文档中心
search
Loading
close
开始
解决方案
云基础设施解决方案
云原生基础设施解决方案
云产品
计算
存储
网络
云原生
云安全
云资源管理
成本分析
监控与运维
数字原生引擎EOS
产品总览
快速入门
用户指南
最佳实践
更多
全部文档
数字原生引擎 EOS v6.0.2 arrow-down
文档中心 bread 数字原生引擎 EOS bread v6.0.2 bread 用户指南 bread 身份与访问管理 bread 组织管理

组织管理

time 更新时间:2022-04-27 17:40:06
share 分享
pdf 查看PDF

服务介绍

什么是组织管理

组织管理是对平台中的资源和人员进行分类与权限管理的服务,由部门、项目、用户三个功能组成。同时支持对接AD/LDAP服务器,可轻松对接企业中的AD/LDAP服务器中的用户,简化上云过程。

基本概念

  • 部门

    部门是企业组织结构中的基本单元。通常以职能区分不同部门,例如财务部、行政部、人力资源部等。

  • 项目

    项目是资源隔离的最小单元。通常以业务区分不同项目,如财务系统建设项目等。项目归属于部门,一个项目必须且只能属于一个部门,一个部门可以拥有多个项目。目前仅支持添加项目所属部门的用户作为项目成员。

  • 用户

    用户即使用本平台的人,拥有用户名、用户邮箱、密码、所属部门等多个属性。用户使用用户邮箱和密码登录平台。一个用户只能属于一个部门,但可以加入该部门下的多个项目。

  • 角色

    用户的“角色”由部门角色和项目角色决定,部门角色和项目角色都包括管理员和普通用户两种类型。当用户承担着不同的部门角色和项目角色时,对应着不同的“角色”。本平台预设四种“角色”,以便实现精细化的权限管理。用户可在概览页面右上角的“用户信息”卡片中查看”当前角色”。

    • 云管理员:平台的超级管理员,拥有最高的权限。云管理员可以存在多个,默认属于Default部门与admin项目,且是该部门的管理员和该项目的管理员。
    • 部门管理员:本平台将部门角色为管理员且项目角色也为管理员的用户定义为部门管理员。
    • 项目管理员:本平台将部门角色为普通用户且项目角色为管理员的用户定义为项目管理员。
    • 普通用户:本平台将部门角色为管理员但项目角色为普通用户,以及部门角色为普通用户且项目角色也为普通用户的用户定义为普通用户。

  • AD/LDAP

    AD/LDAP是业界比较常用的用户身份统一认证方式。LDAP(Light Directory Access Portocol)是基于X.500标准的轻量级目录访问协议,类似于文件目录一样,整体呈树状结构,使用这个协议可以访问提供服务目录的产品。AD(ActiveDirectory)是一种基于数据库的系统,可在Windows环境中提供身份验证、目录、策略和其他服务。AD其实LDAP的一种应用。在LDAP协议中,命名模型为DN形式,每个用户都拥有自己的DN,如同文件系统中,带路径的文件名就是DN。DN可能包含很多属性,其中CN、OU、DC分别表示用户信息名称、所属组织名称、所属域名称,例如DN为“CN=users,OU=abccloud,DC=cloud,DC=com”,实际查找顺序是首先DC=com,其次DC=cloud,然后OU=abccloud,最后CN=users,其含义为:名称为users的用户处于cloud.com域中的abccloud组织中。

组织管理模型示例

./images/model.png

权限说明

针对部门、项目、用户功能,不同角色的用户对应的权限范围说明如下表:

用户角色 权限范围
云管理员 可管理所有部门、项目、用户
部门管理员 可管理所在部门的项目、用户
项目管理员 无部门、项目、用户管理权限
普通用户 无部门、项目、用户管理权限

快速入门

操作指引

本快速入门旨在介绍如何快速构建组织管理体系,流程如下:

./images/process1.png

流程说明:

步骤 说明
创建部门 由于项目和用户都需要明确属于某一部门,故需首先创建部门。若所需部门已存在则可跳过此步骤。
创建项目 由于创建用户时必须为其选择一个项目,因此需先创建项目。若所需项目已存在则可跳过此步骤。
创建用户 为平台使用者创建账号。
分配资源配额 在[产品与服务/监控与管理/配额管理]中为部门和项目设置资源配额限制,具体描述请参见配额管理对应的帮助。

创建部门

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/部门]菜单项,进入部门管理页面。

  2. 单击 创建部门 ,弹出创建部门对话框。

    ./images/createdomain.png

  3. 输入部门名称和描述信息。

  4. 选择是否激活部门,未激活时无法在该部门下创建项目,且部门内的用户无法登录云平台。

  5. 单击 创建 完成操作。

创建项目

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/项目]菜单项,进入项目管理页面。

  2. 单击 创建项目 ,弹出创建项目对话框。

    ./images/createproject.png

  3. 填写项目名称和描述信息,选择项目所属部门。

  4. 单击 创建 完成操作。

  • 项目创建后默认为已激活状态。
  • 系统预置了名称为“admin”的项目,为云管理员所在项目,该项目不支持编辑、删除等操作。

创建用户

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/用户]菜单项,进入用户管理页面。

  2. 单击 创建用户 ,弹出创建用户对话框。

    ./images/createuser.png

  3. 配置参数,其中电子邮件将作为登录云平台的账号。

  4. 选择是否同步权限到部门所有项目中,若勾选,即代表将该用户以当前所选项目角色加入部门下所有项目中。

  5. 单击 创建 完成操作。

云管理员可以创建其他云管理员用户协助工作,此时用户所属部门需选择“Default”,才能选择到云管理员角色。

管理维护

部门

编辑部门

支持修改部门名称和描述信息。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/部门]菜单项,进入部门管理页面。
  2. 勾选目标部门,单击 编辑 ,弹出编辑部门对话框。
  3. 修改信息。
  4. 单击 保存 完成操作。

编辑部门用户

用于将部门内的用户移除或将移除后的用户再次加入到部门中。也可以在编辑部门用户页面配置部门内用户角色。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/部门]菜单项,进入部门管理页面。
  2. 勾选目标部门,单击 更多/编辑用户 ,弹出编辑用户对话框。
  3. 选择用户,通过箭头完成添加或移除。在角色操作栏单击可以选择用户在该部门承担的角色。
  4. 单击 保存 完成操作。

激活/禁用部门

未激活时无法在该部门下创建项目,且部门内的用户无法登录云平台。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/部门]菜单项,进入部门管理页面。
  2. 勾选目标部门,单击 更多/激活更多/禁用 ,完成操作。

AD/LDAP认证

功能说明

将一个部门对接到到AD/LDAP中的一个目录,该目录下的用户即可成为本平台用户,可使用邮箱登录本平台。具体包括的功能和说明如下:

  • 开启:开启AD/LDAP认证后,部门下原有用户信息将隐藏且不可登录。
  • 关闭:关闭AD/LDAP认证后,部门下原有用户信息将恢复且可登录,AD/LDAP用户将无法登录,且配置信息无法恢复。
  • 编辑:用于修改AD/LDAP认证配置信息。
  • 验证配置:用于验证与AD/LDAP服务器的连通性及其它配置信息的正确性。

操作步骤

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/部门]菜单项,进入部门管理页面。
  2. 单击目标项目名称链接,进入部门详情页。
  3. 在AD/LDAP认证区域单击 开启关闭编辑验证配置,完成相关操作。

参数说明

参数 说明
服务器URL 用于连接AD/LDAP服务器的URL。
用户DN AD/LDAP服务器管理员的用户DN,在查询AD/LDAP服务器时需要使用。AD用户名格式举例: admin@example.com ,LDAP用户名格式举例:cn=admin,dc=example,dc=com。
密码 AD/LDAP服务器管理员的密码,在查询AD/LDAP服务器时需要使用。
用户检索基准 检索用户的基准目录,举例:ou=org,dc=ldap,dc=com,则从ldap.com域中的org组织中检索用户。
用户邮箱属性 默认为mail,即以LDAP中的mail字段信息作为用户邮箱,该邮箱用于登录本平台。
搜索范围 定义了检索基准的深度。“one”表示只检索基准的直接子项,但不包括基准本身。”sub”表示同时检索基准本身和它的所有子项。
页大小 定义列出对象时从LDAP服务器请求的每个页面的最大结果数。0表示禁用分页。
用户对象类 AD/LDAP用户对象类,默认值为organizationalPerson。
用户筛选器 用于筛选AD/LDAP用户的条件。
用户ID属性 默认为cn,即以LDAP中的cn字段信息作为用户ID。
用户sn属性 默认为sn,即以LDAP中的sn字段信息作为用户名。

导入AD/LDAP用户后,需要在执行 编辑部门用户 操作和 编辑项目用户 操作,为该用户分配部门角色和项目角色。

删除部门

  • 删除前需先禁用部门,已激活的部门不支持删除。
  • 删除前需先删除部门下所有用户和项目,仍存在用户和项目的部门不支持删除。
  • 删除部门后,部门中的资源将被同步删除,且无法恢复。
  1. 在顶部导航栏单击[产品与服务/身份与访问管理/部门]菜单项,进入部门管理页面。
  2. 勾选目标部门,单击 删除 ,弹出删除部门对话框。
  3. 单击 删除 完成操作。

项目

编辑项目

用于修改项目名称和描述信息。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/项目]菜单项,进入项目管理页面。
  2. 勾选目标项目,单击 编辑 ,弹出编辑项目对话框。
  3. 修改信息。
  4. 单击 保存 完成操作。

编辑项目用户

用于向项目添加用户、移除用户、设置项目用户的角色。需注意的是,若某用户不属于任何一个项目,则该用户将无法登录平台,平台中仍会保留该用户信息。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/项目]菜单项,进入项目管理页面。
  2. 勾选目标项目,单击 更多/编辑用户 ,弹出编辑用户对话框。
  3. 通过箭头添加或移除用户,在“已选”区域的角色栏可以设置用户在项目承担的角色。
  4. 单击 保存 完成操作。

禁用/激活项目

禁用项目后,该项目下将不能再创建用户,且该项目下的所有用户不能再登录平台。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/项目]菜单项,进入项目管理页面。
  2. 勾选目标项目,单击 更多/禁用更多/激活 ,完成操作。

删除项目

当项目下还存在资源(如云主机、云硬盘等)时,不支持删除。需先删除项目下的所有资源再删除项目。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/项目]菜单项,进入项目管理页面。
  2. 选择一个或多个目标项目,单击 删除项目 ,弹出删除项目对话框。
  3. 单击 删除项目 完成操作。

用户

邀请用户

除直接创建用户外,平台也支持邀请用户,让用户按需注册。邀请只能由云管理员创建,收到邀请码的用户需要使用邮箱及邀请码自主访问云平台完成注册。

因需要向用户邮箱发送邀请码,需确保平台已经对接邮箱服务器。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/用户]菜单项,进入用户管理页面。
  2. 单击 邀请用户 ,弹出邀请用户对话框。
  3. 填写邮箱地址,若有多个用户需要邀请,单击加号依次填写邮箱地址。
  4. 单击 保存 ,完成邀请创建。被邀请的用户邮箱中将收到邀请码邮件,有效期为30分钟,被邀请人需要凭邮箱、邀请码进行注册并按照指引完善其余信息。

编辑用户

用于修改用户名。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/用户]菜单项,进入用户管理页面。
  2. 勾选目标用户,单击 编辑 ,弹出编辑用户对话框。
  3. 修改信息。
  4. 单击 保存 完成操作。

修改密码

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/用户]菜单项,进入用户管理页面。
  2. 勾选目标用户,单击 更多/修改密码 ,弹出修改密码对话框。
  3. 输入新密码。
  4. 单击 保存 完成操作。

若在登录时忘记了密码,可在登录页单击 忘记了密码 ,按照指引重置密码。

禁用/激活用户

禁用用户后,该用户将无法登录平台。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/用户]菜单项,进入用户管理页面。
  2. 勾选目标用户,单击 更多/禁用更多/激活 ,完成操作。

删除用户

删除用户时,其创建的访问密钥也将被系统自动删除,无法继续使用。

  1. 在顶部导航栏单击[产品与服务/身份与访问管理/用户]菜单项,进入用户管理页面。
  2. 选择一个或多个目标用户,单击 删除用户 ,弹出删除用户对话框。
  3. 单击 删除用户 完成操作。
此篇文章对你是否有帮助?
没帮助
locked-file

您暂无权限访问该产品