订阅

UiPath Orchestrator

UiPath Orchestrator 指南

Managing access and automation capabilities

在“管理访问权限” 页面上,您可以定义和分配角色以及配置帐户的自动化功能。 在 Orchestrator 中,您可以使用角色来控制用户应具有的访问权限级别。
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

使用两个元素控制用户可以执行的访问级别和操作:

  • 帐户,用于建立用户身份并用于登录到 UiPath 应用程序
  • 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予某些权限。

帐户不在 Orchestrator 中创建或管理,仅在角色及其分配中创建或管理。

 

关于帐户


帐户是具有依赖访问权限的功能的 UiPath 平台实体,其对 Orchestrator 的查看和控制取决于所分配的访问权限。

帐户可以是:

  • 从以下位置在本地创建和管理(本地帐户):
  • created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integration.

更多信息:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.

您可以从组织级别的管理门户添加帐户,并且帐户仅在相应的组织内可用。
成功添加帐户后,有两种方法可以向其授予 Orchestrator 的访问权限:将帐户添加到组中,以便继承组的角色,或在服务级别为每个帐户分配角色。您可以使用这两种方法对帐户在组织中的访问权限进行精细控制。

📘

:在新式文件夹中,在用户级别执行机器人管理。有关详细信息,请参阅管理帐户

AD integration

Orchestrator 中引用的活动目录 (AD) 使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中,可以在组级别(目录组)或用户级别(目录用户)配置目录帐户的访问权限级别。

您可以集成:

📘

将 AD 集成与有人值守的机器人自动配置分层文件夹一起使用,可以轻松设置大型部署。有关详细信息,请参阅管理大型部署

先决条件

  • WindowsAuth.Enabled 参数设置为 true
  • WindowsAuth.Domain 参数中填充有效的域。添加目录用户/组时,与 WindowsAuth.Domain 参数中指定的域双向信任的林中的所有域和子域均可用。
  • 将安装了 Orchestrator 的计算机加入到 WindowsAuth.Domain 参数中设置的域中。要查看设备是否已加入域,请从命令提示符中运行 dsregcmd /status,然后导航至“设备状态”部分。
  • 运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。

行为

  • 添加目录组会在 Orchestrator 中创建一个用户组实体,您可以根据需要为其配置访问权限。Orchestrator 中的此条目用作 AD 中找到的组的参考。
  • 登录时,Orchestrator 会检查您的组成员身份。如果确认,它会自动配置您的用户帐户,然后将其与从组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
  • Auto-provisioning takes place the first time you log in. An auto-provisioned user account doesn't get deleted at log out as you might need the entry for audit purposes.
  • 每次登录时,对目录中组成员身份所做的更改都会与 Orchestrator 同步,对于活动的用户会话,则每小时同步一次。如果您的系统管理员在会话处于活动状态时将您的组成员身份从 Administrators 组更改为 Automation Developers 组,则 Orchestrator 将在您下次登录时询问更改,如果已经登录,则在一小时内询问更改。
    This value can be changed using the WindowsAuth.GroupMembershipCacheExpireHours.
  • AD 中的组会与 Orchestrator 同步,但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。
  • 无法确定继承的访问权限(从组成员身份)的 AD 用户的行为类似于本地用户,这意味着它们仅依赖于分配给用户帐户的角色。
  • 无论组成员身份如何变化,配置在会话之间持续存在的访问权限的唯一方法是直接将角色分配给 Orchestrator 中的用户帐户,而不是使用组来分配角色。

已知问题

  • 由于各种网络或配置问题,可能并非“域名”下拉列表中显示的所有域都可访问。
  • 在 AD 中对用户名或组名所做的更改不会传播到 Orchestrator。
  • 使用新添加的双向信任域更新域列表最多可能需要一个小时。
  • GetOrganizationUnits(Id)GetRoles(Id) 请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过 /api/DirectoryService/GetDirectoryPermissions?userId={userId} 端点检索。
  • 用户界面也是如此,“用户”页面上仅显示显式设置的文件夹和角色。相反,继承的文件夹和角色具有新的专用位置,即“用户权限”窗口(“用户”>“更多操作”>“查看权限”)。
  • 默认情况下,用户不会从父组继承警示订阅设置,也不会接收任何警示。要访问警示,您需要显式授予用户相应的权限。
  • 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
  • 在某些浏览器上,使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此,如果 domain\username 语法不起作用,请尝试仅填写用户名。

Audit considerations

  • 用户成员身份:用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
  • 自动配置:从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。

用户类型

充当对用户组的引用的实体。Orchestrator 中引用的活动目录使其所有成员成为潜在的 Orchestrator 用户。
The membership of a user is set from Admin > Users & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 4 default local groups: Administrators, Automation Users, Automation Developers, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.

More about local groups.

组的角色将传递给属于该组的任何用户,无论是自动配置的还是手动添加的。我们将它们称为“继承的角色”,而不是“直接分配的角色”,后者只能针对每个帐户设置。

📘

记住

属于多个组的用户将从所有这些组继承访问权限。
属于多个组并已直接分配角色的用户具有从组继承并直接分配的所有角色的并集。
如果您属于已添加到 Orchestrator 的组,则不需要显式用户帐户即可登录 Orchestrator。
继承的角色取决于关联的用户组。如果组已从服务中删除,则该帐户的继承角色也将删除。
直接分配的角色不受帐户所在组的影响。无论组状态如何,它们都会持续存在。

示例

Say I added John Smith to the Automation Users and Administrators user groups in my organization.

  • Automation User 组存在于 Finance Orchestrator 服务中
  • Administrator 组存在于 HR Orchestrator 服务中
  • 在这两个服务中,John 的帐户也被直接分配了角色。

John 拥有每个服务的继承权限和显式权限的并集:

Service/RolesUser GroupsInherited RolesExplicit RolesOverall
Finance Automation User
Tenant Level Roles Allow to be Automation User Allow to be Automation User Allow to be Folder Administrator Allow to be Automation User
Allow to be Folder Administrator
Folder Level Roles Automation User on Folder A
Automation User on Folder B
Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A
HR Administrators
Tenant Level Roles Allow to be Folder Administrator Allow to be Folder Administrator Allow to be Folder Administrator
Folder Level Roles Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F

用户

根据在 Orchestrator 中添加用户帐户的机制,它们可以分为两类:

手动添加的用户

已在 Orchestrator 中手动添加并已在租户级别或文件夹级别明确授予权限的用户。如果手动添加的用户帐户也属于已添加到该 Orchestrator 服务的组,则它们将继承组访问权限。

自动配置的用户

已添加到本地组并登录到 Orchestrator 的用户。他们可以基于从组继承的权限访问 Orchestrator。首次登录 Orchestrator 后,系统会自动对其进行配置。

On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.

Manually Added UserAuto-provisioned User
Inherits access rights
Can have explicit access rights
Cloud Portal is the central hub for user information
SSO

机器人

The Robot robotrobot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.

帐户和组图标

在管理帐户、组或角色的页面上,系统会针对每种类型显示特定图标,以帮助您识别帐户类型或组类型。

帐户图标

UiPath_userUiPath_user - UiPath user account: user account that is linked to a UiPath account and signed in using basic authentication

UiPath_SSO_userUiPath_SSO_user - SSO user account: user account linked to a UiPath account that signed in using SSO; also applies to user accounts that have both a UiPath user account and a directory account

Azure_AD_userAzure_AD_user - Directory user account: the account originates from a directory and signed in with Enterprise SSO

Robot accountRobot account - Robot account

组图标

local_grouplocal_group - Local group (or plainly, group): the group was created by a host administrator.

AAD_groupAAD_group - Directory group: the group originates in a linked directory.

用于管理用户的权限


要在“用户”和“角色”页面上执行各种操作,需要获得相应的权限:

  • 用户 - 查看 - 显示“用户”和“个人资料”页面。
  • 用户 - 编辑 - 在“配置文件”页面上编辑用户详细信息和设置,并在“用户”页面上激活/停用用户。
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • 用户 - 编辑角色 - 查看 - 在“管理访问权限” > “分配角色”页面上,编辑角色分配。
  • 用户 - 创建角色 - 查看 - 创建用户。
  • 用户 - 查看角色 - 编辑 - 从“管理访问权限” > “角色”页面打开的“管理用户”窗口中管理角色。
  • 用户 - 删除 - 从 Orchestrator 中删除用户。

 

关于角色


Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合,这意味着将使用某些 Orchestrator 实体所需的权限分配给角色。

Role-permissions and user-roles relationships allow for a certain level of access to Orchestrator. A user gets the permissions required to perform particular operations through one or multiple roles. Since users are not assigned permissions directly, but only acquire them through roles, management of access rights involves assigning appropriate roles to the user. See Modifying the Roles of a User.

10811081

权限类型和角色类型


权限分为两类:

  • 租户权限 - 在租户级别定义用户对资源的访问。
  • Folder permissions - Define the user's access and ability within each folder to which they are assigned.

根据角色所包含的权限,可以分为三种类型的角色:

  • 租户角色,包括租户权限,是在租户级别工作所必需的。
  • 文件夹角色,包括在文件夹中工作的权限。
  • 混合角色,包含两种类型的权限。
    在混合角色的情况下,对于全局操作,仅考虑用户的租户权限;对于特定于文件夹的操作,如果定义了自定义角色,则与任何租户权限相比,将优先应用文件夹权限。

📘

备注:

不再支持混合角色,您无法新建角色。如果您有混合角色,我们建议将其替换为租户角色和文件夹角色,以授予所需权限。

用户可以使用以下资源,具体取决于用户的角色类型:

Tenant ResourcesFolder Resources
Alerts
Audit
Background tasks
Libraries
License
Machines
ML Logs
Packages
Robots
Roles
Settings
Folders
Users
Webhooks
Assets
Storage Files
Storage Buckets
Connections
Environments
Execution Media
Folder Packages
Jobs
Logs
Monitoring
Processes
Queues
Triggers
Subfolders
Action Assignment
Action Catalogs
Actions
Test Case Execution Artifacts
Test Data Queue Items
Test Data Queues
Test Set Executions
Test Sets
Test Set Schedules
Transactions

You can disable permissions completely from the user interface and API using the Auth.DisabledPermissions parameter in UiPath.Orchestrator.dll.config.

分配不同类型的角色

角色类型很重要,因为您会根据角色类型分配不同的角色:

  • 如果在“租户” > “设置” > “常规”下清除了“激活经典文件夹”
    您可以从“用户”页面或“角色”页面分配“租户”角色和“混合”角色。
    您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。
  • 如果在“租户” > “设置” > “常规”下选择了“激活经典文件夹”
    您可以从“用户”页面或“角色”页面分配这三种类型角色中的任何一种。
    您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。

未生效的权限

通常,您可以为任何权限选择所有可用权限(查看编辑创建删除),但以下权限对列出的权限无效,因此您无法编辑它们

Permission typePermissionUnavailable rights
TenantAlerts Delete
Audit Edit
Create
Delete
License only:
Edit
Create
Delete
FolderExecution Media Edit
Logs Edit
Delete
Monitoring Create
Delete
Connections View
Edit
Create
Delete

例如,这是因为无法编辑系统生成的日志。

 

Security considerations


Basic authentication

By default, Orchestrator does not allow user access via basic authentication. This functionality can be enabled by adding and configuring the Auth.RestrictBasicAuthentication setting. This enables you to create local accounts that can access Orchestrator using their basic authentication credentials, allowing you to maintain existing integrations that relied on basic authentication when calling Orchestrator API.

Enabling basic authentication can be done when creating and editing accounts.

Account lockout

By default, after 10 failed login attempts, you are locked out for 5 minutes.

System administrators can customize the Account Lockout settings from the host Management portal.

Logging in with the same account on a different machine disconnects the user from the first machine.

 

配置帐户以运行自动化


UiPath 帐户可以视为代表需要获得授权才能访问 Orchestrator 资源的人类(用户帐户)或非人类用户(机器人帐户)的身份。 这些帐户及其与角色的关联允许对 Orchestrator 中的资源具有特定级别的访问权限。

要使用户帐户和机器人帐户能够运行自动化,管理员必须在帐户级别配置自动化功能:

  • Personal automations: Automations that run under a user's identity either locally on the user's machine, or remotely (personal remote automations) on server-side resources to which the user has no direct access to. Learn how to enable users to run personal automation.
  • Unattended automations: Automations that are suited for processes that perform privileged operations, requiring elevated permissions and credentials. For this reason they typically run under robot accounts on remote infrastructure. Learn how to configure robot accounts to run unattended automation.
  • Unattended automations run on behalf of a user via an unattended robot. Automations running on remote infrastructure, on an unattended robot that impersonates a user. An administrator can enable an unattended robot to impersonate a user account, that is act on behalf of that user identity, to allow the robot to run automations with the same privileges as the user it impersonates. Learn how to enable users to run automations on unattended infrastructure via unattended robots.

Disabling concurrent execution

当一个凭据一次不能多次使用时(例如 SAP),管理员可以限制一个帐户同时执行多个作业。 在帐户级别启用“一次仅运行一个作业”选项可限制帐户同时执行多个作业。

Updated 2 days ago


Managing access and automation capabilities


在“管理访问权限” 页面上,您可以定义和分配角色以及配置帐户的自动化功能。 在 Orchestrator 中,您可以使用角色来控制用户应具有的访问权限级别。
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

建议的编辑仅限用于 API 参考页面

您只能建议对 Markdown 正文内容进行编辑,而不能建议对 API 规范进行编辑。