管理应用侧的角色、权限、资源
# 概述
应用侧的角色、权限以及资源管理属于应用与IDaaS的深度集成。IDaaS平台提供应用侧权限功能模块,在平台集成的应用中建立一套应用系统原先已定义的角色、权限、资源模型,当通过IDaaS认证登录的用户,携带有角色或权限信息返回应用系统时,应用系统可根据此信息来展示用户可访问的资源或功能。
- 该功能的实现涉及应用系统的开发与改造。
- 在编辑过 “应用侧权限” 下的配置信息后,不支持更改为其他权限模型。即若您选择了 “基于角色的应用权限管理” 且已配置了应用角色,则不允许再更改为 “基于角色、权限、资源的应用权限管理” ,反之亦然。
# 前提条件
- 拥有IDaaS企业中心平台的管理员权限。
- 应用已在IDaaS平台集成。
# 操作步骤
# 基于角色的应用权限管理
登录IDaaS企业中心平台,在上方导航栏选择 “资源 > 应用” ,进入待管理的应用信息页面,单击 “应用侧权限” 后的 “配置”。
进入应用侧权限页面,选择 “基于角色的应用权限管理” ,定义应用角色,支持添加多个角色。
角色定义完成后,页面展示应用侧的所有角色,单击角色 “操作” 列下的 “添加成员” ,为所选角色分配已授权该应用的账号。
支持为应用账号配置多个角色,但账号和角色一对多开启后不可逆,开启后可以为一个账号配置多个角色。
切换至 “认证集成” 页签,选择 “映射配置” ,单击 “添加映射” ,应用系统属性名自定义,映射类型选择 “账号权限” 。
单击 “测试” ,输入已授权该应用的账号,查看测试后的属性列表。
- 应用系统根据IDaaS平台返回值roles(自定义属性)属性值进行账号相应角色权限显示控制,若账号未分配应用角色,则此处属性值为空。
- 数据的属性名、角色代码等需要应用侧提前约定好。
# 基于角色、权限、资源的应用权限管理
登录IDaaS企业中心平台,在上方导航栏选择 “资源 > 应用” ,进入待管理的应用信息页面,单击 “应用侧权限” 后的 “配置”。
进入应用侧权限页面,选择 “基于角色、权限、资源的应用权限管理” ,定义应用资源,支持添加多个资源。
资源定义完成后单击 “下一步” ,为上文新增的应用资源定义相应的权限信息。
资源定义完成后单击 “下一步” ,定义应用角色,支持添加多个角色。
初始化定义完成后,在应用侧权限下单击 “应用侧角色” ,支持继续添加应用角色、为角色分配应用权限,以及为角色分配已授权该应用的账号。
支持为应用账号配置多个角色,但一人多角色开启后不可逆,开启后可以为一个账号配置多个角色。
在应用侧权限下单击 “权限集合” ,左侧展示应用的权限合集,支持继续添加权限,左侧选择权限,右侧展示该权限下的所有条目。
在权限集合页单击 “资源管理” ,支持继续新增资源。
左侧下拉各权限,展示各权限的所有条目详情,包括名称、代码、类型,可调整各数据显示顺序,同时支持为所选权限新增条目,以及更新删除已有条目。
切换至 “认证集成” 页签,选择 “映射配置” ,单击 “添加映射” ,应用系统属性名自定义,映射类型选择 “账号权限” 。
单击 “测试” ,输入已授权该应用的账号,查看测试后的属性列表。
应用系统根据IDaaS平台返回值roles(自定义属性)属性值进行账号相应权限显示控制,返回的属性值内容由账号已分配的资源、权限、以及角色决定,若账号未分配应用角色,则此处属性值为空。
数据的属性名、角色代码等需要应用侧提前约定好。