orchestrator

2023.10

true

发行说明
- 2023.10
- 2023.10.1
- 2023.10.3
- 2023.10.4
- 2023.10.5
- 2023.10.6
- 2023.10.7

Orchestrator 发行说明

适用平台：

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Last updated 2024年10月14日

2023.10

发行日期：2023 年 10 月 23 日

管理类新闻

新的数据库维护脚本

发行日期：2023 年 11 月 1 日

保持 Orchestrator 数据库整洁有序，可确保在日常操作和升级期间提供流畅的体验。但是，随着自动化操作的规模和覆盖率的增加，这可能会成为一项艰巨的任务。为了帮助您简化清理工作，我们创建了一组脚本，您可以使用它们来定期清理旧数据，我们还为该脚本添加了用于安排在方便的时间执行脚本的选项。

您可以在专用文档中阅读有关 Orchestrator 数据库维护脚本的更多信息，也可以从 Customer Portal 下载这些脚本。

Classic folders removal

已将传统文件夹及其所有关联对象删除。此更改将从 Orchestrator 界面中删除所有此类对象。

如果您计划升级到此版本，请确保将任何现有的传统文件夹迁移到新式文件夹。

您可以查看传统文件夹删除页面，详细了解导致此更改的步骤。

角色和权限更改

角色有助于彻底控制对 Orchestrator 功能和对象的访问，使您能够根据用户的权限可靠地分离用户。为了使此任务尽可能简单有效，我们将对默认角色做出一些更改。

权限更改

Automation User 文件夹角色和 Allow to be Automation User 租户角色不再具有发布流程的权限。这将为角色提供执行流程所需的最低文件夹级别权限。这样，我们可以确保个人用户包在未经审核的情况下不会意外发布。

新角色

提供两组新的角色，允许您组合多个角色，以便在保持粒度的同时获得所需的结果：

自动化发布者和允许成为自动化发布者 - 仅包含将流程发布到 Orchestrator 所需的权限，并且可以与任何现有角色结合使用。
Automation Developer 和 Allow to be Automation Developer - 可以创建自动化。

备注：

新角色将以只读方式添加。

如果组织已包含与上述新角色之一同名的自定义角色，我们会将其重命名为“角色名称 - 自定义”。这样，两个角色都可以使用。

分配更改

分配默认文件夹角色时，系统会自动提示您也分配对应的租户角色。我们通过这种方式确保您不会缺少自动化所需的任何权限。

备注：

已知问题：此选项不适用于 Active Directory 用户或组。

删除检查

当取消向用户分配 Orchestrator 管理员角色时，我们会检查该用户是否不是最后一个拥有该角色的用户。如果没有其他用户或组具有管理员或 Orchestrator 管理员角色，则删除用户或组时，同样的检查适用。

Citizen Developer 用户组简介

我们很高兴宣布推出平台访问控制功能的最新增强功能，我们引入了一个新的用户组：Citizen Developers。此新组在组织级别定义，并将与平台内的所有服务无缝集成。

借助 Citizen Developers 组，Citizen Developer 可以访问与其工作相关的资源，而不会造成任何不必要的访问混乱，从而减少管理员的开销。

要详细了解如何将用户组集成到平台内的各种服务中，请参阅产品文档。

Unattended Robot 设置

Unattended 自动化是 Orchestrator 的核心功能之一，它允许您设置可以自行执行的任务，而无需人工参与。然而，其看似简单的输出建立在复杂的基础之上，其中涉及将合适的组件拼凑在一起。

为了帮助您无缝导航设置流程，我们创建了“Unattended Robot”设置选项，该选项位于 Orchestrator 工具栏的“新建”菜单中。

您目前可以选择基于默认选择的自托管计算机模板设置流程，我们即将提供更多选择。

单击“开始使用”，您可以开始为未来的 Unattended 自动化选择必要的 Orchestrator 对象：计算机模板、机器人帐户、文件夹和连接设置。每个步骤都附带详细的说明和实用的提示，以及指向您可以创建任何所需对象的部分的链接。

权限检查更改

现在，从 API 创建队列触发器也需要队列的“创建”权限。

已删除 Auth.RememberMe.Enabled 设置

已删除 UiPath.Orchestrator.dll.config 文件的 Authorization 部分中的 Auth.RememberMe.Enabled 设置，因为已不再使用它。这使您可以选择是否显示“登录”页面上的“记住我”复选框。但是，此特定选项已移至 Identity Server，因此无法再从 Orchestrator 配置。

新的 HashiCorp 保险库密码引擎

OpenLDAP 存储现在可用作 HashiCorp 保险库的密码引擎。

非活动个人工作区的转换

现在，当您将不活动的个人工作区转换为文件夹时，该工作区仅对启动转换的管理员可用。因此，其他用户无法访问它。

Elasticsearch 的 API 密钥身份验证

现在，您可以通过自己生成并存储在密钥保险库中的 API 密钥登录 Elasticsearch。您只需检索密钥，将其存储在 Azure 密钥保险库中，然后按照我们的说明将 Orchestrator 连接到此保险库。

组警示

现在，您可以为组设置警示订阅。通过这种方式，您可以根据组成员的共同点控制组接收的警示类型。

然后，系统会向这些组中的用户发送后续警示电子邮件，前提是这些用户在组级别具有“查看”警示权限。

已知问题：

无论单个组成员的语言首选项如何，发送给组的警示电子邮件都可以用英语编写。
本地组和已启用邮件的 AD/AAD 组中的本地用户可能会收到重复的电子邮件，因为这是为两个组生成的警示。

自动化资产更新

对待处理作业进行故障排除

您可能想知道为什么您的作业卡在“待处理”状态，不知道如何使其运行。我们将在“作业详细信息”窗口中提供一个部分，专门用于说明作业尚未开始的原因。此外，您还将获得针对各种原因的可行建议（如有） - 建议可以是指向 Orchestrator 中可修复问题的部分的链接，也可以是针对特定场景要采取的特定操作。如果您无权修复问题，则可能需要向管理员寻求帮助。

导出作业网格

是否曾经想根据您的作业数据创建仪表板和指标？您不会遇到任何障碍，因为您可以从当前文件夹导出所有作业报告，并将其下载到您的计算机中。参阅有关导出网格的更多信息。

报告导出改进

我们简化了从网格导出数据的方式。以下是您现在可以受益的更改：

单击“导出”时，系统不再要求您确认。相反，系统会向您显示一条通知，通知您正在进行导出。

完成后，系统将显示另一个通知，通知您已导出的数据可供下载。

如果您具有“警示 - 查看”权限，则下载将自动开始。

否则，您可以从“我的报告”页面下载导出的数据。

导出中的时间列合并

包含从队列事务、审核、日志和作业页面导出的数据的报告包括重复信息实例，这些实例现已清理。具体来说，导出现在仅包含绝对时间列，这些列以租户的时区表示。

弃用报告端点

现已弃用可用于审核日志、机器人日志和队列定义的报告端点。因此，我们建议不要使用以下内容：

GET/odata/AuditLogs/UiPath.Server.Configuration.OData.Reports
GET//odata/RobotLogs/UiPath.Server.Configuration.OData.Reports
GET/odata/QueueDefinitions({key})/UiPathODataSvc.Reports

上面列出的端点将于 2024 年 4 月删除。

如果您想检索此类报告，建议您执行以下步骤：

通过调用相应的端点来开始导出：
- 对于审核日志：POST/odata/AuditLogs/UiPath.Server.Configuration.OData.Export
- 对于机器人日志：POST/odata/RobotLogs/UiPath.Server.Configuration.OData.Export
- 对于队列定义：POST/odata/QueueDefinitions({key})/UiPathODataSvc.Export
重要提示：
- 此操作将返回接下来两个步骤所需的 ID。
通过调用 GET/odata/Exports({key}) 端点并将第 1 步返回的 ID 附加到该端点来获取报告的状态。
状态为已完成后，通过调用 GET/odata/Exports({key})/UiPath.Server.Configuration.OData.GetDownloadLink 端点并将第 1 步返回的 ID 附加到该端点，即可获取用于检索导出存档的下载链接。

记录失败的队列事务

现在可以记录由于队列事务失败而失败的流程，以进行调试。此选项名为“记录并存储失败的队列事务”，您可在流程级别启用“作业记录”设置的“视频”部分。

其输出可以直接在 Orchestrator 中的队列事务本身中呈现。

队列名称中含有无效字符

如果队列名称包含无效字符 (\ / : * ? " < > |)，则无法成功导出队列事务。现在，使用 _ 来替换无效字符可解决此问题，从而实现导出队列项目。

队列处理记录限制说明

用于通过 API 返回队列和事务统计信息的 QueueProcessingRecords 资源至多可返回 90 天前的数据。您可以按天、小时和分钟请求数据，但仅当数据是在过去 90 天内记录时，系统才会显示数据。

这不会影响用户界面功能，其中信息新近度的上限仍为 30 天。

存储桶名称中的点

Amazon S3 存储桶名称中现在允许使用非连续的点。

内部包排序

内部包，即通过 Orchestrator 托管的订阅源上传的包，现在按发布日期排序。发布日期是包的最新版本的发布日期。

新计算机密钥参数

我们向 GET/odata/RobotLogs 端点添加了一个新参数，即 MachineKey。顾名思义，这将存储先前由 MachineId 参数保存的计算机密钥。

引入了具有 GUID 格式的 MachineKey 是为了在租户移动方案中保留机器人日志。MachineId 具有动态数字格式，这意味着在这种情况下无法加以保留。

虽然两者目前并行工作，但我们强烈建议使用 MachineKey，因为 MachineId 将于 2024 年 4 月删除。

从个人工作区运行作业

从个人工作区启动的作业必须始终以启动它们的用户的身份运行，而不是以个人工作区所有者的身份运行。因此，如果您想在探索个人工作区时开始作业，则需要为此特定目的定义自己的机器人，而无论该工作区中定义的任何其他机器人如何。

作业重新启动计算机选择

当您重新启动作业时，“计算机”字段现在会预填充最初用于该特定作业的同一台计算机。

“新作业”页面筛选器

“作业”页面已使用新的“流程”筛选器进行了增强，使您可以根据所需条件进一步缩小作业列表的范围。

队列项目最终状态

为确保队列项目之间最终状态的一致性，我们在调用 SetTransactionResult 端点时强制执行以下错误响应。

失败的项目上包含成功负载：

POST https://{yourDomain}/odata/Queues(1)/UiPathODataSvc.SetTransactionResult
{
  "transactionResult": {
    "IsSuccessful": true
  }
}POST https://{yourDomain}/odata/Queues(1)/UiPathODataSvc.SetTransactionResult
{
  "transactionResult": {
    "IsSuccessful": true
  }
}

成功的项目上包含失败负载：

POST https://{yourDomain}/odata/Queues(1)/UiPathODataSvc.SetTransactionResult
{
  "transactionResult": {
    "IsSuccessful": false,
    "ProcessingException": {
      "Reason": "string",
      "Details": "string",
      "Type": "ApplicationException"
    }
  }
}POST https://{yourDomain}/odata/Queues(1)/UiPathODataSvc.SetTransactionResult
{
  "transactionResult": {
    "IsSuccessful": false,
    "ProcessingException": {
      "Reason": "string",
      "Details": "string",
      "Type": "ApplicationException"
    }
  }
}

错误代码为 1866，并显示消息“从最终状态开始的转换无效”。这表示您无法在队列项目达到最终状态后更改状态。

除了优化队列处理机制外，这还使 UiPath Insights 能够根据队列项目事件更新和正确同步数据。

重要提示：当您使用 SetTransactionResult 负载中的 DeferDate 或 DueDate 属性将事务移出最终状态时，您将收到相同的错误代码。今后，要设置新的推迟日期或截止日期，您需要克隆事务或创建新事务。

流程数据的保留策略

您现在可以为作业设置自定义默认保留策略。您可以选择永久删除旧的作业，也可以将其移动到指定的存储桶中，以供将来访问。此操作可助您有组织地释放数据库，并且 Orchestrator 的性能会更好。但您应该注意，即使您不配置自己的策略，系统仍会应用默认策略。

此外：

在“流程”>“列”筛选器中，有两个新的保留列可供选择，以帮助您快速识别流程的现有策略
“警示首选项”页面上的电子邮件订阅有新警示，用于通知您流程保留失败

在我们的文档页面上了解相关保留策略提示和技巧。

引入计算机维护模式

现在，无论何时要对计算机执行维护，您都可以选择使计算机离线。前往租户级别“监控”页面的“无人值守的会话”部分，将“维护”列中的开关切换到“开启”即可启用相关选项。

启用该选项后，您可以选择等待正在运行的作业完成，或在进入维护模式之前终止所有正在运行的作业。但是，待定作业会保持其状态，直到被选取为止。

执行设置更改

我们添加了新设置，以帮助您控制作业失败后何时禁用触发器。以下是您现在可以从中受益的内容：

时间触发器和队列触发器创建窗口中的新设置，即“设置基于执行的触发器禁用”。启用切换后，系统将为您提供两个选项：
- “连续作业执行计数失败时禁用”– 在达到您为此设置选择的失败执行次数后，禁用触发器。
- “禁用触发器的宽限期（天）”– 作业第一次失败后禁用触发器之前要等待的天数。

可用性改进

包下载的权限检查

现在，机器人只要拥有包的查看权限，就可以从租户订阅源下载程序包。

SLA 预测中的分钟数

现在，您可以更精细地设置 SLA 预测，因为我们已将“分钟”字段添加到“为此队列启用 SLA”部分和“风险 SLA”部分。

处理 CRON 表达式中的月份

当 CRON 表达式使用 31W 子表达式时，我们改变了对待短于 31 天的月份的方式，以指示作业应在每月的最后一天执行，或者在离每月最后一天最近的工作日执行。

当前行为如下：

对于有 31 天的月份，31W 子表达式将导致系统在以下日子执行作业：
- 如果是工作日，则在该月的 31 日
- 如果 31 日是周末，则在最接近 31 日的工作日

对于少于 31 天的月份，31W 子表达式会阻止执行任何作业，从而完全跳过该月。在这种情况下，我们建议改用 LW。无论天数如何，这都会在当月的最后一个工作日触发作业，这意味着不会跳过任何月份。

新事务列

我们在“事务”页面中添加了四个新列（“队列”>“查看事务”）：

截止日期 (绝对值)
延期 (绝对值)
已开始 (绝对值)
已结束 (绝对值)

请注意，系统默认不会启用这些列，因此请确保从“列”列表中选择它们。

这些列也包含在导出的报告中。

“租户搜索”中新增的“类型”筛选选项

“租户搜索”窗口的“类型”筛选菜单中添加了“操作目录”选项。

必需 Webhook 名称

对于通过 POST odata/Webhooks 端点创建的 Webhook，现在必须提供“名称”参数。

外部应用程序分配

与帐户和组分配相关的用户界面项目已更新，以表明也可以分配外部应用程序。具体来说，“分配帐户/组”现在是“分配帐户/组/外部应用程序”。

事务审核人列

事务“审核人”列现在包含审核人的姓名和电子邮件地址。

包资源管理器中包含来源的包

现在可以在包资源管理器中完整查看与所有 .xaml 源一起上传的 Studio 包（即在“发布选项”>“编译设置”部分中选择“包括源”选项）。该情况适用于 Windows 和跨平台项目。

错误的作业信息限制

现在，专用于在作业出现故障时存储的异常信息的存储空间限制为 42 KB。

错误消息说明

凭据存储连接错误

如果未与包含机器人凭据的凭据存储建立连接，从而导致无法检索密码，则机器人将不再启动，并且系统现在会返回以下错误：

Unable to retrieve credentials from {credential_store_name} credential store. Please check your connection settings and ensure the {credential_store_name} service is running.Unable to retrieve credentials from {credential_store_name} credential store. Please check your connection settings and ensure the {credential_store_name} service is running.

这可以防止您因反复尝试在没有凭据的情况下启动机器人而被锁定在机器人帐户之外。

许可证过期错误

当 Unattended 许可证过期时，可用于分配的数量将不再与实际分配的数量相符。在这种情况下，系统将显示以下错误解释：

Update failed! Too many licenses [license type] have been allocated. Please disconnect X [license type] from machines runtimes to match the number of defined licenses.

错误修复

我们修复了一个问题，如果 Orchestrator 和 Identity Server 部署为具有不同 URL 的 Azure 应用程序服务，则该问题会阻止 Swagger 身份验证。

重要提示：此修复程序仅适用于此版本。对于以前的版本，您需要将以下部分添加到 web.config 文件中：

<rewrite>
      <outboundRules>
         <rule name="CSP">
          <match serverVariable="RESPONSE_Content-Security-Policy" pattern=".*" />
          <action type="Rewrite" value="default-src 'self' https://<YOURIDENTITYURL>;connect-src 'self' https://<YOURIDENTITYURL>;script-src 'self' 'unsafe-inline';style-src 'self' 'unsafe-inline';img-src 'self' data:;font-src 'self'" />
        </rule>
      </outboundRules>
</rewrite><rewrite>
      <outboundRules>
         <rule name="CSP">
          <match serverVariable="RESPONSE_Content-Security-Policy" pattern=".*" />
          <action type="Rewrite" value="default-src 'self' https://<YOURIDENTITYURL>;connect-src 'self' https://<YOURIDENTITYURL>;script-src 'self' 'unsafe-inline';style-src 'self' 'unsafe-inline';img-src 'self' data:;font-src 'self'" />
        </rule>
      </outboundRules>
</rewrite>

当您从主机租户中删除用户，然后使用与已删除的用户名和电子邮件地址相同的用户名和电子邮件地址创建另一个用户时，您将无法再登录到任何非主机租户。发生这种情况的原因是，在删除具有相同信息的另一个用户后，缺少有关配置新用户的规则。现在，此问题已修复。
未采用 Identity Server appsettings.json 文件中的 minLevel NLog 设置。默认的 minLevel 为“Info”，表示应记录严重性为“Info”及更高级别的日志。但是，此时并未考虑 minLevel，并且系统也将严重性级别较低的日志（特别是“Trace”和“Debug”）写入日志。
以前存在一个问题，即在检索安全组时无意中包含已知 SID，从而导致意外行为。获取安全组时不再包括已知 SID，从而确保功能更流畅、更可预测。
升级到版本 2022.10.1 或更高版本后，登录到主机租户，注销，然后切换到其他租户，会导致重定向回先前的注销位置，而不是所选租户。现在，在注销并切换租户后，系统会将您正确重定向到所选租户的页面，而不是之前的注销位置。
导航“浏览存储桶”窗口时会出现一些次要显示问题，这些问题现已修复。

Security vulnerability fixes

由于缺乏同步，在组织级别对机器人帐户和外部应用程序所做的更改不会反映在 Orchestrator 中。现在，当您删除或重命名外部应用程序，或者在组织级别删除机器人帐户时，在添加实体的 Orchestrator 文件夹中，这些实体也会发生同样的情况。
在“编辑队列项目”窗口中，在事务级别使用“上传 JSON 并覆盖”选项，您可以绕过与不支持的字符相关的重要验证。这将导致尝试使用该特定队列时出错。将不再出现此问题。

Swagger UI

我们修复了影响 Swagger 用户界面 3.14.1 至 3.37.2 版本的问题，该问题允许其库获取通过 Swagger 用户界面链接的潜在恶意规范文件。请注意，无法直接利用此问题，并且需要经过身份验证的用户才能实际打开恶意链接。

为解决此问题，我们强烈建议您更新到最新版本（主要更新或累积更新）。

有关详细信息，请参阅安全公告。

常见漏洞和披露情况

This release brings security updates and patches to address Common Vulnerabilities and Exposures (CVEs).

已知问题

当前未审核在平台管理级别执行的标签操作，例如创建、编辑或删除标签。
以具有 Allow to be Automation User 角色的用户身份运行 8 万个或更多 Attended Robot 会导致性能下降。这是因为该角色具有警示的“查看”权限。解决方法是，您可以创建并分配一个新角色，该角色具有与 Automation User 相同的权限，但不具有“警示 - 查看”权限。
“作业执行失败后自动禁用触发器。”警示（由于启用了“设置基于执行的触发器禁用”开关而在自动禁用触发器时生成）在此版本中不起作用。我们将于第一个 2023.10 补丁中修复此问题。
添加于 2023 年 10 月 26 日

从当前版本开始移除标准计算机。这意味着您无法再创建新的标准计算机，我们建议您改用计算机模板。但是，相应的界面选项仍然可见，但我们强烈建议您不要使用它，因为它不会按预期工作。我们将在下一个补丁中将其完全删除。
When you upgrade to a major version, the upgrade might fail with an error that the NLog extension UiPath.Orchestrator.Logs.Elasticsearch.dll is not compatible with the new version of Orchestrator. To avoid this issue, you should always use the latest patch version.