用户管理
在演示用户管理的功能之前,以下先简单说明 OpenPitrix 的权限管理的设计和理解术语。
OpenPitrix 提供一种集成功能权限和数据权限的解决方法,以满足有一定规模的企业在多层次组织中权限管理方面的集中控制,是基于角色的访问控制方法 (RBAC) 的进一步扩展和延伸,即在功能权限的基础上增加数据权限的管理,实现数据权限和功能权限的集中处理。
术语解释
功能权限
:能做什么的问题,如创建运行环境、创建应用、删除应用;
数据权限
:能在哪里做什么的问题,如查看某一个部门的用户部署的应用;
基于角色的访问控制 (RBAC)
:就是用户通过角色与权限进行关联,即一个用户拥有若干角色,每一个角色拥有若干权限。
简单的来说,就是决定谁可以操作(增删改查)哪一些数据。数据权限是在功能权限的基础上面进一步的扩展,比如可以查看应用属于功能权限的范围,但是可以查看哪些应用就是数据权限的工作了。
OpenPitrix 中数据权限固定为 3 种:(all-所有数据,department-本部门内,onlyself-仅个人)
用户角色
用户管理主要提供了各级别用户对 OpenPitrix 平台资源的访问控制,可实现以细粒度对资源归属及权限控制的划分。
用户管理目前内置了 管理员(Admin)、应用服务商(ISV) 和 普通用户(Normal User) 三个默认的角色,其中应用服务商能够创建开发者和创建自定义角色的用户,并且管理员也可以自定义管理员后台角色,例如技术审核、商务审核。
1、管理员
拥有 OpenPitrix 平台的最高权限,包括商店管理、个人中心、应用实例、账户与权限、平台设置、测试环境、应用服务商管理、重试 Task。
- 管理员用户能够创建管理员、应用服务商和普通用户角色,并且有权限访问和修改平台中所有用户角色的详细信息。管理员能够创建多层级的部门,管理部门下的用户。
- 管理员能够对应用商店和应用进行管理,如查看应用列表、应用审核、应用分类等功能;
- 管理员能够对应用服务商、入驻申请进行审核;
- 管理员能够管理运行环境,为平台所有用户选择开启或关闭测试环境;
- 管理员能够管理集群,如查看集群节点的详细信息和停用、删除集群,若基于 Helm 部署的应用可以查看集群节点中各个类型的 Pod 信息和 Kubernetes 资源信息;
- 管理员能够管理邮件通知服务器和平台的平台的基本信息 (用于邮件模板);
- 允许创建 SSH Keys,建立本地与集群节点之间的安全连接。
2、应用服务商
能够创建和管理开发者和自定义角色的用户,以及测试应用、审核应用等,应用服务商需要先提交入驻申请的认证信息。
开发者
具备以下权限:
- 开发者能够上传应用、部署应用、查看应用详情和版本管理,以及应用的部署测试;
- 开发者能够管理应用仓库,可创建仓库和查看仓库列表,而普通用户则无法管理应用仓库;
- 开发者能够创建和修改运行环境,如 QingCloud、Aliyun、AWS、Kubernetes 等;
- 开发者能够管理集群,如查看集群节点的详细信息和停用、删除集群,若基于 Helm 部署的应用可以查看集群节点中各个类型的 Pod 信息;
- 允许创建 SSH Keys,建立本地与集群节点之间的安全连接。
3、普通用户
可以创建环境、部署应用、查看应用和集群实例等功能。
- 普通用户可以访问应用应用商店并购买应用,可以部署应用到自有的运行时环境;
- 普通用户能够管理集群,如查看集群节点的详细信息和停用、删除集群,若基于 Helm 部署的应用可以查看集群节点中各个类型的 Pod 信息;
- 普通用户能够创建运行环境,如 QingCloud、Aliyun、AWS、Kubernetes 等;
- 普通用户可升级成为应用服务商;
- 允许创建 SSH Keys,建立本地与集群节点之间的安全连接。
创建角色
管理员快速入门提供了一个创建商务审核与技术审核角色的示例,请参考 管理员快速入门 - 创建角色。
创建部门和用户
管理员快速入门提供了一个创建部门并添加用户的示例,请参考 管理员快速入门 - 创建部门和用户。