用户管理和角色
Version 23.4.8843
Version 23.4.8843
用户管理和角色
第一次启动知行之桥时,应用程序会提示你通过设置用户名和密码来创建第一个应用程序用户)。 第一个用户默认为 管理员角色。
用户
要创建和管理更多用户,请导航到 系统设置 页面,然后导航到 用户 选项卡。 此选项卡包含一个用户表,并包含有关用户角色、管理 API 访问令牌、联合 ID(用于单点登录)等的信息。
管理员角色的成员可以在此选项卡上创建、删除和修改用户。 管理员是唯一有权管理其他用户的角色。
单点登录
知行之桥支持通过实现 OpenID 标准的身份提供者进行单点登录。有关单点登录的详细信息,包括 Azure AD 的具体指南,请参阅 单点登录页面。
系统 API 访问
每个用户都被授予一个身份验证令牌,可用于访问系统 API。有关针对系统 API 进行身份验证的更多信息,请参阅 系统 API 文档。
用户可以通过系统 API 执行的特定操作反映了同一用户可以通过 UI 执行的操作。例如,无法通过 UI 删除端口的用户无法使用系统 API 删除端口。要通过系统 API 执行任意操作,请在调用 API 时使用来自 Admin 用户的身份验证令牌。
密码重置
如果管理员在知行之桥之外被锁定,每个版本中的嵌入式 Web 服务器都可以重置管理员密码,以便重新获得对应用程序的访问权限。例如,在Java版中:
java -jar arc.jar -ResetPassword -User <user> -Password <password> -AppDirectory <appDirectory>
在 Windows 版本中:
CData.exe -ResetPassword -User <user> -Password <password> -AppDirectory <appDirectory>
用户角色
角色选项卡显示应用程序中定义的所有角色的表格,以及关联的工作区和指向可以承担每个角色的所有用户的链接。 角色使能够限制用户仅在某些工作区中执行某些操作。 分配给用户的角色会影响他们在知行之桥中看到的所有内容,包括但不限于:
知行之桥的每个安装都包含三个内置角色:
这些是无法编辑或删除的全局角色。 它们适用于所有工作空间。 但是,可以定义自定义角色来限制每个用户的权限。 自定义角色由策略组成,它对用户在知行之桥中可以看到或执行的操作提供最精细的控制。 一个用户最多可以分配 10 个角色,每个角色最多可以包含 10 个策略。 自定义角色还确定用户可以查看哪些工作区并与之交互。
以下部分描述每个内置角色,解释如何定义新策略和角色,并提供一些示例策略。 使用用户角色比较表 来帮助构建自己的策略和角色。
管理员(Admin)角色
管理员角色提供对应用程序的完全控制。 管理员可以创建新的工作流、删除现有流、更改个人设置设置以及执行控制台支持的所有其他操作。
此外,只有管理员可以查看审计日志,它记录了任何用户在应用程序中所做的所有更改。
普通用户(Standard)角色
普通用户角色的成员可以创建、编辑和删除端口和工作流。 但是,他们无法更改任何应用程序范围的设置,例如在 个人设置 页面中公开的设置。
普通用户可以将新文件上传到流中,并且可以上传公共证书以供端口使用。 他们无法上传配置文件中设置的私有证书。
业务运维(Support)角色
业务运维角色是只读角色; 该角色的成员无法创建或删除工作流,也无法更改应用程序设置。 业务运维用户可以使用 发送 操作通过现有工作流发送文件,但无法上传新文件(换句话说,他们只能处理端口的“输入”选项卡中已存在的文件)。
自定义角色
自定义角色可以更精细地控制每个用户在知行之桥中可以看到或执行的操作。 自定义角色是通过创建策略来定义的,策略指定该角色成员拥有的确切权限。 自定义角色还确定用户可以查看哪些工作区并与之交互。 一个用户最多可以分配 10 个角色,每个角色最多可以包含 10 个策略。
创建角色和策略
- 要创建自定义角色,请导航至系统设置,然后导航至角色选项卡。
- 单击 添加。 为角色指定一个有意义的名称和描述,然后单击 下一步。
-
选中要分配的策略 工作区 和 端口 权限旁边的复选框,然后单击 选择工作区 链接将策略分配给一个或多个工作区。 下图显示了完整的策略 1 部分。
- 要添加其他策略,请单击 添加策略 并重复前面的步骤。
-
完成后,单击 保存角色。 下图显示了具有两个策略的角色。
将用户与角色关联
- 要将用户添加到角色,请单击 关联用户 选项卡。
- 单击 添加用户,然后选择可以担任此角色的用户。
- 完成后,单击 保存角色。
-
使用 角色 选项卡查看每个角色的摘要信息,包括关联的工作区和用户。
角色和策略示例
想象一下公司拥有一组 EDI 开发人员的场景。 公司拥有多个贸易伙伴; 在这个例子中,我们将使用两个贸易伙伴和两个开发人员。
贸易伙伴流分为两个独立的工作区:PartnerA 和 PartnerB。 每个 EDI 开发人员(DevA 和 DevB)主要在其相应的工作区(DevA = PartnerA)中工作,但他们还需要能够根据需要在 PartnerB 工作区中查看或发送文件。 要管理此操作,可以创建 DevA 用户,为 DevA 创建自定义角色,然后为该角色分配两个策略,如下图所示。
- 策略 1 为 DevA 提供对 PartnerA 工作区的完全访问权限。
- 策略 2 为 DevA 提供对 PartnerB 工作区的有限访问权限,允许他们查看和发送文件,但不能创建或删除端口,也不能修改流或设置。
用户角色比较表
此表描述了所有类型角色中可用的功能。
| 动作 | 管理员 | 普通用户 | 业务运维 | 自定义 |
|---|---|---|---|---|
| 修改工作流 | ✔ | ✔ | ✔ | |
| 更改端口配置 | ✔ | ✔ | ✔ | |
| 删除端口 | ✔ | ✔ | ✔ | |
| 创建端口 | ✔ | ✔ | ✔ | |
| 上传文件 | ✔ | ✔ | ✔ | |
| 发送文件 (在端口的“输入”选项卡) | ✔ | ✔ | ✔ | ✔ |
| 接收文件 (在端口的“输出”选项卡) | ✔ | ✔ | ✔ | ✔ |
| 删除文件 (在端口的“输入”选项卡) | ✔ | ✔ | ✔ | |
| 删除交易 | ✔ | ✔ | ✔ | |
| 重新排队 (在端口的“输入”选项卡) | ✔ | ✔ | ✔ | ✔ |
| 查看端口和工作流 | ✔ | ✔ | ✔ | ✔ 1 |
| 查看应用程序和事务日志 | ✔ | ✔ | ✔ | ✔ 1 |
| 将私有证书文件上传到个人配置 | ✔ | |||
| 更改个人配置 | ✔ | |||
| 查看审计日志 | ✔ | |||
| 添加管理用户 | ✔ |