Die Zugriffsebene und die Aktionen, die Ihre Benutzer ausführen können, werden mithilfe von zwei Elementen gesteuert:
- Konten, die die Identität eines Benutzers festlegen und zum Anmelden bei Ihren UiPath-Anwendungen verwendet werden
- Rollen, die Konten zugewiesen werden, um ihnen bestimmte Berechtigungen innerhalb des UiPath-Ökosystems zu erteilen.
Im Orchestrator werden keine Konten erstellt oder verwaltet, sondern nur Rollen und ihre Zuweisungen.
Über Konten
Ein Benutzerkonto ist eine Entität mit zugriffsabhängigen Funktionen, deren Ansicht und Steuerung des Orchestrators von den zugewiesenen Rollen abhängt.
Benutzerkonten für jede Organisation werden über das Portal auf der Seite Administrator > Benutzer und Gruppen erstellt und verwaltet, nicht über den Orchestrator.
Nachdem ein Benutzerkonto erfolgreich zur Organisation hinzugefügt wurde, können Sie ihm auf zwei Arten Zugriffsrechte auf Orchestrator-Dienste erteilen:
- indem Sie sie zu Gruppen hinzufügen, sodass sie die Rollen übernehmen, die der Gruppe zugewiesen sind
- indem jedem Benutzerkonto explizit Zugriffsrechte auf Dienstebene gewährt werden.
Die beiden schließen sich nicht gegenseitig aus: Sie können beide verwenden, um eine effiziente, granulare Kontrolle über den Zugriff in Ihrer Organisation zu erhalten.
For more information about managing accounts, see About accounts.
Benutzertypen
„Gruppieren“ (Group)
Eine Entität, die als Verweis auf die Benutzergruppe in der Automation Cloud dient. Eine Benutzergruppe, auf die im Orchestrator verwiesen wird, macht alle Gruppenmitglieder zu potenziellen Orchestrator-Benutzern.
The membership of a user is set from Admin > Users & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 5 default local groups: Administrators, Automation Users, Automation Developers, Automation Express, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.
Die Rollen einer Gruppe werden an alle Benutzer weitergegeben, die zu dieser Gruppe gehören – sowohl automatisch bereitgestellte als auch manuell hinzugefügte. Wir bezeichnen sie als „geerbte Rollen“ im Gegensatz zu „direkt zugewiesenen Rollen“, die nur pro Konto festgelegt werden können.
Nicht vergessen
Ein Benutzer, der mehreren Gruppen angehört, erbt die Zugriffsrechte von allen.
Ein Benutzer, der mehreren Gruppen angehört und dem auch direkt Rollen zugewiesen wurden, besitzt die Summe aller von Gruppen geerbten und direkt zugewiesenen Rollen.
Sie benötigen kein explizites Benutzerkonto, um sich beim Orchestrator anzumelden, wenn Sie zu einer Gruppe gehören, die dem Orchestrator hinzugefügt wurde.
Geerbte Rollen sind von der zugeordneten Benutzergruppe abhängig. Wenn die Gruppe aus dem Dienst gelöscht wird, werden die geerbten Rollen dieses Kontos ebenfalls gelöscht.
Direkt zugewiesene Rollen sind nicht von Gruppen beeinflusst, in denen sich das Konto befindet. Sie bleiben unabhängig vom Status der Gruppe bestehen.
Beispiel
Angenommen, ich habe John Smith zu den Benutzergruppen Automation Users und Administrators in meiner Automation Cloud-Organisation hinzugefügt.
- Die Automation User-Gruppe ist im Finance Orchestrator-Dienst vorhanden.
- Die Administrators-Gruppe ist im HR Orchestrator-Dienst vorhanden.
- Johns Konto wurden in beiden Diensten auch direkt Rollen zugewiesen.
John hat die Summe von geerbten und expliziten Rechten für jeden Dienst:
| Service/Roles | User Groups | Inherited Roles | Explicit Roles | Overall |
|---|---|---|---|---|
| Finance folder | Automation User | |||
| Tenant Level Roles | Allow to be Automation User | Allow to be Automation User | Allow to be Folder Administrator | Allow to be Automation User Allow to be Folder Administrator |
| Folder Level Roles | Automation User on Folder A Automation User on Folder B | Automation User on Folder A Automation User on Folder B | Folder Administrator on Folder A | Automation User on Folder A Automation User on Folder B Folder Administrator on Folder A |
| HR folder | Administrators | |||
| Tenant Level Roles | Allow to be Folder Administrator | Allow to be Folder Administrator | Allow to be Folder Administrator | |
| Folder Level Roles | Folder Administrator on Folder D Folder Administrator on Folder E | Folder Administrator on Folder D Folder Administrator on Folder E | Folder Administrator on Folder F | Folder Administrator on Folder D Folder Administrator on Folder E Folder Administrator on Folder F |
Benutzer
Nach dem Mechanismus, mit dem Benutzerkonten im Orchestrator hinzugefügt werden, können sie in zwei Kategorien eingeteilt werden:
Manuell hinzugefügte Benutzer
Benutzer, die manuell im Orchestrator hinzugefügt wurden und denen Berechtigungen explizit auf Mandanten- oder Ordnerebene erteilt wurden. Manuell hinzugefügte Benutzerkonten erben Gruppenzugriffsrechte, wenn sie zu einer Gruppe gehören, die ebenfalls zu diesem Orchestrator-Dienst hinzugefügt wurde.
Automatisch bereitgestellte Benutzer
Benutzer, die einer lokalen Gruppe hinzugefügt wurden und sich beim Orchestrator anmelden. Sie können auf der Grundlage der Berechtigungen, die sie von der Gruppe geerbt haben, auf den Orchestrator zugreifen. Sobald sie sich zum ersten Mal beim Orchestrator anmelden, werden sie automatisch bereitgestellt.
On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.
| Manually Added User | Auto-provisioned User | |
|---|---|---|
| Inherits access rights | ||
| Can have explicit access rights | ||
| Cloud Portal is the central hub for user information | ||
| SSO |
Roboter
The Robot 
user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.
Konto- und Gruppensymbole
Auf Seiten, auf denen Sie Konten, Gruppen oder Rollen verwalten, werden für jeden Typ bestimmte Symbole angezeigt, damit Sie den Kontotyp oder den Gruppentyp erkennen können.
Kontosymbole
- UiPath user account: user account that is linked to a UiPath account and signed in using basic authentication
- SSO user account: user account linked to a UiPath account that signed in using SSO; also applies to user accounts that have both a UiPath user account and a directory account
- Directory user account: the account originates from a directory and signed in with Enterprise SSO
- Robot account
Gruppensymbole
- Local group (or plainly, group): the group was created by a host administrator.
- Directory group: the group originates in a linked directory.
Berechtigungen zum Verwalten von Benutzern
Um verschiedene Vorgänge auf den Seiten Benutzer und Rollen ausführen zu können, benötigen Sie die entsprechenden Berechtigungen:
- Benutzer – Anzeigen – Anzeigen der Seiten Benutzer und Profil.
- Benutzer – Bearbeiten – Bearbeiten von Benutzerdetails und -einstellungen auf der Seite Profil und Aktivieren/Deaktivieren von Benutzern auf der Seite Benutzer.
- Users - View and Roles - View - Displaying user permissions in the User Permissions window.
- Benutzer – Bearbeiten und Rollen – Anzeigen – Bearbeiten von Rollenzuweisungen auf der Seite Zugriff verwalten > Rollen zuweisen.
- Benutzer – Erstellen und Rollen – Anzeigen – Erstellen eines Benutzers.
- Benutzer – Anzeigen und Rollen – Bearbeiten – Verwalten von Rollen im Fenster Benutzer verwalten, das auf der Seite „Zugriff verwalten“ > „Rollen“ geöffnet wird.
- Benutzer – Löschen – Entfernen eines Benutzers aus dem Orchestrator.
Über Rollen
Der Orchestrator verwendet einen Zugriffssteuerungsmechanismus, der auf Rollen und Berechtigungen basiert. Rollen sind Sammlungen von Berechtigungen, was bedeutet, dass die Berechtigungen, die für die Verwendung bestimmter Orchestrator-Entitäten erforderlich sind, Rollen zugewiesen sind.
Role-permissions and user-roles relationships allow for a certain level of access to Orchestrator. A user gets the permissions required to perform particular operations through one or multiple roles. Since users are not assigned permissions directly, but only acquire them through roles, management of access rights involves assigning appropriate roles to the user. See Modifying the Roles of a User.
Berechtigungstypen und Rollentypen
Es gibt zwei Kategorien von Berechtigungen:
- Mandantenberechtigungen – Definieren Sie den Zugriff eines Benutzers auf Ressourcen auf Mandantenebene.
- Folder permissions - Define the user's access and ability within each folder to which they are assigned.
Basierend auf ihren enthaltenen Berechtigungen gibt es drei Typen von Rollen:
- Mandantenrollen, die Mandantenberechtigungen enthalten und für die Arbeit auf Mandantenebene erforderlich sind.
- Ordnerrollen, die Berechtigungen für die Arbeit in einem Ordner enthalten.
- Gemischte Rollen, die beide Berechtigungstypen enthalten.
Bei gemischten Rollen werden für einen globalen Vorgang nur die Mandantenberechtigungen des Benutzers berücksichtigt; für einen ordnerspezifischen Vorgang werden Ordnerberechtigungen zugunsten jeglichen vorhandenen Mandantenberechtigungen angewendet, wenn eine benutzerdefinierte Rolle definiert ist.
Hinweis:
Gemischte Rollen werden nicht mehr unterstützt und Sie können keine neuen erstellen. Wenn Sie gemischte Rollen haben, empfehlen wir, sie durch eine Kombination aus Mandanten- und Ordnerrollen zu ersetzen, um die erforderlichen Berechtigungen zu gewähren.
Die folgenden Ressourcen stehen Benutzern je nach Typ ihrer Rollen zur Verfügung:
| Tenant Resources | Folder Resources |
|---|---|
| Alerts Audit Background tasks Libraries License Machines ML Logs ML Packages ML Skills Packages Robots Roles Settings Folders Users Webhooks | Assets Storage Files Storage Buckets Connections Environments Execution Media Folder Packages Jobs Logs Monitoring Processes Queues Triggers Subfolders Action Assignment Action Catalogs Actions Test Case Execution Artifacts Test Data Queue Items Test Data Queues Test Set Executions Test Sets Test Set Schedules Transactions |
Zuweisen der verschiedenen Rollentypen
Der Rollentyp ist wichtig, weil Sie Rollen je nach Typ unterschiedlich zuweisen:
- Wenn Klassische Ordner aktivieren unter Mandant > Einstellungen > Allgemein gelöscht wird:
Sie weisen Mandantenrollen und gemischte Rollen auf der Seite Benutzer oder auf der Seite Rollen zu.
Sie weisen Ordnerrollen und gemischte Rollen auf der Seite Ordner oder auf der Seite Einstellungen des Ordners zu. - Wenn Klassische Ordner aktivieren unter Mandant > Einstellungen > Allgemein ausgewählt ist:
Sie weisen einen der drei Rollentypen auf der Seite Benutzer oder auf der Seite Rollen zu.
Sie weisen Ordnerrollen und gemischte Rollen auf der Seite Ordner oder auf der Seite Einstellungen des Ordners zu.
Berechtigungen ohne Effekt
In der Regel können Sie alle verfügbaren Rechte (Anzeigen, Bearbeiten, Erstellen oder Löschen) für jede Berechtigung auswählen, aber die folgenden Rechte haben keine Auswirkungen auf die aufgeführte Berechtigung und können daher nicht bearbeitet werden:
| Permission type | Permission | Unavailable rights |
|---|---|---|
| Tenant | Alerts | Delete |
| Audit | Edit Create Delete | |
| License | Edit Create Delete | |
| Folder | Execution Media | Edit |
| Logs | Edit Delete | |
| Monitoring | Create Delete |
Dies liegt z. B. daran, dass es nicht möglich ist, vom System generierte Protokolle zu bearbeiten.
Gleichzeitige Ausführung deaktivieren
Wenn Anmeldeinformationen nicht mehrmals gleichzeitig verwendet werden können (z. B. SAP), kann ein Administrator ein Konto daran hindern, gleichzeitig mehrere Aufträge auszuführen. Wenn Sie die Option Jeweils nur einen Auftrag ausführen auf Kontoebene aktivieren, wird verhindert, dass das Konto gleichzeitig mehrere Aufträge ausführt.
Vor etwa einem Monat aktualisiert