订阅

UiPath Orchestrator

UiPath Orchestrator 指南

Managing access and automation capabilities

在“管理访问权限”页面上,您可以定义和分配角色以及配置帐户的自动化功能。在 Orchestrator 中,您可以使用角色来控制用户应具有的访问权限级别。
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

使用两个元素控制用户可以执行的访问级别和操作:

  • 帐户,用于建立用户身份并用于登录到 UiPath 应用程序
  • 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予某些权限。

帐户不在 Orchestrator 中创建或管理,仅在角色及其分配中创建或管理。

关于帐户


用户帐户是具有依赖于访问权限的功能的实体,其对 Orchestrator 的查看和控制取决于分配的角色。

每个组织的用户帐户都是从“管理员” > “用户和组” 页面上的门户创建和管理,而不是从 Orchestrator。

将用户帐户成功添加到组织后,您可以通过两种方式向其授予 Orchestrator 服务的访问权限:

  • 将其添加到组中,以便它们继承分配给组的角色
  • 通过在服务级别显式授予每个用户帐户访问权限。

这两者并不相互排斥:您可以同时使用这两者来高效、精细地控制组织中的访问权限。

For more information about managing accounts, see About accounts.

📘

:在新式文件夹中,在用户级别执行机器人管理。有关详细信息,请参阅管理帐户

AD integration

Orchestrator 中引用的活动目录 (AD) 使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中,可以在组级别(目录组)或用户级别(目录用户)配置目录帐户的访问权限级别。

您可以集成:

📘

将 AD 集成与有人值守的机器人自动配置分层文件夹一起使用,可以轻松设置大型部署。有关详细信息,请参阅管理大型部署

行为

  • 添加目录组会在 Orchestrator 中创建一个用户组实体,您可以根据需要为其配置访问权限。Orchestrator 中的此条目用作 AD 中找到的组的参考。
  • 登录时,Orchestrator 会检查您的组成员身份。如果确认,它会自动配置您的用户帐户,然后将其与从组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
  • Auto-provisioning takes place the first time you log in. An auto-provisioned user account doesn't get deleted at log out as you might need the entry for audit purposes.
  • 每次登录时,对目录中组成员身份所做的更改都会与 Orchestrator 同步,对于活动的用户会话,则每小时同步一次。如果您的系统管理员在会话处于活动状态时将您的组成员身份从 Administrators 组更改为 Automation Developers 组,则 Orchestrator 将在您下次登录时询问更改,如果已经登录,则在一小时内询问更改。
  • AD 中的组会与 Orchestrator 同步,但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。
  • 无法确定继承的访问权限(从组成员身份)的 AD 用户的行为类似于本地用户,这意味着它们仅依赖于分配给用户帐户的角色。
  • 无论组成员身份如何变化,配置在会话之间持续存在的访问权限的唯一方法是直接将角色分配给 Orchestrator 中的用户帐户,而不是使用组来分配角色。

已知问题

  • GetOrganizationUnits(Id)GetRoles(Id) 请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过 /api/DirectoryService/GetDirectoryPermissions?userId={userId} 端点检索。
  • 用户界面也是如此,“用户”页面上仅显示显式设置的文件夹和角色。相反,继承的文件夹和角色具有新的专用位置,即“用户权限”窗口(“用户”>“更多操作”>“查看权限”)。
  • 默认情况下,用户不会从父组继承警示订阅设置,也不会接收任何警示。要访问警示,您需要显式授予用户相应的权限。
  • 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
  • 在某些浏览器上,使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此,如果 domain\username 语法不起作用,请尝试仅填写用户名。

Audit considerations

  • 用户成员身份:用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
  • 自动配置:从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。

用户类型

充当对 Automation Cloud 中用户组的引用的实体。Orchestrator 中引用的用户组使所有组成员成为潜在的 Orchestrator 用户。
The membership of a user is set from Admin > Users & Groups.
User groups enable automatic access with the group permissions, based on users being added or removed from the group with no need to manage user permissions individually.
There are 5 default local groups: Administrators, Automation Users, Automation Developers, Automation Express, Everyone. All groups come with a default set of permissions in each new service you create. The out-of-the-box roles can be customized later on for each Orchestrator service.
If you need more than the 4 default groups provided by UiPath, you can create custom local groups. Unlike default local groups, custom groups need to be added manually in Orchestrator to ensure the correct mapping between the group membership of a user and the corresponding role in Orchestrator.

More about local groups.

组的角色将传递给属于该组的任何用户,无论是自动配置的还是手动添加的。我们将它们称为“继承的角色”,而不是“直接分配的角色”,后者只能针对每个帐户设置。

📘

记住

属于多个组的用户将从所有这些组继承访问权限。
属于多个组并已直接分配角色的用户具有从组继承并直接分配的所有角色的并集。
如果您属于已添加到 Orchestrator 的组,则不需要显式用户帐户即可登录 Orchestrator。
继承的角色取决于关联的用户组。如果组已从服务中删除,则该帐户的继承角色也将删除。
直接分配的角色不受帐户所在组的影响。无论组状态如何,它们都会持续存在。

示例

假设我将 John Smith 添加到了我的 Automation Cloud 组织中的 Automation UsersAdministrators 用户组。

  • Automation User 组存在于 Finance Orchestrator 服务中
  • Administrator 组存在于 HR Orchestrator 服务中
  • 在这两个服务中,John 的帐户也被直接分配了角色。

John 拥有每个服务的继承权限和显式权限的并集:

Service/RolesUser GroupsInherited RolesExplicit RolesOverall
### FinanceAutomation User
Tenant Level Roles Allow to be Automation User Allow to be Automation User Allow to be Folder Administrator Allow to be Automation User
Allow to be Folder Administrator
Folder Level Roles Automation User on Folder A
Automation User on Folder B
Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A Automation User on Folder A
Automation User on Folder B
Folder Administrator on Folder A
### HRAdministrators
Tenant Level Roles Allow to be Folder Administrator Allow to be Folder Administrator Allow to be Folder Administrator
Folder Level Roles Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F Folder Administrator on Folder D
Folder Administrator on Folder E
Folder Administrator on Folder F

用户

根据在 Orchestrator 中添加用户帐户的机制,它们可以分为两类:

手动添加的用户

已在 Orchestrator 中手动添加并已在租户级别或文件夹级别明确授予权限的用户。如果手动添加的用户帐户也属于已添加到该 Orchestrator 服务的组,则它们将继承组访问权限。

自动配置的用户

已添加到本地组并登录到 Orchestrator 的用户。他们可以基于从组继承的权限访问 Orchestrator。首次登录 Orchestrator 后,系统会自动对其进行配置。

On the Users page, in the Roles column, you can see explicitly assigned roles for a user, be it manually added or auto-provisioned. Inherited roles are not displayed in this column.
You can check the entire permission set of a user, inherited ones included, by navigating to More Actions > Check Permissions > User Permissions window for that specific user.

Manually Added UserAuto-provisioned User
Inherits access rights
Can have explicit access rights
Cloud Portal is the central hub for user information
SSO

机器人

The Robot robotrobot user is automatically created when you manually deploy a Robot to Orchestrator. Robot users have the Robot role by default. This role grants your Robot access to multiple pages, making it able to perform various actions.

帐户和组图标

在管理帐户、组或角色的页面上,系统会针对每种类型显示特定图标,以帮助您识别帐户类型或组类型。

帐户图标

UiPath_userUiPath_user - UiPath user account: user account that is linked to a UiPath account and signed in using basic authentication

UiPath_SSO_userUiPath_SSO_user - SSO user account: user account linked to a UiPath account that signed in using SSO; also applies to user accounts that have both a UiPath user account and a directory account

Azure_AD_userAzure_AD_user - Directory user account: the account originates from a directory and signed in with Enterprise SSO

Robot accountRobot account - Robot account

组图标

local_grouplocal_group - Local group (or plainly, group): the group was created by a host administrator.

AAD_groupAAD_group - Directory group: the group originates in a linked directory.

用于管理用户的权限


要在“用户”和“角色”页面上执行各种操作,需要获得相应的权限:

  • 用户 - 查看 - 显示“用户”和“个人资料”页面。
  • 用户 - 编辑 - 在“配置文件”页面上编辑用户详细信息和设置,并在“用户”页面上激活/停用用户。
  • Users - View and Roles - View - Displaying user permissions in the User Permissions window.
  • 用户 - 编辑角色 - 查看 - 在“管理访问权限” > “分配角色”页面上,编辑角色分配。
  • 用户 - 创建角色 - 查看 - 创建用户。
  • 用户 - 查看角色 - 编辑 - 从“管理访问权限” > “角色”页面打开的“管理用户”窗口中管理角色。
  • 用户 - 删除 - 从 Orchestrator 中删除用户。

关于角色


Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合,这意味着将使用某些 Orchestrator 实体所需的权限分配给角色。

Role-permissions and user-roles relationships allow for a certain level of access to Orchestrator. A user gets the permissions required to perform particular operations through one or multiple roles. Since users are not assigned permissions directly, but only acquire them through roles, management of access rights involves assigning appropriate roles to the user. See Modifying the Roles of a User.

10811081

权限类型和角色类型


权限分为两类:

  • 租户权限 - 在租户级别定义用户对资源的访问。
  • Folder permissions - Define the user's access and ability within each folder to which they are assigned.

根据角色所包含的权限,可以分为三种类型的角色:

  • 租户角色,包括租户权限,是在租户级别工作所必需的。
  • 文件夹角色,包括在文件夹中工作的权限。
  • 混合角色,包含两种类型的权限。
    在混合角色的情况下,对于全局操作,仅考虑用户的租户权限;对于特定于文件夹的操作,如果定义了自定义角色,则与任何租户权限相比,将优先应用文件夹权限。

📘

备注:

不再支持混合角色,您无法新建角色。如果您有混合角色,我们建议将其替换为租户角色和文件夹角色,以授予所需权限。

用户可以使用以下资源,具体取决于用户的角色类型:

Tenant ResourcesFolder Resources
Alerts
Audit
Background tasks
Libraries
License
Machines
ML Logs
ML Packages
ML Skills
Packages
Robots
Roles
Settings
Folders
Users
Webhooks
Assets
Storage Files
Storage Buckets
Connections
Environments
Execution Media
Folder Packages
Jobs
Logs
Monitoring
Processes
Queues
Triggers
Subfolders
Action Assignment
Action Catalogs
Actions
Test Case Execution Artifacts
Test Data Queue Items
Test Data Queues
Test Set Executions
Test Sets
Test Set Schedules
Transactions

分配不同类型的角色

角色类型很重要,因为您会根据角色类型分配不同的角色:

  • 如果在“租户” > “设置” > “常规”下清除了“激活经典文件夹”
    您可以从“用户”页面或“角色”页面分配“租户”角色和“混合”角色。
    您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。
  • 如果在“租户” > “设置” > “常规”下选择了“激活经典文件夹”
    您可以从“用户”页面或“角色”页面分配这三种类型角色中的任何一种。
    您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。

未生效的权限

通常,您可以为任何权限选择所有可用权限(查看编辑创建删除),但以下权限对列出的权限无效,因此您无法编辑它们

Permission typePermissionUnavailable rights
TenantAlerts Delete
Audit Edit
Create
Delete
License Edit
Create
Delete
FolderExecution Media Edit
Logs Edit
Delete
Monitoring Create
Delete

例如,这是因为无法编辑系统生成的日志。

Disabling concurrent execution

如果一个凭据不支持同时多次使用(例如 SAP),管理员可以限制帐户,使其避免同时执行多个作业。在帐户级别启用“一次仅运行一个作业”选项可限制帐户同时执行多个作业。

Updated 5 days ago


Managing access and automation capabilities


在“管理访问权限”页面上,您可以定义和分配角色以及配置帐户的自动化功能。在 Orchestrator 中,您可以使用角色来控制用户应具有的访问权限级别。
On this page we go over the notions you need to understand to effectively plan and implement your access control strategy.

建议的编辑仅限用于 API 参考页面

您只能建议对 Markdown 正文内容进行编辑,而不能建议对 API 规范进行编辑。