关于用户

概述

用户是拥有依赖访问权限的功能的实体，其对 Orchestrator 的查看和控制取决于所分配到的角色。您可以在 Orchestrator 中以本地方式创建用户（本地用户），也可以在外部目录中创建和管理用户（目录用户、目录组）。

阅读有关 AD 集成的信息，以更好地了解目录集成。
此处介绍了用户类型。
了解 Orchestrator 的访问控制模型。

用户管理主要是从用户页面完成的（租户上下文>用户）。该页面显示所有可用的用户，使您可以添加或删除他们以及编辑他们的详细信息。

AD 集成

Orchestrator 中引用的活动目录使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中，可以在组级别（目录组）或用户级别（目录用户）配置目录的访问权限。

注意： AD 集成以及有人值守的机器人自动配置和分层文件夹为轻松进行大型部署奠定了基础。请参阅此处，了解如何在 Orchestrator 中管理此类部署。

先决条件

WindowsAuth.Enabled 参数设置为 true。
在 WindowsAuth.Domain 参数中填充有效的域。添加目录用户/组时，与 WindowsAuth.Domain 参数中指定的域双向信任的林中的所有域和子域均可用。
将安装了 Orchestrator 的计算机加入到 WindowsAuth.Domain 参数中设置的域中。要查看设备是否已加入域，请从命令提示符中运行 dsregcmd /status，然后导航至“设备状态”部分。
运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。

行为

添加 AD 组会在 Orchestrator 中创建一个名为目录组的用户实体，您可以根据需要为其配置访问权限。此条目用作 AD 中找到的组的参考。
登录时，Orchestrator 会根据 AD 数据库检查您的组成员身份。如果确认，它会自动将您的用户配置为目录用户，然后将其与从目录组继承的访问权限相关联（步骤 1）。继承的权限仅在用户会话期间保留。
自动配置在您首次登录时进行。自动配置的用户在注销时不会被删除，因为出于审核目的，您可能需要该条目。
每次登录时，对 AD 组成员身份所做的更改都会与 Orchestrator 同步，对于活动的用户会话，则每小时同步一次。可使用 WindowsAuth.GroupMembershipCacheExpireHours 更改此值。如果您是 X 组的成员，将会发生以下情况：
- 您登录后，Orchestrator 会检查您的组成员身份，然后根据 AD 数据库确认您的身份。系统随后会根据 Orchestrator 配置向您授予访问权限。如果在您有活动会话的情况下，系统管理员将您的组成员身份从组 X 更改为组 Y，则 Orchestrator 将每小时询问一次更改，或者在您下次登录时询问。
要配置在会话间持续保留的访问权限，使其不受组成员身份更改影响，唯一方法是在 Orchestrator 中为每个用户显式设置访问权限。我们将它们称为显式访问权限。
无法确定所继承访问权限的 AD 用户的行为类似于本地用户，这意味着它们仅依赖显式设置的访问权限。
AD 中的组将与 Orchestrator 同步，但不会反向同步。对 Orchestrator 所做的更改不会影响 AD 中的用户配置。

已知问题

由于各种网络或配置问题，可能并非“域名”下拉列表中显示的所有域都可访问。
对 AD 用户/组名称所做的更改不会传播到 Orchestrator。
使用新添加的双向信任域更新域列表最多可能需要一个小时。
GetOrganizationUnits(Id) 和 GetRoles(Id) 请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过 /api/DirectoryService/GetDirectoryPermissions?userId={userId} 端点检索。
用户界面也是如此，用户页面上仅显示显式设置的文件夹和角色。相反，继承的文件夹和角色具有新的专用位置，即用户权限窗口（用户>更多操作>查看权限）。
自动配置的用户不会从父组继承警示订阅设置，默认情况下，也不会收到任何警示。要访问警示，您需要显式授予用户相应的权限。
删除目录组并不会删除相关目录用户的许可证，即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
在某些浏览器上，使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此，如果 domain\username 语法不起作用，请尝试仅填写用户名。

审核注意事项

用户成员身份：用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
自动配置：从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。

禁用并发执行

在新式文件夹中优化资源消耗并最大程度地提高执行能力，几乎不会涉及控制将用户分配给作业的方式。对于每次不能多次使用凭据（例如 SAP）的情况，我们引入了限制并发无人值守执行的可能性。通过限制用户同时执行多个作业，这有助于调整作业分配算法。

管理员用户

Orchestrator 仅有一个预定义用户管理员。其用户名不能更改，该用户也不能删除。它具有 Administrator 角色，但是您可以向其添加其他角色，甚至将其停用。请注意，您不能停用当前登录的用户。

具有 Administrator 角色的用户可以激活、停用和删除其他用户以及编辑信息（包括密码）。您无法删除具有Administrator角色的用户。

用户权限

要在“用户”和“个人资料”页面上执行各种操作，需要获得相应的权限：

对用户的“查看”权限 - 显示“用户”和“个人资料”页面。
用户页面上的编辑 - 在用户页面上编辑用户详细信息和设置，以及在配置文件页面上激活/停用用户。在配置文件页面上配置警示部分需要对每个警示类别具有相应的查看权限。
查看用户，查看角色 - 在用户权限窗口中显示用户权限。
对用户的“编辑”权限、对角色的“查看”权限 - 在“用户”页面上编辑用户详细信息和设置。
对用户的“创建”权限、对角色的“查看”权限 - 创建用户。
对用户“查看”权限、对角色的“编辑”权限 - 在“角色”页面的“管理用户”窗口中管理用户角色。
对用户的删除权限 - 删除用户。

阅读有关角色的更多信息。

安全注意事项

基本身份验证

默认情况下，Orchestrator 不允许用户通过基本身份验证进行访问。可通过 Auth.RestrictBasicAuthentication 参数启用此功能。这使您能够创建可以使用其基本身份验证凭据访问 Orchestrator 的本地用户，从而允许您维护在调用 Orchestrator API 时依赖基本身份验证的现有集成。

创建和编辑用户时，可以启用基本身份验证。