基于角色的访问控制

本文档解释了 LangSmith 用于管理组织级和工作区级权限的基于角色的访问控制（RBAC）系统。 LangSmith 的 RBAC 系统管理用户在工作区内的权限。RBAC 允许您控制谁可以访问您的 LangSmith 工作区以及他们在其中可以执行的操作。 在 LangSmith 中，每个用户拥有：

• 一个适用于整个组织的组织角色（独立于工作区 RBAC）。
  • The Organization User and Organization Viewer roles are only available in organizations on Plus and Enterprise plans. In Developer organizations (single workspace), all users are assigned the Organization Admin role by default.
• 他们所属的每个工作区有一个工作区角色（需要企业版 RBAC 功能）。

在企业版计划中，组织可以创建具有细粒度权限组合的自定义工作区角色。 要了解如何设置 RBAC 并为用户分配角色，请参阅用户管理指南。

​

角色类型

​

组织角色

组织角色独立于工作区 RBAC 功能，用于管理组织范围的能力。这些角色是系统定义的，无法修改或扩展。组织用户和组织查看者角色仅在Plus 和企业版计划的组织中可用。在开发者组织（单工作区）中，默认情况下所有用户都被分配组织管理员角色。

​

组织管理员

描述：管理所有组织配置、用户、账单和工作区的完整权限。 权限：

• organization:manage - 对组织设置、SSO、安全、账单的完全控制
• organization:read - 对所有组织信息的读取访问权限
• organization:pats:create - 创建组织级个人访问令牌

For a comprehensive list of required permissions along with the operations and roles that can perform them, refer to the Organization and workspace reference. 关键能力：

• 管理组织设置和品牌
• 配置SSO 和身份验证方法
• 管理账单和订阅计划
• 创建和删除工作区
• 邀请和移除组织成员
• 为成员分配组织和工作区角色
• 创建和管理自定义角色
• 配置 RBAC 和 ABAC（基于属性的访问控制）策略
• 查看组织使用情况和分析
• 查看审计日志（企业版）

有关设置和管理组织的详细信息，请参阅管理概述。

​

组织操作员

用于日常操作的管理访问权限，包括工作区和用户管理，但无法管理组织管理员或创建组织范围的服务密钥。 权限：

• organization:manage - 对组织设置、工作区和非管理员用户的控制权
• organization:read - 对所有组织信息的读取访问权限
• organization:pats:create - 创建个人访问令牌

For a comprehensive list of required permissions along with the operations and roles that can perform them, refer to the Organization and workspace reference. 关键能力：

• 创建和管理工作区
• 邀请组织成员（仅限组织用户和查看者角色）
• 管理非管理员组织成员（修改和移除组织用户和查看者）
• 为成员分配工作区角色
• 创建工作区范围的服务密钥和服务账户
• 查看组织使用情况和分析
• 查看审计日志（企业版）

限制：

• 无法邀请、修改或移除组织管理员
• 无法为用户分配组织管理员角色
• 无法创建组织范围（非工作区特定）的服务密钥
• 不会自动添加到现有工作区（仅添加到他们创建或明确受邀加入的工作区）
• 无法管理组织账单或订阅计划
• 无法配置SSO 或身份验证方法
• 无法创建或管理自定义角色

​

组织用户

描述：对组织信息的读取访问权限以及创建个人访问令牌的能力。 权限：

• organization:read - 对组织信息的读取访问权限
• organization:pats:create - 创建个人访问令牌

For a comprehensive list of required permissions along with the operations and roles that can perform them, refer to the Organization and workspace reference. 关键能力：

• 查看组织成员和工作区
• 查看组织设置（但无法修改）
• 为 API 访问创建个人访问令牌
• 加入他们受邀的工作区

限制：

• 无法修改组织设置
• 无法管理账单或订阅
• 无法创建或删除工作区
• 无法邀请或移除组织成员
• 无法管理角色或权限

您可以将组织用户添加到一部分工作区并分配工作区角色（如果启用了 RBAC），这些角色指定了工作区级别的权限。

​

组织查看者

描述：对组织信息的只读访问权限。 权限：

• organization:read - 对组织信息的读取访问权限

For a comprehensive list of required permissions along with the operations and roles that can perform them, refer to the Organization and workspace reference. 关键能力：

• 查看组织成员和工作区
• 查看组织设置

限制：

• 无法在组织级别修改任何内容
• 无法创建个人访问令牌
• 无法管理账单、工作区或成员

​

工作区角色

工作区角色是企业版 RBAC 功能的一部分，控制用户在工作区内对资源可以执行的操作：

​

工作区管理员

描述：拥有对所有资源的完整权限并能管理工作区的角色。 权限：

• 对所有资源类型的所有创建、读取、更新、删除和共享权限
• 工作区管理能力

For a comprehensive list of required permissions along with the operations and roles that can perform them, refer to the Organization and workspace reference.

​

工作区编辑者

描述：拥有对大多数资源的完整权限的角色。无法管理工作区设置或删除某些关键资源。 与管理员的主要区别：

• 无法删除运行记录
• 无法管理工作区设置（更改工作区名称等）
• 无法管理工作区成员（添加、移除或更新成员角色）

​

工作区查看者

描述：对所有工作区资源的只读访问权限。 权限：对所有资源类型的只读访问权限。 For a comprehensive list of required permissions along with the operations and roles that can perform them, refer to the Organization and workspace reference.

​

自定义角色

组织管理员可以创建具有特定权限组合的自定义角色，以满足其组织的需求。

​

创建自定义角色

自定义角色在组织级别创建，可以分配给该组织内任何工作区中的用户。 步骤：

1. 导航到组织设置 > 角色。
2. 点击创建自定义角色。
3. 选择要包含在角色中的权限。
4. 在特定工作区中为用户分配自定义角色。

有关每个操作所需的具体权限的详细信息，请参阅组织和工作区操作参考。 请注意以下关于自定义角色的细节：

• 自定义角色只能由组织管理员创建和管理。
• 自定义角色是组织特定的（不能在组织之间转移）。
• 每个自定义角色可以具有工作区级别权限的任何组合。
• 自定义角色不能具有组织级别的权限。
• 用户可以在不同的工作区拥有不同的角色（包括自定义角色）。

---