Skip to main content
本参考文档解释了 LangSmith 的基于角色的访问控制(RBAC)系统,用于管理组织级和工作区级权限。
RBAC(基于角色的访问控制)是一项用于管理工作区级权限的企业版功能。如果您对此功能感兴趣,请联系我们的销售团队。其他计划默认为所有用户使用管理员角色。
LangSmith 的 RBAC 系统管理工作区内的用户权限。RBAC 允许您控制谁可以访问您的 LangSmith 工作区以及他们在其中可以执行的操作。 在 LangSmith 中,每个用户拥有:
  • 一个适用于整个组织的 组织角色(与工作区 RBAC 分开)。
    • 组织用户和组织查看者角色仅在 Plus 和 Enterprise 计划 的组织中可用。在开发者组织(单一工作区)中,所有用户默认被分配组织管理员角色。
  • 每个其所属工作区一个 工作区角色(需要企业版 RBAC 功能)。
在企业版计划中,组织可以创建具有细粒度权限组合的 自定义工作区角色 要了解如何设置 RBAC 并为用户分配角色,请参阅 用户管理指南。您的身份提供商也可以通过 SCIM 组SSO 组同步 自动分配角色。
有关所需权限的完整列表以及可执行这些权限的操作和角色,请参阅组织和工作区参考

角色类型

组织角色

组织角色与工作区 RBAC 功能不同,用于管理整个组织范围的能力。这些角色是系统定义的,无法修改或扩展。组织用户组织查看者 角色仅在 Plus 和企业版计划 的组织中可用。在开发者组织(单个工作区)中,所有用户默认被分配 组织管理员 角色。
角色描述
组织管理员拥有管理组织配置、用户、计费和工作区的完全权限
组织操作员拥有管理工作区和用户的日常操作权限,但不包括管理员级别的特权
组织用户拥有读取组织信息和创建个人访问令牌的权限
组织查看者拥有对组织信息的只读访问权限

组织管理员

描述:拥有管理所有组织配置、用户、计费和工作区的完全权限。 权限
  • organization:manage - 完全控制组织设置、SSO、安全、计费
  • organization:read - 读取所有组织信息的权限
  • organization:pats:create - 创建组织级 个人访问令牌
有关所需权限的完整列表以及可执行这些权限的操作和角色,请参阅组织和工作区参考 关键能力 有关设置和管理组织的详细信息,请参阅 管理概览

组织操作员

用于日常操作的管理访问权限,包括工作区和用户管理,但不能管理组织管理员或创建组织范围的服务密钥。 权限:
  • organization:manage - 控制组织设置、工作区和非管理员用户
  • organization:read - 读取所有组织信息的权限
  • organization:pats:create - 创建个人访问令牌
有关所需权限的完整列表以及可执行这些权限的操作和角色,请参阅组织和工作区参考 关键能力:
  • 创建和管理工作区
  • 邀请组织成员(仅限组织用户和查看者角色)
  • 管理非管理员组织成员(修改和移除组织用户和查看者)
  • 为成员分配工作区角色
  • 创建工作区范围的服务密钥和服务账户
  • 查看组织使用情况和分析
  • 查看审计日志(企业版)
限制:
  • 不能邀请、修改或移除组织管理员
  • 不能将组织管理员角色分配给用户
  • 不能创建组织范围(非工作区特定)的服务密钥
  • 不会自动添加到现有工作区(仅添加到他们创建或被明确邀请的工作区)
  • 不能管理组织计费或订阅计划
  • 不能配置 SSO 或认证方法
  • 不能创建或管理自定义角色

组织用户

描述:拥有读取组织信息和创建个人访问令牌的权限。 权限
  • organization:read - 读取组织信息的权限
  • organization:pats:create - 创建个人访问令牌
有关所需权限的完整列表以及可执行这些权限的操作和角色,请参阅组织和工作区参考 关键能力
  • 查看组织成员和工作区
  • 查看组织设置(但不能修改)
  • 创建用于 API 访问的 个人访问令牌
  • 加入被邀请的工作区
限制
  • 不能修改组织设置
  • 不能管理计费或订阅
  • 不能创建或删除工作区
  • 不能邀请或移除组织成员
  • 不能管理角色或权限
您可以将组织用户添加到部分工作区并分配工作区角色(如果启用了 RBAC),这些角色在工作区级别指定权限。

组织查看者

描述:对组织信息的只读访问权限。 权限
  • organization:read - 读取组织信息的权限
有关所需权限的完整列表以及可执行这些权限的操作和角色,请参阅组织和工作区参考 关键能力
  • 查看组织成员和工作区
  • 查看组织设置
限制
  • 不能修改组织级别的任何内容
  • 不能创建个人访问令牌
  • 不能管理计费、工作区或成员

工作区角色

工作区角色是 企业版 RBAC 功能 的一部分,控制用户在工作区内对资源可以执行的操作:
角色描述
工作区管理员拥有所有资源的完全权限,包括工作区设置和成员管理
工作区编辑者拥有大多数资源的完全权限,但不能管理工作区设置或删除某些资源
工作区查看者对所有工作区资源的只读访问权限
RBAC(基于角色的访问控制)是一项仅对 企业版 客户可用的功能。如果您对此功能感兴趣,请联系我们的销售团队。其他计划默认为所有用户使用管理员角色。

工作区管理员

描述:拥有所有资源完全权限并能管理工作区的角色。 权限
  • 所有资源类型的所有创建、读取、更新、删除和共享权限
  • 工作区管理能力
有关所需权限的完整列表以及可执行这些权限的操作和角色,请参阅组织和工作区参考

工作区编辑者

描述:拥有大多数资源完全权限的角色。不能管理工作区设置或删除某些关键资源。 与管理员的关键区别
  • 不能删除 运行
  • 不能管理工作区设置(更改工作区名称等)
  • 不能管理工作区成员(添加、移除或更新成员角色)

工作区查看者

描述:对所有工作区资源的只读访问权限。 权限:对所有资源类型的只读访问权限。 有关所需权限的完整列表以及可执行这些权限的操作和角色,请参阅组织和工作区参考
有关为用户分配工作区角色的分步说明,请参阅 用户管理指南

自定义角色

创建自定义角色适用于企业版计划的组织。
组织管理员 可以创建具有特定权限组合的自定义角色,以满足其组织的需求。

创建自定义角色

自定义角色在 组织 级别创建,可以分配给该组织内任何 工作区 的用户。 步骤
  1. 导航到组织 设置 > 角色
  2. 点击 创建自定义角色
  3. 选择要包含在角色中的权限。
  4. 将自定义角色分配给特定工作区的用户。
有关每个操作所需的具体权限的详细信息,请参阅 组织和工作区操作参考 请注意以下关于自定义角色的详细信息:
  • 自定义角色只能由组织管理员创建和管理。
  • 自定义角色是特定于组织的(不能在组织之间转移)。
  • 每个自定义角色可以拥有任何工作区级权限的组合。
  • 自定义角色不能拥有组织级权限。
  • 用户可以在不同工作区拥有不同角色(包括自定义角色)。

理解权限行为

某些权限在自定义角色中使用时提供细粒度控制:
  • workspaces:manage 包括管理工作区成员的能力。要允许自定义角色添加、移除或更新工作区成员,您必须明确授予 workspaces:manage-members。内置的工作区管理员角色自动包含这两个权限。
  • projects:increase-trace-tierprojects:decrease-trace-tier 是独立的,可以分别授予。例如,您可以允许一个角色降低保留期而不允许其提高保留期。如果用户缺少这两个权限,保留期设置 UI 将完全隐藏。如果他们只有一个权限,UI 将部分启用(不允许的方向被禁用)。
  • projects:update 仅涵盖元数据更新(名称、描述、标签), 授予更改跟踪保留期的能力。要允许自定义角色修改跟踪层级,您必须明确授予 projects:increase-trace-tierprojects:decrease-trace-tier 或两者。
将这些文档连接到 Claude、VSCode 等,通过 MCP 获取实时答案。
在 GitHub 上编辑此页面提交问题