基于策略授权
# 概述
本章节将指导您如何基于规则给用户授权,如果您的应用系统的权限分配存在明确的规则,基于策略授权可帮助您自动化进行权限分配。
# 前提条件
- 拥有IDaaS企业中心平台的管理员权限。
- 已经创建应用并开启了授权模型。
# 操作步骤
# 进入基于策略授权界面
左侧导航菜单中打开授权管理点击基于策略授权。
# 添加策略
点击基于策略授权页面顶部的添加策略操作打开添加页面,添加策略分为两步
配置用户条件
用户条件可选择满足条件的用户,然后配置用户需满足的条件。
配置权限
当应用开启了授权模型时,可继续配置权限。
# 手动执行策略计算
单条策略执行自动授权
在策略列表点击数据操作栏的自动授权图标可执行单条策略的计算,计算规则如下:
针对满足策略条件的用户
(1)当用户原本无账号时自动添加账号;另外当策略配置了应用权限时给账号自动分配所选的应用权限。
(2)当用户原本已有账号时账号不变;并且当策略配置了应用权限时给账号追加所选择的应用权限 (无则增加,有则不变)。全部策略执行授权
在页面顶部展开自动授权操作选择一键自动授权可执行全部策略的计算,计算规则如下:
针对全部用户,匹配用户满足的策略
(1)当用户原本无账号当前有满足的策略时自动添加账号;另外当策略配置了应用侧权限时给账号自动分配所选的应用侧权限;当用户同时满足多条策略时,分配的权限为多条策略的权限合集。
(2)当用户原本已有账号当前有满足的策略时账号不变;另外当策略配置了应用侧权限时给账号追加所选择的应用侧权限(无则增加,有则不变)。全部策略执行权限收回
在页面顶部展开自动授权操作选择一键收回权限可将用户不满足的权限收回,存在两种执行方式:
保留手动分配的权限,规则如下:
针对已有账号的用户,检查其策略满足情况
(1)当用户原本有手动分配的账号当前无满足的策略时保留账号,当用户原本有自动分配的账号当前无满足的策略时删除账号。
(2)另外当用户原本有手动分配的应用侧权限当前满足的策略中不包含此项权限时保留该权限,当用户原本有自动分配的应用侧权限当前满足的策略中不包含此项权限时删除该权限。强制按策略分配权限,规则如下:
针对已有账号的用户,检查其策略满足情况
(1)当用户原本有账号(无论是手动分配还是自动分配)但是当前无满足的策略时删除账号。
(2)另外当用户原本有分配的应用侧权限(无论是手动分配还是自动分配)但是当前满足的策略中不包含此项权限时删除该权限。
# 自动执行策略计算
当用户发生变更,导致其满足的策略发生变化,系统会自动调整用户的权限,调整的规则为:
用户被自动授予的权限重新按照满足的策略进行分配,手动授予的权限保持不变。
# 查看执行记录
通过查看授权记录操作您可以看到每一次执行计算时用户权限的变化。
# 授权黑名单
# 黑名单说明
基于策略授权帮助您基于规则自动完成对用户的授权,但是建立规则后可能会出现例外情况,例如某个用户确实满足某个条件,但是因为某些原因不能授予他某些权限,那么授权黑名单就可以解决这个场景。
授权黑名单存在两种作用:
- 拒绝授予访问账号:将用户添加到黑名单并且选择此作用,那么自动授权的过程中可以确保即使用户满足条件也不会给用户授予该应用系统的账号。
- 拒绝授予应用侧权限:将用户添加到黑名单并且选择此作用且选择角色或功能权限或数据权限,那么自动授权的过程中可以确保即使用户满足条件也不会给用户授予这些角色/功能权限/数据权限。
拒绝授予访问账号包含拒绝授予应用侧权限。
# 手动添加授权黑名单
- 在基于用户授权页面顶部点击授权黑名单,打开黑名单管理界面
- 点击添加按钮添加授权黑名单,需要选择用户然后指定黑名单作用
- 一个用户只能被添加到黑名单一次,添加后可以进行修改
# 自动添加授权黑名单
修改应用账号的应用侧权限时,如果取消用户被自动授予的权限,那么会自动将用户加入黑名单,确保取消的权限不会因为自动计算再次被授予。