修改AstroZero预置Portal User Profile权限的访问范围

操作场景

在AstroZero中新添加的业务用户，若没有配置指定的权限，默认使用系统预置的Portal User Profile权限。若默认Portal User Profile权限不能满足需求，即业务用户需要额外的权限时，可参照本章节对业务用户进行权限配置。

在AstroZero中，修改业务用户权限有如下两种方式：

• 方式一：修改系统预置的权限Portal User Profile

  权限配置Portal User Profile是全局的，修改Portal User Profile权限会影响系统所有的应用。

• 方式二：新建权限配置

  在预置的Portal User Profile权限基础上，自定义业务用户的权限配置和拓展。在AstroZero的权限配置功能中，基于某个权限配置新建的Profile，将会继承原Profile的全部权限。

修改系统预置的权限Portal User Profile

1. 在AstroZero服务控制台，单击“进入首页”，进入应用开发页面。
2. 在页面左上方单击，选择“环境管理 > 环境配置”，进入环境配置。
3. 在左侧导航栏中，选择“用户安全 > 权限”。
4. 在权限配置列表中，单击Portal User Profile权限，进入权限配置详情页面。
5. 在“基本信息 > 权限管理”中，单击任一，赋予Portal User Profile新的权限。
   各权限功能介绍，请参见表1。

   图1 赋予Portal User Profile新的权限
   

6. 在“应用程序设置”页签，单击，设置哪些应用对业务用户可见。
   图2 设置应用是否可见
   

7. 在“自定义对象权限”页签，单击，设置自定义对象权限。
   图3 设置自定义对象权限
   

8. 在“接口”页签，单击，设置可执行哪些服务编排、脚本或BPM。
   

   基本信息中设置了执行服务编排、执行脚本和执行BPM的权限，此处的设置才会生效。

9. 在“业务权限凭证”页签，单击，设置用户的业务权限。

   在自定义接口URL时，可通过配置业务权限，控制只有该业务权限的用户才可访问自定义接口URL。自定义接口的业务权限配置，请参考自定义调用AstroZero脚本的URL和自定义AstroZero服务编排的URL。

新建权限配置

以新建普通业务用户权限“csProfile”为例进行介绍。在后续有新的业务用户注册时，只需要将业务用户配置上“csProfile”，即可获取该权限配置中的权限。

1. 新建权限配置csProfile。
   1. 在AstroZero服务控制台，单击“进入首页”，进入应用开发页面。
   2. 在页面左上方单击，选择“环境管理 > 环境配置”，进入环境配置。
   3. 在左侧导航栏中，选择“用户安全 > 权限”，单击“新建”。
   4. 在新建权限配置页面，选择一个已存在的权限配置进行继承。
      图4 基于Portal User Profile新增权限配置
      

      表1 新建权限配置参数说明

      参数	说明
      现有权限配置	新建权限配置需要继承的现有权限，配置为“Portal User Profile”。
      克隆模式	普通克隆：新创建的权限允许被继承克隆，且所有权限均可独立修改。 继承克隆：新创建的权限不允许被继承克隆，且仅基本权限与业务权限可独立修改。 其他权限项均与父权限保持一致，不允许修改。 默认为“普通克隆”。
      用户许可证	系统自动关联无需配置。
      权限配置名称	新建权限配置的名称，不能超过64个字符。 配置为：csProfile。
      描述	根据实际需求，输入权限配置的描述信息。 取值范围：1~255个字符。

   5. 设置完成后，单击“保存”。
   6. 在权限配置列表中，可查看到csProfile已添加。
      图5 查看已添加的csProfile
      

2. 修改已创建权限csProfile的配置。
   1. 在左侧导航栏中，选择“用户安全 > 权限”。
   2. 在权限配置列表中，单击已创建的csProfile，进入csProfile权限配置详情页面。
   3. 在“基本信息”页签，单击对应参数后的，修改csProfile基本信息。
      • 基本信息：Profile文件基本信息，支持修改名称和描述。
      • 密码策略：设置用户登录系统的密码策略，包括锁定有效期和最大连续失败登录次数。
      • 会话策略：设置访问凭证时长、刷新凭证时长和同时在线会话数。
      • 权限管理：设置csProfile的基础权限。
   4. 在“应用程序设置”页签，单击应用设置后的，设置应用在页面上是否可见。

      当有两个或两个以上应用时，必须至少选择一个应用为可见的。设置该功能后，在应用的预览页面，单击应用图标，在弹出的应用列表中可进行应用切换。

   5. 在“标准对象权限/自定义对象权限”页签，设置对象及对象字段的权限。
      图6 设置对象及对象字段的权限
      
   6. 在“接口”页签，设置可执行哪些服务编排、脚本或BPM（工作流）。
      

      基本信息中设置了执行服务编排、执行脚本和执行BPM的权限，此处的设置才会生效。

   7. 在“连接器”页签，设置可访问哪些OBS、对象存储代理等。
   8. 在“事件”页签，设置可访问哪些事件。
   9. 在“扩展权限集”页签，设置该Profile拥有哪些扩展权限集。

      扩展权限集的创建方法，请参见创建AstroZero扩展权限集。

   10. 在“业务权限凭证”页签，设置用户的业务权限。

       在自定义接口URL时，可通过配置业务权限，控制只有该业务权限的用户才可访问自定义接口URL。自定义接口的业务权限配置，请参考自定义调用AstroZero脚本的URL和自定义AstroZero服务编排的URL。

   11. 在“系统参数”页签，设置可读取哪些系统参数。

为业务用户授予csProfile权限

1. 在AstroZero服务控制台，单击“进入首页”，进入应用开发页面。
2. 在页面左上方单击，选择“环境管理 > 环境配置”，进入环境配置。
3. 在主菜单中，选择“维护”。
4. 在左侧导航栏中，选择“全局元素 > 业务用户”。
5. 在业务用户列表中，单击需要编辑业务用户的用户名，例如“test_cs”，进入业务用户详情页面。

   当业务用户比较多时，可在搜索框中输入需要编辑的业务用户名，进行精确查找。

6. 单击“编辑”，将csProfile权限指派给test_cs业务用户。
   图7 将csProfile权限指派给test_cs
   

7. 判断是否勾选覆盖业务用户权限。
   图8 是否勾选覆盖业务用户权限
   

   勾选，该业务用户所有权限读取权限集中的权限设置。不勾选，该业务用户应用程序权限读取Portal User Profile，其余权限读取权限集中的权限设置。业务用户Profile权限实现逻辑如下：

   • 业务用户“权限集”下没有配置任何Profile权限时，默认使用“Portal User Profile”权限。
   • 业务用户“权限集”下指派了一个Profile权限，以“权限集”中配置为准，不再使用“Portal User Profile”权限。
   • 业务用户“权限集”下指派了多个Profile权限，勾选“覆盖业务用户权限”时，合并所有权限，取所有权限合集；不勾选“覆盖业务用户权限”时，使用“权限集”下第一个Profile权限。