授权管理
授权管理是对企业用户、机构进行统一的授权和管理,主要包括应用账号、应用机构、同步事件、孤儿账号、公共账号。
应用账号
管理OneAccess用户与应用侧账号之间的绑定关系,即一个OneAccess用户可以对应多个不同应用系统的应用账号,实现一对多的映射关系。
如果已配置同步参数,且同步正常时,添加、通过授权策略新增和删除、编辑、删除、启用、禁用应用账号会触发向下游应用的同步操作。具体可参考通过事件回调方式同步数据至应用。
应用账号包括新账号和存量账号。
- 新账号
- 存量账号
“存量账号”可以理解为“绑定”,表示应用系统原有的历史账号,您可以通过线下梳理OneAccess用户和存量账号的绑定关系后,批量导入应用账号中,也可以批量导入存量账号到孤儿账号中,再通过绑定OneAccess用户关联这些存量账号。具体可参考应用账号导入。
以下介绍如何授予并管理用户访问应用的权限。
- 添加账号
添加账号是手工授予用户应用权限的基本方式,如需自动授权,请参考授权策略。
如果应用机构开启机构自动授权,“添加账号”时,可选择的用户范围为已自动授权的机构。应用机构授权请参考应用机构。
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 单击“添加账号”,在添加账号页面,选择需要授予应用权限的用户,单击“保存”,完成用户授权。
- 用户机构计算
当开启应用机构的自动授权后,应用账号模型未配置应用机构的映射时,单击“用户机构计算”后,应用账号列表显示其归属的应用机构。应用机构的自动授权请参考应用机构,应用账号模型的配置请参考应用账号模型。
图1 用户机构计算
- 清空账号
在应用账号页面单击“清空账号”,单击弹窗中的“确定”,会初始化该应用的授权数据,即取消已授权用户访问该应用的权限,请谨慎操作。
在弹窗中如勾选“同时删除孤儿账号和公共账号”,会同时清空孤儿账号和公共账号。清空公共账号后,该账号的责任人登录用户门户后,公共账号列表不显示该应用的公共账号,即同步该操作。
- 授权策略
授权策略可自动授予、删除用户访问应用的权限,方便您对企业应用的用户权限进行统一管理和维护。
当开启用户自动授权后,对所授权的组织添加用户、删除用户、调整用户组织,对所授权的用户组添加、删除用户,可自动同步至应用中。
- 在应用账号页面,单击“授权策略”。
- 在授权策略页面,单击
开启用户自动授权并选择用户,单击“保存”,保存当前策略,不立即授权用户。
- 如果应用机构开启机构自动授权,当选择用户为“机构范围中所有用户”或“自定义”时,可选的“机构范围”为已自动授权的机构,即可授予已自动授权机构中的用户访问应用的权限,用户组范围不受已自动授权机构的限制。应用机构授权请参考应用机构。
- 已经禁用的用户再次启用后不会触发自动授权,需要手动授权。
- 当选择用户为“机构范围中所有用户”时,“机构范围”会显示全部机构,即授予所有用户访问应用的权限。
- 当选择用户为“自定义”时。
- 当条件关系选择“AND”时,则机构范围和用户组范围可只选其中一个或两个同时选择,则会授予所选机构中的用户访问应用的权限或所选用户组中的用户访问应用的权限或所选机构、用户组的共有用户即二者的交集访问应用的权限。
- 当条件关系选择“OR”时,则需同时选择“机构范围”和“用户组范围”,会授予所选机构和用户组中所有用户访问应用的权限。
- 单击“执行新增”,完成用户授权,新增成功后,请单击
,应用账号列表显示已选择的用户。 - 如需批量删除基于机构、用户组的授权,在授权策略页面,取消勾选需要删除的机构、用户组,单击“保存”后,只保存当前策略,不立即取消用户授权。再单击“执行删除”,完成对用户的取消授权,删除成功后,请单击,应用账号列表不显示已取消授权的用户。可参考授权操作,与其逻辑一致。
- 编辑账号
在应用账号页面,单击应用账号操作列的“编辑”,可修改用户授权信息,该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考应用账号模型。
- 应用侧角色/权限
使用应用侧角色/权限授权的前提是配置应用侧权限。具体可参考应用侧权限。
在应用账号页面,在应用账号操作列选择“更多 > 应用侧角色/权限”。
- 当应用侧权限配置为基于角色的应用权限管理时,只可按应用侧角色授权,选择需要授予角色的账号,单击“确定”,完成基于角色的授权。基于角色的应用权限管理请参考基于角色的应用权限管理。
图2 按应用侧角色授权
- 当应用侧权限配置为基于角色、权限、资源的应用权限管理时,可选择按应用侧角色授权、按应用侧权限授权两种方式,每个账号只能选择一种授权方式。
- 按应用侧权限授权时,单击“添加权限”,在添加权限页面,选择权限类型,选择资源可选全部资源也可指定资源,当选择指定资源时,勾选所需资源条目,单击“确定”,完成基于应用侧权限的授权,其中,资源条目与其子条目之间权限独立,按单独授权。
图3 按应用侧角色授权
当对账号按应用侧权限授权后,可在“应用侧权限 > 权限集合”中在相应资源的已授权账号中查看。
- 按应用侧角色授权请参考按应用侧角色授权。
- 按应用侧权限授权时,单击“添加权限”,在添加权限页面,选择权限类型,选择资源可选全部资源也可指定资源,当选择指定资源时,勾选所需资源条目,单击“确定”,完成基于应用侧权限的授权,其中,资源条目与其子条目之间权限独立,按单独授权。
- 当应用侧权限配置为基于角色的应用权限管理时,只可按应用侧角色授权,选择需要授予角色的账号,单击“确定”,完成基于角色的授权。基于角色的应用权限管理请参考基于角色的应用权限管理。
- 转孤儿账号
在应用账号页面,选择应用账号列表右侧的“更多 > 转孤儿账号 ”,单击弹窗中的“确定”转孤儿账号成功,会在“授权管理 > 孤儿账号”中看到被转的账号。
- 删除账号
在应用账号页面,选择应用账号列表右侧的“更多 > 删除 ”,单击弹窗中的“确定”,可删除账号。删除账号后,该用户将无访问应用的权限,请谨慎删除。如需批量删除请参考授权策略。
- 启用/禁用账号
在应用账号页面,单击应用账号状态列的
可禁用账号。禁用账号后,该用户的用户门户不显示该应用,即被禁止访问该应用,单击
开启后,该用户的用户门户显示该应用,即允许访问该应用。用户访问应用请参考登录OneAccess用户门户并进入应用。
应用机构
应用机构主要管理应用侧与OneAccess机构的关系,可覆盖以下场景:
- 应用侧的机构与OneAccess保持一致,随OneAccess同步变更。
- 应用侧的机构只是OneAccess的一部分,随OneAccess同步变更。
- 应用侧的机构是OneAccess的全部或部分,同时,拥有自身独立的应用机构,即虚拟机构。
使用应用机构前,需开启应用机构,具体可参考应用机构模型。
如果已配置同步参数,且同步正常时,通过授权策略新增和删除应用机构、添加虚拟机构、编辑虚拟机构、移动虚拟机构、删除虚拟机构会触发向下游应用的同步操作。具体可参考通过事件回调方式同步数据至应用。
- 清空机构
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用机构”进入应用机构页面。
- 单击“清空机构”在弹框中单击“确定”将删除本应用的授权机构数据,即清空OneAccess平台组织(不同步到下游应用系统),请谨慎操作。
- 清空机构后,通过“添加账号”、“授权策略”授权用户访问应用的权限时,可选择的机构范围不受已授权机构的限制,即可以选择OneAccess的所有机构。
- 当归属于已授权机构的应用账号、孤儿账号、公共账号未被清空,且应用账号的列表显示其归属的机构时,“清空机构”会提示“机构中存在应用账号/孤儿账号/公共账号”,需优先清空应用账号、孤儿账号、公共账号。
- 授权策略
- 添加虚拟机构
虚拟机构归属企业应用,满足了企业应用拥有自身独立机构的场景。
在应用机构页面,单击
,打开“添加虚拟机构”页面,输入机构名称、机构编码,选择父组织后,单击“保存”,完成虚拟机构的添加。当选择父组织时,添加的虚拟机构为其子机构,当父组织为空时,添加的虚拟机构为顶层机构。 - 编辑虚拟机构
- 移动虚拟机构
- 删除虚拟机构
在应用机构页面,单击虚拟机构操作列的“删除”,单击弹窗中的“确定”,可删除虚拟机构。如需再次添加可参考添加虚拟机构。
同步事件
当OneAccess向下游企业应用同步数据时,同步事件会记录同步的所有操作,方便您进行查看。
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 同步事件”进入同步事件页面。可根据时间、操作类型、对象类型以及同步状态进行筛选查看同步记录。
对于同步失败的事件的处理:
- 可以查看响应信息并在解决问题后,单击操作列的“重试”再次同步。
- 可以通过“一键重试”快速执行同步。当父机构的同步事件重试成功后,会同时触发执行其下的子机构和账号的同步事件。
孤儿账号
孤儿账号指与OneAccess用户无绑定关系的账号。
如果已配置同步参数,且同步正常时,添加、编辑、删除孤儿账号会触发向下游应用的同步操作。具体可参考通过事件回调方式同步数据至应用。
- 添加账号
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 孤儿账号”进入孤儿账号页面。
- 在孤儿账号页面,单击“添加账号”,填写账号信息,单击“保存”,完成孤儿账号的添加。孤儿账号列表显示已添加的孤儿账号。该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考应用账号模型。
- 启用/禁用账号
- 编辑账号
在孤儿账号页面,单击孤儿账号操作列的“编辑”,可修改孤儿账号的信息,该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考应用账号模型。
- 绑定用户
在孤儿账号页面,选择孤儿账号操作列的“更多 > 绑定用户 ”,在绑定用户的弹窗中输入存在的用户名,单击“确定”,可建立孤儿账号与用户之间的绑定关系。如输入的用户不存在,会提示“绑定的用户不存在”。
绑定用户后,该账号会自动移动至应用账号,可在应用账号中查看。
- 转公共账号
在孤儿账号页面,选择孤儿账号操作列的“更多 > 转公共账号”,单击弹窗中的“确定”,可将该账号转换为公共账号。
转公共账号后,该账号会自动移动至公共账号,可在公共账号中查看。
- 删除账号
公共账号
公共账号是面向“多人使用一个账号的”场景,当企业应用需要配置一个公共账号供多人使用时,可以通过“责任人”授权“使用者”对该账号进行管理。其中,责任人对公共账号的管理可参考公共账号。
- 添加账号
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 公共账号”进入公共账号页面。
- 单击“添加账号”,填写账号信息。
- 单击“下一步”,进入添加责任人页面,单击“保存”,完成公共账号的添加,公共账号列表显示已添加的公共账号。
- 如果在添加责任人页面,输入的用户名存在,单击“保存”后,该公共账号的责任人显示为已输入的用户名。
- 如果输入的用户名不存在,单击“保存”后,该公共账号的责任人显示为空。
- 启用/禁用账号
在公共账号页面,单击公共账号状态列
可禁用账号,单击
可开启账号。- 如果用户只有公共账号的使用权限,即是公共账号的使用者,禁用账号后,该用户的用户门户不显示该应用,即被禁止访问该应用,开启后,该用户的用户门户显示该应用,即允许访问该应用。用户访问应用请参考登录OneAccess用户门户并进入应用。
- 如果用户是公共账号的使用者,同时,该用户拥有应用账号,禁用公共账号后,该用户的用户门户依然显示该应用,访问应用时,使用的是应用账号的信息,开启公共账号后,访问应用时,由用户选择访问应用的账号。用户访问应用请参考登录OneAccess用户门户并进入应用。
- 编辑账号
在公共账号页面,单击公共账号操作列的“编辑”,可修改公共账号的信息,该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考应用账号模型。
- 责任人
在公共账号页面,选择公共账号操作列的“更多 > 责任人 ”,在修改责任人的弹窗中输入存在的用户名,单击“确定”,完成责任人的添加。该用户在用户门户的公共账号处,可管理使用者。具体可参考公共账号。
- 使用者
在公共账号页面,选择公共账号操作列的“更多 > 使用者”,在选择使用者的页面勾选需要授权的用户,单击“保存”,完成使用者的添加。同时,责任人登录用户门户后,可在公共账号处管理授权的用户,具体可参考公共账号。
- 删除账号
