更新时间:2023-05-12 GMT+08:00

背景信息

华为乾坤的MSP帐号介绍参见MSP帐号基础,其分权分域原理与普通租户帐号类似,也支持多级MSP工作组管理。

图 MSP分权分域设计所示,MSP的层级就像一个企业机构,可以根据不同组织结构划分出不同MSP工作组,并指定工作组内用户的权限,实现分权分域管理。

图1 MSP分权分域设计

工作组

工作组是企业进行分域管理的基本单元。

系统缺省存在一个“默认工作组”,又称根工作组。首次注册的华为乾坤MSP帐号相当于根工作组的管理员,角色为“MSP管理员”,具备所有操作权限。为了保证系统的安全性,管理员可以创建多个子帐号,并通过角色为每个子帐号分配不同的权限,即分权。

管理员创建的子帐号和角色未做隔离,存在横向越权的问题,存在很大的安全隐患。例如:根管理员创建了帐号A和帐号B,分配给自己的下属部门,当帐号A和帐号B都具有帐号管理和角色管理的权限,则两帐号直接可以互相修改、删除对方的帐号和角色信息。

工作组可以解决不同用户创建的帐号、角色、用户组数据相互可见而造成的横向越权问题。工作组是一个树形结构,由上层工作组为下层工作组划分权限范围。在本层工作组内,用户可维护自己的帐号、角色,以及下层工作组。在平行工作组之间,不同帐号权限隔离,数据互不可见。如果根管理员不希望子帐号之间的横向越权,可以使用工作组管理员代替普通子帐号分配给下属部门或者分公司。

根工作组管理员可以继续创建下级工作组,原则如下:

  • 每个工作组都有一个管理员,系统默认工作组管理员可以在工作组中创建用户,其他用户经过管理员角色授权后也可以创建工作组用户。
  • 一共支持5级工作组,每个工作组一般默认由上级工作组管理员创建、修改或删除,上级工作组的用户经过管理员角色授权后也可以创建、修改、删除子工作组

用户

用户是使用者在系统中的标识,包括用户名、密码和权限等属性。

根据用户类型可以将用户分为以下几类:

  • 本地用户:指普通用户。
  • 三方系统接入用户:指通过调用北向API接口登录控制台的用户,又称为“北向用户”。
  • 远端用户:指华为官网用户。登录华为乾坤控制台时,请选择“华为官网帐号”登录。

角色

角色是MSP用户操作权限的集合。在创建工作组、用户时,给MSP赋予了什么样的角色,MSP就拥有了什么样的操作权限。

华为乾坤控制台支持两类MSP角色,分别是公共角色和服务类角色。

为方便MSP操作,控制台还支持自定义角色,具体如表1所示。

  • 对于普通MSP(非MSP管理员和非MSP审计员),只有授权了目标服务角色,才能使用该服务。如工单管理、订阅管理、日志查看等。
  • 如果您想了解更多信息,请参考各服务MSP有关权限控制的章节内容。
表1 华为乾坤 MSP角色表

角色分类

角色名称

说明

预置角色

MSP管理员

具有用户管理、工作组管理、租户管理和委托管理等基础管理的操作与查看权限。

MSP审计员

具有用户管理、工作组管理、租户管理和委托管理等基础管理的查看权限。

MSP开放接口操作员

具有用户管理、工作组管理、租户管理和委托管理等开放接口业务和相关配置的使用权限。

自定义角色

自定义角色

根据服务实际情况和功能特性设置相应的操作权限。