- 入门指南
- 最佳实践
- 租户
- 注册表
- Cloud Robots
- Automation Suite 机器人
- 文件夹上下文
- 流程
- 作业
- Apps
- 触发器
- 日志
- 监控
- 索引
- 队列
- 资产
- 连接
- 业务规则
- 存储桶
- MCP 服务器
- Orchestrator 测试
- 资源目录服务
- 集成
- 故障排除
Orchestrator 用户指南
访问控制
在 Orchestrator 中,您可以使用角色来控制用户、组、机器人帐户和外部应用程序的访问权限级别。在此页中,我们将介绍您需要了解的概念,以便有效地规划和实施访问控制策略:
- 帐户和应用程序(即用户帐户、机器人帐户、外部应用程序),表示用于访问 Orchestrator 资源的身份
- 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予明确权限
- 组,用于通过向多个用户帐户授予相同的访问权限来简化帐户管理
不在 Orchestrator 中创建和管理帐户,仅在 Orchestrator 角色和分配中创建和管理帐户。帐户由组织管理员创建,创建后可以在 Orchestrator 中将其分配给文件夹或租户。
关于权限
Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合,这意味着将使用某些 Orchestrator 实体所需的权限分配给角色。
角色权限和用户角色关系允许对 Orchestrator 进行一定级别的访问。用户通过一个或多个角色获得执行特定操作所需的权限。由于未直接为用户分配权限,用户仅通过角色获得权限,权限管理涉及为用户分配适当的角色。
权限和角色类型
有两种类型的权限,如下所示:
- 租户权限在租户级别定义用户对资源的访问。
- 文件夹权限在分配给用户的每个文件夹中定义用户的访问权限和能力。
两个主要权限集管理文件夹内的操作:
- 文件夹权限(租户范围):
- 允许用户创建、编辑或删除整个租户中的所有文件夹。
- 通常会向管理员或负责管理组织的用户授予权限。
- 子文件夹权限(文件夹范围):
- 允许用户创建、编辑或删除分配给他们的特定文件夹及其下的任何子文件夹。
- 提供更精细的控制,使用户能够管理特定文件夹,而无需控制租户中的其他文件夹。
根据角色所包含的权限,可以分为三种类型的角色:
- 租户角色,包括租户权限,是在租户级别工作所必需的。
- 文件夹角色,包括在文件夹中工作的权限。
- 混合角色,包含两种类型的权限。 在混合角色的情况下,对于全局操作,仅考虑用户的租户权限。对于特定于文件夹的操作,如果定义了自定义角色,则与任何租户级别权限相比,将优先应用这些权限。
备注:
不再支持混合角色,您无法新建角色。如果您有混合角色,我们建议将其替换为租户角色和文件夹角色,以授予所需权限。
用户可以使用以下资源,具体取决于用户的角色类型:
| 租户资源 | 文件夹资源 |
|---|---|
|
|
未生效的权限
通常,您可以为任何权限选择所有可用权限(查看、编辑、创建或删除),但以下权限对列出的权限无效,因此您无法编辑它们:
| 权限类型 | 权限 | 不可用的权限 |
|---|---|---|
| 租户 | 警示 |
|
| 审核 |
| |
| 文件夹 | 执行介质 |
|
| 日志 |
| |
| 监控 |
|
例如,这是因为无法编辑系统生成的日志。
确定要包含的权限
每个角色都是权限的组合,这些权限控制具有该角色的帐户可以访问的程序区域和操作。
Example: A role called Infra, which is intended for the person managing the VMs you use for automation, may include permissions such as Machines - View, Machines - Edit, Machines - Create, and Machines - Delete, as well as other permissions that are relevant for their job.
创建或编辑角色时,您必须查看可用权限列表,并决定是否包含哪些权限。您可以尝试以下方法:
- Start from our default roles: Orchestrator comes with default roles for the most common automation user types, such as the Administrator role, Automation User, and more. You can either use these roles, or duplicate the one that is closest to what you need, and then customize it.
- Create a custom role: When creating a role, you are presented with a list of all available permissions for the tenant or folder level, depending on the role type, and you must decide which ones to include or not.
查看权限信息
创建或编辑角色时,您可以将鼠标悬停在权限的复选框上,以查看该权限允许访问哪些 Orchestrator 页面。这些信息可以帮助您大致决定是否包含权限。
重要提示:
- The functions of permissions can be more complex than only access to and abilities within the context of a page. When in doubt about what permissions are necessary for a task, check the documentation for that task for detailed permission requirements.For advanced users, you can also check the Orchestrator API Swagger, which includes information about the required permissions for each operation. For instructions see Accessing the Swagger file.
- The information that is displayed for each permission only covers Orchestrator pages. It does not cover pages or actions in other UiPath services. For example, you may see that no pages are blocked by the ML Skills permissions, meaning that the permission has no effect in terms of access to Orchestrator pages. But granting permissions for ML Skills is necessary for using UiPath AI CenterTM. In this case, you must check the AI Center documentation for more information about the ML Skills permissions.