- 入门指南
- 最佳实践
- 租户
- 文件夹上下文
- 自动化
- 流程
- 作业
- 触发器
- 日志
- 监控
- 队列
- 资产
- 存储桶
- Test Suite - Orchestrator
- 其他配置
- 集成
- 传统机器人
- 主机管理
- 组织管理
- 故障排除
Orchestrator 用户指南
管理访问和自动化功能
在“管理访问权限”页面上,您可以定义和分配角色。在 Orchestrator 中,您可以使用角色来控制帐户应具有的访问权限级别。在此页中,我们将介绍您需要了解的概念,以便有效地规划和实施访问控制策略。
使用两个元素控制用户可以执行的访问级别和操作:
- 帐户,用于建立用户身份并用于登录到 UiPath 应用程序
- 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予某些权限。
帐户不在 Orchestrator 中创建或管理,仅在角色及其分配中创建或管理。
帐户是具有依赖访问权限的功能的 UiPath Platform 实体,其对 Orchestrator 的查看和控制取决于所分配的角色。
帐户可以是:
帐户仅在一个组织内可用。
成功添加帐户后,有两种方法可以向其授予 Orchestrator 权限:
- 通过将帐户添加到组中,使其继承组的角色,或者
- 通过在服务级别为帐户分配角色。
您可以使用这两种方法对帐户在组织中的访问权限进行精细控制。
Orchestrator 中引用的活动目录 (AD) 使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中,可以在组级别(目录组)或用户级别(目录用户)配置目录帐户的访问权限级别。
您可以集成:
- 本地 Active Directory
- Azure Active Directory
-
拥有或连接到目录的其他身份提供程序
注意:将目录集成与 Attended Robot 自动配置和分层文件夹一起使用,可以轻松设置大型部署。有关详细信息,请参阅“管理大型部署”。
先决条件
- 已启用用于连接到外部目录的身份验证选项。
- 在身份验证配置期间指定了有效域。 添加用户/组时,指定域的双向信任林中的所有域和子域均可用。
- 安装了 Orchestrator 的计算机已加入到特定的域中。要查看设备是否已加入域,请从命令提示符中运行
dsregcmd /status
,然后导航至“设备状态”部分。 - 运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。
行为
- 添加目录组会在 Orchestrator 中创建一个名为“目录组”的实体,您可以根据需要为其配置访问权限。此条目用作 AD 中找到的组的参考。
- 登录时,Orchestrator 会根据 AD 数据库和 UiPath Identity Server 检查您的组成员身份。如果确认,它会自动将您的用户配置为目录用户,然后将其与从目录组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
- 自动配置在用户首次登录时进行。自动配置的用户帐户在注销时不会被删除,因为出于审核目的,您可能需要该条目。
-
每次登录时,对目录中组成员身份所做的更改都会与 Orchestrator 同步,对于活动的用户会话,则每小时同步一次。
如果您是 X 组的成员,将会发生以下情况:
-
您登录后,Orchestrator 会检查您的组成员身份,然后根据 AD 数据库和 Identity Server 确认您的身份。系统随后会根据 Orchestrator 配置向您授予访问权限。如果在您有活动会话的情况下,系统管理员将您的组成员身份从组 X 更改为组 Y,则 Orchestrator 将每小时询问一次更改,或者在您下次登录时询问。
- 无论组成员身份如何变化,配置会话之间持续存在的访问权限的唯一方法是直接向用户帐户分配角色,而不是通过组成员身份。
- 无法确定继承的访问权限(从组成员身份)的 AD 用户的行为类似于本地用户,这意味着它们仅依赖于分配给用户帐户的角色。
- AD 中的组会与 Orchestrator 同步,但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。
已知问题
- 由于各种网络或配置问题,可能并非“域名”下拉列表中显示的所有域都可访问。
- 在 AD 中对用户名或组名所做的更改不会传播到 Orchestrator。
- 使用新添加的双向信任域更新域列表最多可能需要一个小时。
GetOrganizationUnits(Id)
和GetRoles(Id)
请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过/api/DirectoryService/GetDirectoryPermissions?userId={userId}
端点检索。- 用户界面也是如此,用户页面上仅显示显式设置的文件夹和角色。相反,继承的文件夹和角色具有新的专用位置,即用户权限窗口(用户>更多操作>查看权限)。
- 默认情况下,用户不会从父组继承警示订阅设置,也不会接收任何警示。要访问警示,您需要显式授予用户相应的权限。
- 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
- 在某些浏览器上,使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此,如果 domain\username 语法不起作用,请尝试仅填写用户名。
审核注意事项
- 用户成员身份:用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
- 自动配置:从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。
要能够在“用户”和“个人资料”页面上执行各种操作,需要获得相应的权限:
- 用户 - 查看 - 显示“用户”和“个人资料”页面。
- 用户 - 编辑 - 在“配置文件”页面上编辑用户详细信息和设置,并在“用户”页面上激活/停用用户。
- “用户 - 视图” 和“ 角色 - 视图 - 显示用户权限”。
- 用户 - 编辑和角色 - 查看 - 在“管理访问权限”>“分配角色”页面上,编辑角色分配。
- 用户 - 创建和角色 - 查看 - 创建用户。
- 用户 - 查看和角色 - 编辑 - 从“管理访问权限”>“角色”页面打开的“管理用户”窗口中管理角色。
- 用户 - 删除 - 从 Orchestrator 中删除用户。
尽管您可以为任何权限选择所有可用权限(查看、编辑、创建或删除),但以下权限对所列权限无效:
权限 |
类别 |
---|---|
编辑 |
|
创建 |
|
删除 |
|
例如,这是因为无法编辑系统生成的日志。
默认情况下,Orchestrator 不允许用户通过基本身份验证进行访问。可通过添加和配置 Auth.RestrictBasicAuthentication 设置来启用此功能。这使您能够创建可以使用其基本身份验证凭据访问 Orchestrator 的本地帐户,从而允许您维护在调用 Orchestrator API 时依赖基本身份验证的现有集成。
创建和编辑帐户时,可以启用基本身份验证。
要在“用户”和“角色”页面上执行各种操作,需要获得相应的权限:
- 用户 - 查看 - 显示“用户”和“个人资料”页面。
- 用户 - 编辑 - 在“配置文件”页面上编辑用户详细信息和设置,并在“用户”页面上激活/停用用户。
- 用户 - 查看和角色 - 查看 - 在“用户权限”窗口中显示用户权限。
- 用户 - 编辑和角色 - 查看 - 在“管理访问权限”>“分配角色”页面上,编辑角色分配。
- 用户 - 创建和角色 - 查看 - 创建用户。
- 用户 - 查看和角色 - 编辑 - 从“管理访问权限”>“角色”页面打开的“管理用户”窗口中管理角色。
- 用户 - 删除 - 从 Orchestrator 中删除用户。
1. 对于属于多个组的用户,访问方式会发生什么情况?
用户将收到与其所属的每个组关联的访问权限并集。
示例:John Smith 属于已添加到 Orchestrator 的人力资源组和财务组。人力资源组具有管理角色以及对“人力资源”文件夹的访问权限,财务组具有执行者角色以及对“财务”文件夹的访问权限。作为这两个组的成员,John 拥有管理角色和执行者角色,以及对“人力资源”文件夹和“财务”文件夹的访问权限。
2. 同时将用户单独与其所属的组一起添加时,访问方式会发生什么情况?
用户将收到与其所属的组关联的访问权限并集,以及显式设置的访问权限。请记住,继承的访问权限取决于组设置,并且显式设置的访问权限独立于组设置。
示例:John Smith 是从 AD 中单独添加的,并且已显式向其授予执行者角色以及对“财务”文件夹的访问权限。人力资源组(John 属于该组)也已添加到 Orchestrator 中,并获得管理角色以及对“人力资源”文件夹的访问权限。John 具有执行者角色和管理角色,以及对“人力资源”文件夹和“财务”文件夹的访问权限。如果在 AD 级别将他从人力资源组中删除,他将失去管理角色和对“人力资源”文件夹的访问权限,但会保留显式设置的访问权限。
3. 我的用户属于两个组,第一个组允许自动创建机器人,第二个组则不允许。是否会为我的用户创建机器人?
由于用户收到与其所属的所有组关联的权限并集,因此系统会根据第一个组的配置为该用户创建机器人。
4. 我已删除/停用目录组。关联的目录用户是否仍可以登录?
不可以,如果您没有为其显式设置访问权限。可以,前提是您在 Orchestrator 中单独向其授予了访问权限。继承的权限仅在用户会话期间保留。只有明确设置的访问权限会在会话之间保留。删除或取消激活目录组将删除继承的权限,但对已显式设置的权限无效。
5. 对 AD 组做出的更改在 Orchestrator 中何时生效?
WindowsAuth.GroupMembershipCacheExpireHours
参数进行更改。