- 入门指南
- 最佳实践
- 租户
- 操作
- 文件夹上下文
- 自动化
- 流程
- 作业
- 触发器
- 日志
- 监控
- 队列
- 资产
- 存储桶
- Test Suite - Orchestrator
- 操作目录
- 配置文件
- 系统管理员
- 身份服务器
- 身份验证
- 其他配置
- 集成
- 传统机器人
- 故障排除
Orchestrator 用户指南
用户类型
只能在 Orchestrator 中创建本地用户。名称和电子邮件等属性以及角色和其他特定于 Orchestrator 的设置都在 Orchestrator 中进行管理。它用于登录 Orchestrator,您在自动化团队中的位置,具有 Orchestrator 的自定义视图,并且接收电子邮件警报(可选)。您不能更改此类用户的用户名。
通过创建用户、设置用户属性和分配角色来添加本地用户。两个页面包含用户相关信息:“用户”页面和“配置文件”页面。填充其中一个会覆盖另一个中的关联信息(名字、姓氏、电子邮件地址)。
有两种方法可以将使用 AD 凭据登录的本地用户转换为目录用户:
- 将 WindowsAuth.ConvertUsersAtLogin 参数设置为
True
。 在使用 AD 凭据首次登录后,这会将每个本地 AD 用户转换为目录用户。 - 通过下面的脚本。这将转换曾经使用 AD 凭据一次登录的所有本地 AD 用户。
此功能仅适用于在 Orchestrator 中使用“登录”页面登录的用户,不适用于使用交互式登录功能通过 Studio 登录的用户。
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0
DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
u.[Type] = 2
FROM
[dbo].[Users] u
JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE
u.[Type] = 0
AND l.[LoginProvider] = 'Windows'
AND u.[IsDeleted] = 0
对于目录用户,在 Orchestrator 中仅管理角色和 Orchestrator 特定的设置,而外部目录管理员管理用户特定的属性(名称、电子邮件、组成员身份)。
可以通过两种方式创建目录用户:
- 通过自行添加 AD 用户 - 我们将其称为单独添加的用户。
- 通过使用先前添加的 AD 组中的用户登录(我们将其称为自动配置的用户)。在“关于用户”页面上查看更多信息。
如果目录用户存在于 Orchestrator 中,则目录用户总是从其父组继承访问权限。
访问 |
本地用户 | 目录用户 |
---|---|---|
继承访问权限 |
|
|
可以具有显式访问权限 |
|
|
AD 是用户信息的中心 |
|
|
SSO |
|
|
通过将 AD 组引用到 Orchestrator 实例中而创建的用户实体。该组的所有成员都是 Orchestrator 的潜在用户。为组设置的所有访问权限都将传递给属于该组的任何目录用户(自动配置或单独添加)。我们将它们称为“继承的访问权限”,与“显式访问权限”不同,后者只能针对每个用户单独设置。
- 属于多个组的用户将从所有这些组继承访问权限。
- 属于多个组并且还被显式授予访问权限的用户,具有从父组继承并显式设置的所有权限的集合。
使用目录组可以根据在目录组中添加或删除的用户(例如,在切换部门时)自动使用组权限进行访问,而无需单独管理用户权限。
示例
目录组 |
继承的权限 |
显式权限 |
---|---|---|
添加了具有 X 组访问权限的 X 组和具有 Y 组访问权限的 Y 组。 |
John Smith 同时属于组 X 和 Y。他登录到 Orchestrator。他的用户已自动配置有以下权限:X 和 Y。 |
除了集 X 和 Y 外,John 还被显式授予了集 Z。John 现在拥有以下权限:X、Y 和 Z。 如果删除组 X 和 Y,则 John 仅拥有访问权限集 Z。 |
- 如果您属于已添加到 Orchestrator 的组(步骤 1 - 行为部分),则不需要显式的用户条目即可登录 Orchestrator。
- 继承的访问权限取决于关联的目录组。 如果删除了目录,则继承的访问权限也将被删除。
- 显式设置的访问权限独立于目录组。 无论组的状态如何,它们都会在会话之间持续存在。