企业管理员、空间管理员和应用管理员可以用这一页理解角色与权限模型。角色字段重点看角色名称、作用范围、成员或用户组;权限字段重点看应用、菜单和元素。读完后,你能按角色矩阵给最小权限,而不是直接给管理员。
产品入口:配置管理 → 空间信息 → 空间成员 → 用户/用户组;元素入口:应用 → 元素管理 → 元素权限。下图用于识别授权区域。
给用户组 薪资保密组 分配应用 员工服务 的角色 应用成员,避免逐个用户分配;该用户组下用户即可进入该应用。
菜单元素 薪资查询 权限设置该用户组可见。
元素 薪资明细表 权限设置该用户组可见,并用用户组下普通用户账号验证。
|
操作 |
超级管理员 |
企业管理员 |
空间管理员 |
应用管理员 |
普通用户 |
|---|---|---|---|---|---|
|
创建企业 |
是 |
否 |
否 |
否 |
否 |
|
创建空间 |
否 |
是 |
否 |
否 |
否 |
|
邀请成员 |
是 |
是 |
是 |
否 |
否 |
|
创建应用 |
否 |
是 |
是 |
否 |
否 |
|
配置菜单和元素 |
否 |
是 |
是 |
是 |
否 |
|
使用应用元素 |
否 |
是 |
是 |
是 |
视元素权限 |
正向校验 1:用户组 薪资保密组 显示已分配角色。
正向校验 2:用户组下普通用户能看到 薪资查询 菜单并打开 薪资明细表,但不能进入应用管理页。
负向校验:如果普通用户能进入空间成员或应用管理,说明角色范围过大;回收管理员角色并重新按矩阵授权。
问:角色分配后多久生效? 答:让用户退出重新登录或刷新工作台;仍不生效时检查是否给了企业角色但没有给空间或应用权限。
问:用户组授权和用户直接授权冲突怎么办? 答:优先保留用户组授权,减少个人例外;排查时列出用户直接权限和所属组权限。
问:菜单可见是否等于元素可用? 答:不等于。菜单只决定入口可见,元素权限决定打开后的访问结果。
回到顶部
咨询热线
