Data Fabric 用户指南
概述
“管理访问权限”模块用于管理 Data Fabric/Data Service 租户中实体的用户角色。通过这种广泛而精细的权限模型,您可以根据使用该服务的所有业务用户的专业水平和您的业务要求对其进行集成。此外,您可以从组织中选择用户或组,然后为其分配角色。
Data Fabric 配置为组织用户默认可以通过“Everyone”组读取数据。
为了限制数据访问,请管理权限并确保只有相关用户拥有读取权限**。**此外,添加需要访问权限的用户或组,并为其分配所需的角色。
以下步骤可用于管理用户和组:
- 在 Data Fabric/Data Service 主页上,选择标头中的“更多选项”菜单。
- 选择“管理访问权限”。
提供以下选项卡:
| 选项卡 | 描述 |
|---|---|
| 分配角色 | 包含为当前租户定义的所有用户和组及其关联角色的列表。使用“分配角色”按钮创建和更新角色分配。 |
| 角色 | 为 Data Fabric/Data Service 定义的所有角色的列表。对于每个角色,您可以查看用户或组分配的数量。使用“创建新角色”按钮创建新角色,使用“编辑角色”按钮更新角色。 |
标准角色
标准角色具有一组预定义的权限。可以将以下标准角色分配给 Data Fabric/Data Service 用户:
- 管理员
- 数据读取者
- 数据写入者
- 设计器
备注:
您无法删除标准角色。
标准角色权限
每个标准角色都有一组不同的权限,包括至少一个管理权限和一个数据访问权限。
管理权限
以下是可分配给标准角色的管理权限相关说明。
| 权限 | 拥有此权限的角色…… |
|---|---|
| 管理权限 | … 可以创建新角色,编辑和删除现有角色,以及为用户或组分配一个或多个角色。 |
| 查看所有架构 | … 可以查看所有实体的架构和选项集定义,但无法进行修改。 |
| 自定义所有架构 | … 可以查看、创建、编辑或删除所有实体的架构和选项集定义。 |
“查看所有架构”和“自定义所有架构”仅适用于启用了基于角色的访问的实体。
数据访问权限
以下是可分配给标准角色的数据访问权限相关说明。
| 权限 | 拥有此权限的角色…… |
|---|---|
| 无访问权限 | … 无权访问任何实体数据。拥有此权限的用户或组无权创建、读取、编辑或删除实体的数据记录。 |
| 所有实体的读取访问权限。 | … 可以查看实体的数据记录。 |
| 对所有实体的完全读取和写入访问权限。 | … 可以创建、查看、编辑和删除实体的数据记录。 |
标准角色权限概述
下表汇总了每个标准角色的默认权限:
| 标准角色 | 管理权限 | 数据访问权限 |
|---|---|---|
| 管理员 | 管理权限 | 无访问权限 |
| 数据读取者 | 查看所有架构 | 所有实体的读取访问权限。 |
| 数据写入者 | 查看所有架构 | 对所有实体的完全读取和写入访问权限。 |
| 设计器 | 查看所有架构 自定义所有架构 | 无访问权限 |
自定义角色
通过自定义角色,您可以创建自定义权限集来分配给用户或组。
要创建新的自定义角色,您需要分配管理权限的权限。
自定义角色权限
对于自定义角色,您可以决定要为角色分配哪些权限。
在创建时,为新角色分配至少一个管理权限。因此,您可以为角色分配数据访问权限,从而授予指定实体的“创建”、“读取”、“编辑”或“删除”权限。
管理权限
以下是可分配给自定义角色的管理权限的说明。
| 权限 | 描述 |
|---|---|
| 管理角色 | 具有此权限的角色可以创建新角色,编辑和删除现有角色,以及为用户/组分配一个或多个角色。 |
| 查看架构 | 具有此权限的角色可以查看所有实体的架构和选项集定义,但无法进行修改。 |
| 自定义所有架构 | 拥有此权限的角色可以查看、创建、编辑或删除所有实体的架构和选项集定义。 |
数据访问权限
定义自定义角色时,您可以为租户中的选定实体分配不同的数据访问权限。
您可以选择自定义角色是否可以创建、读取、编辑或删除实体记录。 此外,如果实体具有已启用角色库字段访问权限的字段,则可以为每个实体字段分配数据访问权限。
以下是可分配给“自定义角色”的实体数据访问权限的说明。
| 权限 | 描述 |
|---|---|
| 创建 | 具有此权限的角色可以创建实体记录。 |
| 读取 | 具有此权限的角色可以查看实体记录。 |
| 编辑 | 拥有此权限的角色可以查看和修改实体记录。 |
| 删除 | 拥有此权限的角色可以查看和删除实体记录。 |
| 重新分配所有者 | 具有此权限的角色可以查看和重新分配实体记录所有者。 备注: 向现有实体添加新数据时,您是新数据的默认记录所有者。但是,您可以在编辑或添加新数据时,将所有权重新分配给其他用户。 |
创建自定义角色
要创建新角色,请执行以下操作:
- 在“角色”选项卡上,选择“创建新角色” 。
- 在“创建角色”面板中,在“角色名称”字段中输入新角色的名称。
- 选择要分配给角色的“管理权限”。
- 要将数据访问权限添加到角色,请选择目标实体:
- 选择添加实体以显示可用实体。
- 选择要为其定义权限的实体。
- 选择所需权限。默认情况下,“读取”权限处于启用状态。
- 选择“保存”以创建新的自定义角色。该角色将显示在“角色”选项卡中,并且其“类型”为“自定义” 。
设置特定字段的权限
创建实体时,可以为用户创建的字段启用“基于角色的字段访问” 。定义自定义角色时,可以分配这些字段的数据访问权限。
只有自定义角色才能更新,以授予访问字段中的数据的权限。
按照以下步骤设置基于角色的字段权限:
- 创建新角色,或编辑现有自定义角色。
- 如果实体具有已启用“基于角色的字段访问”的字段,系统将显示消息,指示添加数据访问权限:某些字段需要数据访问权限。选择“添加它们” 。
- 从下拉列表中选择要设置数据访问权限的字段。
- 设置所需权限:“创建”、“读取”、“编辑”或“删除”。
- 单击“保存”。
另请参见自定义实体。
如果您不为您启用了“基于角色的字段访问”的字段配置权限,则默认情况下这些字段将不可见。
编辑自定义角色
您可能会改变对自定义角色特定权限的想法。您可以通过选择相应的“编辑”按钮来编辑自定义角色。
删除自定义角色
如果您决定不再需要自定义角色,可以通过选择相应的“删除”按钮将其删除。
您无法删除标准角色。
文件夹级实体角色和权限
对文件夹级别实体的访问通过 Orchestrator 角色进行管理,如下表所示:
| 权限 | 描述 |
| 实体记录 | 控制对文件夹内实体中存储的数据的访问权限(读取、写入、删除)。 |
| 实体架构 | 控制对文件夹内实体的结构和架构定义的访问权限。 |
| 实体角色 | 控制对分配给文件夹中实体的角色的管理。 |
用户访问权限由在 Orchestrator 角色中分配的权限决定。
添加用户或组
Data Fabric/Data Service 中的所有调用均基于用户授权。授权/拒绝操作的决策始终基于用户的有效权限,具体取决于用户的个人或组成员身份权限授予。Studio、Assistant 和 机器人 还将根据其配置的用户继承权限。
Data Fabric/Data Service 支持组织中定义的所有用户和组,并且不会维护单独的用户列表。
要添加属于您组织的用户,请执行以下步骤:
- 导航到“管理员” ,选择“管理访问权限”,然后选择“角色分配”选项卡。
- 选择“分配角色” 。系统将打开“分配角色”面板。
- 在“名称”字段中,搜索现有用户或 Orchestrator 组,然后选择要为其分配角色的用户或组。
- 在“角色”字段中,选择要分配给所选用户或组的角色。
- 选择“分配”。
备注:
如果找不到用户,则意味着他们在组织中没有帐户。
定义用户或组的角色
组是用户帐户的集合。Data Fabric/Data Service 支持帐户中定义的所有组,并且不会维护单独的组列表。授予组的权限将传播到所有用户和组。
要定义用户或组的角色,请执行以下步骤:
- 在“分配角色”选项卡中,将鼠标指针悬停在要分配角色的用户或组上。
- 选择右侧的“编辑”图标。“编辑角色”面板将打开。
- 为用户或组选择所需“角色”。
- 选择“保存”。
备注:
可以为用户或组分配多个角色。在这种情况下,权限的并集适用。
默认组映射
组是具有特定权限集的用户容器。通过选择组并关联所需权限,可以在每个服务中配置组的权限。用户将获得分配给其所属组的所有权限的并集。
在将用户分配到组时,您将向用户授予具有为该特定用户组配置的权限的所有服务的访问权限。对服务的访问权限级别由在服务级别分配给该组的角色决定。
| 组成员身份 | 组织级别的角色 | Data Fabric/Data Service角色 |
|---|---|---|
| 管理员 | 组织管理员 | 管理员、设计者和数据写入者 |
| 自动化开发者 | 用户 | 设计者和数据写入者 |
| 自动化用户 | 用户 | 数据写入者 |
| Citizen Developer | 用户 | 设计者和数据写入者 |
| 所有人 | 用户 | 数据读取者 |
自动角色映射适用于在引入 Citizen Developer 组之后创建的租户。对于在添加组之前创建的租户,您需要添加 Citizen Developer 组,并手动分配设计者和数据写入者角色。
删除用户或组
从“分配角色”选项卡中删除用户或组意味着无法访问 Data Fabric/Data Service。也就是说,每个已删除的用户和已删除组中的用户都无法再访问 Data Fabric/Data Service。
要再次允许访问,请单独添加组织用户或组,并为其分配 Data Fabric/Data Service 角色。
要从 Data Fabric/Data Service 中删除用户或组,请选择相应的“删除用户/组”。
按钮。
基于角色的记录访问
基于角色的记录访问可让您限制对 Data Fabric/Data Service 实体中特定记录的访问。
基于角色的记录访问会在记录级别限制数据访问。基于角色的字段访问将数据访问限制在字段级别。
记录所有者系统字段
当您启用“基于角色的记录访问”时,Data Fabric/Data Service 会将“记录所有者”字段添加到您的实体。
记录所有者字段是系统字段,用于指定拥有记录的用户或组。创建记录时,Data Fabric / Data Service 默认会将记录的创建者分配为记录所有者。
此外,当您启用“基于角色的记录访问”时,Data Fabric /Data Service 会为您的角色添加访问级别:读取/编辑/重新分配所有者/删除所有者。此访问级别限制角色只能对其作为记录所有者的记录进行操作。
例如,如果您为涉及应用程序表单的场景创建实体:
- 您可以为经理分配“可以创建” 、 “读取全部” 、 “编辑全部” 、 “重新分配全部”和“全部删除”访问权限级别。
- 您可以为审核智能体分配“无法创建”、“读取全部”、“编辑所有者” 、 “重新分配所有者”和“无法删除”访问权限级别。
启用或禁用实体基于角色的记录访问
您可以在创建实体时或通过编辑现有实体来启用基于角色的记录访问。
为新实体启用基于角色的记录访问
要为新实体启用基于角色的记录访问,请执行以下步骤:
- 转到 Data Service。
- 选择“创建新实体”。
- 为您的实体提供“名称”和“描述” 。
- 选择“启用基于角色的记录访问” 。
- 选择“保存”。
系统将打开一个弹出窗口,提示您访问访问权限以配置自定义角色。
为现有实体启用或禁用基于角色的记录访问
要为现有实体启用或禁用基于角色的记录访问,请执行以下步骤:
-
转到 Data Fabric/Data Service。
-
选择“实体”以查看所有实体。
-
选择非系统实体旁边的“编辑”按钮。
-
选择“基于角色的记录访问” 。
-
选择“保存”。
基于角色的记录访问滑块是一个上下文相关开关:
- 如果您为未激活此功能的实体选择“基于角色的记录访问” ,则 Data Fabric/Data Service 会启用该功能。
- 如果您为已激活此功能的实体选择“基于角色的记录访问” ,则 Data Fabric/Data Service 将禁用该功能。
适用于文件夹级别实体的实体级别 RBAC
还可以在 Data Fabric 的“管理访问权限”下直接为文件夹级别的实体配置实体级别 RBAC。这在 Orchestrator 文件夹权限的基础上提供了额外的控制层。
- Orchestrator 中的文件夹访问是第一级控件。
- RBAC 规则作为文件夹权限之外的附加安全层应用。
- 在 RBAC 规则生效之前,用户必须在 Orchestrator 中拥有文件夹访问权限。
备注:
权限更改会进行两分钟的缓存。更新访问权限后,权限同步可能会出现短暂延迟。
要配置文件夹级别实体 RBAC,请执行以下步骤:
- 选择“在 Data Fabric 中管理访问权限” 。
- 选择“角色”选项卡,然后从“创建新角色”下拉列表中选择“文件夹实体角色” 。
- 在“角色名称”字段中输入角色名称。
- 从“位置”下拉列表中选择一个文件夹。
- 从“添加实体”下拉列表中选择您首选的实体。
- 为每个实体定义首选权限。
- 选择“保存”。
- 选择“角色分配”选项卡,然后选择“分配角色” ,向用户或组分配角色。