Management Consoleユーザー インターフェース管理ユーザーおよびグループ

ユーザーおよびグループ

このセクションは、次のロールを持つユーザーが利用できます: 管理者およびプロジェクト管理者。

管理者は、Management Console およびプロジェクトへのアクセス権を付与されたユーザーとグループを管理します。このセキュリティ モデルはロールベースです。ユーザーを追加した後に、1 つ以上のプロジェクトのロールに関連付けられている 1 つ以上のグループにそのユーザーを追加します。

このセクションには 2 つのタブがあります。

  • [ユーザー] タブでは、ユーザーを作成、編集、削除できます。また、ユーザーのパスワードをリセットできます。
  • [グループ] タブでは、グループを作成、削除、編集できます。

Kofax RPA のユーザー名とグループ名は、Microsoft Windows のログオン名ルールに従う必要があります。名前には、次の文字は使用できません。

" / \ [ ] : ; | = , + * ? < >

ビューをカスタマイズする

各タブに関する情報の表示方法をカスタマイズします。

  • [フィルタ] テキスト フィールドにフィルタを適用して、テーブル内のリストをフィルタリングします。「フィルタリング」を参照してください。
  • メニュー アイコンを使用して、表示されるテーブル列を選択します。
  • 更新アイコンをクリックして、表示された情報を更新します。
  • リセット アイコンをクリックして、カスタム列の設定をリセットします。
  • ページごとに表示するアイテムの数を選択し、ナビゲーション メニューを使用してページ間を移動します。

ユーザー

デフォルトでは、ユーザーごとに次のテーブル列が表示されます。

説明

ユーザー名

ユーザーの名前。

ユーザーのオリジン

作成方法に応じたユーザーのオリジン。

  • unknown: ユーザーはバックアップの復元後に作成されました。

    外部 ID プロバイダー (SAML、LDAP、SiteMinder など) を使用していない場合、ユーザーを選択して [内部オリジンを設定] をクリックすることで、unknown オリジンを internal オリジンに変更できます。

  • internal: ユーザーは [ユーザーおよびグループ] ページで手動で作成されました。

  • saml: ユーザーは SAML 経由でのログイン後に作成されました。

  • site minder: ユーザーは SiteMinder 経由でのログイン後に作成されました。

  • ldap#{ldapDirectoryIdentifier}: ユーザーは LDAP 経由でのログイン後に作成されました。

外部 ID プロバイダーおよびユーザー認証の詳細については、『Kofax RPA 管理者ガイド』の「Tomcat Management Console」 > 「高度な構成」を参照してください。

SAML、LDAP、または SiteMinder などの外部 ID プロバイダを使用する場合、選択したユーザーの一部のフィールドを変更できません。
フル ネーム

ユーザーのフル ネーム。
電子メール

ユーザーの電子メール アドレス
ログイン カウント

このユーザーが行ったセッションの数。
前回のログイン

ユーザーが最後にログインした日時。

最後の IP アドレス

ユーザーがログインした最後の IP アドレス。

グループ

ユーザーが所属するグループ。

新しいユーザーを作成

ユーザーをグループに追加する前に、グループを作成します。ユーザーは、少なくとも 1 つのプロジェクト内で閲覧者ロールが付与されたグループに追加されるまでログインできません。

  1. [ユーザー] タブで、+ 記号をクリックします。

    「新しいユーザーを作成」 ダイアログボックスが表示されます。

  2. ユーザーのユーザー名、パスワード、フル ネーム、および電子メールを指定します。

  3. ユーザーが所属する 1 つまたは複数のグループを選択します。

  4. [OK] をクリックします。

    「Dev」ユーザーがテーブルに表示されます。

コンテキスト メニューからユーザーを編集します。

ユーザー パスワードをリセットする

  1. [ユーザー] タブでユーザーを選択し、 をクリックします。

    パスワードをリセットするダイアログ ボックスが表示されます。

  2. 新しいパスワードを入力し、確認のためにもう一度入力して、[OK] をクリックします。

    電子メールを送信して、ユーザーがパスワードの変更に関する通知を受け取るように選択することができます。「送信元アドレス」は、通知が送信されるように事前設定する必要があります。

グループ

デフォルトでは、グループごとに次の情報が表示されます。

説明

グループ名

グループの名前。

説明

グループの説明。

ユーザー数

グループに含まれるユーザーの数。

プロジェクトで使用

このグループを使用するプロジェクト。

新しいグループを作成

  1. [グループ] タブで、+ 記号をクリックします。

    「新しいグループを作成」 ダイアログ ボックスが表示されます。

  2. グループ名と説明を指定します。

  3. このグループに含めるユーザーを選択します。

  4. [OK] をクリックします。

    「Developers」グループがテーブルに表示されます。

コンテキスト メニューからグループを編集します。

組み込みロール

Management Console には、ユーザーに割り当てることができる組み込み済みロールが用意されています。ロールはユーザーまたはサービスにマッピングされます。ユーザー権限は、ユーザーが所属するセキュリティ グループに割り当てられたロールに基づいて計算されます。組み込み済みロールを変更したり、その他のロールを追加したりすることができます。

ユーザーは、自身に割り当てられていない権限を含むロールを割り当てることはできません。たとえば、プロジェクト管理者は Kapplet 管理者ロール、Kapplet ユーザー ロール、および Process Discovery クライアント ロールを割り当てることはできません

サービス ロールは API アプリケーションでのみ使用することを目的としているため、ブラウザの Management Console への対話型ログインには使用しないでください。

  • プロジェクト管理者: 1 つまたは複数のプロジェクトを管理し、これらのプロジェクトのグループにロールを割り当てる権限を持ちます。また、RoboServer およびクラスタ設定を変更せずに表示する権限を持ちます。プロジェクト管理者は、RPA 管理者グループのメンバーではありません (詳細については、このセクションの後半を参照してください)。

  • 開発者: リポジトリ内のすべてのリソース タイプをアップロード、ダウンロード、表示する権限があります。このロールにより、スケジュールの作成、編集、削除、ロボットの実行、および実行ログとクラスタの表示を行う権限が付与されます。

  • 閲覧者: [スケジュール][リポジトリ][データ ビュー][ログ ビュー]、および一部の [設定] を表示できます。このロールにより、[管理者] セクションの下で制限付きアクセスが付与されますが、ロボットを変更したり実行したりする権限は付与されません。

  • API (サービス ロール): リポジトリ API を使用してリポジトリの読み取りおよびリポジトリへの書き込みを行う権限を付与します。このロールでは、REST を使用したロボットの実行は許可されませんが、RQL を使用したロボットの実行は許可されます。

  • サービス認証 API (サービス ロール): リポジトリ API を使用して、リポジトリの読み取りおよびリポジトリへの書き込みを行います。ユーザーは OAuth 認証方法を使用してログインします。

  • RoboServer (サービス ロール): リポジトリからの読み取りのみができます。このロールは、クラスタにアクセスする場合、リポジトリ アイテムを取得する場合、およびパスワード ストアからパスワードを要求する場合に RoboServer で使用されます。

  • Kapplet 管理者: Kapplets から Management Console のプロジェクトへの読み取り/書き込みアクセス権を付与します。Kapplets では、このロールを持つユーザーは Kapplet と Kapplet テンプレートを管理できます。Kapplets では、このロールを持つユーザーは、Kapplet を管理し、これらのテンプレートに必要なロボットを含むプロジェクトの Kapplet テンプレートを作成および管理できます。

    このロールを持つユーザーは、他の権限がない場合、Management Console にアクセスできません。

    詳細については、Kapplet ユーザー管理ユーザーとユーザー グループ を参照してください。

  • Kapplet ユーザー: Kapplets から Management Console のプロジェクトへの読み取り専用アクセス権を付与します。Kapplets では、このロールを持つユーザーは、アクセス権のあるプロジェクトに属するロボットの Kapplets のみを表示および実行できます。

    このロールを持つユーザーは、他の権限がない場合、Management Console にアクセスできません。

    詳細については、Kapplet ユーザー管理ユーザーとユーザー グループ を参照してください。

  • Kapplet サービス ユーザー (サービス ロール): リポジトリからの読み取りのみができます。これは特定のプロジェクトで利用できるロボット、タイプ、スニペット、リソースに関する情報の取得にのみ使用されるロールなので、Kapplets と Management Console の間の通信のみを目的に使用します。このロールはすべての Management Console プロジェクトに自動的に適用されます。

  • パスワード ストア クライアント (サービス ロール): このアドオン ロールにより、Management Console のパスワード ストアへのアクセス権を付与します。このロールは、開発者ロールと同様に、他のロールの上位に提供されます。

  • DAS クライアント ユーザー (サービス ロール): このロールを持つユーザーはリモートの Desktop Automation サービス (DAS) クライアント用に作成され、DAS API へのアクセス権のみを持ちます。DAS クライアント ユーザーには DAS を Management Console に提示し、DAS 構成を取得する権限があります。

  • VCS サービス ユーザー (サービス ロール): シンクロナイザーに特別な権限セットを付与します。このロールにより、リソースを追加、編集、削除する権限を付与します。他のユーザーの代理で展開を実行して VCS で「deployer」機能を使用できるのはこのロールのみです。

  • Process Discovery クライアント (サービス ロール): このロールを使用すると、Process Discovery コンポーネントを Management Console と連携させることができます。

  • KTA クライアント (サービス ロール): このロールを使用すると、KTA コンポーネントを Management Console と連携させることができます。

組み込み admin ユーザー

admin は、すべてにアクセスできるスーパーユーザーです。admin は RPA 管理者グループのメンバーではありません。また、どのグループのメンバーにも属しません。 このユーザーはデフォルトの admin ユーザーのパスワードを使用できます。このユーザーは、admin のユーザー名とパスワードを変更できます。

LDAP 統合セットアップでは、管理者グループは LDAP 設定の一部として定義されます。admin はログインを行い、開発者、プロジェクト管理者、RoboServer などのロールにマッピングする LDAP グループを定義できます。

内部ユーザー設定では、admin ユーザーは初期開始時に作成します。また、このユーザーはログインおよび管理者や開発者などのユーザーの作成が可能です。

admin は、初期ユーザーであることに加えて、次のような特別な権限を持ちます。

  • [RoboServer] セクションで、admin は RoboServer ノードをクリックし、対応する RoboServer からスタック トレースをリクエストすることができます。

  • admin のみがインポート バックアップを作成できます。

  • パスワード ストアで、admin はパスワードを別のプロジェクトに移動できます。

admin のパスワードをリセットする

admin のデフォルトの名前とパスワードは次のとおりです。

  • ユーザー名: admin

  • パスワード: admin

管理者名とパスワードを変更するには、次の手順を実行します。

  1. [ユーザー] タブでユーザーを選択し、 をクリックします。

    パスワードをリセットするダイアログ ボックスが表示されます。

  2. 新しいパスワードを入力し、確認のためにもう一度入力して、[OK] をクリックします。

    ユーザーがパスワード変更に関する通知を受信できるように、電子メールの送信を選択できます。「送信元アドレス」は、通知が送信されるように事前設定する必要があります。

組み込みグループ

RPA 管理者グループに属するユーザーは、特別な admin ユーザー権限を除く、すべてのプロジェクトに対するすべての権限を持ちます。RPA 管理者ユーザーは、任意のプロジェクトに対して新しい管理者とユーザーを作成します。ユーザーを管理者にするには、そのユーザーをこのグループに追加します。

  • RPA 管理者グループは、内部ユーザー管理が有効な場合に表示され、デフォルトでは空の状態です。

  • 10.7 より前のバージョンで作成されたバックアップを復元する場合、管理者ロールを持つユーザーは RPA 管理者グループのメンバーになります。

ユーザー管理の原則

Management Console は、任意のライセンスを持つ RoboServer に組み込まれ、スタンドアロンの Tomcat サーバー上で実行されます (エンタープライズ ライセンスが必要です)。Tomcat の Management Console の詳細は、『Kofax RPA 管理者ガイド』の「Tomcat 管理コンソール」を参照してください。

Management Console を組み込みモードで実行すると、ユーザー管理がデフォルトで有効になり、他のコンピューターから Management Console への不正アクセスを防ぐセキュリティが提供されます。

ライセンスと Management Console の実行方法に応じて、次のようにユーザー アクセスを管理します。

  • 内部ユーザー管理: 組み込みモードとスタンドアロン モードで利用可能。

  • 外部ユーザー管理 (LDAP、SAML、または CA シングル サインオン): エンタープライズ ライセンスのスタンドアロン モードでのみ利用可能。

Tomcat サーバー上でエンタープライズ バージョンを実行すると、Management Console は常にマルチユーザー モードになります。Management Console (埋め込みモードなど) でユーザーを管理するか、企業の LDAP サーバーからユーザー クレデンシャルを取得するかを選択できます。認証方法は「ユーザーのオリジン」列に表示されます。

ログイン試行回数のチェック

デフォルトでは、ユーザーが行ったログイン試行回数と次の試行までの待ち時間のチェックが無効化されています。

  1. この機能を有効にするには、authentication.xml ファイル内のコードを編集します。

    このファイルは次の場所にあります。<Tomcat installation folder>\WebApps\Management Console\WEB-INF\spring にある authentication.xml ファイル内の次のセクションを編集します。以下はコード サンプルです。

    
   <bean id="loginAttemptService"
         class="com.kapowtech.scheduler.server.spring.security.LoginAttemptService" lazy-init="true">
       <constructor-arg type="boolean" value="false"/>
       <constructor-arg type="int" value="3"/>
       <constructor-arg type="int" value="10"/>
   </bean>

  2. 最初の値を true に設定します。

  3. 2 番目と 3 番目の値を必要に応じて指定します。

    2 番目と 3 番目の値は、ログイン試行回数 (この例では 3) と次の試行までの待ち時間 (この例では 10) です。