组织,用户,与用户组¶
EnOS 中对用户的管理单元由上至下分别为:组织,用户组,和用户。
组织
在 EnOS 中,组织是最顶层管理单元,是一组用户账号,资产等的集合。EnOS 云端的资源由组织隔离。
通过 IAM 可集中管理所有用户并检查该组织内的用户活动。每个组织都有一个称为所有者的唯一主账号和多个其他类型的用户账号。组织所有者可以通过绑定相应的访问策略来控制其他用户的访问权限。
用户
一个组织可内创建多个用户。每个用户账号都有自己的凭据(用户名和密码),用以登录 EnOS 管理控制台,并通过为每个用户分配适当的策略来完成用户授权。
EnOS 用户账号分为以下类型。
系统管理员¶
系统管理员是一个在 “System” 的 OU 下具有组织所有者权限的用户(在其他 OU 下具有组织所有者权限的用户不是系统管理员)。每个 EnOS 云实例都有一个或多个系统管理员。
对于公有云,系统管理员为远景 EnOS 云管理员。
对于私有云,系统管理员通常是客户组织指定的人员,负责管理公司级别的用户账号和资源。
系统管理员可以创建组织并可以访问系统配置,比如在系统管理菜单中管理导航面板和组织的生命周期。
主要功能
- 自定义菜单
- 创建和管理菜单项或者导入 JSON 格式的菜单项文件。
- 为授权目的,将菜单的序列和 ID 同步到 IAM 中。
- 组织管理
- 在 EnOS 云端创建一个包含组织完整信息和所有者信息的组织。也可选择为该组织分配管理员。
- 管理组织,为组织所有者重设密码以及为授予该组织相应的应用程序权限。
- 证书管理
- 查看 EnOS 云端中使用的证书的详细情况。 更多关于证书信息,参考 X.509 证书服务。
组织所有者¶
在云实例中创建新的组织单位时,会为该组织生成一个名为组织所有者的主账号。组织所有者对该组织内的所有资源具有完全、不受限制的访问权限,包括对 IAM 模块的访问权限。因此,组织所有者可以为其他用户创建账号,并通过 IAM 对该组织下的用户进行授权。
组织管理员¶
组织所有者可以创建一个或多个组织管理员。组织管理员是被分配内置策略管理员的用户,该管理员具有完全的访问和管理权限,尤其是对 IAM 模块的访问权限。组织管理员可以管理用户的生命周期并为用户授予访问策略。
主要功能
- 在组织中创建普通用户
- 创建普通用户并为用户授权。更多信息,参考 在组织中创建普通用户。
- 管理用户与权限
- 管理和维护组织信息、变更组织主账号。
- 管理 LDAP 用户
- 将用户从 LDAP 服务器的目录中同步到 EnOS 用户账号系统,并为这些 LDAP 用户授予权限。更多信息,参考 管理 LDAP 用户。
- 管理 SSO 用户
- 添加 SSO 用户,支持使用 SSO 用户账号在完成一次身份认证后即可访问所有相互信任的应用系统。更多信息,参考 单点登录。
普通用户¶
普通用户通常具有最简访问权限,以完成在 EnOS 上的工作职责。组织所有者或组织管理员可以创建普通用户账号并为用户分配访问策略。
EnOS 用户根据来源和所属组织分为以下不同类型。
- 内部用户:属于本组织的、完全被本组织创建和管理的用户,可以通过将用户添加到用户组或直接分配策略来授权用户。组织管理员可新建、编辑、删除、修改密码、授权等操作。
- 外部用户:相反,外部用户属于其他组织,授权使用当前组织资源的用户。在 EnOS 中,一些执行物联网实施和开发的账号可能需要跨组织工作。例如,你可以将在其他组织中创建的操作人员导入当前组织。在不同的组织内,此类用户会被分配不同的适当的访问权限。本组织管理员可添加、移除、授权等操作。
- LDAP 用户:LDAP 用户是通过 LDAP 登录的用户,登录成功后自动创建,通过 LDAP 联合导入用户信息。本组织管理员仅可授权和删除。更多信息,参见 LDAP 联合概述。
- SSO 用户:SSO 用户是通过 SSO 登录的用户,在完成一次身份认证后即可访问所有相互信任的应用系统。本组织管理员仅可授权和删除。更多信息,参见 单点登录。
注解
- 在 SSO 服务器删除用户后,组织管理员可在 SSO 用户列表中同步删除此用户。
- 若 SSO 服务器删除用户,但未从 SSO 用户列表中删除,则用户无法登录 EnOS,但用户信息仍然可见。
- 若 SSO 服务器未删除用户,仅在 SSO 用户列表中删除,则用户再次登录 EnOS 后,仍将自动创建和同步用户信息,原有权限丢失,组织管理员必需再次授权。
用户组
用户组是一组用户的集合。用户组可帮助你集中管理在 EnOS 中执行相同任务的用户。分配给用户组的策略将应用于所有属于该组的用户。
所有类型的用户(内部用户、外部用户、LDAP 用户)都可被添加到用户组,并根据业务场景创建用户组,定义用户组的访问策略。更多信息,参考 使用用户组集中管理权限的最佳实践。