Configuring access for accounts
作为管理员,您可以为组织级别已存在的对象(即组、用户、机器人帐户、外部应用程序),通过 Orchestrator 将其分配给 Orchestrator 中的租户或文件夹。对象通过一个或多个角色获取在租户或文件夹中执行特定操作所需的权限。
- 在组织级别重命名本地组时,它也会在 Orchestrator 中重命名。如果您在短时间内多次重命名,则 Orchestrator 审核日志中只会捕获最后一次更改。如果您想查看所有此类更改,可以查看组织级别的审核。
- 由于机器人帐户的用户名是永久性的,并且在设置后无法更改,“管理访问权限”下的“用户名”列也会保持不变。例如,如果您将机器人从
Test重命名为Test1,则只有“名称”列会更新为新值,“用户名”保持不变。有关更多信息,请参阅添加机器人帐户。
为了利用所有可用的身份类型,我们将组、用户、机器人帐户和外部应用程序分别拆分为单独的页面。您可以在“管理访问权限”页面中专门的选项卡下找到这些页面。
作为选项卡的概述,“全部”选项卡包括已在租户级别分配访问权限的所有对象。“组”、“用户”、“机器人帐户”和“外部应用程序”选项卡包括本地和目录组、本地和目录用户、机器人帐户以及已在租户级别分配访问权限的外部应用程序。
- 将组织级别中已存在的任何对象分配给租户
- 配置 Orchestrator 中对象的权限
- 从现有对象中删除租户访问权限
组配置(角色、网页登录、机器人设置)将传递给属于该组的任何用户,并在以后添加或自动设置。
我们建议您通过向组分配角色,然后将用户充分分配到正确的组,向其授予必要的角色来管理用户访问权限。
但是,如果您需要为特定用户执行一次性角色分配,则可以直接向用户提供访问权限,如下所示:
我们建议您通过向组分配角色,然后将机器人充分分配到正确的组,向其授予必要的角色来管理机器人访问权限。
但是,如果您需要为特定机器人帐户执行一次性角色分配,则可以直接向机器人提供访问权限,如下所示:
管理员现在可以通过将机密应用程序分配给 Orchestrator 中的文件夹或租户,为机密应用程序配置精细的租户或文件夹权限。外部应用程序通过一个或多个角色获取在文件夹或租户中执行特定操作所需的权限。
- 在“角色”页面上,从列表中选择一个角色,然后单击“更多操作”
>“管理用户”。系统将显示“管理用户”窗口,并列出所有用户、组和机器人。如果选中复选框,则表示已为对象分配此角色。
角色更改将在用户登录后立即应用,或在一小时内自动应用。
- “管理访问权限”>“分配角色”选项卡 >“从列表中选择对象”>“更多操作”>“查看角色和权限”
- “管理访问权限”>“分配角色”>“三点图标”>“检查角色和权限”
- “机器人”>“从列表中选择帐户”>“更多操作”>“查看角色和权限”
- “监控”>“用户会话”>“从列表中选择帐户”>“查看角色和权限”图标
-
角色窗格 - 包括角色的名称及其类型(即显式分配或继承)。
-
“权限”窗格 - 列出所选角色中包含的权限。
租户访问
- 此租户中的所有角色 - 权限窗格显示与在租户级别授予所选实体的所有角色相对应的所有权限。
- 特定角色 - 权限窗格仅显示与所选角色相对应的权限,这些权限是由用户在租户级别授予所选实体。
文件夹访问
本部分显示在文件夹级别授予的角色和权限。
您可以使用选择框选择要显示角色及其权限的特定文件夹。该列表仅包含分配了所选实体的文件夹。
- 此租户中的所有角色 - 权限窗格显示与在文件夹级别授予所选实体的所有角色相对应的所有权限。
- 特定角色 - 权限窗格仅显示与所选角色相对应的权限,这些权限是由用户在租户级别授予所选实体。
从 Orchestrator 删除用户或组并不会从您的组织中删除该帐户。
-
选择用户或组,单击“更多操作”,然后选择“删除”。
对于您要为之删除角色的用户,如果他的机器人当前正忙,系统会通知您所有正在运行的作业都将被删除,并询问您是要继续删除还是取消操作。
已从 Orchestrator 中删除用户或组,所有角色已撤销。
或者,也可以选择一个或多个用户,然后单击“删除”按钮。
- 您无法删除具有 Administrator 角色的用户。
- 您无法从触发器所在的文件夹中删除或取消分配触发器中使用的部分映射的用户。确保未将用户设置为触发器中的执行目标,以便将其删除。
- 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭 UiPath Assistant。
|
组 |
有权访问 Orchestrator 界面 |
只能访问所有文件夹/个人工作区 |
拥有 API 访问权限 |
租户角色 |
文件夹角色 |
|---|---|---|---|---|---|
|
自动化用户 |
否 |
个人工作区 重要提示:
如果通过 API 将用户分配到其他文件夹,则除个人工作区外,他们也可以访问这些文件夹。 |
是 |
Allow to be Automation User | 自动化用户 |
|
自动化开发者 |
是 |
所有文件夹 |
是 | Allow to be Automation Developer | Automation Developer |
|
管理员 |
是 |
所有文件夹 |
是 |
Orchestrator Administrator |
Folder Administrator |
|
Automation Express |
是 |
所有文件夹 |
是 |
Allow to be Automation User | 自动化用户 |
在租户中,还可以通过用于管理文件夹和对象的“文件夹”选项卡在文件夹级别控制访问权限,以及从侧边栏菜单中的文件夹上下文进行控制。
转到“租户”>“文件夹”选项卡,选择文件夹,然后单击“帐户和组”。接下来,单击“分配”并选择要添加到文件夹的对象。
要分配对象,您需要向其添加角色。完成后,单击“分配”,该对象将显示在列表中。
将对象分配给文件夹的另一种方法是从侧边栏菜单转到文件夹上下文,然后单击“用户”>“分配”。在搜索字段中,输入要添加到文件夹的对象的名称,选择其所需的角色,然后单击“分配”以完成配置。
要向已分配的对象(组、用户、机器人帐户、外部应用程序)授予特定文件夹的访问权限,请从侧边栏菜单中打开一个文件夹,然后转到“用户”。在要编辑文件夹访问权限的对象旁边,单击“更多操作” “编辑此文件夹中的角色”。这将打开分配页面,您可以在其中添加或删除所选对象的任何角色。
转到“租户”>“文件夹”选项卡>“帐户和组”> 要修改的对象旁边的“更多操作”>“编辑此文件夹中的角色”,可以应用相同的步骤。现在,您可以为所选对象添加或删除任何角色。
转到“租户”>“文件夹”选项卡,选择文件夹,然后单击“帐户和组”。在要删除的对象旁边,单击“更多操作”>“取消分配”。执行此操作后,对象将无法再访问该文件夹。
最多可以建立 7 级文件夹层次结构。此结构包括顶级文件夹,并允许在其下添加 6 层子文件夹。就用户访问而言,它是从父文件夹继承的。这意味着,如果您被分配了对某个文件夹的访问权限,则您将自动获得对其所有子文件夹的访问权限。
为组或单个用户配置 Attended Robot 时,您还可以选择为其创建个人工作区。
要启用此选项,请转到“租户”>“管理访问权限”> 选择用户或组 >“更多操作”>“编辑”>“下一步”> 选中“允许此用户运行自动化”选项 > 选中“为此用户创建个人工作区”选项。完成此操作后,一个新文件夹“我的工作区”将在侧边栏菜单中显示,与其他文件夹相邻。
个人工作区权限
管理其他用户的工作区所需的租户级别权限:
- “设置” - “视图” 和 “设置” - “编辑” 以允许从“ 租户 ” > “设置” 页面使用租户中的个人工作区。
- “用户” - “视图” 和“ 用户 - 编辑 ” 可通过从“ 管理访问权限” 页面进行编辑,为用户或组启用个人工作区。
使用个人工作区所需的文件夹级别权限:
- “警示” - “查看” 可查看为个人工作区生成的警示。
- 操作 - 查看、操作 - 编辑、操作 - 创建和 操作 - 删除 ,以在个人工作区中启用长时间运行的工作流执行。
- 操作目录 - 查看、操作目录 - 编辑、操作目录 - 创建和操作目录 - 删除 ,以允许用户管理个人工作区中的操作目录。
- “管理访问权限”>“分配角色”选项卡 >“从列表中选择对象”>“更多操作”>“查看角色和权限”
- “管理访问权限”>“分配角色”>“三点图标”>“检查角色和权限”
- “机器人”>“从列表中选择帐户”>“更多操作”>“查看角色和权限”
- “监控”>“用户会话”>“从列表中选择帐户”>“查看角色和权限”图标
-
角色窗格 - 包括角色的名称及其类型(即显式分配或继承)。
-
“权限”窗格 - 列出所选角色中包含的权限。
租户访问
- 此租户中的所有角色 - 权限窗格显示与在租户级别授予所选实体的所有角色相对应的所有权限。
- 特定角色 - 权限窗格仅显示与所选角色相对应的权限,这些权限是由用户在租户级别授予所选实体。
文件夹访问
本部分显示在文件夹级别授予的角色和权限。
您可以使用选择框选择要显示角色及其权限的特定文件夹。该列表仅包含分配了所选实体的文件夹。
- 此租户中的所有角色 - 权限窗格显示与在文件夹级别授予所选实体的所有角色相对应的所有权限。
- 特定角色 - 权限窗格仅显示与所选角色相对应的权限,这些权限是由用户在租户级别授予所选实体。
建议的角色到组映射
|
组 |
有权访问 Orchestrator 界面 |
只能访问所有文件夹/个人工作区 |
拥有 API 访问权限 |
租户角色 |
文件夹角色 |
|---|---|---|---|---|---|
|
自动化用户 |
否 |
个人工作区 重要提示:
如果通过 API 将用户分配到其他文件夹,则除个人工作区外,他们也可以访问这些文件夹。 |
是 |
Allow to be Automation User | 自动化用户 |
|
自动化开发者 |
是 |
所有文件夹 |
是 | Allow to be Automation Developer | Automation Developer |
|
管理员 |
是 |
所有文件夹 |
是 |
Orchestrator Administrator |
Folder Administrator |
|
Automation Express |
是 |
所有文件夹 |
是 |
Allow to be Automation User | 自动化用户 |
