- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- 在您的组织中进行测试
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 故障排除
- 迁移到 Automation Cloud
Automation Cloud 管理员指南
角色是权限的集合,是管理用户访问时更细化的一层,遵循通过组维护访问的更广泛的选项。您可以将角色添加到任一组中,以便所有成员帐户都继承这些角色,也可以添加到个人帐户中。
帐户和组通常具有组织级别的角色和一个或多个服务级别的角色。
-
内置角色是具有平台设置的特定权限的预定义角色。这些角色可用于向用户或组授予执行某些操作的必要权限。
-
自定义角色是组织管理员为满足组织的特定需求而创建的角色。当没有可用的内置角色与用户或组应具有的访问权限时,这是特别有用的角色。
作用域是组织层次结构中的特定级别,用作某些操作、权限和对象的边界。作用域可以是组织、租户、服务或文件夹,每个作用域都有自己的角色分配集。
“管理访问权限” 菜单在所有可能的作用域中可用,从组织级别降到项目级别。
一个角色由多个权限定义。权限可以特定于某个作用域。
Organization Administrator 角色是一种特殊角色,可授予对所有作用域的访问权限:组织、租户、服务和文件夹。
以下类型的角色基于作用域和权限:
-
组织级别角色是您在组织范围内创建的一种角色。此角色类型包含仅在组织作用域内适用的权限。组织级别的角色:
- 只能在组织级别创建。
- 仅可以包含与组织级别的产品和服务关联的权限,例如:
- 管理访问权限
- Apps
- Automation Ops
- Insights(组织级别的仪表板)
- 只能在组织级别分配。
- 当前无法包含租户级别产品(例如 IXP 或 Document Understanding)的权限。
- 当前无法管理许可配额或其他租户范围的许可配置。
-
全局租户角色是您在组织作用域内创建的一种角色。您可以将此角色类型应用于组织中的所有租户。您可以将此角色类型应用于组织中的所有租户,但系统是在租户或服务级别执行分配的。全局租户角色:
- 在组织级别创建。
- 可以包含与组织级别产品以及受支持的租户级别产品关联的权限,例如:
- IXP (智能提取处理)
- Document Understanding
- 如果使用 IXP 权限创建,则该角色在组织内的所有租户中可见。
- 只能在租户或服务级别(而不是组织级别)分配。
-
跨服务角色是您在租户作用域中创建的一种角色。此角色类型同时包含来自多个服务的权限。
-
服务角色是您在服务作用域中创建的一种角色类型。此角色类型包含来自某些服务的权限。
-
项目或文件夹角色是您在服务作用域内创建的一种角色,您在项目或文件夹作用域内以独家方式分配该作用域。
下表对作用域、基于作用域和权限的角色类型以及角色示例进行了分类:
|
范围 |
基于作用域和权限的角色类型 |
角色示例 |
|---|---|---|
|
组织 |
组织级别的角色 |
Insights 仪表板查看者 组织管理员 |
|
全局租户角色 |
注意:可以使用自定义角色功能创建全局租户角色。
| |
|
租户 |
跨服务角色 |
Tenant Administrator |
|
服务 |
服务角色 |
Orchestrator Administrator |
|
文件夹或项目角色 |
Folder Administrator |
在下表中,您可以查看将帐户添加到组时分配给这些帐户的角色。例如,将帐户添加到Administrators默认组后,系统将向其授予组织的Organization Administrator角色和服务中的Administrator角色。此用户可以通过“管理员”然后选择“帐户和组”管理组织级别的角色,以及服务级别的角色。
|
组成员身份 |
组织级别的角色 |
Orchestrator 的服务级别角色 |
|---|---|---|
|
管理员 |
组织管理员 | |
|
自动化用户 |
用户 |
在文件夹级别 1 为 Automation User 在租户级别为 Allow to be Automation User |
|
自动化开发者 |
用户 |
在文件夹级别 1 为 Automation User 在文件夹级别 1 为 Folder Administrator 在租户级别为 Allow to be Automation User |
|
所有人 |
用户 |
无角色。 |
|
Automation Express |
用户 |
在租户级别为 Allow to be Automation User |
|
[自定义组] |
用户 |
默认情况下没有角色,但您可以根据需要向组中添加角色。 |
1这些角色将分配给共享新式文件夹(如果存在)。
组织级别表示作用域的最高级别。
在组织级别,可以使用Organization Administrator 、 User和Insights 仪表板查看者角色。您无法更改这些角色。
组织管理员有权修改组织级别的设置,例如安全性、单点登录 (SSO) 和许可设置。因此,组织级别的角色数量是有限的。此外,组织管理员可以授予组织级别的权限,以及向下级联到租户、服务和文件夹级别的权限。
组织级别的角色还包括 Apps 和 AutomationOps 等服务的组织级别服务权限。
Organization Administrator 角色
此角色授予对组织内每个组织级别和服务级别功能的访问权限。拥有此角色的帐户可以为组织执行所有管理操作,例如创建或更新租户、管理帐户、查看组织审核日志等。可以有多个帐户具有此角色。
Organization Administrator 和Tenant Admin角色是唯一允许访问“管理员”部分的角色。
创建组织后,系统会为给定组织指定第一位 Organization Administrator。
要向其他用户授予此角色,组织管理员可以将用户帐户添加到 Administrators 组中,该组是默认组之一。
组织管理员角色包含以下组织级别的权限,这些权限无法更改,如下表所述:
| 受权限限制的区域 | 视图 | 编辑 | 创建 | 删除 |
|---|---|---|---|---|
|
使用情况图表 |
|
|
|
|
|
租户 |
|
|
|
|
|
帐户和组 |
|
|
|
|
|
安全性设置 |
|
|
|
|
|
外部应用程序 |
|
|
|
|
|
许可证 |
|
|
|
|
|
API 密钥 |
|
|
|
|
|
资源中心(帮助) |
|
|
|
|
|
审核日志 |
|
|
|
|
|
组织设置 |
|
|
|
|
用户角色
这是 UiPath 生态系统内的基本访问级别。本地用户帐户将自动成为“Everyone”组的成员,这将为本地用户帐户授予“User”角色。
系统将向默认组“Everyone” 、 “Automation Users”和“Automation Developer”中的所有帐户授予此角色。
此角色提供对页面的只读访问权限,例如“主页”、“资源中心”(如果可用)。
用户可以查看和访问其当前租户的已配置服务。但是,他们可以查看的内容以及他们可以在每项服务中执行的操作取决于分配给其帐户的服务级别角色。
要向所有人授予特定服务的访问权限,用户需要在服务级别映射“所有人”组。例如,如果要授予所有用户在 Automation Hub 中查看概念的权限,则可以在 Automation Hub 中将角色分配给“Everyone”组。
当前将此映射合并到角色并在其中授予最低权限的可用服务包括:
- Studio Web
- Apps
- Test Manager
Insights 仪表板查看者角色
Insights 仪表板查看者角色是内置角色,用于授予对 Insights 中组织级别仪表板的访问权限,由组织管理员分配。
在分配Insights 仪表板查看者角色之前,您必须确保用户可以访问组织任何租户内的 Insights 服务。
要分配Insights 仪表板查看者角色,请执行以下步骤:
-
确保用户有权在组织内的任何给定租户上访问 Insights。
-
导航到管理员,然后选择“在组织级别管理访问权限” 。
-
在“角色分配” 选项卡上,选择“分配角色” 。
-
在“名称”字段中,搜索要向其分配角色的用户。
-
在“角色”字段中,选中“Insights 仪表板查看者”框。
-
选择“分配”按钮分配角色。
User management role
The User Management role is a custom organization-level role that lets organization administrators delegate identity management to other users without granting them full organization administrator rights. To create a User Management role, an organization administrator creates a custom role at organization scope and selects identity permissions for users, robot accounts, and local groups. You can include any combination of Read, Create, Update, and Delete for each resource, depending on the operations you want to allow. For the list of available identity permissions, see Custom roles > Platform-related permissions.
A user assigned this role gains access to the Admin section and can navigate to Accounts & Groups. Regardless of which permissions are included, the following restrictions apply:
- Organization administrator accounts are not editable.
- Users and robot accounts cannot be added to the Administrators group.
- The Administrators group cannot be modified or deleted.
To create and assign the User management role, follow these prerequisites and steps:
- You have the Organization Administrator role.
- The user you want to assign the role to already exists in the organization.
- Creating the role:
- Navigate to Admin at the organization level.
- Select Manage access.
- In the Roles tab, select Create role.
- Enter a name for the role.
- Set the scope to Organization.
- Under Identity, select the permissions you want to include for Users, Robot accounts, and Groups.
You can select any combination of Read, Create, Update, and Delete for each resource. Read must be included for other permissions on the same resource to take effect.
-
选择“创建”。
A warning appears indicating that the selected permissions let accounts perform operations that typically require elevation of administrative privileges. Select Continue to confirm.
- Assigning the role:
- In Manage access, select the Role assignments tab.
- 选择“分配角色” 。
- In the Names field, search for the user or user group you want to assign the role to.
- In the Roles field, select the role you created.
- 选择“分配” 。
租户级别的角色控制帐户在租户设置和配置区域中的访问权限。 它还定义了给定租户的每个 UiPath 服务中允许的操作。
平台中的大多数租户级别角色都是跨服务角色,因为它们会跨特定租户内的多项服务授予权限。
目前, Tenant Administrator是在租户级别唯一可用的内置角色。
Tenant Administrator 角色
Tenant Administrator角色允许您有效地委派职责。该角色会授予管理租户中所有资源1的权限,从而允许执行角色分配、许可管理和服务配置等操作。
可以将Tenant Administrator角色分配给多个帐户。
1以下服务支持Tenant Administrator角色:
- Orchestrator(包括操作、流程、Integration Service)
- Data Service
- Document Understanding
- Task Mining
- Test Manager
Tenant Administrator 角色权限
| 资源 | 权限 | 描述 | |||||
|---|---|---|---|---|---|---|---|
| 视图 | 创建 | 删除 | 读取 | 更新 | |||
| 集中访问 | 管理页面 | 授予集中访问、角色和角色分配的权限。 | |||||
| 角色 | |||||||
| 角色分配 | |||||||
| 资源 | 权限 | 描述 | |||||||
|---|---|---|---|---|---|---|---|---|---|
| 视图 | 创建 | 删除 | 读取 | 更新 | 编辑 | 管理 | |||
| Data Fabric | 权限 | 授予管理员权限,相当于 Data Fabric Administrator 角色。 | |||||||
| 资源 | 权限 | 描述 | ||||
|---|---|---|---|---|---|---|
| 创建 | 删除 | 读取 | 更新 | |||
| Document Understanding | 分类器 | 授予管理员权限,相当于 Document Understanding Administrator 角色。 | ||||
| 数据集导出 | ||||||
| 文档 | ||||||
| 文档类型 | ||||||
| 提取程序 | ||||||
| 监控已处理的文档 | ||||||
| 监控已处理文档的详细信息 | ||||||
| 监控项目绩效 | ||||||
| 项目 | ||||||
| projectVersion | ||||||
| 项目版本标签 | ||||||
| 租户设置 | ||||||
| 资源 | 权限 | 描述 | |||||||
|---|---|---|---|---|---|---|---|---|---|
| 视图 | 创建 | 删除 | 读取 | 更新 | 编辑 | 管理 | |||
| 许可 | 配额 | 授予管理配额的权限。 | |||||||
| 资源 | 权限 | 描述 | ||||
|---|---|---|---|---|---|---|
| 视图 | 创建 | 删除 | 编辑 | |||
| Orchestrator | 操作设计 | 授予管理员权限,相当于 Orchestrator 管理员角色。 | ||||
| 警示 | ||||||
| 应用程序版本 | ||||||
| 审核 | ||||||
| 后台任务 | ||||||
| 库 | ||||||
| 许可证 | ||||||
| 计算机 | ||||||
| 包 | ||||||
| 机器人 | ||||||
| 角色 | ||||||
| 设置 | ||||||
| 解决方案部署 | ||||||
| 解决方案包 | ||||||
| 标签 | ||||||
| 单位 | ||||||
| 用户 | ||||||
| Webhooks | ||||||
| 资源 | 权限 | 描述 | ||||
|---|---|---|---|---|---|---|
| 视图 | 赋值 | 删除 | 编辑 | |||
| Task Mining | 管理访问权限 | 授予管理员权限,相当于 Task Mining 管理员角色。 | ||||
| 角色 | ||||||
| 资源 | 权限 | 描述 | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 视图 | 创建 | 删除 | 读取 | 更新 | 编辑 | 赋值 | 切换 | 自动化执行 | 创建和取消链接缺陷 | 执行性能测试 | 手动测试执行 | 覆盖测试结果 | 智能测试生成 | 测试执行分配 | |||
| Test Manager | 性能场景 | 授予管理员权限,相当于 Test Manager 管理员角色。 | |||||||||||||||
| 项目 | |||||||||||||||||
| 项目设置 | |||||||||||||||||
| Prompt | |||||||||||||||||
| 要求 | |||||||||||||||||
| 角色 | |||||||||||||||||
| 任务权限 | |||||||||||||||||
| 测试用例 | |||||||||||||||||
| 测试执行 | |||||||||||||||||
| 测试集 | |||||||||||||||||
- 导航到管理员。
- 选择“在组织级别管理访问权限” 。
- 选择“角色”选项卡。
-
在“角色名称”列中,选择“Tenant Administrator”角色。
现在,您可以在展开的面板中查看Tenant Administrator角色的权限。
已知限制
- 当前不支持其余租户级别的服务,仅拥有 Tenant Administrator 角色的用户无法访问这些服务。
- Tenant Administrator无法从该界面访问组织级别的菜单。
- 在“管理员” > “租户” > “服务”屏幕上, Tenant Administrator可以查看已启用的服务,但无法添加或移除服务。
- 在“管理员” > “租户” > “管理访问权限” 屏幕上,租户管理员可以查看不受其管理的租户。 但是,如果他们访问这些租户,则无法执行任何操作。
服务级别角色控制每个 UiPath 服务(例如 Orchestrator 服务或Data Fabric)中的访问权限和允许的操作。每个服务的权限都在服务本身内进行管理,而不是通过组织“管理员”页面进行管理。
要将服务的权限授予帐户,您可以执行以下操作:
对于以下服务,您可以在平台级别创建和管理一些外部于服务的服务级别角色:
-
Apps
-
Automation Ops
-
Document Understanding
-
IXP (智能提取处理)
文件夹或项目是您在服务级别管理的作用域。
文件夹级别角色和项目级别角色定义了分配给用户的权限集,决定了用户访问自动化工作流中的特定资源和功能并与之交互的能力。
根据所使用的服务,您可以分配文件夹级别角色或项目级别角色,如下所示:
- 文件夹角色:
- Orchestrator
- 项目角色:
- Document Understanding
- IXP (智能提取处理)
- Test Manager
- Task Mining
自定义服务角色
自定义服务角色是用户定义的权限集,允许您根据特定需求定制访问控制,从而提供比默认角色更精细的控制。
要在服务级别创建自定义角色,请导航到“在服务级别管理访问权限” ,您可以在其中定义角色,并选择首选作用域和权限。
目前,您可以为以下服务创建自定义服务角色:
-
Apps
-
Document Understanding
-
IXP (智能提取处理)
- Studio Web
自定义跨服务角色
自定义跨服务角色是用户定义的角色,它们可跨多个 UiPath 服务授予定制权限,从而使您能够在整个平台范围内强制执行一致的精细访问控制。
要在租户级别创建自定义角色,请导航到“管理租户级别的访问权限” ,您可以在其中定义角色,并选择首选作用域和权限。
Platform-related permissions
When creating custom roles, in addition to service-specific permissions, you can assign permissions related to platform-level functionality, such as Authorization, or Licensing.
Platform-related permissions are available for custom roles created at both the organization and tenant levels.
The following sections list the available platform permissions.
Organization-level platform permissions
- 标准权限:
- Authorization/Action: Allows users to view the available authorization actions (permissions) when creating or viewing a custom role.
- Authorization/Role: Allows users to view, create, edit, or delete custom roles on the Roles tab in Manage access.
- Authorization/Role assignment: Allows users to view, create, update, or delete role assignments on the Role assignments tab in Manage access.
- Identity/Group: Allows users to view, create, rename, delete, and manage membership of local groups at the organization level. Read, Create, Update, and Delete permissions are configurable independently.
- Identity/Robot Account: Allows users to view, create, edit, and delete robot accounts at the organization level. Read, Create, Update, and Delete permissions are configurable independently.
- Identity/User: Allows users to view, invite, edit, and remove user accounts at the organization level. Read, Create, Update, and Delete permissions are configurable independently.
- 其他权限:
- Authorization/Roles assignment - Allows users to export role assignment data from the user interface.
Tenant-level platform permissions
- 标准权限:
- Authorization/Action: Allows users to view the available authorization actions (permissions) when creating or viewing a custom role.
- Authorization/Role: Allows users to view, create, edit, or delete custom roles on the Roles tab in Manage access.
- Centralized access: Allows users to access both Roles and Role assignments tabs within a tenant.
- Authorization/Role assignment: Allows users to view, create, update, or delete role assignments on the Role assignments tab in Manage access.
- 其他权限:
- Authorization/Roles assignment - Allows users to export role assignment data from the user interface at the tenant level.
- Licensing - Manage quotas for a tenant in Licensing: Allows users to view and manage tenant licensing quotas, such as license allocation limits and usage.