跳到主要内容

快速开始

提示

不同子系统在ACL中分为不同的App即应用。
在ACL左侧菜单栏中,可以看对应的子系统菜单,其正是加入到了ACL系统中,可以很方便的进行授权操作:

apllication_management

1. 新建应用

通过“应用管理”菜单进入,点击+按钮新建应用:

create_app
信息

AppIdSecretKey是子系统和ACL系统通信认证的钥匙,在应用后端代码中,ACL系统会通过两者来验证请求来源的合法性,在新建App时,如果不填写的话,就会自动生成新的AppIdSecretKey, 这两者是需要保密存储的。

2. 新建资源类型

建立应用后,就能在左侧的菜单栏里看到该App了:

app_menu

展开App一共有5个子菜单:角色管理资源管理资源类型触发器操作审计:

  • 角色管理:里面会默认添加公司员工用户,可以再在该应用下创建单独属于该应用的虚拟角色,有一点特殊的是需要在该应用下建立起一个${app}_admin的用户,该角色会拥有应用管理员权限
  • 资源管理:用户可以通过资源管理模块统一管理相应资源的授权权限
  • 资源类型:上文中所提到的资源的抽象类,该资源拥有的权限类型是依附于该类的
  • 触发器:为了方便批量授权权限
  • 操作审计:帮助您监控并记录系统账号的活动,包括不同应用间权限变更、角色变更、资源变更、资源类型变更、触发器变更等行为

点击页面左侧的 资源类型 - 新增资源类型,即可进入新增页面:

create_resource_type

权限输入框内可以通过输入权限名后按回车来新增一种权限类型,如上文所说的ACL系统不会限制和理解权限的名称,在调用接口校验时,只会校验对应用户是否拥有对应权限标识。

3. 资源管理

resource_management

在资源管理功能页面中,顶部tab为您在上一步新建资源类型中所创建的资源类型,在资源类型tab中您可以查看现有各类资源以及对应资源的权限列表,可以根据需要添加新的资源到资源池之中;另外,也能看到目前已有资源列表。

信息

ACL系统中的资源大部分应该是通过直接调用API接口来进行新增删除管理的,ACL系统的最大作用是解放了各个子系统的用户管理,角色管理和权限管理操作。

4. 用户管理

user_management

用户管理功能是ACL系统的核心功能,管理着OneOps系统中所有相关用户数据,通过此功能可以实现新建、修或则删除用户、查询用户相关信息等。
ACL系统提供了全面的用户管理功能,如用户信息数据维护和查询,查询用户权限、用户所属组,用户权限分配等。

5. 角色管理

信息
  • ACL系统提供了基于角色的访问权限控制,支持角色继承,可以按需实现细粒度的权限控制。
  • ACL角色管理支持用户自定义角色组,通过角色划分用户。ACL角色拥有不同的系统权限,分为管理员权限和普通用户权限,管理员角色的用户可以使用ACL系统所有的功能模块,普通角色的用户仅可以查看到用户密钥模块和有权限的APP模块。
  • 在ACL系统中,接入APP仅对ACL管理员和APP的管理员可见。
  • 角色管理中分为虚拟角色和非虚拟角色,ACL虚拟角色与用户是一对多的关系, 即一个虚拟角色下可以添加多个用户;非虚拟角色与用户的关系是一对一的关系,即默认添加的用户角色(新建用户时,系统会在角色管理下自动创建一个对应的非虚拟角色)。
role_management

新增虚拟角色

用户可以通过角色管理页面 新增虚拟角色 新增新的角色组,如下图所示:

create_virtual_role
  • 角色名: 角色名称
  • 继承自: 可选择继承角色,将自动继承所选角色的资源和权限
  • 是否应用管理员:勾选后,拥有该角色的用户将拥有ACL管理员权限;不勾选应用管理员,则拥有该角色的用户将为普通用户。

为角色添加用户

用户可以通过点击角色列表的用户列表图标,打开组用户弹窗,如下图所示:

user_list_btn
group_user_list

用户可以查看到当前角色下的用户列表,并且可以从当前角色中添加和移除用户,同时用户会继承或则被移除该角色的所有资源和权限。

6. 操作审计

信息

操作审计帮助您监控并记录OneOps账号的活动,包括不同应用间权限变更、角色变更、资源变更、资源类型变更、触发器变更等行为。您可以通过这些信息进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

事件信息会以表格形式显示出来,如下图所示:

audition

您可以使用表格上方的过滤项进行多维度查询:操作审计支持从操作时段、操作人员、操作类型、资源类型、资源名称、应用类型等维度查询事件。

7. 用户密钥

信息

ACL用于管理用户的账号密码,设置用户的权限信息,实现OneOps平台权限入口统一。且ACL灵活化、标准化的设计使得用户可外接其他系统,做到随启随用。ACL同时提供丰富的日志存储,做到雁过留痕,提升系统的安全性、保密性。

user_key

用户可以查看和重置密钥,每个用户会自动生成一个 KeySecret,请妥善保管好您的密钥!

8. 触发器

触发器功能支持对资源进行批量授权和权限回收, 用户可以根据不同的筛选条件灵活的匹配资源并对命中资源进行批量权限管理。

triggers

新增触发器

用户可以通过页面左上角 新建触发器 进入,比如下图,可以给勾选的角色授予资源类型CIType下所有资源的read权限:

create_trigger
  • 资源名:筛选资源名符合条件的资源,优先正则模式匹配,其次通配符
  • 创建人: 筛选指定用户创建的资源
  • 资源类型:筛选指定资源类型下的资源
  • 角色:对指定角色进行批量授权或则权限回收
  • 权限:指定当前触发器批量授权或则权限回收的权限标签
  • 启用/禁用: 勾选代表可用,否则不可应用

查看正则匹配结果

用户可以点击表格右侧 查看正则匹配结果,查看当前触发器所匹配到的资源列表:

view_trigger_resource
trigger_resource_list

应用触发器

用户可以点击表格右侧的 应用 按钮,系统会将匹配的资源和权限对指定角色批量进行授权。

apply_trigger

取消触发器

用户可以点击表格右侧的 取消按钮,然后系统会按照触发器设置,按照匹配的资源和用户批量完成权限回收。

revoke_trigger