订阅

UiPath Orchestrator

UiPath Orchestrator 指南

帐户和组

在“帐户和组”页面上,您可以为组织定义本地用户帐户、机器人帐户和本地组。

使用两个元素控制用户可以执行的访问级别和操作:

  • 帐户,用于建立用户身份并用于登录到 UiPath 应用程序
  • 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予某些权限。

帐户不在 Orchestrator 中创建或管理,仅在角色及其分配中创建或管理。

关于帐户


帐户是具有依赖访问权限的功能的 UiPath 平台实体,其对 Orchestrator 的查看和控制取决于所分配的访问权限。

帐户可以是:

  • 从以下位置在本地创建和管理(本地帐户):
  • created and managed in an external directory (directory accounts and directory groups). See the section AD Integration for a better understanding of directory integrations.

更多信息:
Learn more about the types of accounts.
Learn about Orchestrator's access-control model, which relies on role assignations.

您可以从组织级别的管理门户添加帐户,并且帐户仅在相应的组织内可用。
成功添加帐户后,有两种方法可以向其授予 Orchestrator 的访问权限:将帐户添加到组中,以便继承组的角色,或在服务级别为每个帐户分配角色。您可以使用这两种方法对帐户在组织中的访问权限进行精细控制。

📘

:在新式文件夹中,在用户级别执行机器人管理。有关详细信息,请参阅管理帐户

AD integration

Orchestrator 中引用的活动目录 (AD) 使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中,可以在组级别(目录组)或用户级别(目录用户)配置目录帐户的访问权限级别。

您可以集成:

📘

将 AD 集成与有人值守的机器人自动配置分层文件夹一起使用,可以轻松设置大型部署。有关详细信息,请参阅管理大型部署

 

先决条件

  • The WindowsAuth.Domain parameter is filled in with a valid domain. All domains and subdomains from forests 2-way trusted with the domain specified in the WindowsAuth.Domain parameter are available when adding users/groups.
  • The machine on which Orchestrator is installed is joined to the domain set in the WindowsAuth.Domain parameter. To check whether the device is joined to the domain, run the dsregcmd /status from the Command Prompt, and navigate to the Device State section.
  • 运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。

行为

  • 添加目录组会在 Orchestrator 中创建一个用户组实体,您可以根据需要为其配置访问权限。Orchestrator 中的此条目用作 AD 中找到的组的参考。
  • 登录时,Orchestrator 会检查您的组成员身份。如果确认,它会自动配置您的用户帐户,然后将其与从组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
  • Auto-provisioning takes place the first time you log in. An auto-provisioned user account doesn't get deleted at log out as you might need the entry for audit purposes.
  • 登录时,Orchestrator 会检查帐户的组成员身份,或在活动会话期间每小时检查一次。如果帐户的组成员身份发生更改,则该帐户的更改将在下次登录时应用,如果当前已登录,则在一小时内应用更改。
    This one hour interval for checking group membership can be changed by setting the value of IdentityServer.GroupMembershipCacheExpireHours.
  • AD 中的组会与 Orchestrator 同步,但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。
  • 无法确定继承的访问权限(从组成员身份)的 AD 用户的行为类似于本地用户,这意味着它们仅依赖于分配给用户帐户的角色。
  • 无论组成员身份如何变化,配置在会话之间持续存在的访问权限的唯一方法是直接将角色分配给 Orchestrator 中的用户帐户,而不是使用组来分配角色。

已知问题

  • 由于各种网络或配置问题,可能并非“域名”下拉列表中显示的所有域都可访问。
  • 在 AD 中对用户名或组名所做的更改不会传播到 Orchestrator。
  • 使用新添加的双向信任域更新域列表最多可能需要一个小时。
  • The GetOrganizationUnits(Id) and GetRoles(Id) requests only return folders and roles explicitly set for an auto-provisioned user. The ones inherited from the group configuration can be retrieved through the /api/DirectoryService/GetDirectoryPermissions?userId={userId} endpoint.
  • 用户界面也是如此,“用户”页面上仅显示显式设置的文件夹和角色。相反,继承的文件夹和角色具有新的专用位置,即“用户权限”窗口(“用户”>“更多操作”>“查看权限”)。
  • 默认情况下,用户不会从父组继承警示订阅设置,也不会接收任何警示。要访问警示,您需要显式授予用户相应的权限。
  • 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
  • 在某些浏览器上,使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此,如果 domain\username 语法不起作用,请尝试仅填写用户名。

Audit considerations

  • 用户成员身份:用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
  • 自动配置:从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。

用户类型

通过组,您可以通过组对多个用户应用相同的角色和配置,同时管理多个用户。

The membership of a user is set from Admin > Accounts & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 4 default local groups: Administrators, Automation Users, Automation Developers, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.

组的角色将传递给属于该组的任何用户,无论是自动配置的还是手动添加的。我们将它们称为“继承的角色”,而不是“直接分配的角色”,后者只能针对每个帐户设置。

📘

记住

属于多个组的用户将从所有这些组继承访问权限。
属于多个组并已直接分配角色的用户具有从组继承并直接分配的所有角色的并集。
如果您属于已添加到 Orchestrator 的组,则不需要显式用户帐户即可登录 Orchestrator。
继承的角色取决于关联的用户组。如果组已从服务中删除,则该帐户的继承角色也将删除。
直接分配的角色不受帐户所在组的影响。无论组状态如何,它们都会持续存在。

示例

假设我将 John Smith 添加到了我的 Automation Cloud 组织中的 Automation UsersAdministrators 用户组。

  • Automation User 组存在于 Finance Orchestrator 服务中
  • Administrator 组存在于 HR Orchestrator 服务中
  • 在这两个服务中,John 的帐户也被直接分配了角色。

John 拥有每个服务的继承权限和显式权限的并集:

Service/Roles

User Groups

Inherited Roles

Explicit Roles

Overall

Finance

Automation User

Tenant Level Roles

Allow to be Automation User

Allow to be Automation User

Allow to be Folder Administrator

Allow to be Automation User
Allow to be Folder Administrator

Folder Level Roles

Automation User on Folder A
Automation User on Folder B

Automation User on Folder A
Automation User on Folder B

Folder Administrator on Folder A

Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A

HR

Administrators

Tenant Level Roles

Allow to be Folder Administrator

Allow to be Folder Administrator

Allow to be Folder Administrator

Folder Level Roles

Folder Administrator on Folder D
Folder Administrator on Folder E

Folder Administrator on Folder D
Folder Administrator on Folder E

Folder Administrator on Folder F

Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F

用户

根据在 Orchestrator 中添加用户帐户的机制,它们可以分为两类:

手动添加的用户

已在 Orchestrator 中手动添加并已在租户级别或文件夹级别明确授予权限的用户。如果手动添加的用户帐户也属于已添加到该 Orchestrator 服务的组,则它们将继承组访问权限。

自动配置的用户

已添加到本地组并登录到 Orchestrator 的用户。他们可以基于从组继承的权限访问 Orchestrator。首次登录 Orchestrator 后,系统会自动对其进行配置。

On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.

Manually Added User

Auto-provisioned User

Inherits access rights

Can have explicit access rights

Cloud Portal is the central hub for user information

SSO

机器人

The Robot robotrobot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.

Disabling concurrent execution


在新式文件夹中优化资源消耗并最大程度地提高执行能力,几乎不会涉及控制将用户分配给作业的方式。对于每次不能多次使用凭据(例如 SAP)的情况,我们引入了限制并发无人值守执行的可能性。通过限制用户同时执行多个作业,这有助于调整作业分配算法。

用于管理用户的权限


要在“用户”和“角色”页面上执行各种操作,需要获得相应的权限:

  • 用户 - 查看 - 显示“用户”和“个人资料”页面。
  • 用户 - 编辑 - 在“配置文件”页面上编辑用户详细信息和设置,并在“用户”页面上激活/停用用户。
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • 用户 - 编辑角色 - 查看 - 在“管理访问权限” > “分配角色”页面上,编辑角色分配。
  • 用户 - 创建角色 - 查看 - 创建用户。
  • 用户 - 查看角色 - 编辑 - 从“管理访问权限” > “角色”页面打开的“管理用户”窗口中管理角色。
  • 用户 - 删除 - 从 Orchestrator 中删除用户。

3个月前更新


帐户和组


在“帐户和组”页面上,您可以为组织定义本地用户帐户、机器人帐户和本地组。

建议的编辑仅限用于 API 参考页面

您只能建议对 Markdown 正文内容进行编辑,而不能建议对 API 规范进行编辑。