文档中心API Explorer
ZHEN
文档中心HCI虚拟化版用户手册HCI

身份与访问管理

概述

ZStack Cube 虚拟化版 身份与访问管理模块提供了用户统一身份管理和访问控制,支持集中统一管理普通用户,配置统一认证系统与 ZStack Cube 虚拟化版 的单点登录,以及管理所有用户对平台资源的访问权限。

集中式的用户管理

支持统一创建和管理用户、用户组。

精细的角色权限控制

针对不同用户、用户组授予不同的角色权限,从而让您精确控制不同用户、用户组可以对特定资源执行的操作,协助维护环境的安全。

对接统一认证系统

支持配置基于 OIDC、AD、LDAP 协议的统一认证系统进行单点登录 (SSO),直接使用统一身份认证系统的用户,无需再额外创建用户,提升管理效率,降低安全风险。

准备工作

在使用 ZStack Cube 虚拟化版 身份与访问管理功能之前,必须确保平台版本和许可证授权满足要求。
  • 确保已安装的软件版本为 ZStack Cube 虚拟化版 4.10.0 及以上版本。
  • 如需使用统一身份认证系统、角色、用户组功能,需确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

统一认证SSO

ZStack Cube 虚拟化版 提供统一身份认证登录服务,支持无缝接入统一认证登录系统,相应统一认证用户可直接登录平台,便捷使用平台资源。目前支持添加 OIDC、AD、LDAP 认证服务器。
  • OIDC 认证:OIDC (OpenID Connect) 是一套基于 OAuth2 协议构建的身份认证协议,允许客户端验证用户身份并获取基本的用户配置信息。通过 OIDC 认证服务器可将用户信息按照映射规则同步至平台,并支持 OIDC 认证系统用户免密登录平台。
  • AD 认证:AD (Active Directory) 是面向 Windows Standard Server、Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务,为日益多样化的企业办公应用提供了一套独立、标准的登录认证系统。通过 AD 认证服务器可将 AD 用户同步到平台,并支持使用指定的 AD 登录属性直接登录平台。
  • LDAP 认证:LDAP (Lightweight Directory Access Directory) 是轻量目录访问协议,可提供标准的目录服务,为日益多样化的企业办公应用提供了一套独立、标准的登录认证系统。通过 LDAP 认证服务器可将 LDAP 用户同步到平台,并支持使用指定的 LDAP 登录属性直接登录平台。

添加 OIDC 认证服务器

前提条件

确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 统一认证 SSO
  2. 统一认证 SSO 页面,点击添加统一认证服务器
  3. 添加统一认证服务器弹窗中,参考以下示例完成配置:
    基本信息
    • 名称:设置统一认证服务器名称
    • 简介:按需填写统一认证服务器简介
    • 类型:选择 OIDC
    配置信息
    • Client ID:统一认证系统为平台分配的唯一标识符
    • Client Secret:统一认证系统为平台分配的密钥
    • Authorization Request URL:授权码模式下,用于获取授权许可的请求 URL
    • Token Request URL:从认证服务器获取访问 Token (Access Token) 的请求 URL
    • 用户映射规则:用于建立统一认证属性与本地属性之间的映射关系,包括用户名和简介
      • 用户名:平台用户的名称与统一认证服务器中用户某一属性的映射关系
      • 简介:可选项,平台用户的简介与统一认证服务器中用户某一属性的映射关系
  4. 确认配置无误后,点击确定

添加 AD 认证服务器

前提条件

确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 统一认证 SSO
  2. 统一认证 SSO 页面,点击添加统一认证服务器
  3. 添加统一认证服务器弹窗中,参考以下示例完成配置:
    基本信息
    • 名称:设置统一认证服务器名称
    • 简介:按需填写统一认证服务器简介
    • 类型:选择 AD
    服务器信息
    • SSL/TLS 加密:选择是否开启 SSL/TLS 加密,默认开启

      开启后,默认使用 636 端口,支持自定义修改;关闭后,默认使用 389 端口,支持自定义修改。

    • 主服务器 IP/域:输入主服务器 IP 地址或域,以及对应的端口
    • 备服务器 IP/域:输入备服务器 IP 地址或域,以及对应的端口
    配置信息
    • 基本 DN:输入基本 DN,用于检索 AD 用户的根节点,规定同步 AD 用户的范围
    • 用户 DN:输入用户 DN,拥有查询基本 DN 范围内所有用户权限的特殊用户,用于登录 AD 服务器并获取相关数据
    • 密码:用户 DN 对应的登录密码
    • 过滤规则:输入过滤规则,用于在同步用户信息时,过滤基本 DN 中的用户,默认添加 (objectClass=person) 规则
      Note:
      • 过滤规则可设置单条规则或组合规则,规则语法与 AD 过滤语法一致。
      • 可通过!符号控制白名单过滤或黑名单过滤。白名单过滤时,只有在过滤规则中配置的用户信息才会同步至平台;黑名单过滤时,过滤规则中配置的用户信息将不会同步至平台。
      • 过滤规则长度受 AD 服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
    • 登录属性:指定用户平台登录的 AD 用户属性
  4. 确认配置无误后,点击确定

添加 LDAP 认证服务器

前提条件

确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 统一认证 SSO
  2. 统一认证 SSO 页面,点击添加统一认证服务器
  3. 添加统一认证服务器弹窗中,参考以下示例完成配置:
    基本信息
    • 名称:设置统一认证服务器名称
    • 简介:按需填写统一认证服务器简介
    • 类型:选择 LDAP
    服务器信息
    • SSL/TLS 加密:选择是否开启 SSL/TLS 加密,默认开启

      开启后,默认使用 636 端口,支持自定义修改;关闭后,默认使用 389 端口,支持自定义修改。

    • 主服务器 IP/域:输入主服务器 IP 地址或域,以及对应的端口
    • 备服务器 IP/域:输入备服务器 IP 地址或域,以及对应的端口
    配置信息
    • 基本 DN:输入基本 DN,用于检索 LDAP 用户的根节点,规定同步 LDAP 用户的范围
    • 用户 DN:输入用户 DN,拥有查询基本 DN 范围内所有用户权限的特殊用户,用于登录 LDAP 服务器并获取相关数据
    • 密码:用户 DN 对应的登录密码
    • 过滤规则:输入过滤规则,用于在同步用户信息时,过滤基本 DN 中的用户,默认添加(objectClass=person)规则
      Note:
      • 过滤规则可设置单条规则或组合规则,规则语法与 LDAP 过滤语法一致。
      • 可通过!符号控制白名单过滤或黑名单过滤。白名单过滤时,只有在过滤规则中配置的用户信息才会同步至平台;黑名单过滤时,过滤规则中配置的用户信息将不会同步至平台。
      • 过滤规则长度受 LDAP 服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
    • 登录属性:指定用户平台登录的 LDAP 用户属性
  4. 确认配置无误后,点击确定

管理统一认证服务器

操作步骤

  1. 在导航栏中,选择系统管理 > 统一认证 SSO
  2. 统一认证 SSO 页面,按需执行以下步骤:
    • 若需修改统一认证服务器基本信息、配置信息、或用户信息映射规则,点击修改配置
      Note: 修改配置信息后,已同步至平台的统一认证用户可能无法免密登录平台。
    • 若需编辑统一认证服务器的名称和简介,选择更多操作 > 编辑名称简介
    • 若需删除统一认证服务器,选择更多操作 > 删除
      Note: 删除统一认证服务器将同时删除平台上相关已有统一认证用户信息,源统一认证服务器中的用户不受影响。

角色管理

角色是一组权限的集合,为用户和用户组授予权限可获得调用相关 API 进行资源操作的能力。ZStack Cube 虚拟化版 采用了基于角色的访问控制 (RBAC) 的授权模型,将资源权限根据用户的工作职能(角色)定义权限。通过角色,您可以对用户权限进行精细控制。

系统预置角色

ZStack Cube 虚拟化版 提供系统预置角色。
用户类型 角色名称 角色描述
管理员用户 系统管理员 负责系统日常运作相关的维护工作。
安全管理员 负责用户管理、安全策略以及安全属性的设定。
审计管理员 负责对系统事件信息进行管理。
只读角色 只能读取系统资源,无写入权限。
普通用户 虚拟机用户 支持普通用户创建虚拟机,满足基础的虚拟机管理需求。

新建自定义角色

为满足多样化的访问控制需求,可以新建自定义角色。

前提条件

确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 角色
  2. 角色页面,点击新建角色
  3. 新建角色弹窗中,参考以下示例完成配置:
    基本信息
    • 名称:设置角色名称
    • 简介:按需填写角色简介
    权限配置

    按需选择您要赋予该角色的界面权限。不同界面权限之间可能存在依赖关系,推荐使用平台预定义角色或勾选全部界面权限。

  4. 确认配置无误后,点击确定

克隆角色

为满足多样化的访问控制需求,除新建自定义角色外,可以克隆现有角色。

前提条件

确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 角色
  2. 角色页面,选择目标角色,然后点击操作 > 克隆角色
  3. 克隆角色弹窗中,输入名称和简介。
  4. 确认配置无误后,点击确定

修改角色权限

修改自定义角色的界面权限和 API 权限。

前提条件

  • 确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。
  • 所选角色非系统默认角色。

操作步骤

  1. 在导航栏中,选择系统管理 > 角色
  2. 角色页面,点击目标角色名称,进入总览详情页。
  3. 总览子页面,点击编辑图标,然后按需修改角色的界面权限。
  4. 点击 API 权限,进入 API 权限子页面。
  5. API 权限子页面,点击编辑图标,然后按需修改角色的 API 权限。

删除角色

前提条件

  • 确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。
  • 所选角色非系统默认角色。
  • 所选角色已解绑其绑定的用户或用户组。

操作步骤

  1. 在导航栏中,选择系统管理 > 角色
  2. 角色页面,选择目标角色,然后点击操作 > 删除
  3. 确认所选对象无误后,点击确定

用户管理

用户表示自然人,是身份与访问管理中的基本单位。用户由 admin 创建或统一认证系统同步,且受 admin 管理。通过将资源共享给用户以及为用户绑定角色,可以实现对资源归属以及权限控制的细粒度划分。

以下为用户的一些特点:
  • 用户包括本地用户和统一认证用户。本地用户由 admin 直接创建,统一认证用户由统一认证服务器同步至平台。
  • 用户配额是 admin 对用户的资源总量进行控制的衡量标准,包括计算资源、数据存储资源、网络资源等。
  • 用户可以加入一个或多个用户组。
  • 用户可以绑定一个或多个角色,当用户绑定有多个角色时,用户将拥有这些角色对应权限的合集。当用户加入用户组后,除了自身已绑定的角色外,用户还将拥有从用户组继承的角色。

新建用户

创建本地用户,为其分配划分资源归属并绑定角色,然后使用用户登录。

前提条件

  • 需具备 admin 权限。
  • 如需使用角色和用户组功能,确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户
  2. 用户页面,点击新建用户
  3. 新建用户弹窗中,参考以下示例完成配置:
    基本信息
    • 用户名:设置普通用户名称,用于登录平台的唯一标识
    • 简介:按需填写用户简介
    • 密码:设置用户的登录密码

      可通过修改平台登录密码强度调整用户密码设置要求。有关更多信息,请参阅 安全设置

    • 确认密码:二次确认用户的登录密码
    • 角色:为用户绑定角色,绑定后,用户将拥有角色对应的权限
    • 用户组:加入用户组,加入后,用户将拥有从用户组继承的所有角色和共享资源
    共享资源

    指定共享给当前用户的资源,包括虚拟机、镜像、模板、分布式交换机、分布式端口组。

  4. 确认配置无误后,点击确定

停用/启用用户

停用普通用户后,除非 admin 重新启用该用户,否则该用户将无法登录到 ZStack Cube 虚拟化版

前提条件

需具备 admin 权限。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户
  2. 用户页面,选择目标用户,然后点击操作 > 停用
  3. 确认所选对象无误后,点击确定
  4. 如需再次启用用户,点击操作 > 启用

修改用户配置

修改用户的基本信息,如该用户绑定的角色、加入的用户组、以及共享给该用户的资源。

前提条件

需具备 admin 权限。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户
  2. 用户页面,选择目标用户,然后点击操作 > 修改配置
  3. 修改配置弹窗中,按需修改配置即可。

修改用户密码

前提条件

需具备 admin 权限。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户
  2. 用户页面,选择目标用户,然后点击操作 > 修改密码
  3. 修改密码弹窗中,输入新密码并二次确认新密码,然后点击确定

删除用户

前提条件

需具备 admin 权限。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户
  2. 用户页面,选择目标用户,然后点击操作 > 删除
  3. 确定要删除用户?弹窗中,请仔细阅读风险提示。

结果

Note:
  • 删除用户后将禁止该用户登录,同时其下资源的所有者将变更为 admin。
  • 若删除统一认证用户,源统一认证服务器中的用户不受影响。

用户组管理

用户组是一组用户的集合,支持以用户组为单位进行权限控制。借助用户组,您可为多个用户分配权限,实现轻松管理。例如,您现在有一个名为 UserGroup-1 的用户组,并向该用户组绑定了涉及存储资源相关权限的角色,那么该用户组内的所有用户都将自动拥有从 UserGroup-1 继承的角色权限。如果有新用户加入,并且需要存储资源相关权限,则可通过将此用户添加到 UserGroup-1 用户组来实现相应的权限分配。如果有新旧用户变更,则不必为每个旧用户修改权限,只需将旧用户从用户组中移除即可。

以下为用户组的一些特点:
  • 一个用户组可包含多个用户,一个用户也可属于多个用户组。
  • 用户组不能嵌套,只能包含用户,而不能包含其他用户组。
  • 一个用户组可绑定多个角色。当用户组绑定有多个角色时,组内用户将继承这些角色对应权限的合集。

新建用户组

创建用户组,将用户加入用户组,使用户组下的全部用户获得相应权限,方便统一权限管理。

前提条件

  • 需具备 admin 权限。
  • 确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户组
  2. 用户组页面,点击新建用户组
  3. 新建用户组弹窗中,参考以下示例完成配置:
    基本信息
    • 名称:设置用户组名称
    • 简介:按需填写用户组简介
    • 用户:添加用户至此用户组。加入后,用户将拥有从此用户组继承的所有角色和共享资源
    • 角色:为用户组绑定角色。绑定后,组内所有用户将继承角色对应的权限
    共享资源

    将资源共享给用户组。共享后,用户组内的所有用户将拥有共享资源的读权限。

  4. 确认配置无误后,点击确定

修改用户组配置

修改用户组的基本信息,如用户组内的用户、用户组绑定的角色、以及共享给用户组的资源。

前提条件

  • 需具备 admin 权限。
  • 确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户组
  2. 用户组页面,选择目标用户组,然后点击操作 > 修改配置
  3. 修改配置弹窗中,按需修改即可。

删除用户组

前提条件

  • 需具备 admin 权限。
  • 确保 ZStack Cube 虚拟化版 已安装高级版许可证,并且许可证处于有效状态。

操作步骤

  1. 在导航栏中,选择系统管理 > 用户管理 > 用户组
  2. 用户组页面,选择目标用户组,然后点击操作 > 删除
  3. 确定要删除用户组?弹窗中,请仔细阅读风险提示。

结果

Note: 删除用户组后,组内所有用户将不再用户从用户组继承的角色和共享资源。
上一篇系统管理下一篇平台安全