orchestrator
2023.10
false
Orchestrator 用户指南
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年11月11日

帐户和组

在“帐户和组”页面上,您可以为组织定义本地用户帐户、机器人帐户和本地组。

使用两个元素控制用户可以执行的访问级别和操作:

  • 帐户,用于建立用户身份并用于登录到 UiPath™ 应用程序。
  • 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予某些权限。

帐户不在 Orchestrator 中创建或管理,仅在角色及其分配中创建或管理。

帐户类型

在 UiPath 平台中,您可以创建用户帐户机器人帐户

用户帐户

使用这些类型的帐户识别人员。您可以分配许可证和角色,并将这些帐户添加到组中。

有两种类型的用户帐户:

  • Local users: These accounts are linked to a UiPath account. This type of account is created within UiPath standalone product installations and it is also managed from there by an organization administrator. Users own the account itself, but organization administrators can work with the reference of it to edit, delete, or manage roles and group memberships for it.
  • 目录用户:这些帐户在 UiPath 平台之外的云活动目录(如 Azure Active Directory)中定义。 您必须将目录链接到 UiPath 平台才能使用这种类型的帐户。 链接后,UiPath 可以搜索和引用目录用户,以便您查看用户、为其分配角色或将其添加到 UiPath 组。 这样做的好处是,您无需重复定义这些身份:您可以在目录中定义一次,然后便也可以在 UiPath 中使用。

有关详细信息,请参阅“帐户和组的权限”。

机器人帐户

当您需要运行不属于任何特定用户的后台无人值守流程时,机器人帐户非常有用。这些 RPA 特定帐户等同于服务帐户。与 Windows 服务在 OAuth 模型中以应用程序身份运行的帐户类似,它们是用于运行无人值守流程的非用户身份。

处理机器人帐户

在权限方面,机器人帐户的行为类似于用户帐户。在 UiPath Orchestrator 中,您可以使用与其他任何帐户相同的方式添加机器人帐户并为其配置权限。

与用户帐户相比,唯一的区别是:

  • 机器人帐户不允许进行任何与交互相关的流程配置
  • 无需使用电子邮件地址即可创建机器人帐户。

您可以通过与使用用户帐户大致相同的方式来查找和使用机器人帐户:

  • 组织管理员可以通过“管理员”>“帐户和组”页面创建和管理机器人帐户 - 但不能从“用户”选项卡,而是从专用的“机器人帐户”选项卡。

    机器人帐户也可以包含在组中,也可以作为组的一部分进行管理。

  • 在 Orchestrator 中分配角色时,搜索帐户会显示用户、组以及机器人帐户以供选择。

Robot entity (deprecated)

注意: 这仅适用于传统文件夹。

对于传统文件夹,当您将机器人手动部署到 Orchestrator 时,机器人 实体将自动创建,可在“ 机器人” 选项卡上查看。

默认情况下,系统会为机器人用户分配 机器人角色

Service account

服务帐户是一种非人类帐户,用于为正在运行的工作负载提供安全上下文,这些工作负载不涉及存在人类帐户,例如服务器到服务器身份验证。 在这些情况下,Orchestrator 将采用服务帐户的身份。

每个 Orchestrator 实例仅创建一个服务帐户,该服务帐户在用户界面中不可见,并且只能在数据库表格中识别。

此类帐户没有附加身份验证信息,因此,它无法通过浏览器或 Cookie 以交互方式登录。

我们建议不要禁用或删除服务帐户,因为这将对正在运行的工作负载产生直接影响。

使用组可以简化帐户管理。它们是一组帐户,应具有类似的访问权限、机器人配置和许可需求,并且这些帐户是您希望统一管理的帐户。

例如,您可能想为所有管理员创建一个组,或为所有会计员工创建一个组,因为您知道他们的工作需要他们以相同的方式使用相同的 UiPath 功能,因此他们应该拥有相同的许可证、机器人配置和角色。每当需要更改该类别用户的许可或角色时,您都会更新组,且更改将适用于其所有成员。

提示:在某些例外情况下,如果某个组成员需要其他角色,则您也可以单独为帐户分配角色。在此示例中,帐户受益于单独分配的角色,以及从其所属组继承的角色。

组类型

本地组

组在 UiPath 平台中原生可用。 如果组是通过“管理员” > “帐户和组” > “组”选项卡创建的,则该组为本地组。

目录组

如果目录已链接并且包含组,则可以在 UiPath 平台中查找和使用这些目录组,就像使用本地组一样。

继承

当帐户成为组的成员时,它将继承该组的角色、许可证和机器人配置。

角色继承

如果分配给多个组,则帐户将获得分配给它们所属组的所有权限。

通过组成员身份继承的角色仅在帐户连接时可用。

您可以在本地组中包括目录帐户。尽管您无法在一个本地组中包含另一个本地组,您也可以在本地组中包含目录组

这使目录管理员可以完全使用具有所需角色、许可证和机器人设置的帐户,而无需在 UiPath 平台中执行其他操作。

这可通过在完全在 UiPath 平台中设置的本地组中添加目录组来实现。 然后,目录管理员只需将帐户添加到其目录组中,该帐户就会继承设置并准备工作。

当各种服务允许访问时,它们会考虑不同方面:

  • 访问服务时,系统会根据帐户的组成员身份决定是否允许访问。
  • 尝试访问或使用服务中的资源时,系统会根据帐户的角色决定是否允许该操作;该角色可从组继承,也可将所需的角色直接授予帐户。

许可证继承

如果您为组定义许可证分配规则,则帐户在成为组成员时将继承这些用户许可证。

这可以通过两种方式发生,具体取决于用户许可证的类型:

  • 已命名用户许可证:当帐户成为组成员时,系统会自动为其分配一个可用许可证。请注意,仅从组中删除帐户不会取消分配许可证,因为 Named User 许可证与帐户的身份相关联。
  • 多用户许可证:多用户许可证由最多三个在不同时间使用许可证的组成员共享。当一个成员使用许可证时,其他两个成员将无法使用,

    重要提示: 直接分配许可证会覆盖组分配。如果您直接将用户许可证分配给帐户,则该帐户将不再享受任何组分配的好处。

使用组

  • 创建或删除组,添加或删除组成员:组织管理员可以管理组,也可以通过 UiPath 平台中的“管理” >“帐户和组” >“组” 选项卡添加或删除组中的帐户。
  • 向组分配许可证:Organization Administrator 还可从“管理”>“许可证”页面,将许可证分配规则分配给组。
  • 的角色 : 与帐户相同,角色是在服务中通过每项服务的管理员分配给组的。 例如,在 Orchestrator 服务中了解用户和用户组

不使用用户组

如果您不想使用用户组,请通过为每个帐户显式分配服务级别的角色,将所需角色分配给每个帐户

注意:如果您有链接的目录,请确保将目录帐户也添加到默认组Everyone中。 所有本地帐户都会自动添加到此组中。 这样,所有帐户都被授予组织级别的User角色,以便他们可以访问 UiPath 平台,但没有服务级别的角色 - 您必须将这些角色分配给每个帐户。

默认本地组

Default groups are available in any UiPath standalone product installations organization and are pre-configured with organization-level roles for platform capabilities and service-level roles for UiPath services.

默认组为 AdministratorsAutomation UsersAutomation DevelopersCitizen DevelopersAutomation ExpressEveryone

您只需执行一项操作即可将功能齐全的复杂访问架构分配给用户:将用户添加到适当的组中。 有关每个组包含的角色的信息,请参阅角色

您无法删除分配给默认组的角色,也无法删除这些组。

如果需要更多控制,您可以创建自定义组并分配自己的角色组合,也可以直接向帐户分配角色。

帐户和组图标

在管理帐户、组或角色的页面上,系统会针对每种类型显示特定图标,以帮助您识别帐户类型或组类型。

帐户图标

- UiPath 用户帐户:链接到 UiPath 帐户并使用基本身份验证登录的用户帐户

- SSO 用户帐户:链接到使用 SSO 登录的 UiPath 帐户的用户帐户;也适用于同时拥有 UiPath 用户帐户和目录帐户的用户帐户

- 目录用户帐户:该帐户源自目录并使用 Enterprise SSO 登录

- 机器人帐户

组图标

-本地组(或简单地说,):该组是在 UiPath 平台中创建的。

- 目录组:该组起源于已链接的目录。

帐户和组的权限

本地帐户和组

如果是从 UiPath 平台创建帐户或组:

  • 组织管理员负责管理组织的帐户和组,并拥有所需的权限。
  • Managing accounts and groups is done within UiPath standalone product installations and includes creating, editing, deleting, licensing of accounts, and adding or removing accounts from groups, as well as adding or removing groups.
  • 角色可以由组织管理员在服务中分配,也可以由服务级别的管理员分配。

目录帐户和组

If the account or group was created in a directory that is linked to UiPath standalone product installations:

  • 目录管理员负责管理目录的帐户和组,并拥有所需的权限。
  • 管理帐户和组的操作在目录中完成,包括创建、编辑、删除帐户,从组中添加或删除帐户,以及添加或删除组。
  • Directory accounts and groups are licensed from UiPath standalone product installations, either individually, or in bulk through group membership.
  • 角色由组织管理员或服务级别的管理员在“管理” 部分中分配。 可以通过组成员身份单独或批量分配角色。
  • 您可以在本地组中包括目录帐户。您也可以在本地组中包含目录组,但无法包含本地组。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。