背景信息

工作组

工作组是企业进行分域管理的基本单元。

系统缺省存在一个“默认工作组”，又称根工作组。首次注册的华为乾坤MSP帐号相当于根工作组的管理员，角色为“MSP管理员”，具备所有操作权限。为了保证系统的安全性，管理员可以创建多个子帐号，并通过角色为每个子帐号分配不同的权限，即分权。

管理员创建的子帐号和角色未做隔离，存在横向越权的问题，存在很大的安全隐患。例如：根管理员创建了帐号A和帐号B，分配给自己的下属部门，当帐号A和帐号B都具有帐号管理和角色管理的权限，则两帐号直接可以互相修改、删除对方的帐号和角色信息。

工作组可以解决不同用户创建的帐号、角色、用户组数据相互可见而造成的横向越权问题。工作组是一个树形结构，由上层工作组为下层工作组划分权限范围。在本层工作组内，用户可维护自己的帐号、角色，以及下层工作组。在平行工作组之间，不同帐号权限隔离，数据互不可见。如果根管理员不希望子帐号之间的横向越权，可以使用工作组管理员代替普通子帐号分配给下属部门或者分公司。

根工作组管理员可以继续创建下级工作组，原则如下：

• 每个工作组都有一个管理员，系统默认工作组管理员可以在工作组中创建用户，其他用户经过管理员角色授权后也可以创建工作组用户。
• 一共支持5级工作组，每个工作组一般默认由上级工作组管理员创建、修改或删除，上级工作组的用户经过管理员角色授权后也可以创建、修改、删除子工作组。

用户

用户是使用者在系统中的标识，包括用户名、密码和权限等属性。

根据用户类型可以将用户分为以下几类：

• 本地用户：指普通用户。
• 三方系统接入用户：指通过调用北向API接口登录控制台的用户，又称为“北向用户”。
• 远端用户：指华为官网用户。登录华为乾坤控制台时，请选择“华为官网帐号”登录。

角色

角色是MSP用户操作权限的集合。在创建工作组、用户时，给MSP赋予了什么样的角色，MSP就拥有了什么样的操作权限。

华为乾坤控制台支持两类MSP角色，分别是公共角色和服务类角色。

为方便MSP操作，控制台还支持自定义角色，具体如表1所示。

• 对于普通MSP（非MSP管理员和非MSP审计员），只有授权了目标服务角色，才能使用该服务。如工单管理、订阅管理、日志查看等。
• 如果您想了解更多信息，请参考各服务MSP有关权限控制的章节内容。