Orchestrator 用户指南
访问控制
在 Orchestrator 中,您可以使用角色来控制用户、组、机器人帐户和外部应用程序的访问权限级别。在此页中,我们将介绍您需要了解的概念,以便有效地规划和实施访问控制策略:
- 帐户和应用程序(即用户帐户、机器人帐户、外部应用程序),表示用于访问 Orchestrator 资源的身份
- 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予明确权限
- 组,用于通过向多个用户帐户授予相同的访问权限来简化帐户管理
不在 Orchestrator 中创建和管理帐户,仅在 Orchestrator 角色和分配中创建和管理帐户。帐户由组织管理员创建,创建后可以在 Orchestrator 中将其分配给文件夹或租户。
关于权限
Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合,这意味着将使用某些 Orchestrator 实体所需的权限分配给角色。
角色权限和用户角色关系允许对 Orchestrator 进行一定级别的访问。用户通过一个或多个角色获得执行特定操作所需的权限。由于未直接为用户分配权限,用户仅通过角色获得权限,权限管理涉及为用户分配适当的角色。
权限和角色类型
有两种类型的权限,如下所示:
- 租户权限在租户级别定义用户对资源的访问。
- 文件夹权限在分配给用户的每个文件夹中定义用户的访问权限和能力。
两个主要权限集管理文件夹内的操作:
- 文件夹权限(租户范围):
- 允许用户创建、编辑或删除整个租户中的所有文件夹。
- 通常会向管理员或负责管理组织的用户授予权限。
- 子文件夹权限(文件夹范围):
- 允许用户创建、编辑或删除分配给他们的特定文件夹及其下的任何子文件夹。
- 提供更精细的控制,使用户能够管理特定文件夹,而无需控制租户中的其他文件夹。
根据角色所包含的权限,可以分为三种类型的角色:
- 租户角色,包括租户权限,是在租户级别工作所必需的。
- 文件夹角色,包括在文件夹中工作的权限。
- 混合角色,包含两种类型的权限。 在混合角色的情况下,对于全局操作,仅考虑用户的租户权限。对于特定于文件夹的操作,如果定义了自定义角色,则与任何租户级别权限相比,将优先应用这些权限。
备注:
不再支持混合角色,您无法新建角色。如果您有混合角色,我们建议将其替换为租户角色和文件夹角色,以授予所需权限。
用户可以使用以下资源,具体取决于用户的角色类型:
| 租户资源 | 文件夹资源 |
|---|---|
|
|
您可以使用 UiPath.Orchestrator.dll.config 中的 Auth.DisabledPermissions 参数来完全禁用用户界面和 API 中的权限。
未生效的权限
通常,您可以为任何权限选择所有可用权限(查看、编辑、创建或删除),但以下权限对列出的权限无效,因此您无法编辑它们:
| 权限类型 | 权限 | 不可用的权限 |
|---|---|---|
| 租户 | 警示 |
|
| 审核 |
| |
| 文件夹 | 执行介质 |
|
| 日志 |
| |
| 监控 |
|
例如,这是因为无法编辑系统生成的日志。
安全注意事项
帐户锁定
默认情况下,在 10 次登录尝试失败后,您将被锁定 5 分钟。
系统管理员可以在主机管理门户中自定义帐户锁定设置。
在不同的计算机上使用同一帐户登录会导致该用户与第一台计算机的连接断开。