组织，用户，与用户组¶

EnOS中对用户的管理单元由上至下分别为：组织，用户组，和用户。

组织¶

在EnOS中，组织是最顶层管理单元，是一组用户帐号，资产等的集合。EnOS云端的资源由组织隔离。通过IAM，你可以集中管理所有用户并检查该组织内的用户活动。每个组织都有一个称为所有者的唯一主帐号和多个其他类型的用户帐号。组织所有者可以通过绑定相应的访问策略来控制其他用户的访问权限。

你可以在一个组织内创建多个用户。每个用户帐号都有自己的凭据（用户名和密码），用以登录EnOS管理门户。并通过为每个用户分配适当的策略来完成用户授权。

EnOS用户帐号分为以下类型：

系统管理员是对云上所有的资源具有完全、不受限制的访问权限的超级用户。每个EnOS云实例都有一个或多个系统管理员。

在云实例中创建新的组织单位时，会为该组织生成一个名为组织所有者的主帐号。组织所有者对该组织内的所有资源具有完全、不受限制的访问权限，包括对IAM模块的访问权限。因此，组织所有者可以为其他用户创建帐号，并通过IAM对该组织下的用户进行授权。

组织所有者可以创建一个或多个组织管理员。组织管理员是被分配内置策略管理员的用户，该管理员具有完全的访问和管理权限，尤其是对IAM模块的访问权限。组织管理员可以管理用户的生命周期并为用户授予访问策略。更多信息，参考在组织中创建普通用户。

普通用户通常具有最简访问权限，以完成在EnOS上的工作职责。组织所有者或组织管理员可以通过以下几种方法创建普通用户帐号并为用户分配访问策略。

内部用户：在本组织内创建的内部用户。可以通过将用户添加到用户组或直接分配策略来授权用户。
外部用户：相反，外部用户为在其他组织中创建的用户。在EnOS中，一些执行物联网实施和开发的帐号可能需要跨组织工作。例如，你可以将在其他组织中创建的操作人员导入当前组织。在不同的组织内，此类用户会被分配不同的适当的访问权限。
LDAP用户：LDAP用户通过LDAP联合导入。更多信息，参考 LDAP联合概述。
SSO用户：SSO用户账号在完成一次身份认证后即可访问所有相互信任的应用系统。更多信息，参考单点登录

用户组是一组用户的集合。用户组可帮助你集中管理在EnOS中执行相同任务的用户。分配给用户组的策略将应用于所有属于该组的用户。

所有类型的用户（内部用户、外部用户、LDAP用户）都可被添加到用户组。你可以根据业务场景创建用户组并定义用户组的访问策略。更多信息，参考使用用户组集中管理权限的最佳实践。