Skip to main content

Documentation Index

Fetch the complete documentation index at: https://langchain-zh.cn/llms.txt

Use this file to discover all available pages before exploring further.

本文档解释了 LangSmith 用于管理组织级和工作区级权限的基于角色的访问控制(RBAC)系统。
RBAC(基于角色的访问控制)是一项用于管理工作区级权限的企业版功能。如果您对此功能感兴趣,请联系我们的销售团队。其他计划默认对所有用户使用管理员角色。
LangSmith 的 RBAC 系统管理用户在工作区内的权限。RBAC 允许您控制谁可以访问您的 LangSmith 工作区以及他们在其中可以执行的操作。 在 LangSmith 中,每个用户拥有:
  • 一个适用于整个组织的组织角色(独立于工作区 RBAC)。
    • Organization User 和 Organization Viewer 角色仅在 Plus 和 Enterprise 计划 的组织中可用。在开发者组织(单工作区)中,所有用户默认被分配 Organization Admin 角色。
  • 他们所属的每个工作区有一个工作区角色(需要企业版 RBAC 功能)。
在企业版计划中,组织可以创建具有细粒度权限组合的自定义工作区角色 要了解如何设置 RBAC 并为用户分配角色,请参阅用户管理指南
如需获取所需权限的完整列表,以及可执行这些操作的操作和角色,请参阅 组织和工作区参考

角色类型

组织角色

组织角色独立于工作区 RBAC 功能,用于管理组织范围的能力。这些角色是系统定义的,无法修改或扩展。组织用户组织查看者角色仅在Plus 和企业版计划的组织中可用。在开发者组织(单工作区)中,默认情况下所有用户都被分配组织管理员角色。
角色描述
组织管理员管理组织配置、用户、账单和工作区的完整权限
组织操作员用于日常操作的工作区和用户管理访问权限,不包括管理员级特权
组织用户对组织信息的读取访问权限以及创建个人访问令牌的能力
组织查看者对组织信息的只读访问权限

组织管理员

描述:管理所有组织配置、用户、账单和工作区的完整权限。 权限
  • organization:manage - 对组织设置、SSO、安全、账单的完全控制
  • organization:read - 对所有组织信息的读取访问权限
  • organization:pats:create - 创建组织级个人访问令牌
如需获取所需权限的完整列表,以及可执行这些操作的操作和角色,请参阅 组织和工作区参考 关键能力 有关设置和管理组织的详细信息,请参阅管理概述

组织操作员

用于日常操作的管理访问权限,包括工作区和用户管理,但无法管理组织管理员或创建组织范围的服务密钥。 权限:
  • organization:manage - 对组织设置、工作区和非管理员用户的控制权
  • organization:read - 对所有组织信息的读取访问权限
  • organization:pats:create - 创建个人访问令牌
如需获取所需权限的完整列表,以及可执行这些操作的操作和角色,请参阅 组织和工作区参考 关键能力:
  • 创建和管理工作区
  • 邀请组织成员(仅限组织用户和查看者角色)
  • 管理非管理员组织成员(修改和移除组织用户和查看者)
  • 为成员分配工作区角色
  • 创建工作区范围的服务密钥和服务账户
  • 查看组织使用情况和分析
  • 查看审计日志(企业版)
限制:
  • 无法邀请、修改或移除组织管理员
  • 无法为用户分配组织管理员角色
  • 无法创建组织范围(非工作区特定)的服务密钥
  • 不会自动添加到现有工作区(仅添加到他们创建或明确受邀加入的工作区)
  • 无法管理组织账单或订阅计划
  • 无法配置SSO 或身份验证方法
  • 无法创建或管理自定义角色

组织用户

描述:对组织信息的读取访问权限以及创建个人访问令牌的能力。 权限
  • organization:read - 对组织信息的读取访问权限
  • organization:pats:create - 创建个人访问令牌
如需获取所需权限的完整列表,以及可执行这些操作的操作和角色,请参阅 组织和工作区参考 关键能力
  • 查看组织成员和工作区
  • 查看组织设置(但无法修改)
  • 为 API 访问创建个人访问令牌
  • 加入他们受邀的工作区
限制
  • 无法修改组织设置
  • 无法管理账单或订阅
  • 无法创建或删除工作区
  • 无法邀请或移除组织成员
  • 无法管理角色或权限
您可以将组织用户添加到一部分工作区并分配工作区角色(如果启用了 RBAC),这些角色指定了工作区级别的权限。

组织查看者

描述:对组织信息的只读访问权限。 权限
  • organization:read - 对组织信息的读取访问权限
如需获取所需权限的完整列表,以及可执行这些操作的操作和角色,请参阅 组织和工作区参考 关键能力
  • 查看组织成员和工作区
  • 查看组织设置
限制
  • 无法在组织级别修改任何内容
  • 无法创建个人访问令牌
  • 无法管理账单、工作区或成员

工作区角色

工作区角色是企业版 RBAC 功能的一部分,控制用户在工作区内对资源可以执行的操作:
角色描述
工作区管理员对所有资源的完整权限,包括工作区设置和成员管理
工作区编辑者对大多数资源的完整权限,无法管理工作区设置或删除某些资源
工作区查看者对所有工作区资源的只读访问权限
RBAC(基于角色的访问控制)是一项仅对企业版客户可用的功能。如果您对此功能感兴趣,请联系我们的销售团队。其他计划默认对所有用户使用管理员角色。

工作区管理员

描述:拥有对所有资源的完整权限并能管理工作区的角色。 权限
  • 对所有资源类型的所有创建、读取、更新、删除和共享权限
  • 工作区管理能力
如需获取所需权限的完整列表,以及可执行这些操作的操作和角色,请参阅 组织和工作区参考

工作区编辑者

描述:拥有对大多数资源的完整权限的角色。无法管理工作区设置或删除某些关键资源。 与管理员的主要区别
  • 无法删除运行记录
  • 无法管理工作区设置(更改工作区名称等)
  • 无法管理工作区成员(添加、移除或更新成员角色)

工作区查看者

描述:对所有工作区资源的只读访问权限。 权限:对所有资源类型的只读访问权限。 如需获取所需权限的完整列表,以及可执行这些操作的操作和角色,请参阅 组织和工作区参考
有关为用户分配工作区角色的分步说明,请参阅用户管理指南

自定义角色

创建自定义角色适用于企业版计划中的组织。
组织管理员可以创建具有特定权限组合的自定义角色,以满足其组织的需求。

创建自定义角色

自定义角色在组织级别创建,可以分配给该组织内任何工作区中的用户。 步骤
  1. 导航到组织设置 > 角色
  2. 点击创建自定义角色
  3. 选择要包含在角色中的权限。
  4. 在特定工作区中为用户分配自定义角色。
有关每个操作所需的具体权限的详细信息,请参阅组织和工作区操作参考 请注意以下关于自定义角色的细节:
  • 自定义角色只能由组织管理员创建和管理。
  • 自定义角色是组织特定的(不能在组织之间转移)。
  • 每个自定义角色可以具有工作区级别权限的任何组合。
  • 自定义角色不能具有组织级别的权限。
  • 用户可以在不同的工作区拥有不同的角色(包括自定义角色)。
workspaces:manage 权限包括管理工作区成员的能力。要允许自定义角色添加、移除或更新工作区成员,您必须明确授予 workspaces:manage-members 权限。内置的工作区管理员角色自动包含这两个权限。
Edit this page on GitHub or file an issue.
Connect these docs to Claude, VSCode, and more via MCP for real-time answers.