功能介绍
快速入门
背景说明
对于企业运营,各层级、部门的人员管理尤为重要。而不同层级、岗位的员工经常需要根据其职责和角色获得相应的权限,以访问公司内部网站的特定功能和信息。传统方式针对不同产品对不同人员一个个单独管理权限,使得录入、管理功能繁琐。本管理系统通过预先搭建树状组织结构,一级一级分管各部门以及各部门中的人员,提前创建角色,为其分配权限,仅需要在录入、修改人员时为其分配角色即可实现权限管理,以角色为中介实现快速增减、管理人员。
第一步:搭建组织结构
一级组织层级:通过搜索栏旁‘+添加’按钮设置第一*SMTP 用户:用于登录 SMTP 服务器的用户名,通常是你的邮箱地址(如 568286480194@qq.com)。SMTP 用户**:用于登录 SMTP 服务器的用户名邮件发送者:指定邮件的发件人地址(如 alert@example.com)。通常是你的邮箱地址(如 568286480194@qq.com)。
注意:部分邮箱要求使用 "完整邮箱地址",部分仅需 "用户名"(如 user)。如“xx产品线”。
子层级设置: 在已设置成功的栏目中添加该级下属的部门组织结构,如“销售部”、“市场部”等等。按层级逐步推进从而搭建出属于企业的树状组织结构,以此为基础进行之后的角色设置分配。
第二步:设置应用权限
权限涉及的四个对象的关系如下,应用是基座、权限的控制对象,具体权限的分配通过角色、组织作为中转赋予用户。
选择/添加应用
在应用模块,平台内置当前系统包含的所有应用,用户可选择已有的应用进行权限设置,或者添加新的应用:
分配角色权限
选择好需要进行权限分配的应用后,用户可以进一步进行角色权限以及数据权限的分配。
自定义角色:用户在选择目标产品后,可以通过提供角色名字完成该产品下的角色的初步自定义。
分配角色权限:允许用户根据需求,对已有角色进行权限赋予和修改。角色可分配的权限受限于当前选择的产品,根据产品拥有的权限进行进一步分配。限制不同用户对系统的可操作范围。
管理角色下属用户:
添加用户:通过“添加”按钮,可为该角色单独或批量添加已有用户;
删除用户:通过该用户所在行的“删除”按钮单独删除该用户;提前同过可勾选框勾选所需删除的用户,通过“批量修改角色”按钮对所选用户进行批量删除。
查看角色权限
点击进入具体的组织后即可查看某一用户的角色权限,不同的图标代表不同的应用。
数据权限——设置数据规则
在完成角色的权限分配后,可进一步地对各应用的数据权限进行设定。基础信息包括名称描述和规则归属的组织。
数据权限规则:
权限模块:不同应用对应不同的数据权限模块。以Opspilot为例,就包括工作台、智能体等,同它的功能模块。如果是系统管理应用中设置数据权限,模块就会是组织架构和应用等等。
所有数据:可关闭模块下所有数据的查看 / 修改权限(如用户有工作台菜单权限但无数据权限时,可进入模块但内容不可见)。
指定数据:以表格形式列出模块数据(如工作台的机器人 A/B/C),可精细控制单条数据的可见性、修改权限。
第三步:新建用户
添加用户
信息填写:管理员可单独填写新增用户的基础个人信息,将其分配到他所隶属的分组,并根据该用户在公司内部负责的工作内容,赋予其负责的产品下的角色权限。
角色赋予:同一用户可同时拥有多个产品系统的角色,而对同一产品系统可同时拥有多个角色权限,在拥有多个角色权限的情况下,其可操作的权限为所有角色权限的总和。
授权确认:已选分组和已选角色均可在选择栏目右侧查看,方便确认分配,防止分配勾选错误。
分组数据权限分配:先为用户分配组织,再在右侧已选组织的【齿轮】按钮中进入数据权限设置,所有应用默认分配全部权限,通过下拉框可通过规则名称选择需要设置的规则。
设置用户密码
为刚刚添加的用户设置密码,方便账户检验以及相应用户登录。
第四步:安全管理
登录安全设置——OTP认证控制
OTP认证
一种动态密码认,开启后后使用账户密码登录还需要经过动态验证码的验证,双重验证通过才可登录,看保密需求而定。
获取动态码的操作见下图。
登陆过期时间:用户如果不主动登出,当前登陆状态能维持的时间。如:设定24小时,则登录后24小时后自动登出(过程中无主动登出的情况下)。
认证源——其他方式登录控制
目前仅支持微信开放平台,按照要求配置好参数即可使用微信扫码登录。
功能模块介绍
组织架构管理
组织管理
添加组织一级结构
允许用户创建新的组织。用户可以提供组织名字创建新的组织实体。
子层级管理
添加子分组:用户可以在已有层级下添加子分组,从而搭建完整企业组织结构。
展开、收起子分组:可通过每个层级前的“+”“-”按钮实现组织结构的展开和收起,更好地观察、修改组织结构。
删除、重命名组织结构:用户可以通过对应按钮对最低层级组织进行删除操作,对各层级进行重命名操作。
用户管理
用户管理功能允许管理员或授权用户对系统中的用户进行全面的管理,包括增加、删除、修改和查询用户信息,以及为用户分配组织归属和角色授权。这些功能有助于快速有效地管理系统用户,并确保他们具有适当的权限和访问控制。
新增用户
允许管理员或授权用户创建新用户账户。
基础信息:可以为新用户指定唯一的用户名,并收集必要的个人信息,如姓名、邮箱等。
组织分配:管理员可以将用户分配到适当的部门,以便按照组织结构进行权限管理和工作分配。可在栏目右方确认分配的组织是否正确。
组织数据权限1(可点击跳转查看详情):
分组数据权限分配:为用户分配组织后,再在右侧已选组织的【齿轮】按钮中进入数据权限设置,所有应用默认分配全部权限,通过下拉框可通过规则名称选择需要设置的规则(同一个组织会有多个规则)。
用户当前数据权限:在实际工作中,每个组织因为职能等原因,其对各个应用的数据权限受到不同限制,而用户往往会同时存在于多个组织中,因此同一个用户会拥有多条数据权限规则,当前哪条数据权限规则生效,要看用户当前是哪个组织——可以通过页面右上角的个人设置中的分组一项,通过切换分组实现切换数据权限规则。
角色分配:
允许管理员为用户分配角色,授予相应的权限。角色是在应用—角色管理中设置的,包括内置的管理员、普通用户等,也可以是自定义的角色。
在应用中,用户可以同时拥有多个产品的角色,并具有相应的访问权限和数据访问范围。
同一用户对同一产品系统可同时拥有多个角色权限,在拥有多个角色权限的情况下,其可操作的权限为所有角色权限的总和。
设置密码
为已添加的用户设置初始密码,方便新用户使用公司账号访问公司系统。
暂时的
开启该开关,则用户首次使用此时设置的账户密码后,需要重新设置自己的密码,保障用户个人账户安全。
关闭该开关,则用户登录后无需重新设置密码,方便临时用户对公司系统的使用。
修改用户信息
对已有用户信息进行修改。用于个人信息修改,如邮箱变动、部门调动等等情况。
注:用户名唯一且不可二次修改,仅在添加用户时确定。
删除用户
单独删除用户:通过该用户所在行的“删除”按钮单独删除该用户;
批量删除用户:提前同过可勾选框勾选所需删除的用户,通过“批量删除”按钮对所选用户进行批量删除。
查看部门用户
通过点击左侧导航栏中的组织或部门可查看该层级下包含的用户,再次点击当前组织或部门或刷新当前页面即可恢复展示所有用户。
搜索用户
在搜索栏中输入想搜索的用户,搜索关键字可为用户名/姓名/邮箱中的任何文字或字母。
应用
应用模块管理各应用的权限配置,通过角色分配对应应用的菜单和操作权限实现粗粒吨权限控制,再通过数据权限的规则限定实现细粒度用户权限控制。
应用管理
在应用模块,平台内置当前系统包含的所有应用,用户可对内置应用的URL进行修改:
也支持用户通过应用URL添加别的应用,支持自定义图标、应用Id、名称描述以及添加标签以对应用进行分类。
角色权限管理
角色管理功能允许用户对系统中,各应用下属的角色进行全面的管理,包括角色管理——增删改查角色、权限管理——增加、修改和查询角色权限信息,以及该角色的用户管理——为该角色增加、删除用户。通过角色管理,可以快速有效地实行用户权限控制,确保合适的角色与合适的用户相匹配,以实现系统的安全性和粗粒度权限控制(菜单、操作权限)。
管理角色
用户可以根据组织结构和需求,对所选应用进行新增角色位置,并对已有角色进行重命名和删除。
管理角色下属用户
添加用户:通过“添加”按钮,可为该角色单独或批量添加已有用户——此处不允许创建用户。
单独删除用户:通过该用户所在行的“删除”按钮单独删除该用户;
批量删除用户:提前同过可勾选框勾选所需删除的用户,通过“批量修改角色”按钮对所选用户进行批量删除。
设置角色权限
允许用户为该角色分配当前产品系统内的权限,即当前产品系统下角色可以具备的功能和操作范围。通过勾选复选框,为当前角色选择查看、编辑、添加、删除等功能,通过“确认”按钮正式赋予角色权限。
管理系统权限说明如下:
Organization——组织用户管理
User List——展示所有用户的列表
View、Edit、Add、Delete——对用户列表的查看、编辑、添加、删除权限
Channel——通知渠道管理
Channel List——展示通知渠道的列表
Channel setting——对各个通知渠道的配置的操作权限
View、Edit、Add、Delete——对通知渠道的查看、编辑、添加、删除权限
Application—应用管理
Application list——展示企业内部拥有的产品系统
Application role——产品系统内的角色管理
View、Edit、Add、Delete——对角色的查看、编辑、添加、删除权限
Add User、Edit Permission——为角色添加用户、对角色权限的管理
Data permission——数据权限,管理该角色对当前应用内部数据的权限
数据权限管理
通过设置以组织为对象的数据权限规则,来进一步细化控制用户的权限,规则的具体使用见
规则的添加和编辑
以opspilot为例:
选择对象组织:选定该规则限定归属于哪个组织,在用户管理的分组一栏中,为用户分配组织时可选择数据权限规则来细致地限制用户在该组织时,针对各应用数据的拥有的权限。
规则限定:
用户可针对不同功能模块进行限制:OpsPilot有功能模块工作台、智能体、知识库、工具等,默认情况下开放所有权限。
所有数据:用户可在所有数据下关闭查看、修改权限,以工作台为例——如果用户拥有工作台的菜单权限,却没有工作台的数据查看权限,则会呈现可以点击进入工作台模块,但该模块下的所有工作台不可见。
指定数据:将以表格形式列出当前模块的所有数据,以工作台为例——数据库中有8个机器人,A、B、C等等,可对每一个机器人数据进行操作,细致地控制到哪些机器人不可见、哪些机器人可见但不可修改、那些机器人可见也可以修改。
根据当前应用的不同,数据权限模块不同:OpsPilot有作台、智能体、知识库等,切换到系统管理就是组织架构、通知渠道等。
规则的查找和删除
查找:可通过规则名称查找需要的规则;
删除:可对有权限的规则进行删除。
通知渠道
用于配置资产报警等的通知渠道,提供给用户接收告警消息等的入口。目前支持两种通知渠道配置,电子邮箱和企业微信群机器人。
电子邮箱配置
可通过以下参数配置邮箱以接收通知:
SMTP 服务器配置参数
SMTP服务器地址:指定邮件发送服务器的域名或 IP 地址(如 smtp.example.com)。
示例:Gmail 的 SMTP 服务器为 smtp.gmail.com,QQ 邮箱为 smtp.qq.com。
端口:SMTP 服务器监听的端口号,不同加密方式可能使用不同端口。
常见端口
未加密:25(较少使用,易被拦截)。
SSL/TLS 加密:465(SSL 专用)或 587(TLS 推荐)。
身份验证参数
SMTP 用户:用于登录 SMTP 服务器的用户名,通常是你的邮箱地址(如 568286480194@qq.com)。
注意:部分邮箱要求使用 “完整邮箱地址”,部分仅需 “用户名”(如 user)。
SMTP 密码:登录 SMTP 服务器的授权密码。
注意:
部分邮箱(如 Gmail、QQ 邮箱)需开启 “SMTP 服务” 并生成授权码而非登录密码。
授权码需在邮箱设置中单独获取,用于第三方应用登录。
QQ邮箱获取SMTP密码示例:
进入QQ邮箱-设置-账号-SMTP服务,点击开启服务后即可获得授权码
加密与安全参数
是否使用 SSL:启用 SSL(Secure Sockets Layer)加密连接,默认端口为 465。
适用场景:强制要求加密传输的服务器(如 Gmail)。 是否使用 TLS:启用 TLS(Transport Layer Security)加密,默认端口为 587。
区别:TLS 是 SSL 的升级版,更安全,建议优先选择。
邮件发送参数
邮件发送者:指定邮件的发件人地址(如 alert@example.com)。
注意:部分 SMTP 服务器要求发件人地址与登录账户一致,否则可能被拒收。
配置建议
加密方式:优先选择 *TLS + 端口 587,安全性更高且兼容性好。
测试与排查:先使用邮件客户端(如 Outlook、Foxmail)验证配置是否正确。
检查防火墙或网络限制,确保端口未被封禁。
配置完成后,建议发送测试邮件验证设置是否正确。
常见错误及解决
| 错误提示 | 可能原因 | 解决方案 |
|---|---|---|
| 认证失败 | 用户名 / 密码错误、未开启 SMTP 服务 | 检查授权码是否正确,邮箱设置中开启 SMTP |
| 连接超时 | 服务器地址或端口错误 | 确认 SMTP 服务器地址和端口是否匹配加密方式 |
| SSL/TLS 握手失败 | 加密方式不匹配 | 尝试切换 SSL/TLS 选项或端口 |
| 发件人地址被拒绝 | 发件人地址与登录账户不一致 | 使用与 SMTP 用户相同的邮箱地址 |
企业微信机器人配置
配置企业微信群机器人,可在群内接收群机器人的各种通知,配置参数如下:
在企微群中设新建机器人后获取其key即可。
使用效果参考:
安全管理
登录安全设置:OTP认证控制
OTP认证:一种动态密码认证,开启后使用账户密码登录还需要经过动态验证码的验证,双重验证通过才可登录,看保密需求而定。
登陆过期时间:用户如果不主动登出,当前登陆状态能维持的时间。如:设定24小时,则登录后24小时后自动退出(过程中无主动退出的情况下)。
认证源:其他方式登录控制
目前仅支持微信开放平台,按照要求配置好参数即可使用微信扫码登录。
