管理应用账号
管理OneAccess用户与应用侧账号之间的绑定关系,即一个OneAccess用户可以对应多个不同应用系统的应用账号,实现一对多的映射关系。
如果已配置同步参数,且同步正常时,添加、通过授权策略新增和删除、编辑、删除、启用、禁用应用账号会触发向下游应用的同步操作。具体可参考通过事件回调方式同步数据至应用。
应用账号包括新账号和存量账号。
- 新账号
- 存量账号
“存量账号”可以理解为“绑定”,表示应用系统原有的历史账号,您可以通过线下梳理OneAccess用户和存量账号的绑定关系后,批量导入应用账号中,也可以批量导入存量账号到孤儿账号中,再通过绑定OneAccess用户关联这些存量账号。具体可参考导入应用账号。
添加账号
添加账号是手工授予用户应用权限的基本方式,如需自动授权,请参考应用账号授权策略。
如果应用机构开启机构自动授权,“添加账号”时,可选择的用户范围为已自动授权的机构。应用机构授权请参考应用机构授权策略。
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 单击“添加账号”,在添加账号页面,选择需要授予应用权限的用户,单击“保存”,完成用户授权。
用户机构计算
当开启应用机构的自动授权后,应用账号模型未配置应用机构的映射时,单击“用户机构计算”后,应用账号列表显示其归属的应用机构。应用机构的自动授权请参考应用机构授权策略,应用账号模型的配置请参考应用账号模型。
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 单击“用户机构计算”。
图1 用户机构计算
清空账号
清空账号会初始化该应用的授权数据,即取消已授权用户访问该应用的权限,请谨慎操作。
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 单击“清空账号”。
在弹窗中如勾选“同时删除孤儿账号和公共账号”,会同时清空孤儿账号和公共账号。清空公共账号后,该账号的责任人登录用户门户后,公共账号列表不显示该应用的公共账号,即同步该操作。
- 单击“确定”。
应用账号授权策略
授权策略可自动授予、删除用户访问应用的权限,方便您对企业应用的用户权限进行统一管理和维护。
当开启用户自动授权后,对所授权的组织添加用户、删除用户、调整用户组织,对所授权的用户组添加、删除用户,可自动同步至应用中。
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 单击“授权策略”。
- 在授权策略页面,单击
开启用户自动授权并选择用户,单击“保存”,保存当前策略,不立即授权用户。
- 如果应用机构开启机构自动授权,当选择用户为“机构范围中所有用户”或“自定义”时,可选的“机构范围”为已自动授权的机构,即可授予已自动授权机构中的用户访问应用的权限,用户组范围不受已自动授权机构的限制。应用机构授权请参考应用机构授权策略。
- 已经禁用的用户再次启用后不会触发自动授权,需要手动授权。
- 当选择用户为“机构范围中所有用户”时,“机构范围”会显示全部机构,即授予所有用户访问应用的权限。
- 当选择用户为“自定义”时。
- 当条件关系选择“AND”时,则机构范围和用户组范围可只选其中一个或两个同时选择,则会授予所选机构中的用户访问应用的权限或所选用户组中的用户访问应用的权限或所选机构、用户组的共有用户即二者的交集访问应用的权限。
- 当条件关系选择“OR”时,则需同时选择“机构范围”和“用户组范围”,会授予所选机构和用户组中所有用户访问应用的权限。
- 单击“执行新增”,完成用户授权,新增成功后,请单击
,应用账号列表显示已选择的用户。 - 如需批量删除基于机构、用户组的授权,在授权策略页面,取消勾选需要删除的机构、用户组,单击“保存”后,只保存当前策略,不立即取消用户授权。再单击“执行删除”,完成对用户的取消授权,删除成功后,请单击
,应用账号列表不显示已取消授权的用户。
编辑账号
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 单击待编辑的应用账号操作列的“编辑”,可修改用户授权信息,该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考应用账号模型。
- 单击“保存”。
应用侧角色/权限
使用应用侧角色/权限授权的前提是配置应用侧权限。具体可参考管理应用侧权限。
在应用账号页面,在应用账号操作列选择“更多 > 应用侧角色/权限”。
- 当应用侧权限配置为基于角色的应用权限管理时,只可按应用侧角色授权,选择需要授予角色的账号,单击“确定”,完成基于角色的授权。基于角色的应用权限管理请参考基于角色的应用权限管理。
图2 按应用侧角色授权
- 当应用侧权限配置为基于角色、权限、资源的应用权限管理时,可选择按应用侧角色授权、按应用侧权限授权两种方式,每个账号只能选择一种授权方式。
- 按应用侧权限授权时,单击“添加权限”,在添加权限页面,选择权限类型,选择资源可选全部资源也可指定资源,当选择指定资源时,勾选所需资源条目,单击“确定”,完成基于应用侧权限的授权,其中,资源条目与其子条目之间权限独立,按单独授权。
图3 按应用侧角色授权
当对账号按应用侧权限授权后,可在“应用侧权限 > 权限集合”中在相应资源的已授权账号中查看。
- 按应用侧角色授权请参考按应用侧角色授权。
- 按应用侧权限授权时,单击“添加权限”,在添加权限页面,选择权限类型,选择资源可选全部资源也可指定资源,当选择指定资源时,勾选所需资源条目,单击“确定”,完成基于应用侧权限的授权,其中,资源条目与其子条目之间权限独立,按单独授权。
转孤儿账号
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 在待操作应用账号操作栏选择“更多 > 转孤儿账号 ”。
- 单击“确定”,转孤儿账号成功,会在“授权管理 > 孤儿账号”中看到被转的账号。
删除账号
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 在待删除应用账号操作栏选择“更多 > 删除 ”。
- 单击弹窗中的“确定”,可删除账号。删除账号后,该用户将无访问应用的权限,请谨慎删除。如需批量删除请参考应用账号授权策略。
启用/禁用账号
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 单击应用图标,默认进入该应用的通用信息页面。
- 在左侧导航栏选择“授权管理 > 应用账号”进入应用账号页面。
- 单击待禁用应用账号状态列的在应用账号页面,单击应用账号状态列的
可禁用账号。禁用账号后,该用户的用户门户不显示该应用。 - 单击待开启应用账号状态列的
可开启账号,该用户的用户门户显示该应用,即允许访问该应用。用户访问应用请参考登录OneAccess用户门户并进入应用。
