orchestrator
2022.4
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。 新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

Orchestrator 用户指南

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
上次更新日期 2024年10月9日

管理访问和自动化功能

使用两个元素控制用户可以执行的访问级别和操作:

  • 帐户,用于建立用户身份并用于登录到 UiPath 应用程序
  • 角色,这些角色被分配给帐户,以便在 UiPath 生态系统中向其授予某些权限。

帐户由组织管理员创建和管理。 帐户必须已存在,才能为其分配角色。

本页及后续页面介绍:

  • 如何管理角色
  • 如何管理作为角色设置的一部分配置的自动化功能。

关于帐户

帐户是具有依赖访问权限的功能的 UiPath 平台实体,其对 Orchestrator 的查看和控制取决于所分配的访问权限。

帐户可以是:

  • 在本地创建和管理(本地帐户)

  • 在外部目录中创建和管理(目录帐户和目录组)。请参阅下方的“AD 集成”部分,以便更好地了解目录集成。

您可以从组织级别的管理门户添加帐户,并且帐户仅在相应的组织内可用。

成功添加帐户后,有两种方法可以向其授予 Orchestrator 的访问权限:将帐户添加到组中,以便继承组的角色,或在服务级别为每个帐户分配角色。您可以使用这两种方法对帐户在组织中的访问权限进行精细控制。

AD 集成

Orchestrator 中引用的活动目录 (AD) 使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中,可以在组级别(目录组)或用户级别(目录用户)配置目录帐户的访问权限级别。

您可以集成:

  • 本地 Active Directory
  • Azure Active Directory

    注意:将 AD 集成与 Attended Robot 自动配置和分层文件夹一起使用,可以轻松设置大型部署。有关详细信息,请参阅“管理大型部署”

先决条件

  • WindowsAuth.Domain 参数中填充有效的域。添加目录用户/组时,与 WindowsAuth.Domain 参数中指定的域双向信任的林中的所有域和子域均可用。
  • 将安装了 Orchestrator 的计算机加入到 WindowsAuth.Domain 参数中设置的域中。要查看设备是否已加入域,请从命令提示符中运行 dsregcmd /status,然后导航至“设备状态”部分。
  • 运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。

行为

  • 添加目录组会在 Orchestrator 中创建一个用户组实体,您可以根据需要为其配置访问权限。Orchestrator 中的此条目用作 AD 中找到的组的参考。
  • 登录时,Orchestrator 会检查您的组成员身份。如果确认,它会自动配置您的用户帐户,然后将其与从组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
  • 系统会在您首次登录时进行自动配置。 注销时不会删除自动配置的用户帐户,因为您可能需要该条目进行审核。
  • 登录时,Orchestrator 会检查帐户的组成员身份,或在活动会话期间每小时检查一次。如果帐户的组成员身份发生更改,则该帐户的更改将在下次登录时应用,如果当前已登录,则在一小时内应用更改。

    系统设置的检查组成员身份的时间间隔(一小时)可以通过设置 IdentityServer.GroupMembershipCacheExpireHours 的值来进行更改。

  • AD 中的组会与 Orchestrator 同步,但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。
  • 无法确定继承的访问权限(从组成员身份)的 AD 用户的行为类似于本地用户,这意味着它们仅依赖于分配给用户帐户的角色。
  • 无论组成员身份如何变化,配置在会话之间持续存在的访问权限的唯一方法是直接将角色分配给 Orchestrator 中的用户帐户,而不是使用组来分配角色。

已知问题

  • 由于各种网络或配置问题,可能并非“域名”下拉列表中显示的所有域都可访问。
  • 在 AD 中对用户名或组名所做的更改不会传播到 Orchestrator。
  • 使用新添加的双向信任域更新域列表最多可能需要一个小时。
  • GetOrganizationUnits(Id)GetRoles(Id) 请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过 /api/DirectoryService/GetDirectoryPermissions?userId={userId} 端点检索。
  • 用户界面也是如此,用户页面上仅显示显式设置的文件夹和角色。相反,继承的文件夹和角色具有新的专用位置,即用户权限窗口(用户>更多操作>查看权限)。
  • 默认情况下,用户不会从父组继承警示订阅设置,也不会接收任何警示。要访问警示,您需要显式授予用户相应的权限。
  • 删除目录组并不会删除相关目录用户的许可证,即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
  • 在某些浏览器上,使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此,如果 domain\username 语法不起作用,请尝试仅填写用户名。

审核注意事项

  • 用户成员身份:用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
  • 自动配置:从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。

用户类型

通过组,您可以通过组对多个用户应用相同的角色和配置,同时管理多个用户。

  • 用户的成员身份可从“管理”>“帐户和组”进行设置。

  • 用户组基于组中添加或删除的用户而启用具有组权限的自动访问,而无需单独管理用户权限。

  • 有 4 个默认的本地组: AdministratorsAutomation UsersAutomation DevelopersEveryone。 在您创建的每个新服务中,所有组都附带一组默认权限。 以后可以为每个 Orchestrator 服务自定义开箱即用角色。

  • 如果您需要的组超过 UiPath 提供的 4 个默认组,则可以创建自定义本地组。与默认本地组不同,自定义组需要在 Orchestrator 中手动添加,以确保用户的组成员身份与 Orchestrator 中的相应角色之间的正确映射。

组的角色将传递给属于该组的任何用户,无论是自动配置的还是手动添加的。我们将它们称为“继承的角色”,而不是“直接分配的角色”,后者只能针对每个帐户设置。

备注:
  • 属于多个组的用户将从所有这些组继承访问权限。
  • 属于多个组并已直接分配角色的用户具有从组继承并直接分配的所有角色的并集。
  • 如果您属于已添加到 Orchestrator 的组,则不需要显式用户帐户即可登录 Orchestrator。
  • 继承的角色取决于关联的用户组。如果组已从服务中删除,则该帐户的继承角色也将删除。
  • 直接分配的角色不受帐户所在组的影响。无论组状态如何,它们都会持续存在。

示例

假设我将 John Smith 添加到了我的 Automation Cloud 组织中的 Automation UsersAdministrators 用户组。

  • Automation User 组存在于 Finance Orchestrator 服务中
  • Administrator 组存在于 HR Orchestrator 服务中
  • 在这两个服务中,John 的帐户也被直接分配了角色。

John 拥有每个服务的继承权限和显式权限的并集:

服务/角色

用户组

继承的角色

显式角色

整体

财务 租户

自动化用户

   

租户级别角色

  • Allow to be Automation User
  • Allow to be Automation User
  • Allow to be Folder Administrator
  • Allow to be Automation User
  • Allow to be Folder Administrator

文件夹级角色

  • 文件夹 A 的 Automation User
  • 文件夹 B 的 Automation User
  • 文件夹 A 的 Automation User
  • 文件夹 B 的 Automation User
  • 文件夹 A 的 Folder Administrator
  • 文件夹 A 的 Automation User
  • 文件夹 B 的 Automation User
  • 文件夹 A 的 Folder Administrator

HR 租户

管理员

   

租户级别角色

  • Allow to be Folder Administrator
  • Allow to be Folder Administrator
 
  • Allow to be Folder Administrator

文件夹级角色

  • 文件夹 D 的 Folder Administrator
  • 文件夹 E 的 Folder Administrator
  • 文件夹 D 的 Folder Administrator
  • 文件夹 E 的 Folder Administrator
  • 文件夹 F 的 Folder Administrator
  • 文件夹 D 的 Folder Administrator
  • 文件夹 E 的 Folder Administrator
  • 文件夹 F 的 Folder Administrator

用户

根据在 Orchestrator 中添加用户帐户的机制,它们可以分为两类:

手动添加的用户

已在 Orchestrator 中手动添加并已在租户级别或文件夹级别明确授予权限的用户。如果手动添加的用户帐户也属于已添加到该 Orchestrator 服务的组,则它们将继承组访问权限。

自动配置的用户

已添加到本地组并登录到 Orchestrator 的用户。他们可以基于从组继承的权限访问 Orchestrator。首次登录 Orchestrator 后,系统会自动对其进行配置。

注意: 在“ 用户 ” 页面上的“ 角色 ” 列中,您可以查看为用户显式分配的角色,无论是手动添加的还是自动配置的。 此列中不显示继承的角色。

通过导航到特定用户的“更多操作”>“查看权限”>“用户权限”窗口,可以查看该用户的整个权限集(包括继承的权限)。

手动添加的用户

自动配置的用户

 

继承访问权限

available

available

可以具有显式访问权限

available

available

Cloud Portal 是用户信息的中心

available

available

SSO

available

available

机器人

当您手动将机器人部署到 Orchestrator 时,系统会自动创建机器人 用户。默认情况下,机器人用户具有机器人角色。此角色授予您的机器人访问多个页面的权限,使其能够执行各种操作。

帐户和组图标

在管理帐户、组或角色的页面上,系统会针对每种类型显示特定图标,以帮助您识别帐户类型或组类型。

帐户图标

- UiPath 用户帐户:链接到 UiPath 帐户并使用基本身份验证登录的用户帐户

- SSO 用户帐户:链接到使用 SSO 登录的 UiPath 帐户的用户帐户;也适用于同时拥有 UiPath 用户帐户和目录帐户的用户帐户

- 目录用户帐户:该帐户源自目录并使用 Enterprise SSO 登录

- 机器人帐户

组图标

- 本地组 (或简单地说, ):该组由主机管理员创建。

- 目录组:该组起源于已链接的目录。

关于角色

Orchestrator 使用基于角色和权限的访问控制机制。角色是权限的集合,这意味着角色中包含使用某些 Orchestrator 功能所需的权限。

例如,这是一个自定义角色,您可以在其中看到它包含的一些权限:



权限和角色类型

有两种类型的权限,如下所示:

  • 租户权限在租户级别定义用户对资源的访问。
  • 文件夹权限在分配给用户的每个文件夹中定义用户的访问权限和能力。
两个主要权限集管理文件夹内的操作:
  • 文件夹权限(租户范围):
    • 允许用户创建、编辑或删除整个租户中的所有文件夹。
    • 通常会向管理员或负责管理组织的用户授予权限。
  • 子文件夹权限(文件夹范围):
    • 允许用户创建、编辑或删除分配给他们的特定文件夹及其下的任何子文件夹。
    • 提供更精细的控制,使用户能够管理特定文件夹,而无需控制租户中的其他文件夹。

根据角色所包含的权限,可以分为三种类型的角色:

  • 租户角色,包括租户权限,是在租户级别工作所必需的。
  • 文件夹角色,包括在文件夹中工作的权限。
  • 混合角色,包含两种类型的权限。

    在混合角色的情况下,对于全局操作,仅考虑用户的租户权限。对于特定于文件夹的操作,如果定义了自定义角色,则与任何租户级别权限相比,将优先应用这些权限。

    注意:不再支持混合角色,您无法新建角色。如果您有混合角色,我们建议将其替换为租户角色和文件夹角色,以授予所需权限。

用户可以使用以下资源,具体取决于用户的角色类型:

租户资源

文件夹资源

  • 警示
  • 审核
  • 后台任务
  • 许可证
  • 计算机
  • ML 日志
  • 机器人
  • 角色
  • 设置
  • 文件夹
  • 用户
  • Webhooks
  • 资产
  • 存储文件
  • 存储桶
  • 连接
  • 环境
  • 执行介质
  • 文件夹程序包
  • 作业
  • 日志
  • 监控
  • 流程
  • 队列
  • 触发器
  • 子文件夹
  • 操作分配
  • 操作目录
  • 操作
  • 测试用例执行工件
  • 测试数据队列项目
  • 测试数据队列
  • 测试集执行
  • 测试集
  • 测试集计划
  • 事务
您可以使用 UiPath.Orchestrator.dll.config 中的 Auth.DisabledPermissions 参数完全禁用用户界面和 API 中的权限。

分配不同类型的角色

角色类型很重要,因为您会根据角色类型分配不同的角色,还取决于是否启用了传统文件夹:

  • 如果在“租户” > “设置” > “常规”下清除了“激活经典文件夹”

    • 您可以从“分配角色”选项卡或“租户”>“管理访问权限”页面的“角色”选项卡中分配租户角色和混合角色。
    • 您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。
  • 如果在“租户” > “设置” > “常规”下选择了“激活经典文件夹”

    • 您可以从“分配角色”选项卡或“租户”>“管理访问权限”页面的“角色”选项卡中分配三种类型的角色中的任何一种。
    • 您可以从“文件夹”页面或文件夹的“设置”页面分配“文件夹”角色和“混合”角色。

未生效的权限

通常,您可以为任何权限选择所有可用权限(查看编辑创建删除),但以下权限对列出的权限无效,因此您无法编辑它们

权限类型

权限

不可用的权限

租户

警示

  • 删除
 

审核

  • 编辑
  • 创建
  • 删除

文件夹

执行介质

  • 编辑
 

日志

  • 编辑
  • 删除
 

监控

  • 创建
  • 删除

例如,这是因为无法编辑系统生成的日志。

用于管理用户的权限

要在“用户”和“角色”页面上执行各种操作,需要获得相应的权限:

  • 用户 - 查看 - 显示“用户”和“个人资料”页面。
  • 用户 - 编辑 - 在“配置文件”页面上编辑用户详细信息和设置,并在“用户”页面上激活/停用用户。
  • 用户 - 查看角色 - 查看 - 在“用户权限”窗口中显示用户权限。
  • 用户 - 编辑角色 - 查看 - 在“管理访问权限”>“分配角色”页面上,编辑角色分配。
  • 用户 - 创建角色 - 查看 - 创建用户。
  • 用户 - 查看角色 - 编辑 - 从“管理访问权限”>“角色”页面打开的“管理用户”窗口中管理角色。
  • 用户 - 删除 - 从 Orchestrator 中删除用户。

安全注意事项

基本身份验证

默认情况下,Orchestrator 不允许用户通过基本身份验证进行访问。可通过添加和配置 Auth.RestrictBasicAuthentication 设置来启用此功能。这使您能够创建可以使用其基本身份验证凭据访问 Orchestrator 的本地帐户,从而允许您维护在调用 Orchestrator API 时依赖基本身份验证的现有集成。

创建和编辑帐户时,可以启用基本身份验证。

帐户锁定

默认情况下,在 10 次登录尝试失败后,您将被锁定 5 分钟。

系统管理员可以从 主机管理门户自定义帐户锁定设置。

注意:在不同的计算机上使用同一帐户登录会导致该用户与第一台计算机的连接断开。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。