了解 Power Automate 流的不同所有权模式是维护流稳定性、安全性和合规性的关键。
流的所有权(服务主体与用户)
流所有者在管理、控制和维护 Power Automate 流方面起着至关重要的作用。 请务必仔细考虑是使用服务主体名称(SPN)还是用户帐户作为流所有者。 SPN 不绑定到单个用户,从而降低了中断的风险,并且它们可以更严格地控制权限。
服务主体名称 (SPN) 所有权
SPN 所有权的优点包括:
- 一致性:SPN 不与单个用户绑定,因此即使发生人事变动,也能确保流继续顺利运行。 此配置提供稳定且一致的所有权模型。
- 安全性:使用 SPN 可以更严格地控制权限,从而增强安全性。 SPN 只能被授予必要的访问权限,从而降低未经授权操作的风险。
- 可扩展性:SPN 更适合管理大型环境中的自动化任务,尤其是在涉及多个流或环境的情况下。
- 合规性:使用 SPN 有助于保持合规性,因为 SPN 可提供更清晰的流操作审计跟踪,与特定用户无关。
- 减少中断:由于 SPN 不受用户账户变更(如员工离职)的影响,因此流操作中断的风险较低。
- 集中管理:SPN 允许对流权限和访问进行集中管理,从而更容易维护和审核安全策略。
用户帐户所有权
用户帐户所有权的优点包括:
- 易于设置:用户只需进行最少的设置即可创建和拥有流,使用户更容易开发和管理自己的流。
- 人机交互:如果流涉及需要人工审批、决策或互动的任务,用户账户可能更合适。
- 个性化环境:用户拥有的流可以在该用户的上下文中使用其权限和设置运行。
最佳做法
对于关键流或长时间运行的流,请使用服务主体名称来确保流保持稳定并独立于特定用户。
对于特定于用户的流或交互式流,当流需要用户的特定上下文或涉及用户交互时,请使用用户帐户。
流的共同所有权
为云端流添加共有人以共享流。 云端流的所有者可以执行这些操作:
- 查看运行历史记录
- 管理流的属性(例如,启动或停止流、添加所有者或更新连接凭证)
- 编辑流的定义(例如,添加或删除操作或条件)
- 添加或删除其他所有者(但不包括流的创建者),包括访客用户
- 删除流
仅根据需要为流协作添加共同负责人。 在大多数情况下,如果需要共享流,请使用仅运行权限共享该流,这将限制用户查看流运行历史记录或进行任何更改。 共享流还允许所有者指定流是使用调用流的用户的连接,还是使用创建流的用户或帐户的内置连接。
了解更多信息:共享云端流
配置安全角色以进行适当的访问
除了将用户分配为共同负责人之外,某些用户还可以根据其在工作流表上的安全角色或环境管理员角色访问流。
通常,对工作流表具有完全访问权限的用户可以编辑任何流并查看任何运行历史记录。 环境管理员始终具有编辑工作流的完全访问权限,并可以查看流经工作流的所有数据。