Loading
close

基本概念

time 更新时间:2022-04-28 20:28:37
  • 部门

    部门是企业组织结构中的基本单元。通常以职能区分不同部门,例如财务部、行政部、人力资源部等。

  • 项目

    项目是资源隔离的最小单元。通常以业务区分不同项目,如财务系统建设项目等。

    项目归属于部门,一个项目必须且只能属于一个部门,一个部门可以拥有多个项目。

    在为用户分配项目时,用户与项目必须属于同一个部门。

  • 用户

    用户即本云平台的使用者,拥有用户名、用户邮箱、密码和所属部门等多个属性。用户使用用户邮箱和密码登录云平台。

    一个用户只能属于一个部门,但可以关联该部门下的多个项目。此外,一个用户支持加入所属部门下的多个用户组中。

  • 用户组

    用户组即拥有相同角色权限的一组用户。通常按照业务需求以用户组的形式对用户进行分类并授权。当新用户添加至用户组后,将继承该用户组的所有角色权限和项目信息,以实现用户权限的高效管理。

    一个用户组只能属于一个部门,但可以关联该部门下的多个项目。

  • 策略

    策略即一组权限的集合,通过将其分配给角色,以表示此角色具有此策略所定义的所有权限。

    本云平台支持自定义策略,也支持使用默认预设的CloudAdminAccess、DomainAdminAccess、ProjectAdminAccess和MemberAccess四个系统策略,且不支持编辑、配置和删除。各系统策略的具体说明如下:

    • CloudAdminAccess:对所有资源都具有操作权限。该角色只能授权给Default部门下的用户。在云平台中,默认拥有一个云管理员admin,且不支持对其执行任何操作。

    • DomainAdminAccess:管理所在部门的所有项目资源,并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限,具体权限范围请参考对应服务帮助中“权限说明”章节。

    • ProjectAdminAccess:管理所在项目的所有资源,并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限,具体权限范围请参考对应服务帮助中“权限说明”章节。

    • MemberAccess:管理所在项目的相关资源,并拥有所有云产品、身份与访问管理、产品与服务管理的操作权限,具体权限范围请参考对应服务帮助中“权限说明”章节。

  • 角色

    角色是策略的集合,通过为角色分配策略,再将角色赋予用户或用户组,满足用户细粒度访问权限控制的需求。

    本云平台支持自定义角色,也支持使用默认预设的云管理员、部门管理员、项目管理员和普通用户四个系统角色,且不支持编辑、分配策略和删除。各系统角色的具体说明如下:

    • 云管理员:使用CloudAdminAccess策略,是云平台的超级管理员,对所有资源都具有操作权限。该角色只能授权给Default部门下的用户。在云平台中,默认拥有一个云管理员admin,且不支持对其执行任何操作。

    • 部门管理员:使用DomainAdminAccess策略,管理所在部门的所有项目资源,并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限,具体权限范围请参考对应服务帮助中“权限说明”章节。

    • 项目管理员:使用ProjectAdminAccess策略,管理所在项目的所有资源,并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限,具体权限范围请参考对应服务帮助中“权限说明”章节。

    • 普通用户:使用MemberAccess策略,管理所在项目的相关资源,并拥有所有云产品、身份与访问管理、产品与服务管理的操作权限,具体权限范围请参考对应服务帮助中“权限说明”章节。

  • AD/LDAP

    AD/LDAP是业界比较常用的用户身份统一认证方式。LDAP(Light Directory Access Portocol)是基于X.500标准的轻量级目录访问协议,类似于文件目录一样,整体呈树状结构,使用这个协议可以访问提供服务目录的产品。AD(ActiveDirectory)是一种基于数据库的系统,可在Windows环境中提供身份验证、目录、策略和其他服务。AD其实是LDAP的一种应用。

    在LDAP协议中,命名模型为DN形式,每个用户都拥有自己的DN,如同文件系统中,带路径的文件名就是DN。DN可能包含很多属性,其中CN、OU、DC分别表示用户信息名称、所属组织名称、所属域名称,例如DN为“CN=users,OU=abccloud,DC=cloud,DC=com”,实际查找顺序是首先DC=com,其次DC=cloud,然后OU=abccloud,最后CN=users,其含义为:名称为users的用户处于cloud.com域中的abccloud组织中。

  • OAuth2.0

    OAuth(Open Authorization,开放授权)是一个开放标准的授权协议,OAuth2.0是OAuth的第二个版本。OAuth2.0为用户资源的授权提供一个安全、开放而又简易的标准,与以往的授权方式不同之处是OAuth2.0的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即用户无需将自己的用户名和密码暴露给第三方,即可使第三方应用获取用户在该云平台上的数据,最常见的场景便是现在互联网上的各种使用XXX账号登录。

  • OIDC

    OIDC是OpenID Connect的简称,OIDC=身份认证+ OAuth 2.0。OAuth2.0提供授权,即基于权限验证是否有权访问某些内容的过程。OIDC在OAuth2.0之上提供身份验证的能力。

  • SAML

    SAML全称是安全断言标记语言(Security Assertion Markup Language)是一个基于XML的开源标准数据格式。用于在当事方之间交换身份验证和授权数据,尤其是在身份提供者(IDP)和服务提供者(SP)之间交换。SAML的相关概念如下:

    • SP(Service Provider): 向用户提供服务的应用。
    • IDP(Identity Provide):向SP提供用户身份信息。
    • 用户:通过登录IDP获取身份断言,并向SP返回身份断言来使用SP提供的服务。
    • 断言 (Assertions) :即信息,断言是在 SAML中用来描述认证的对象,其中包括一个用户在什么时间、以什么方式被认证,同时还可以包括一些扩展信息,比如用户的Email地址和电话等等。
    • 绑定 (Binding) :即传输,定义了SAML信息如何使用通信协议进行传输的。例如,HTTP重定向绑定,即声明 SAML信息将通过HTTP重定向消息传输。
    • 元数据 (MetaData):SAML协议规定,要让IDP和SP实现单点登录,需要在IDP和SP进行参数配置,主要是交换IDP和SP的Metadata(元数据)信息,例如ID、Web Service的IP地址、所支持的绑定类型以及通信中实用的密钥等等。
此篇文章对你是否有帮助?
没帮助
locked-file

您暂无权限访问该产品