背景信息
华为乾坤的MSP帐号介绍参见MSP帐号基础,其分权分域原理与普通租户帐号类似,也支持多级MSP工作组管理。
如图 MSP分权分域设计所示,MSP的层级就像一个企业机构,可以根据不同组织结构划分出不同MSP工作组,并指定工作组内用户的权限,实现分权分域管理。
工作组
工作组是企业进行分域管理的基本单元。
系统缺省存在一个“默认工作组”,又称根工作组。首次注册的华为乾坤MSP帐号相当于根工作组的管理员,角色为“MSP管理员”,具备所有操作权限。为了保证系统的安全性,管理员可以创建多个子帐号,并通过角色为每个子帐号分配不同的权限,即分权。
管理员创建的子帐号和角色未做隔离,存在横向越权的问题,存在很大的安全隐患。例如:根管理员创建了帐号A和帐号B,分配给自己的下属部门,当帐号A和帐号B都具有帐号管理和角色管理的权限,则两帐号直接可以互相修改、删除对方的帐号和角色信息。
工作组可以解决不同用户创建的帐号、角色、用户组数据相互可见而造成的横向越权问题。工作组是一个树形结构,由上层工作组为下层工作组划分权限范围。在本层工作组内,用户可维护自己的帐号、角色,以及下层工作组。在平行工作组之间,不同帐号权限隔离,数据互不可见。如果根管理员不希望子帐号之间的横向越权,可以使用工作组管理员代替普通子帐号分配给下属部门或者分公司。

根工作组管理员可以继续创建下级工作组,原则如下:
- 每个工作组都有一个管理员,系统默认工作组管理员可以在工作组中创建用户,其他用户经过管理员角色授权后也可以创建工作组用户。
- 一共支持5级工作组,每个工作组一般默认由上级工作组管理员创建、修改或删除,上级工作组的用户经过管理员角色授权后也可以创建、修改、删除子工作组。
用户
用户是使用者在系统中的标识,包括用户名、密码和权限等属性。
根据用户类型可以将用户分为以下几类:
- 本地用户:指普通用户。
- 三方系统接入用户:指通过调用北向API接口登录控制台的用户,又称为“北向用户”。
- 远端用户:指华为官网用户。登录华为乾坤控制台时,请选择“华为官网帐号”登录。
角色
角色是MSP用户操作权限的集合。在创建工作组、用户时,给MSP赋予了什么样的角色,MSP就拥有了什么样的操作权限。
华为乾坤控制台支持两类MSP角色,分别是公共角色和服务类角色。
为方便MSP操作,控制台还支持自定义角色,具体如表1所示。

- 对于普通MSP(非MSP管理员和非MSP审计员),只有授权了目标服务角色,才能使用该服务。如工单管理、订阅管理、日志查看等。
- 如果您想了解更多信息,请参考各服务MSP有关权限控制的章节内容。