概述
ROMA Connect对用户资源实现了严格的权限管理,在同一实例内,非管理员权限(Tenant Administrator权限)的IAM用户只能查看和管理自己创建的集成应用和资源,默认不能查看其他IAM用户创建的集成应用和资源。ROMA Connect支持通过集成应用授权的方式,把集成应用下的资源共享给同一账号下的其他IAM用户来查看和使用。
约束与限制
- 集成应用的授权管理功能,仅能解决同一账号下其他用户间共享的权限,对应用对象进行操作的权限仍然由IAM统一控制。
- 修改或删除集成应用授权,会影响其他IAM用户查看和使用当前集成应用下的资源,请谨慎操作。
- 管理员权限(Tenant Administrator权限)的用户可以对所有用户创建的集成应用进行授权配置,非管理员权限的用户只能对自己创建的集成应用进行授权配置。
配置集成应用授权
- 登录ROMA Connect控制台,在“实例”页面单击具体实例上的“查看控制台”,进入实例控制台。
- 在左侧的导航栏选择“集成应用”,在页面中找到要授权的集成应用,单击该集成应用后的“应用授权管理”进行授权配置。
- 在“应用授权管理”弹窗中为IAM用户授权。
图1 配置应用授权参数
表1 应用权限说明
权限 |
FDI |
APIC |
MQS |
LINK |
read |
可查看授权应用的数据源。 |
可查看、调试和导出授权应用的API。 |
可查看和导出授权应用的Topic。 |
可查看授权应用的设备、产品和规则,可导出授权应用的设备、产品和规则,并调试设备。 |
modify |
可在授权应用下创建和编辑数据源。 |
可在授权应用下创建、编辑、发布、下线和导入API。 |
可在授权应用下创建和编辑Topic。 |
可在授权应用下创建和编辑设备、产品和规则,可导入设备、产品和规则,可重置设备和产品的密码。 |
delete |
可删除授权应用的数据源。 |
可删除授权应用的API。 |
可删除授权应用的Topic。 |
可删除授权应用的设备、产品和规则,可删除产品属性、Topic类、规则数据源端、规则数据目的端。 |
access |
不涉及。 |
可对授权应用的API进行授权、访问控制、流量控制、签名密钥绑定API配置。 |
可对授权应用的Topic进行应用权限配置。 |
可对设备进行命令下发和强制下线,并且可以对协议为OPC UA和Modbus的设备进行插件配置。 |
admin |
应用管理员权限。 |
- 单击“确认”,完成集成应用的授权配置。
您可以在集成应用列表中,单击集成应用左侧的“
”,查看该集成应用已授予权限的IAM用户以及授予的权限范围。
- 使用3中被授权的IAM用户登录ROMA Connect控制台并进入对应的ROMA Connect实例,查看该用户是否具备该集成应用资源的相关管理权限。