ユーザーおよびグループ
このセクションは、次のロールを持つユーザーが利用できます: 管理者、閲覧者、およびプロジェクト管理者。
このセクションを使用して、Management Console およびプロジェクトへのアクセス権を付与できるユーザーとグループを管理します。このセキュリティ モデルはロールベースです。ユーザーを作成した後に、1 つ以上のプロジェクトの特定のロールに関連付けられている 1 つ以上のグループにそのユーザーを追加する必要があります。
このセクションには 2 つのタブがあります。
- [ユーザー] タブでは、新しいユーザーの作成、選択したユーザーのパスワードの編集、除去、およびリセットを行うことができます。
- [グループ] タブでは、グループの作成、除去、および編集を行うことができます。
Kofax RPA のユーザー名とグループ名は、Microsoft Windows のログオン名ルールに従う必要があります。名前などには、次の文字は使用できません。
" / \ [ ] : ; | = , + * ? < >
詳細については、technet.microsoft.com で「ユーザー アカウントおよびグループ アカウントの作成」を参照してください。
各タブの情報の表示方法は、次のように変更できます。
- [フィルタ] テキスト フィールドにフィルタを適用して、テーブル内のリストをフィルタリングします。詳細については、フィルタリングを参照してください。
- 右側の
メニュー アイコンを使用して、表示するテーブル列を選択します。
- 右側の
更新アイコンをクリックして、表示された情報を更新します。
- 右側の
リセット アイコンをクリックして、カスタム列の設定をリセットします。
- ページごとに表示するアイテムの数を選択し、右下隅のナビゲーション メニューを使用してページ間を移動します。
ユーザー
デフォルトでは、ユーザーごとに次のテーブル列が表示されます。
列 | 説明 |
---|---|
ユーザー名 | ユーザーの名前。 |
[ユーザーのオリジン] | ユーザーの作成方法に応じたユーザーのオリジン。
外部 ID プロバイダーおよびユーザー認証の詳細については、『Kofax RPA 管理者ガイド』の「Tomcat Management Console」 > 「高度な構成」を参照してください。 SAML、LDAP、または SiteMinder などの外部 ID プロバイダを使用する場合、選択したユーザーの一部のフィールドを変更できません。 |
[フル ネーム] | ユーザーのフル ネーム。 |
[電子メール] | ユーザーの電子メール アドレス |
[ログイン カウント] | このユーザーが行ったセッションの数。 |
[前回のログイン] | ユーザーが最後にログインした日時。 |
[最後の IP アドレス] | ユーザーがログインした最後の IP アドレス。 |
[グループ] | ユーザーが所属するグループ。 |
新しいユーザーの作成
-
[ユーザー] タブで、+ 記号をクリックします。
「新しいユーザーを作成」 ダイアログボックスが表示されます。
-
ユーザーのユーザー名、パスワード、フル ネーム、および電子メール アドレスを指定し、このユーザーが属する 1 つまたは複数のグループを選択します。
- [OK] をクリックします。
「Dev」ユーザーがテーブルに表示されます。
コンテキスト メニューからユーザーを編集できます。
[グループ]
デフォルトでは、グループごとに次の情報が表示されます。
列 | 説明 |
---|---|
[グループ名] | グループの名前。 |
説明 | グループの説明。 |
[ユーザー数] | グループに含まれるユーザーの数。 |
[プロジェクトで使用] | このグループを使用するプロジェクト。 |
新しいグループを作成
- [グループ] タブで、+ 記号をクリックします。
「新しいグループを作成」 ダイアログ ボックスが表示されます。
-
グループ名と説明を指定し、このグループに含めるユーザーを選択します。
-
[OK] をクリックします。
「Developers」グループがテーブルに表示されます。
コンテキスト メニューからグループを編集できます。
- ユーザーのパスワードのリセット
- 組み込みロール
-
Management Console では、ユーザーに割り当てることができる複数のビ組み込み済みロールが用意されています。ロールはセキュリティ グループのユーザーに割り当てられます。ユーザー権限は、ユーザーが所属するセキュリティ グループに割り当てられたロールに基づいて計算されます。組み込み済みロールを変更したり、その他のロールを追加したりすることができます。
ユーザーは、自身に割り当てられていない権限を含むロールを割り当てることはできません。たとえば、プロジェクト管理者は Kapplet 管理者ロール、Kapplet ユーザー ロール、および Process Discovery クライアント ロールを割り当てることはできません- プロジェクト管理者: このロールを持つユーザーは、1 つまたは複数のプロジェクトを管理し、これらのプロジェクトのグループに役割を割り当てる権限を保持しています。また、RoboServer およびクラスタ設定を変更せずに表示する権限を持ちます。プロジェクト管理者は、RPA 管理者グループのメンバーではありません (詳細については、このセクションの後半を参照してください)。
- 開発者: 開発者にはリポジトリ内のすべてのリソース タイプをアップロード、ダウンロード、表示する権限があります。このロールを持つユーザーは、スケジュールの作成、編集、削除、ロボットの実行、実行ログとクラスタの表示が可能になります。
- 閲覧者: 閲覧者は、開発者と同様の表示権限、および変更または実行の権限を持ちます。
- API (このユーザーは API 経由でサービス認証としてのみログインします): このロールを持つユーザーは、リポジトリ API を使用して、リポジトリに対して読み書きを行うことができます。このロールを持つユーザーは、REST を使用してロボットを実行することはできませんが、RQL を使用してロボットを実行することはできます。
- RoboServer (このユーザーは API 経由でサービス認証としてのみログインします): リポジトリからのみ読み取ることができる制限付きのユーザー。このロールは、クラスタにアクセスする場合、リポジトリ アイテムを取得する場合、およびパスワード ストアからパスワードを要求する場合に RoboServer で使用されます。
- Kapplet 管理者: Kapplet を作成、表示、実行、編集できるユーザー。
- Kapplet ユーザー: Kapplet を表示、実行できるユーザー。このロールを持つユーザーは、他の権限がない場合、Management Console にアクセスできません。
Kapplet のユーザー ロールの詳細については、「ユーザーとユーザー グループ」を参照してください。
- Kapplet サービス ユーザー: リポジトリから読み取りのみできるユーザー。これは特定のプロジェクトで利用できるロボット、タイプ、スニペット、リソースに関する情報の取得にのみ使用されるロールなので、Kapplets と Management Console の間の通信のみを目的に使用します。このロールはすべての Management Console プロジェクトに自動的に適用されます。
- パスワード ストア クライアント: このアドオン ロールを持つユーザーは、パスワード ストアにアクセスできます。このロールは、開発者ロールと同様に、他のロールの上位に提供されます。このロールには、Management Console のパスワード ストアへのアクセス権限のみが付与されます。
- DAS クライアント ユーザー (このユーザーは API 経由でサービス認証としてのみログインします): これはリモートの Desktop Automation Service (DAS) クライアント用に作成されたユーザーで、DAS API へのアクセス権限のみを持ちます。DAS クライアント ユーザーには DAS を Management Console に提示し、DAS 構成を取得する権限があります。
- VCS サービス ユーザー (このユーザーは API 経由でサービス認証としてのみログインします): バージョン コントロール サービス (Version control service) ユーザーには、Synchronizer の権限の特別なセットが付与されます。このロールにはリソースを追加、編集、削除する権限があります。他のユーザーの代理で展開を実行してバージョン コントロール サービスで「deployer」機能を使用できるのはこのロールのみです。
- Process Discovery クライアント (このユーザーは API 経由でサービス認証としてのみログインします): このロールを使用すると、Process Discovery コンポーネントを Management Console と連携させることができます。
- 組み込み「admin」ユーザー
-
admin は、すべてにアクセスできるスーパーユーザーです。RPA 管理者グループのメンバーではないため、どのグループのメンバーにも属しません。デフォルトの管理者ユーザー パスワード (ユーザー名 - admin、パスワード - admin) を使用できます。このセクションの「ユーザーのパスワードのリセット」の説明に従って、管理ユーザーのパスワードを変更できます。
LDAP 統合設定では、admin グループは LDAP 構成の一部として定義されます。admin は、ログインを行い、開発者、プロジェクト管理者、RoboServer などのロールにマッピングする LDAP グループを定義することができます。
内部ユーザー設定では、admin ユーザーは初期開始時に作成され、ログインおよび管理者、開発者などのユーザーの作成が可能です。
- 組み込み「admin」ユーザーの特別な権限
-
初期ユーザーの他に、admin には以下の特別権限があります。
-
[RoboServer] セクションで、admin は RoboServer ノードをクリックし、対応する RoboServer からスタック トレースをリクエストすることができます。
-
admin のみがインポート バックアップを作成できます。
-
パスワード ストアで、admin はパスワードを別のプロジェクトに移動できます。
-
- 組み込みグループ
- RPA 管理者: このグループに属するユーザーは、いずれかのプロジェクトで新しい管理者やユーザー作成するなど、すべてのプロジェクトに対するすべての権限 (特別な admin ユーザー権限は除く) を保持しています。ユーザーを管理者にするには、ユーザーをこのグループに追加する必要があります。
-
RPA 管理者グループは、内部ユーザー管理が有効な場合に表示され、デフォルトでは空になっています。
-
10.7 より前のバージョンで作成されたバックアップを復元する場合、管理者ロールを持つユーザーは RPA 管理者グループのメンバーになります。
-
- ユーザー管理の原則
-
以下の情報は、Kofax RPA のユーザー管理に関する原則の一部を理解するのに役立ちます。
Management Console を実行するには、ライセンスを使用して RoboServer に組み込むか、またはスタンドアロンの Tomcat サーバーで実行する (エンタープライズ ライセンスが必要) という 2 つの方法があります。Tomcat の Management Console の詳細は、『Kofax RPA 管理者ガイド』の「Tomcat 管理コンソール」を参照してください。
Management Console を組み込みモードで実行するとユーザー管理がデフォルトで有効になり、他のコンピュータから Management Console への不正アクセスに対する潜在的なセキュリティ リスクが軽減されます。デフォルトの管理者名とパスワードは次のように設定されています。
-
ユーザー名: admin
-
パスワード: admin
管理者名とパスワードを変更するには、次の手順を実行します。
-
-
[ユーザー] タブでユーザーを選択し、左上隅の
をクリックします。
[パスワードをリセット] ダイアログ ボックスが表示されます。
- 新しいパスワードを入力し、確認のためにもう一度入力して、[OK] をクリックします。
- Windows のスタート メニューの [RoboServer 設定] をクリックするか、Kofax RPA インストール フォルダの /bin サブフォルダにある RoboServerSettings.exe をダブルクリックして、RoboServer 設定アプリケーションを起動します。
- [Management Console に登録] の下の [一般] タブで、登録する Management Console の新しいパスワードを指定します。[OK] をクリックして変更を保存します。
-
変更を反映するには、Management Console を再起動します。
ライセンスと Management Console の実行方法に応じて、次のようにユーザー アクセスを管理できます。
-
内部ユーザー管理: 組み込みモードとスタンドアロン モードで利用可能
-
外部ユーザー管理 (LDAP、SAML、または CA シングル サインオン): エンタープライズ ライセンスのスタンドアロン モードでのみ利用可能
Tomcat サーバー上でエンタープライズ バージョンを実行すると、Management Console は常にマルチユーザー モードになり、Management Console で (組み込み型モードで) ユーザーを管理するのか、それともコーポレート LDAP サーバーからユーザーの資格情報を取得するのかを選択できます。認証方法は [ユーザーのオリジン] 列に表示されます。
- ログイン試行回数のチェック
-
デフォルトでは、ユーザーが行ったログイン試行回数と次の試行までの待ち時間のチェックがオフになっています。この機能を有効にするには、<Tomcat installation folder>\WebApps\Management Console\WEB-INF\spring にある authentication.xml ファイル内の次のセクションを編集します。
<bean id="loginAttemptService" class="com.kapowtech.scheduler.server.spring.security.LoginAttemptService" lazy-init="true"> <constructor-arg type="boolean" value="false"/> <constructor-arg type="int" value="3"/> <constructor-arg type="int" value="10"/> </bean>
最初の値を true に設定します。2 番目と 3 番目の値は、それぞれログイン試行回数 (この例では 3) および次の試行までの待ち時間 (この例では 10) です。
-