访问控制
在 Orchestrator 中,您可以使用角色来控制用户、组、机器人帐户和外部应用程序的访问权限级别。在此页中,我们将介绍您需要了解的概念,以便有效地规划和实施访问控制策略:
- 帐户和应用程序(即用户帐户、机器人帐户、外部应用程序),表示用于访问 Orchestrator 资源的身份
- 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予明确权限
- 组,这些组通过向多个用户帐户授予相同的访问权限来简化帐户管理
不在 Orchestrator 中创建和管理帐户,仅在 Orchestrator 角色和分配中创建和管理帐户。帐户由组织管理员创建,创建后可以在 Orchestrator 中将其分配给文件夹或租户。
Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合,这意味着将使用某些 Orchestrator 实体所需的权限分配给角色。
角色权限和用户角色关系允许对 Orchestrator 进行一定级别的访问。用户通过一个或多个角色获得执行特定操作所需的权限。由于未直接为用户分配权限,用户仅通过角色获得权限,权限管理涉及为用户分配适当的角色。
有两种类型的权限,如下所示:
- 租户权限定义用户在租户级别对资源的访问权限。
- 文件夹权限定义用户在分配到的每个文件夹中的访问权限和能力。
- 文件夹权限 (租户作用域):
- 授予对创建、编辑或删除层次结构根文件夹的控制权。
- 允许用户管理整个租户中的所有文件夹。
- 通常会向管理员或负责管理组织的用户授予权限。
- 子文件夹权限(文件夹作用域):
- 授予对创建、编辑或删除子文件夹的控制权。
-
允许用户管理分配给他们的特定文件夹及其下的任何子文件夹。
-
提供更精细的控制,使用户能够管理特定文件夹,而无需控制租户中的其他文件夹。
根据角色所包含的权限,可以分为三种类型的角色:
- 租户角色,包括租户权限,是在租户级别工作所必需的。
- 文件夹角色,包括在文件夹中工作的权限。
-
混合角色,包含两种类型的权限。
在混合角色的情况下,对于全局操作,仅考虑用户的租户权限;对于特定于文件夹的操作,如果定义了自定义角色,则与任何租户权限相比,将优先应用文件夹权限。
注意:不再支持混合角色,您无法新建角色。如果您有混合角色,我们建议将其替换为租户角色和文件夹角色,以授予所需权限。
用户可以使用以下资源,具体取决于用户的角色类型:
租户资源 |
文件夹资源 |
---|---|
|
|
Auth.DisabledPermissions
参数来完全禁用用户界面和 API 中的权限。
通常,您可以为任何权限选择所有可用权限(查看、编辑、创建或删除),但以下权限对列出的权限无效,因此您无法编辑它们:
权限类型 |
权限 |
不可用的权限 |
---|---|---|
租户 |
警示 |
|
审核 |
| |
文件夹 |
执行介质 |
|
日志 |
| |
监控 |
|
例如,这是因为无法编辑系统生成的日志。