Orchestrator 用户指南
Configuring access for accounts
作为管理员,您可以为组织级别已存在的对象(即组、用户、机器人帐户、外部应用程序),通过 Orchestrator 将其分配给 Orchestrator 中的租户或文件夹。对象通过一个或多个角色获取在租户或文件夹中执行特定操作所需的权限。
您可以使用组来简化访问控制,因为通过组可以集中管理具有相似需求的对象。
租户级别访问控制
“管理访问权限”页面允许您控制所有对象(即组、用户、机器人帐户、外部应用程序)的访问权限。这意味着您可以:
- 将组织级别中已存在的任何对象分配给租户
- 配置 Orchestrator 中对象的权限
- 从现有对象中删除租户访问权限
组配置(角色、网页登录、机器人设置)将传递给属于该组的任何用户,并在以后添加或自动设置。
将组分配给租户
在租户中,分配组并向其添加角色时,请注意,这些组将由属于该组的所有用户和机器人帐户继承。
组由组织管理员从“管理”>“帐户和组”页面中创建和维护。
-
在搜索字段中,输入要证明租户访问权限的现有用户组。
如果需要新的组,请单击“管理帐户”以到达将所有新对象添加到的组织级别。
-
单击“角色”字段,然后选中要分配给所选组的每个角色的复选框。
如果需要,您可以通过单击“新建角色”来定义新角色。
-
在“帐户设置”下,您可以选择组成员是否可以登录 Orchestrator 用户界面。
重要提示:如果已为帐户所属的至少一个组(包括Everyone组)启用用户界面访问设置,则在帐户级别禁用该设置否则其他组对该特定帐户无效,仅对其他组成员有效不在相同情况中显示。
-
如果您还想为组成员创建有人值守的机器人,请单击“下一步” 。
否则,请单击“跳过并分配”以应用您的设置。
向租户分配帐户
我们建议您通过向组分配角色,然后将用户充分分配到正确的组,向其授予必要的角色来管理用户访问权限。
但是,如果您需要为特定用户执行一次性角色分配,则可以直接向用户提供访问权限,如下所示:
-
在搜索字段中,输入要为其分配租户访问权限的用户。
如果需要新用户,请单击“管理帐户”以到达将所有新对象添加到的组织级别。
-
单击“角色”字段,然后选中要分配给所选用户的每个角色的复选框。
如果需要,您可以通过单击“新建角色”来定义新角色。
-
在“帐户设置”下,您可以选择用户是否可以登录 Orchestrator 用户界面。
如果该帐户是已启用用户界面访问权限的任何组成员,则更改针对单个帐户的此设置无效,因为所有帐户都将继承组级别设置。要控制单个帐户的用户界面访问,您必须在 Orchestrator 中从具有冲突设置的组删除该帐户,或删除具有冲突设置的组。
-
(可选)在“更新策略设置”下,选择您希望此用户在其工作站上更新 UiPath 应用程序时需要达到的版本级别。如果您选择策略,则用户将无法使用 UiPath™ Robot、Studio 或 Assistant,直到他们将这些应用程序升级到策略所需的版本。此设置可以帮助您确保所有用户都使用相同的版本。
-
否则,请单击“跳过并分配”以应用您的设置。
向租户分配机器人帐户
我们建议您通过向组分配角色,然后将机器人充分分配到正确的组,向其授予必要的角色来管理机器人访问权限。
但是,如果您需要为特定机器人帐户执行一次性角色分配,则可以直接向机器人提供访问权限,如下所示:
-
在搜索字段中,输入要为其分配租户访问权限的机器人帐户。
如果需要新的机器人,请单击“管理帐户”以到达将所有新对象添加到的组织级别。
-
单击“角色”字段,然后选中要分配给所选机器人的每个角色的复选框。
如果需要,您可以通过单击“新建角色”来定义新角色。
-
如果您还想为该用户创建 Unattended Robot,请单击“下一步”。
否则,请单击“跳过并分配”以应用您的设置。
将外部应用程序分配给租户
作为管理员,您可以为机密应用程序配置精细的租户或文件夹权限,方法是将机密应用程序分配给 Orchestrator 中的文件夹或租户。 外部应用程序通过一个或多个角色获取在文件夹或租户中执行特定操作所需的权限。
-
Go to Tenant > Manage Access. The Manage Access page is displayed.
-
单击“分配角色” >“外部应用程序”。 系统将显示“将角色分配给外部应用程序” 窗口。
图 1. 将角色分配给外部应用程序
-
在搜索字段中,输入要添加的外部应用程序的名称。
-
Under Roles, select the role(s) for this object.
-
单击“分配”。
分配多个帐户
-
转到“租户”>“管理访问权限”,然后单击“角色”选项卡。
-
在“角色”页面上,从列表中选择一个角色,然后单击“更多操作”
> “管理用户” 。系统将显示“管理用户”窗口,并列出所有用户、组和机器人。如果选中复选框,则表示已为对象分配此角色。
-
根据需要选中或取消选择复选框,以便仅选择应该具有此角色的用户。
图 2. 管理管理员用户
-
单击“更新”以应用您的更改。
角色更改将在用户登录后立即应用,或在一小时内自动应用。
检查已分配的角色
要查看为用户或组分配了哪些角色,请执行以下操作:
-
转到“租户”>“管理访问权限”>“分配角色”选项卡。
-
单击表格上方的“检查角色和权限”。
系统将打开“检查角色”窗口。
-
在“选择用户”字段中,键入以搜索要检查其角色的组或用户。(可选)根据“用户”或“组”筛选结果。
-
从搜索结果中选择组或用户。
您可以在租户级别和文件夹级别查看用户或组的角色。您还可以查看角色是显式分配的还是从所处的组继承的。
图 3. 检查角色
重要提示:如果您使用的是 Azure AD访客用户帐户,则显示的角色信息可能不准确。
激活或停用用户
只有具有管理权限的用户才能执行此操作。对于停用的用户,对 Orchestrator 的访问权限已撤销。
- 转到“租户”>“管理访问权限”>“分配角色”选项卡。
- 选择要删除其访问权限的用户,单击“更多操作” ,然后选择“激活”或“停用” 。“用户”页面上的用户实体会更新。
删除用户或组
从 Orchestrator 删除用户或组并不会从您的组织中删除该帐户。
-
转到“租户”>“管理访问权限”>“分配角色”选项卡。
-
选择用户或组,单击“更多操作”
,然后选择“删除”。对于您要为之删除角色的用户,如果他的机器人当前正忙,系统会通知您所有正在运行的作业都将被删除,并询问您是要继续删除还是取消操作。
-
确认操作。
已从 Orchestrator 中删除用户或组,所有角色已撤销。
或者,也可以选择一个或多个用户,然后单击“删除”按钮。
- 您无法删除具有 Administrator 角色的用户。
- 您无法从触发器所在的文件夹中删除或取消分配触发器中使用的部分映射的用户。确保未将用户设置为触发器中的执行目标,以便将其删除。
- 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭 UiPath Assistant。
建议的角色到组映射
组和角色的正确组合使您可以正确分离权限,并向适当的人员提供精细控制。为此,我们建议使用以下角色-组配对:
| 组 | 有权访问 Orchestrator 界面 | 只能访问所有文件夹/个人工作区 | 拥有 API 访问权限 | 租户角色 | 文件夹角色 |
|---|---|---|---|---|---|
| 自动化用户 | 否 | 个人工作区 如果通过 API 将用户分配到其他文件夹,则除个人工作区外,他们也可以访问这些文件夹。 | 是 | Allow to be Automation User | 自动化用户 |
| 自动化开发者 | 是 | 所有文件夹 | 是 | Allow to be Automation Developer | Automation Developer |
| 管理员 | 是 | 所有文件夹 | 是 | Orchestrator Administrator | Folder Administrator |
| Automation Express | 是 | 所有文件夹 | 是 | Allow to be Automation User | 自动化用户 |
故障排除
未找到错误
If an account was removed from the organization, when attempting to edit, enable/disable, or remove the account from Orchestrator (Tenant > Manage Access), a Not found (#1002) error is displayed.
在这种情况下,该帐户实际上已不存在,并且无法再访问 UiPath 产品。
文件夹级访问控制
在租户中,还可以在用于管理文件夹和对象的“文件夹”选项卡以及侧边栏菜单中的文件夹上下文中,在文件夹级别控制访问权限。
将对象分配给文件夹
转到“租户” > “文件夹”选项卡,选择文件夹,然后单击“帐户和组” 。接下来,单击“分配”并选择要添加到文件夹的对象。
您还可以按类别(所有、用户、组、机器人帐户、外部应用程序)筛选对象。
要分配对象,您需要向其添加角色。完成后,单击“分配” ,该对象将显示在列表中。
将对象分配给文件夹的另一种方法是从侧边栏菜单转到文件夹上下文,然后单击“用户”>“分配”。在搜索字段中,输入要添加到文件夹的对象的名称,选择其所需的角色,然后单击“分配”以完成配置。
编辑访问权限
要向已分配的对象(组、用户、机器人帐户、外部应用程序)授予特定文件夹的访问权限,请在侧边栏菜单中打开一个文件夹,然后转到“用户” 。在要编辑文件夹访问权限的对象旁边,单击“更多操作” > “编辑此文件夹中的角色” 。这将打开分配页面,您可以在其中添加或删除所选对象的任何角色。
转到“租户” > “文件夹”选项卡 > “帐户和组” > 要修改的对象旁边的“更多操作” > “编辑此文件夹中的角色”,可以应用相同的步骤。现在,您可以为所选对象添加或删除任何角色。
删除文件夹访问权限
转到“租户” > “文件夹”选项卡,选择文件夹,然后单击“帐户和组” 。在要删除的对象旁边,单击“更多操作” > “取消分配” 。执行此操作后,对象将无法再访问该文件夹。
无法从触发器所在的文件夹中删除或取消分配触发器中使用的帐户-计算机映射的帐户部分。确保未将帐户设置为触发器中的执行目标,以便将其删除。
子文件夹访问权限
最多可以建立 7 级文件夹层次结构。此结构包括顶级文件夹,并允许在其下添加 6 层子文件夹。就用户访问而言,它是从父文件夹继承的。这意味着,如果您被分配了对某个文件夹的访问权限,则您将自动获得对其所有子文件夹的访问权限。
为分配给超过 1,000 个文件夹的帐户加载“文件夹选择”菜单时,可能会出现性能下降和可能的错误。
个人工作区访问控制
为组或单个用户配置 Attended Robot 时,您还可以选择为其创建个人工作区。
要启用此选项,请转到“租户” > “管理访问权限” > 选择用户或组 > “更多操作” > “编辑” > “下一步” > 选中“允许此用户运行自动化”选项 > 选中“为此用户创建个人工作区” 选项。完成此操作后,一个新文件夹我的工作区将在侧边栏菜单中显示,与其他文件夹相邻。
个人工作区权限
管理其他用户的工作区所需的租户级别权限:
- “设置” - “视图”和“设置” - “编辑”以允许从“租户” > “设置”页面使用租户中的个人工作区。
- “用户” - “视图”和“用户 - 编辑” 可通过从“管理访问权限”页面进行编辑,为用户或组启用个人工作区。
使用个人工作区所需的文件夹级别权限:
- “警示” - “查看”可查看为个人工作区生成的警示。
- 操作 - 查看、操作 - 编辑、操作 - 创建和操作 - 删除,用于在个人工作区中启用长时间运行的工作流执行。
- 操作目录 - 查看、操作目录 - 编辑、操作目录 - 创建、操作目录 - 删除,用于允许用户在个人工作区中管理操作目录。
检查已分配的角色
要查看为用户或组分配了哪些角色,请执行以下操作:
-
转到“租户”>“管理访问权限”>“分配角色”选项卡。
-
单击表格上方的“检查角色和权限”。
系统将打开“检查角色”窗口。
-
在“选择用户”字段中,键入以搜索要检查其角色的组或用户。(可选)根据“用户”或“组”筛选结果。
-
从搜索结果中选择组或用户。
您可以在租户级别和文件夹级别查看用户或组的角色。您还可以查看角色是显式分配的还是从所处的组继承的。
图 4. 检查角色
如果您使用的是 Azure AD访客用户帐户,则显示的角色信息可能不准确。
建议的角色到组映射
组和角色的正确组合使您可以正确分离权限,并向适当的人员提供精细控制。为此,我们建议使用以下角色-组配对:
| 组 | 有权访问 Orchestrator 界面 | 只能访问所有文件夹/个人工作区 | 拥有 API 访问权限 | 租户角色 | 文件夹角色 |
|---|---|---|---|---|---|
| 自动化用户 | 否 | 个人工作区 如果通过 API 将用户分配到其他文件夹,则除个人工作区外,他们也可以访问这些文件夹。 | 是 | Allow to be Automation User | 自动化用户 |
| 自动化开发者 | 是 | 所有文件夹 | 是 | Allow to be Automation Developer | Automation Developer |
| 管理员 | 是 | 所有文件夹 | 是 | Orchestrator Administrator | Folder Administrator |
| Automation Express | 是 | 所有文件夹 | 是 | Allow to be Automation User | 自动化用户 |