帐户和组
在“帐户和组”页面上,您可以为组织定义本地用户帐户、机器人帐户和本地组。
使用两个元素控制用户可以执行的访问级别和操作:
- 帐户,用于建立用户身份并用于登录到 UiPath™ 应用程序。
- 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予某些权限。
帐户不在 Orchestrator 中创建或管理,仅在角色及其分配中创建或管理。
在 UiPath 平台中,您可以创建用户帐户和机器人帐户。
使用这些类型的帐户识别人员。您可以分配许可证和角色,并将这些帐户添加到组中。
有两种类型的用户帐户:
- 本地用户:这些帐户已链接到 UiPath 帐户。 此类帐户在UiPath 独立产品安装中创建,也由组织管理员通过该安装进行管理。 用户本身拥有帐户,但组织管理员可以使用帐户的引用来编辑、删除或管理帐户的角色和组成员身份。
- 目录用户:这些帐户在 UiPath 平台之外的云活动目录(如 Azure Active Directory)中定义。 您必须将目录链接到 UiPath 平台才能使用这种类型的帐户。 链接后,UiPath 可以搜索和引用目录用户,以便您查看用户、为其分配角色或将其添加到 UiPath 组。 这样做的好处是,您无需重复定义这些身份:您可以在目录中定义一次,然后便也可以在 UiPath 中使用。
有关详细信息,请参阅“帐户和组的权限”。
当您需要运行不属于任何特定用户的后台无人值守流程时,机器人帐户非常有用。这些 RPA 特定帐户等同于服务帐户。与 Windows 服务在 OAuth 模型中以应用程序身份运行的帐户类似,它们是用于运行无人值守流程的非用户身份。
处理机器人帐户
在权限方面,机器人帐户的行为类似于用户帐户。在 UiPath Orchestrator 中,您可以使用与其他任何帐户相同的方式添加机器人帐户并为其配置权限。
与用户帐户相比,唯一的区别是:
- 机器人帐户不允许进行任何与交互相关的流程配置
- 无需使用电子邮件地址即可创建机器人帐户。
您可以通过与使用用户帐户大致相同的方式来查找和使用机器人帐户:
-
组织管理员可以通过“管理员”>“帐户和组”页面创建和管理机器人帐户 - 但不能从“用户”选项卡,而是从专用的“机器人帐户”选项卡。
机器人帐户也可以包含在组中,也可以作为组的一部分进行管理。
- 在 Orchestrator 中分配角色时,搜索帐户会显示用户、组以及机器人帐户以供选择。
对于传统文件夹,当您将机器人手动部署到 Orchestrator 时,机器人 实体将自动创建,可在“ 机器人” 选项卡上查看。
默认情况下,系统会为机器人用户分配 机器人角色 。
使用组可以简化帐户管理。它们是一组帐户,应具有类似的访问权限、机器人配置和许可需求,并且这些帐户是您希望统一管理的帐户。
例如,您可能想为所有管理员创建一个组,或为所有会计员工创建一个组,因为您知道他们的工作需要他们以相同的方式使用相同的 UiPath 功能,因此他们应该拥有相同的许可证、机器人配置和角色。每当需要更改该类别用户的许可或角色时,您都会更新组,且更改将适用于其所有成员。
本地组
组在 UiPath 平台中原生可用。 如果组是通过“管理员” > “帐户和组” > “组”选项卡创建的,则该组为本地组。
目录组
如果目录已链接并且包含组,则可以在 UiPath 平台中查找和使用这些目录组,就像使用本地组一样。
当帐户成为组的成员时,它将继承该组的角色、许可证和机器人配置。
角色继承
如果分配给多个组,则帐户将获得分配给它们所属组的所有权限。
通过组成员身份继承的角色仅在帐户连接时可用。
您可以在本地组中包括目录帐户。尽管您无法在一个本地组中包含另一个本地组,您也可以在本地组中包含目录组。
这使目录管理员可以完全使用具有所需角色、许可证和机器人设置的帐户,而无需在 UiPath 平台中执行其他操作。
这可通过在完全在 UiPath 平台中设置的本地组中添加目录组来实现。 然后,目录管理员只需将帐户添加到其目录组中,该帐户就会继承设置并准备工作。
当各种服务允许访问时,它们会考虑不同方面:
- 访问服务时,系统会根据帐户的组成员身份决定是否允许访问。
-
尝试访问或使用服务中的资源时,系统会根据帐户的角色决定是否允许该操作;该角色可从组继承,也可将所需的角色直接授予帐户。
许可证继承
如果您为组定义许可证分配规则,则帐户在成为组成员时将继承这些用户许可证。
这可以通过两种方式发生,具体取决于用户许可证的类型:
- 已命名用户许可证:当帐户成为组成员时,系统会自动为其分配一个可用许可证。请注意,仅从组中删除帐户不会取消分配许可证,因为 Named User 许可证与帐户的身份相关联。
-
多用户许可证:多用户许可证由最多三个在不同时间使用许可证的组成员共享。当一个成员使用许可证时,其他两个成员将无法使用,
重要提示: 直接分配许可证会覆盖组分配。如果您直接将用户许可证分配给帐户,则该帐户将不再享受任何组分配的好处。
- 创建或删除组,添加或删除组成员:组织管理员可以管理组,也可以通过 UiPath 平台中的“管理” >“帐户和组” >“组” 选项卡添加或删除组中的帐户。
- 向组分配许可证:Organization Administrator 还可从“管理”>“许可证”页面,将许可证分配规则分配给组。
- 组的角色 : 与帐户相同,角色是在服务中通过每项服务的管理员分配给组的。 例如,在 Orchestrator 服务中了解用户和用户组。
如果您不想使用用户组,请通过为每个帐户显式分配服务级别的角色,将所需角色分配给每个帐户。
默认组可在任何UiPath 独立产品安装组织中使用,并且已为平台功能的组织级别角色和 UiPath 服务的服务级别角色预配置了。
默认组为 Administrators、 Automation Users、Automation Developers、Citizen Developers、 Automation Express 和 Everyone。
您只需执行一项操作即可将功能齐全的复杂访问架构分配给用户:将用户添加到适当的组中。 有关每个组包含的角色的信息,请参阅角色。
您无法删除分配给默认组的角色,也无法删除这些组。
如果需要更多控制,您可以创建自定义组并分配自己的角色组合,也可以直接向帐户分配角色。
在管理帐户、组或角色的页面上,系统会针对每种类型显示特定图标,以帮助您识别帐户类型或组类型。
- UiPath 用户帐户:链接到 UiPath 帐户并使用基本身份验证登录的用户帐户
- SSO 用户帐户:链接到使用 SSO 登录的 UiPath 帐户的用户帐户;也适用于同时拥有 UiPath 用户帐户和目录帐户的用户帐户
- 目录用户帐户:该帐户源自目录并使用 Enterprise SSO 登录
- 机器人帐户
如果是从 UiPath 平台创建帐户或组:
- 组织管理员负责管理组织的帐户和组,并拥有所需的权限。
- 管理帐户和组在UiPath 独立产品安装中完成,包括创建、编辑、删除帐户,为帐户授予许可,从组中添加或删除帐户,以及添加或删除组。
- 角色可以由组织管理员在服务中分配,也可以由服务级别的管理员分配。