第 7 章 管理用户和角色
用户为使用系统的个人定义了一组详细信息。用户可以与组织和环境关联,以便在创建新实体时,自动使用默认设置。用户也可以附加一个或多个 角色,授予他们查看和管理组织和环境的权限。有关使用用户的更多信息,请参阅 第 7.1 节 “管理用户”。
您可以通过将多个用户组织到用户组来同时管理多个用户的权限。用户组本身可以进一步分组以创建权限层次结构。有关创建用户组的更多信息,请参阅 第 7.4 节 “创建和管理用户组”。
角色定义了一组权限和访问级别。每个角色都包含多个 权限过滤器,用于指定角色允许的操作。操作按照 资源类型 进行了分组。创建了角色后,可将用户和用户组与该角色关联。这样,您可以为大用户组分配相同的权限集。Satellite 提供一组预定义的角色,还可创建自定义角色和权限过滤器,如 第 7.5 节 “创建和管理角色” 所述。
7.1. 管理用户
作为管理员,您可以创建、修改和删除 Satellite 用户。您还可以通过分配不同 角色 来为用户或一组用户配置访问权限。
7.1.1. 创建用户
使用此流程创建用户。要使用 CLI 而不是 Satellite Web UI,请参阅 CLI 过程。
流程
- 在 Satellite Web UI 中,导航到 Administer > Users。
- 单击 创建用户。
- 在 Login 项中输入用户的用户名。
- 在 Firstname 和 Lastname 字段中输入用户的真实名字和姓氏。
- 在 Mail 字段中,输入用户的电子邮件地址。
- 在 Description 字段中,添加新用户的描述。
- 从 Language 列表中选择用户的具体语言。
从 Timezone 列表中选择该用户的时区。
默认情况下,卫星服务器使用用户浏览器的语言和时区设置。
为该用户设置密码:
从 Authorized by 列表中,选择用户通过身份验证的来源。
- INTERNAL :允许用户在卫星服务器中管理。
- EXTERNAL :配置外部身份验证,如 在连接 的网络环境中安装卫星服务器中的配置外部身份验证 中所述。
- 在 Password 字段和 Verify 字段中输入用户 的初始密码。
- 单击 Submit 以创建用户。
CLI 过程
运行以下命令来创建用户:
# hammer user create \ --auth-source-id My_Authentication_Source \ --login My_User_Name \ --mail My_User_Mail \ --organization-ids My_Organization_ID_1,My_Organization_ID_2 \ --password My_User_Password
auth-source-id 1
设置意味着用户在内部进行身份验证,您可以将外部身份验证源指定为替代选择。添加--admin
选项,以向用户授予管理员特权。不需要指定机构 ID,您可以使用update
子命令修改用户详情。
有关用户相关子命令的更多信息,请输入 hammer 用户 --help
。
7.1.2. 为用户分配角色
使用此流程为用户分配角色。要使用 CLI 而不是 Satellite Web UI,请参阅 CLI 过程。
流程
- 在 Satellite Web UI 中,导航到 Administer > Users。
单击要分配给一个或多个角色的用户的 username。
注意如果某个用户帐户没有被列出,请检查您是否当前查看正确的机构。若要列出卫星中的所有用户,请单击 Default Organization,然后单击 Any Organization。
- 单击位置选项卡,如果不分配,则选择一个位置。
- 单击 Organizations 选项卡,然后检查是否分配了组织。
- 单击 Roles 选项卡,以显示可用角色的列表。
从 Roles 列表中选择要分配的角色。
要授予所有可用权限,可选择 Admin 复选框。
- 点 Submit。
若要查看分配给用户的角色,请单击 Roles 选项卡;分配的角色列在 Selected items 下。要删除分配的角色,可在 Selected items 中单击角色名称。
CLI 过程
要为用户分配角色,请输入以下命令:
# hammer user add-role --id user_id --role role_name
7.1.3. 模拟不同的用户帐户
管理员可以以不同的用户身份临时登录卫星 Web UI 来模拟其他经过身份验证的用户用于测试和故障排除目的。在模拟其他用户时,管理员具有访问模拟用户可以访问权限,包括同一菜单。
创建审计是为了记录管理员在模拟另一个用户时执行的操作。但是,管理员在模拟另一用户期间执行的所有操作都会记录被模拟用户执行的。
先决条件
- 确保您已以具有 Satellite 管理员权限的用户身份登录卫星 Web UI。
流程
- 在 Satellite Web UI 中,导航到 Administer > Users。
- 在您要模拟的用户右侧,从 Actions 列中的列表中选择 Impersonate。
当要停止模拟会话时,在主菜单右上角点击模拟图标。
7.1.4. 创建仅限 API 的用户
您可以创建只与 Satellite API 交互的用户。
流程
- 以 admin 用户身份登录您的 Satellite。
- 导航到 Administer > Users 并选择一个用户。
在 User 选项卡中,设置密码。请勿保存或与他人沟通。您可以在控制台中创建伪随机字符串:
# openssl rand -hex 32
- 为用户创建个人访问令牌。如需更多信息,请参阅 第 7.3.1 节 “创建个人访问令牌”。