orchestrator

2023.4

false

入门指南
- 简介
- 用户选项
- 登录 Orchestrator
- 重置密码
- 机器人
  - 机器人状态
  - 机器人设置
- 自动更新客户端组件
- Orchestrator 配置清单
最佳实践
- Orchestrator 中的组织建模
- 管理大型部署
- 自动化最佳实践
- 使用计算机模板优化无人值守基础架构
- 无人值守的自动化
  - Unattended 自动化中的实用概念
  - 如何执行 Unattended 自动化
- 使用标签组织资源
- Orchestrator 只读副本
- 在后台导出网格
租户
- 关于租户上下文
- 搜索租户中的资源
- 机器人
- 文件夹
- 监控
- 管理访问和自动化功能
- 计算机
- 包
- 审核
- 凭据存储
  - 管理凭据存储
  - 集成凭证存储
- Webhooks
  - 事件类型
  - 管理 Webhook
- 许可
  - 管理许可证
- 警示
- 设置 - 租户级别
资源目录服务
- 关于资源目录服务
文件夹上下文
- 关于文件夹上下文
- 主页
自动化
- 关于自动化
流程
- 关于流程
- 管理流程
- 管理包要求
- 录制
作业
- 关于作业
- 管理作业
- 作业状态
- 使用长时间运行的工作流
- 运行个人远程自动化
- 作业故障排除
触发器
- 关于触发器
  - 时间触发器
  - 队列触发器
- 管理触发器
  - 创建时间触发器
  - 创建队列触发器
- 管理非工作日
- 使用 CRON 表达式
  - 在当月的最后一天触发作业
日志
- 关于日志
- 在 Orchestrator 中管理日志
- 日志记录级别
- Orchestrator 日志
监控
- 关于监控
- 计算机
- 流程
- 队列
- 队列 SLA
队列
- 关于队列和事务
- 使用 CSV 文件批量上传队列项目
- 在 Orchestrator 中管理队列
- 在 Studio 中管理队列
- 管理事务
  - 编辑事务
  - 事务 .csv 文件的字段说明
- 审核请求
资产
- 关于资产
- 在 Orchestrator 中管理资产
- 在 Studio 中管理资产
- 将资产存储在 Azure Key Vault 中（只读）
- 将资产存储在 HashiCorp 保险库（只读）中
- 在 AWS Secrets Manager（只读）中存储资产
存储桶
- 关于存储桶
  - CORS/CSP 配置
- 管理存储桶
- 在存储提供程序之间移动存储桶数据
Test Suite - Orchestrator
- 测试自动化
- 测试用例
  - 测试用例页面的字段描述
- 测试集
  - 测试集页面的字段描述
- 测试执行
  - 测试执行页面的字段描述
- 测试计划
  - 测试计划页面的字段描述
- 测试数据队列
- 测试数据保留策略
其他配置
- 提高包文件的大小限制
- 根据租户设置加密密钥
- GZIP 压缩
集成
- 关于输入和输出参数
  - 使用输入和输出参数的示例
传统机器人
- 机器人
- 环境
  - 管理环境
- 作业
- 触发器
- 监控
  - 机器人
- 资源
主机管理
- 关于主机级别
- 管理系统管理员
- 管理租户
- 配置主机身份验证设置
- 管理主机许可证
  - 向租户分配许可证
- 配置系统电子邮件通知
- 配置其他主机设置
- 主机门户的审核日志
- 维护模式
组织管理
- 关于组织
- 管理组织管理员
- 管理组织设置
- 配置组织身份验证
- 配置组织安全性
  - 会话策略
  - 限制对一组用户的访问
- 关于许可
  - 激活许可证
- 帐户和组
  - 管理访问权限
  - 管理帐户和组
- 授权外部应用程序
  - 管理外部 OAuth 应用程序
  - 为机密应用程序配置精细访问权限
- 管理标签
- 覆盖系统电子邮件通知
  - 电子邮件设置
    - 不发送系统电子邮件 - SslHandshakeException
- 审核日志
故障排除
- 关于故障排除
- Orchestrator 常见错误
- 浏览器组策略
- CRON 表达式

重要 :

请注意此内容已使用机器翻译进行了部分本地化。

Orchestrator 用户指南

适用平台：

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Last updated 2024年11月11日

管理访问和自动化功能

在“管理访问权限”页面上，您可以定义和分配角色以及配置帐户的自动化功能。在 Orchestrator 中，您可以使用角色来控制用户应具有的访问权限级别。在此页中，我们将介绍您需要了解的概念，以便有效地规划和实施访问控制策略。

使用两个元素控制用户可以执行的访问级别和操作：

帐户，用于建立用户身份并用于登录到 UiPath™ 应用程序。
角色，这些角色被分配给帐户，以便在 UiPath 生态系统中向其授予某些权限。

帐户由组织管理员创建和管理，如帐户和组中所述。帐户必须已存在，才能为其分配角色。

本页及后续页面介绍：

如何管理角色
如何管理作为角色设置的一部分配置的自动化功能。

关于帐户

帐户是具有依赖访问权限的功能的 UiPath 平台实体，其对 Orchestrator 的查看和控制取决于所分配的访问权限。

帐户可以是：

已在本地创建和管理（本地帐户）
在外部目录中创建和管理（目录帐户和目录组）。请参阅下方的“ AD 集成”一节，以便更好地了解目录集成。

您可以从组织级别的管理门户添加帐户，并且帐户仅在相应的组织内可用。

成功添加帐户后，有两种方法可以向其授予 Orchestrator 的访问权限：将帐户添加到组中，以便继承组的角色，或在服务级别为每个帐户分配角色。您可以使用这两种方法对帐户在组织中的访问权限进行精细控制。

AD 集成

Orchestrator 中引用的活动目录 (AD) 使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中，可以在组级别（目录组）或用户级别（目录用户）配置目录帐户的访问权限级别。

您可以集成：

先决条件

在 WindowsAuth.Domain 参数中填充有效的域。添加目录用户/组时，与 WindowsAuth.Domain 参数中指定的域双向信任的林中的所有域和子域均可用。
将安装了 Orchestrator 的计算机加入到 WindowsAuth.Domain 参数中设置的域中。要查看设备是否已加入域，请从命令提示符中运行 dsregcmd /status，然后导航至“设备状态”部分。
运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。

行为

添加目录组会在 Orchestrator 中创建一个用户组实体，您可以根据需要为其配置访问权限。Orchestrator 中的此条目用作 AD 中找到的组的参考。
登录时，Orchestrator 会检查您的组成员身份。如果确认，它会自动配置您的用户帐户，然后将其与从组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
系统会在您首次登录时进行自动配置。注销时不会删除自动配置的用户帐户，因为您可能需要该条目进行审核。
登录时，Orchestrator 会检查帐户的组成员身份，或在活动会话期间每小时检查一次。如果帐户的组成员身份发生更改，则该帐户的更改将在下次登录时应用，如果当前已登录，则在一小时内应用更改。

可以通过设置 IdentityServer.GroupMembershipCacheExpireHours的值来更改检查组成员身份的一小时间隔。
AD 中的组会与 Orchestrator 同步，但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。
无法确定继承的访问权限（从组成员身份）的 AD 用户的行为类似于本地用户，这意味着它们仅依赖于分配给用户帐户的角色。
无论组成员身份如何变化，配置在会话之间持续存在的访问权限的唯一方法是直接将角色分配给 Orchestrator 中的用户帐户，而不是使用组来分配角色。

已知问题

由于各种网络或配置问题，可能并非“域名”下拉列表中显示的所有域都可访问。
在 AD 中对用户名或组名所做的更改不会传播到 Orchestrator。
使用新添加的双向信任域更新域列表最多可能需要一个小时。
GetOrganizationUnits(Id) 和 GetRoles(Id) 请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过 /api/DirectoryService/GetDirectoryPermissions?userId={userId} 端点检索。
用户界面也是如此，用户页面上仅显示显式设置的文件夹和角色。相反，继承的文件夹和角色具有新的专用位置，即用户权限窗口（用户>更多操作>查看权限）。
默认情况下，用户不会从父组继承警示订阅设置，也不会接收任何警示。要访问警示，您需要显式授予用户相应的权限。
删除目录组并不会删除相关目录用户的许可证，即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
在某些浏览器上，使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此，如果 domain\username 语法不起作用，请尝试仅填写用户名。

审核注意事项

用户成员身份：用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
自动配置：从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。

用户类型

组

通过组，您可以通过组对多个用户应用相同的角色和配置，同时管理多个用户。

用户的成员身份可从“管理”>“帐户和组”进行设置。

用户组基于组中添加或删除的用户而启用具有组权限的自动访问，而无需单独管理用户权限。

有 4 个默认的本地组：“Administrators”、“Automation Users”、“Automation Developers”和“Everyone”。在您创建的每个新服务中，所有组都具有默认的权限集。以后可以为每个 Orchestrator 服务自定义现成的角色。

如果您需要的组超过 UiPath 提供的 4 个默认组，则可以创建自定义本地组。与默认本地组不同，自定义组需要在 Orchestrator 中手动添加，以确保用户的组成员身份与 Orchestrator 中的相应角色之间的正确映射。

组的角色将传递给属于该组的任何用户，无论是自动配置的还是手动添加的。我们将它们称为“继承的角色”，而不是“直接分配的角色”，后者只能针对每个帐户设置。

备注：

属于多个组的用户将从所有这些组继承访问权限。
属于多个组并已直接分配角色的用户具有从组继承并直接分配的所有角色的并集。
如果您属于已添加到 Orchestrator 的组，则不需要显式用户帐户即可登录 Orchestrator。
继承的角色取决于关联的用户组。如果组已从服务中删除，则该帐户的继承角色也将删除。
直接分配的角色不受帐户所在组的影响。无论组状态如何，它们都会持续存在。

示例

假设我将 John Smith 添加到了我的 Automation Cloud 组织中的“Automation Users”和“Administrators”用户组。

Automation User 组存在于 Finance Orchestrator 服务中
Administrator 组存在于 HR Orchestrator 服务中
在这两个服务中，John 的帐户也被直接分配了角色。

John 拥有每个服务的继承权限和显式权限的并集：

服务/角色	用户组	继承的角色	显式角色	整体
财务租户	自动化用户
租户级别角色	Allow to be Automation User	Allow to be Automation User	Allow to be Folder Administrator	Allow to be Automation User Allow to be Folder Administrator
文件夹级角色	文件夹 A 的 Automation User 文件夹 B 的 Automation User	文件夹 A 的 Automation User 文件夹 B 的 Automation User	文件夹 A 的 Folder Administrator	文件夹 A 的 Automation User 文件夹 B 的 Automation User 文件夹 A 的 Folder Administrator
HR 租户	管理员
租户级别角色	Allow to be Folder Administrator	Allow to be Folder Administrator		Allow to be Folder Administrator
文件夹级角色	文件夹 D 的 Folder Administrator 文件夹 E 的 Folder Administrator	文件夹 D 的 Folder Administrator 文件夹 E 的 Folder Administrator	文件夹 F 的 Folder Administrator	文件夹 D 的 Folder Administrator 文件夹 E 的 Folder Administrator 文件夹 F 的 Folder Administrator

用户

根据在 Orchestrator 中添加用户帐户的机制，它们可以分为两类：

手动添加的用户

已在 Orchestrator 中手动添加并已在租户级别或文件夹级别明确授予权限的用户。如果手动添加的用户帐户也属于已添加到该 Orchestrator 服务的组，则它们将继承组访问权限。

自动配置的用户

已添加到本地组并登录到 Orchestrator 的用户。他们可以基于从组继承的权限访问 Orchestrator。首次登录 Orchestrator 后，系统会自动对其进行配置。

重要提示：在“用户”页面上的“角色”列中，您可以看到为用户显式分配的角色，无论是手动添加还是自动设置的。继承的角色不会显示在此列中。

通过导航到特定用户的“更多操作”>“查看权限”>“用户权限”窗口，可以查看该用户的整个权限集（包括继承的权限）。

	手动添加的用户	自动配置的用户
继承访问权限	是	是
可以具有显式访问权限	是	是
Cloud Portal 是用户信息的中心	是	是
可以使用 SSO	是	是

机器人

当您手动将机器人部署到 Orchestrator 时，系统会自动创建机器人用户。默认情况下，机器人用户具有机器人角色。此角色授予您的机器人访问多个页面的权限，使其能够执行各种操作。

帐户和组图标

在管理帐户、组或角色的页面上，系统会针对每种类型显示特定图标，以帮助您识别帐户类型或组类型。

帐户图标

- UiPath 用户帐户：链接到 UiPath 帐户并使用基本身份验证登录的用户帐户

- SSO 用户帐户：链接到使用 SSO 登录的 UiPath 帐户的用户帐户；也适用于同时拥有 UiPath 用户帐户和目录帐户的用户帐户

- 目录用户帐户：该帐户源自目录并使用 Enterprise SSO 登录

- 机器人帐户

组图标

- 本地组 （或简单地说，组）：该组由主机管理员创建。

- 目录组：该组起源于已链接的目录。

用于管理用户的权限

要在“用户”和“角色”页面上执行各种操作，需要获得相应的权限：

用户 - 查看 - 显示“用户”和“个人资料”页面。
用户 - 编辑 - 在“配置文件”页面上编辑用户详细信息和设置，并在“用户”页面上激活/停用用户。
“用户 - 视图” 和“ 角色 - 视图 - 显示用户权限”。
用户 - 编辑和角色 - 查看 - 在“管理访问权限”>“分配角色”页面上，编辑角色分配。
用户 - 创建和角色 - 查看 - 创建用户。
用户 - 查看和角色 - 编辑 - 从“管理访问权限”>“角色”页面打开的“管理用户”窗口中管理角色。
用户 - 删除 - 从 Orchestrator 中删除用户。

关于角色

Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合，这意味着将使用某些 Orchestrator 实体所需的权限分配给角色。

角色权限和用户角色关系允许对 Orchestrator 进行一定级别的访问。用户通过一个或多个角色获得执行特定操作所需的权限。由于未直接为用户分配权限，用户仅通过角色获得权限，访问权限的管理涉及为用户分配适当的角色。请参阅修改用户角色。

权限和角色类型

有两种类型的权限，如下所示：

租户权限在租户级别定义用户对资源的访问。
文件夹权限在分配给用户的每个文件夹中定义用户的访问权限和能力。

两个主要权限集管理文件夹内的操作：

文件夹权限（租户范围）：
- 允许用户创建、编辑或删除整个租户中的所有文件夹。
- 通常会向管理员或负责管理组织的用户授予权限。
子文件夹权限（文件夹范围）：
- 允许用户创建、编辑或删除分配给他们的特定文件夹及其下的任何子文件夹。
- 提供更精细的控制，使用户能够管理特定文件夹，而无需控制租户中的其他文件夹。

根据角色所包含的权限，可以分为三种类型的角色：

租户角色，包括租户权限，是在租户级别工作所必需的。
文件夹角色，包括在文件夹中工作的权限。
混合角色，包含两种类型的权限。
在混合角色的情况下，对于全局操作，仅考虑用户的租户权限。对于特定于文件夹的操作，如果定义了自定义角色，则与任何租户级别权限相比，将优先应用这些权限。

注意：不再支持混合角色，您无法新建角色。如果您有混合角色，我们建议将其替换为租户角色和文件夹角色，以授予所需权限。

用户可以使用以下资源，具体取决于用户的角色类型：

租户资源	文件夹资源
警示审核后台任务库许可证计算机 ML 日志 ML 包机器人角色设置文件夹用户 Webhooks	资产存储文件存储桶连接环境执行介质文件夹程序包作业日志监控流程队列触发器子文件夹操作分配操作目录操作测试用例执行工件测试数据队列项目测试数据队列测试集执行测试集测试集计划事务

您可以使用 UiPath.Orchestrator.dll.config 中的 Auth.DisabledPermissions 参数来完全禁用用户界面和 API 中的权限。

分配不同类型的角色

角色类型很重要，因为您会根据角色类型分配不同的角色：

如果在“租户” > “设置” > “常规”下清除了“激活经典文件夹”：

您可以从“用户”页面或“角色”页面分配“租户”角色和“混合”角色。

您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。
如果在“租户” > “设置” > “常规”下选择了“激活经典文件夹”：

您可以从“用户”页面或“角色”页面分配这三种类型角色中的任何一种。

您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。