser le mot de passe pour » apparaît.

  2. Saisissez le nouveau mot de passe, saisissez-le à nouveau pour confirmer, puis cliquez sur OK.

    Vous pouvez choisir d'envoyer un e-mail pour que l'utilisateur reçoive une notification concernant le changement de mot de passe. L'« Adresse expéditeur » doit être pré-configurée pour envoyer les notifications.

Groupes

Par défaut, les informations suivantes sont affichées pour chaque groupe.

Colonne

Description

Nom du groupe

Le nom du groupe.

Description

Description du groupe.

Nombre d'utilisateurs

Le nombre d'utilisateurs contenus dans le groupe.

Utilisé dans des projets

Projets utilisant ce groupe.

Créer un nouveau groupe

  1. Dans l'onglet Groupes, cliquez sur le signe plus.

    La boîte de dialogue « Créer un groupe » apparaît.

  2. Spécifiez un nom de groupe et une description.

  3. Sélectionnez les utilisateurs à inclure dans ce groupe.

  4. Cliquez sur OK.

    Le groupe apparaît dans le tableau.

Modifiez un groupe à partir du menu contextuel de .

Rôles intégrés

La Management Console propose quelques rôles intégrés pour les utilisateurs. Les rôles sont mappés sur un utilisateur ou un service. Les permissions des utilisateurs sont calculées en fonction des rôles qui sont associés aux groupes de sécurité dont l'utilisateur est membre. Vous pouvez modifier les rôles intégrés ou ajouter des rôles supplémentaires.

Un utilisateur ne peut pas attribuer des rôles avec des permissions que cet utilisateur n'a pas. Par exemple, un administrateur de projet ne peut pas attribuer les rôles de Kapplet Administrator, Kapplet User et client Process Discovery.

Les rôles de service sont destinés uniquement à être utilisés dans les applications API et ne doivent pas être utilisés pour une connexion interactive à la Management Console dans le navigateur.

  • Administrateur du projet : Administre un ou plusieurs projets et a le droit d'attribuer un rôle à un groupe pour ces projets. Cet utilisateur a le droit d'afficher le RoboServer et les paramètres du cluster, mais sans les modifier. L'administrateur de projet n'est pas membre du groupe Administrateurs RPA (plus d'informations vous sont proposées dans cette section).

  • Développeur : Est autorisé à charger, télécharger et visualiser tous les types de ressources du répertoire. Ce rôle peut créer, modifier et supprimer des planifications, exécuter des robots, consulter des journaux d'exécution et des clusters.

  • Visionneuse : Peut afficher des Planifications, le Répertoire, la Vue des données, la Vue du journal et certains Paramètres. Ce rôle donne un accès restreint sous la section Administration mais ne donne pas le droit de modifier ou d'exécuter des robots.

  • API (rôle de service) : Ce rôle a le droit d'utiliser l'API Repository pour lire et écrire dans le répertoire. Ce rôle ne permet pas d'exécuter des robots à l'aide de REST mais permet d'exécuter des robots à l'aide de RQL.

  • API Service Authentication (rôle de service) : Utilisez l'API Repository pour lire et écrire dans ce répertoire. Un utilisateur se connecte à l'aide d'une méthode d'authentification OAuth.

  • RoboServer (rôle de service) : Ne peut lire qu'à partir du répertoire. Ce rôle est utilisé par les RoboServers pour accéder à un cluster, récupérer des éléments du répertoire et demander des mots de passe au magasin des mots de passe.

  • Kapplet Administrator : Accorde un accès en lecture/écriture aux projets dans la Management Console depuis les Kapplets. Dans les Kapplets, un utilisateur doté de ce rôle peut gérer les Kapplets et les modèles de Kapplet. Dans les Kapplets, les utilisateurs dotés de ce rôle peuvent gérer les Kapplets, créer et gérer des modèles de Kapplet pour les projets qui contiennent les robots requis pour ces modèles.

    Un utilisateur ayant ce rôle ne peut pas accéder à la Management Console s'il n'a pas d'autres droits.

    Pour obtenir plus d'informations, voir Gestion des utilisateurs Kapplets et Utilisateurs et groupes d'utilisateurs.

  • Kapplet User : Accorde un accès en lecture seule aux projets dans la Management Console depuis les Kapplets. Dans les Kapplets, les utilisateurs dotés de ce rôle peuvent uniquement afficher et exécuter des Kapplets pour les robots appartenant aux projets auxquels ils ont accès.

    Un utilisateur ayant ce rôle ne peut pas accéder à la Management Console s'il n'a pas d'autres droits.

    Pour obtenir plus d'informations, voir Gestion des utilisateurs Kapplets et Utilisateurs et groupes d'utilisateurs.

  • Utilisateur du service Kapplets (rôle de service) : Ne peut lire qu'à partir du répertoire. Ce rôle est utilisé uniquement pour récupérer des informations sur les robots, les types, les snippets et les ressources disponibles pour le projet donné et n'est donc utilisé qu'à des fins communication entre les Kapplets et la Management Console. Ce rôle est automatiquement appliqué à tous les projets Management Console.

  • Client Magasin des mots de passe (rôle de service) : Ce rôle complémentaire donne l'autorisation d'accéder au magasin de mots de passe dans la Management Console. Le rôle est fourni en plus des autres rôles, tout comme le rôle de développeur.

  • Utilisateur du client DAS (rôle de service) : Un utilisateur avec ce rôle est créé pour les clients distants du Desktop Automation Service (DAS), et ne peut accéder qu'à l'API DAS. L'utilisateur du client DAS a le droit d'annoncer un DAS à Management Console, et de récupérer la configuration du DAS.

  • Utilisateur du service VCS (rôle de service) : Attribue un ensemble de droits spéciaux pour Synchronizer. Ce rôle a le droit d'ajouter, de modifier et de supprimer des ressources. C'est le seul rôle qui peut se déployer au nom d'un autre utilisateur pour utiliser la fonction de « déploiement » dans le service VCS.

  • Client Process Discovery (rôle de service) : Ce rôle permet aux composants Process Discovery d'interagir avec la Management Console.

  • Client KTA (rôle de service) : Ce rôle permet aux composants KTA d'interagir avec la Management Console.

Administrateur interne

L'administrateur est un super-utilisateur qui a accès à tout. L'administrateur n'est pas membre du groupe Administrateurs RPA et ne peut être membre d'aucun groupe. Le mot de passe par défaut de l'administrateur est disponible pour cet utilisateur. Cet utilisateur peut modifier le nom d'utilisateur et le mot de passe de l'administrateur.

Dans une configuration d'intégration LDAP, le groupe Admin est défini dans le cadre de la configuration LDAP. L'administrateur peut se connecter et définir quels groupes LDAP doivent être mappés sur les rôles Développeur, Administrateur de projet, RoboServer, et autres.

Dans une configuration d'utilisateur interne, l'administrateur est créé au premier démarrage et peut ensuite se connecter et créer des administrateurs, des développeurs et d'autres utilisateurs.

En plus d'être l'utilisateur initial, l'administrateur dispose de droits particuliers :

  • Dans la section RoboServers, l'administrateur peut cliquer sur un nœud RoboServer et demander un suivi de la pile à partir du nœud RoboServercorrespondant.

  • Seul l'administrateur peut créer et importer des sauvegardes.

  • Dans le magasin des mots de passe, l'administrateur peut déplacer les mots de passe vers un autre projet.

Réinitialiser le mot de passe administrateur

Le nom et le mot de passe de l'administrateur sont définis par défaut comme suit :

  • Nom d'utilisateur : admin

  • Mot de passe : admin

Pour modifier le nom et le mot de passe de l'administrateur, procédez comme suit.

  1. Dans l'onglet Utilisateurs, sélectionnez l'utilisateur et cliquez sur .

    La boîte de dialogue « Réinitialiser le mot de passe pour » apparaît.

  2. Saisissez le nouveau mot de passe, saisissez-le à nouveau pour confirmer, puis cliquez sur OK.

    Vous pouvez choisir d'envoyer un e-mail pour que l'utilisateur reçoive une notification concernant le changement de mot de passe. L'« Adresse expéditeur » doit être pré-configurée pour envoyer les notifications.

Groupe intégré

Les utilisateurs appartenant au groupe Administrateurs RPA ont tous les droits sur tous les projets, à l'exclusion des droits d'administrateur spéciaux. Les administrateurs RPA créent de nouveaux administrateurs et utilisateurs pour n'importe quel projet. Pour qu'un utilisateur devienne un administrateur, ajoutez-le à ce groupe.

  • Le groupe Administrateurs RPA est visible lorsque la gestion interne des utilisateurs est activée, mais il est vide par défaut.

  • Lors de la restauration d'une sauvegarde créée sur des versions de Kofax RPA antérieures à 10.7, les utilisateurs avec le rôle Administrateur deviennent membres du groupe Administrateurs RPA.

Principes de gestion des utilisateurs

La Management Console s'exécute en interne dans un RoboServer avec n'importe quelle licence et sur un serveur Tomcat autonome (requiert une licence d'entreprise). Pour des informations à propos de Management Console sur Tomcat, voir « Tomcat Management Console » dans le Guide de l'administrateur Kofax RPA.

Lorsque la Management Console fonctionne en mode intégré, la gestion des utilisateurs est activée par défaut pour atténuer le risque potentiel de sécurité lié à l'accès non autorisé à une Management Console à partir d'autres ordinateurs.

En fonction de votre licence et de la façon dont vous exécutez la Management Console, gérez l'accès des utilisateurs comme suit :

  • Gestion des utilisateurs internes : Disponible en mode intégré et autonome.

  • Gestion des utilisateurs externes (LDAP, SAML, ou CA Single Sign-On) : Disponible uniquement en mode autonome avec une licence d'entreprise.

Lorsque vous exécutez la version entreprise sur un serveur Tomcat, la Management Console est toujours en mode multi-utilisateurs. Vous pouvez choisir de gérer les utilisateurs soit dans la Management Console (tel que le mode intégré) ou obtenir les informations d'identification de l'utilisateur sur votre serveur LDAP d'entreprise. La méthode d'authentification est affichée dans la colonne « Origine de l'utilisateur ».

Vérification des tentatives de connexion

Par défaut, la vérification du nombre de tentatives de connexion effectuées par un utilisateur et du temps d'attente avant la prochaine tentative est désactivée.

  1. Pour activer cette fonctionnalité, modifiez le code dans le fichier authentication.xml.

    Ce fichier se trouve dans : <Tomcat installation folder>\webApps\Management Console\WEB-INF\spring. Voici un exemple de code.

    
   <bean id="loginAttemptService"
         class="com.kapowtech.scheduler.server.spring.security.LoginAttemptService" lazy-init="true">
       <constructor-arg type="boolean" value="false"/>
       <constructor-arg type="int" value="3"/>
       <constructor-arg type="int" value="10"/>
   </bean>

  2. Réglez la première valeur sur true.

  3. Spécifiez les deuxième et troisième valeurs selon vos préférences.

    Les deuxième et troisième valeurs concernent respectivement le nombre de tentatives de connexion (3 dans l'exemple) et le temps d'attente en minutes avant la prochaine tentative (10 dans l'exemple).