访问控制
在 Orchestrator 中,您可以使用角色来控制用户、组、机器人帐户和外部应用程序的访问权限级别。在此页中,我们将介绍您需要了解的概念,以便有效地规划和实施访问控制策略:
- 帐户和应用程序(即用户帐户、机器人帐户、外部应用程序),表示用于访问 Orchestrator 资源的身份
- 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予明确权限
- 组,这些组通过向多个用户帐户授予相同的访问权限来简化帐户管理
不在 Orchestrator 中创建和管理帐户,仅在 Orchestrator 角色和分配中创建和管理帐户。帐户由组织管理员创建,创建后可以在 Orchestrator 中将其分配给文件夹或租户。
Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合,这意味着将使用某些 Orchestrator 实体所需的权限分配给角色。
角色权限和用户角色关系允许对 Orchestrator 进行一定级别的访问。用户通过一个或多个角色获得执行特定操作所需的权限。由于未直接为用户分配权限,用户仅通过角色获得权限,权限管理涉及为用户分配适当的角色。
有两种类型的权限,如下所示:
- 租户权限在租户级别定义用户对资源的访问。
- 文件夹权限在分配给用户的每个文件夹中定义用户的访问权限和能力。
- 文件夹权限(租户范围):
- 允许用户创建、编辑或删除整个租户中的所有文件夹。
- 通常会向管理员或负责管理组织的用户授予权限。
- 子文件夹权限(文件夹范围):
- 允许用户创建、编辑或删除分配给他们的特定文件夹及其下的任何子文件夹。
- 提供更精细的控制,使用户能够管理特定文件夹,而无需控制租户中的其他文件夹。
根据角色所包含的权限,可以分为三种类型的角色:
- 租户角色,包括租户权限,是在租户级别工作所必需的。
- 文件夹角色,包括在文件夹中工作的权限。
- 混合角色,包含两种类型的权限。
在混合角色的情况下,对于全局操作,仅考虑用户的租户权限。对于特定于文件夹的操作,如果定义了自定义角色,则与任何租户级别权限相比,将优先应用这些权限。
注意:不再支持混合角色,您无法新建角色。如果您有混合角色,我们建议将其替换为租户角色和文件夹角色,以授予所需权限。
用户可以使用以下资源,具体取决于用户的角色类型:
租户资源 |
文件夹资源 |
---|---|
|
|
通常,您可以为任何权限选择所有可用权限(查看、编辑、创建或删除),但以下权限对列出的权限无效,因此您无法编辑它们:
权限类型 |
权限 |
不可用的权限 |
---|---|---|
租户 |
警示 |
|
审核 |
| |
文件夹 |
执行介质 |
|
日志 |
| |
监控 |
|
例如,这是因为无法编辑系统生成的日志。
每个角色都是权限的组合,这些权限控制具有该角色的帐户可以访问的程序区域和操作。
示例:一个名为 Infra 的角色适用于管理您用于自动化的虚拟机的人员,该角色可能包括诸如“计算机 - 查看”、“计算机 - 编辑”、“计算机 - 创建”和“计算机 - 删除”等权限,以及与他们工作相关的其他权限。
创建或编辑角色时,您必须查看可用权限列表,并决定是否包含哪些权限。您可以尝试以下方法:
- 从我们的默认角色开始:Orchestrator 附带了最常见的自动化用户类型的默认角色,例如 Administrator 角色、Automation User 等。您可以使用这些角色,也可以复制最接近所需角色的角色,然后进行自定义。
- 创建自定义角色:创建角色时,系统会根据角色类型为您提供租户级别或文件夹级别所有可用权限的列表,您必须决定是否包含哪些权限。
查看权限信息
创建或编辑角色时,您可以将鼠标悬停在权限的复选框上,以查看该权限允许访问哪些 Orchestrator 页面。这些信息可以帮助您大致决定是否包含权限。
- 权限的功能可能比仅访问页面上下文中的功能更复杂。当不确定任务所需的权限时,请查看该任务的文档以了解详细的权限要求。对于高级用户,您还可以查看 Orchestrator API Swagger,其中包含有关每个操作所需权限的信息。有关说明,请参阅访问 Swagger 文件。
- 为每个权限显示的信息仅涵盖 Orchestrator 页面,不涵盖其他 UiPath 服务中的页面或操作。
例如,您可能会看到“ML 技能”权限未阻止任何页面,这意味着该权限在访问 Orchestrator 页面方面无效。但是,使用 UiPath AI CenterTM 时,必须授予 ML 技能权限。在这种情况下,您必须查看 AI Center 文档,以获取有关 ML 技能权限的更多信息。