如果一个一账通实例在部署时决定配置 Web 前端,那么用户在此时即可拥有一个设计友好易于使用的界面。本小节的余下部分将指引用户(无论是普通用户还是管理员)使用这一图形界面探索一账通的核心功能。
注册与登录
无论如何,只要一个一账通实例决定对外公开自身的存在,用户就总可以通过浏览器访问到该实例的登录界面。如果该实例选择开放注册,那么任何人都可以在此处使用邮箱或手机注册一个账号并登录。如若不然,用户只能选择要求这个实例的管理员为自己手动添加一个账号,并通过管理员提供的链接绑定并激活账号。
工作台
每个一账通用户都拥有一个「工作台」,它允许用户检视本账号被授权访问的应用,系统内其他可见组织与成员的基本信息,以及配置自身的个人信息。
我的应用
「我的应用」页面展示了所有当前用户有权访问(即可用自己的一账通账号进行授权登录操作的)的应用的基本信息。若管理员为某应用配置了跳转链接,用户可以直接点击该应用以跳转到应用地址。
通讯录
用户可以在「通讯录」中检索所有自身可见的组织结构与用户的基本信息,检索的目标对象的可见性取决于当前用户的权限。
其他
每个用户都可以检视自身的「个人资料」页面并在此处更改自身的基本信息,这些信息可在「通讯录」中被其他用户检索(取决于对方的权限)。用户也可在右上角的下拉菜单里选择修改当前账号的密码或是登出一账通。
个人资料
:::warning
注意**
在一账通中,一旦用户选择登出,不仅仅是对一账通自身的访问凭据会被撤销,所有处于登录状态的第三方应用的访问凭据也会被一并撤销。这是对所谓「单点登出(Single Sign-Out)」机制的一种实现。
:::
管理后台
如果当前用户拥有管理员权限,那么该用户可以通过右上角的「管理后台」按钮来配置当前一账通实例的行为。
账号管理
管理员可在「账号管理」–「所有账号」页面内添加新账号,检视、编辑已有账号或调整它们的权限,并可以将账号信息批量导出为 .csv 文件或从具有特定格式的 .csv 文件中批量导入。
账号管理–所有账号
_
:::success
重要
对于手动添加的账号,管理员需要将邀请链接(在尚未激活的账号的「操作」一栏中获取)发送给相应的用户,让其完善注册信息并激活账号。
:::
批量编辑
通过「批量导出」得到的 .csv 文件含有的字段定义如下:
| 字段名 | 说明 |
|---|---|
username |
用户名,用户的唯一标识符 |
name |
用户的姓名 |
email |
用户的邮箱(在个人资料中显示) |
private_email |
用户的注册邮箱 |
mobile |
用户的注册手机号 |
gender |
用户的性别 |
avatar |
用户的头像 |
position |
用户的职位 |
employee_number |
用户的工号 |
其中字段与「个人资料」页而非「编辑账号」操作可编辑字段相对应,将其重新导入并不能重建一个与之完全一致的账号。将该 .csv 通过「批量导入/修改」重新导入时能够得到有效应用的字段如下:
| 字段名 | 存在性 |
|---|---|
username |
必选当且仅当导入 |
name |
可选 |
email |
可选 |
private_email |
导入时二选一 |
mobile |
导入时二选一 |
gender |
可选 |
avatar |
不存在 |
position |
可选 |
employee_number |
可选 |
账号注册
「账号管理」–「账号配置」页面内提供了一些登录注册必不可少的基础设施。如是否开放注册,是否开放第三方扫码登录以及如何配置注册所需的邮箱/手机验证码服务。
账号管理–账号配置
_
:::info
注解
虽然验证码校验在账号激活的过程中必不可少,但一账通本身并不提供验证码服务。用户需要自行准备邮箱或短信服务并在一账通内部配置好相应的接口。
:::
**
- 配置使用个人邮箱
以qq邮箱为例,先打开qq邮箱的smtp服务,得到授权码,然后在arkid后台配置。
账号同步
在「账号管理」——「账号同步」页面中可以启用在一账通系统与其他平台的用户对象模型之间同步对接的功能。在填写了同步目标平台的认证信息之后,点击「开始同步」按钮即可将目标平台的所有用户及分组等对象同步到当前一账通实例中。
账号管理–账号同步
_
:::warning
注意
当同步完成之后,在一账通平台上的任何修改都会同步应用到目标平台之上,但目标平台上的修改并不会反向同步给一账通,因此不推荐在同步完成之后修改目标平台的用户数据。
:::
应用配置
管理员可在「应用管理」页面下检索、删除、接入第三方应用以及管理它们的权限,接入第三方应用的详细说明见 第三方应用接入 部分。如果用户有通过一账通登录某应用的权限,那么该应用会出现在用户的工作台上。
应用管理
_
:::success
小技巧
如果为一个应用配置了跳转链接,用户就可以直接在工作台中直接点击访问该应用了。
:::
分组管理
一账通系统中存在着应用、用户与分组这三类主要的业务对象。分组功能将用户以分组对象关联起来,而权限系统则涉及应用与后两者之间的交互。
分组
一账通中的分组结构是一棵有根的 树),其中每个节点可以拥有有限多个子节点(子组)以及有限多个值(用户),与常见的目录树结构基本一致。
分组类型
一账通中允许存在多种不同的分组方式,每一种由一个分组类型来定义。可以为一个分组类型创建多个实例,每个实例都构成了一个分组结构。一账通默认提供「部门」、「角色」以及「标签」三种分组类型,并允许用户无限制的自定义分组类型,不同的分组类型之间完全正交。
用户
用户是分组结构中的「值」,不包含任何结构,而仅仅是属于某个特定结构。但与文件系统不同,一个用户可以同时属于多个分组(无视分组类型)。
:::info
注解
可以将一个分组类型的实例视为一棵树,而一个分组类型则构成了一个 森林,或是直接将分组类型视为一棵树的根,而所有的实例则不过是分组类型的「子组」而已。
:::
管理员可以在「分组管理」页面下检视管理所有已有的分组结构并定义新的分组或类型,也可以查看特定的分组节点中包含的所有用户。
分组管理
_
:::success
提示
「分组管理」页面下的成员管理功能暂时只支持调整分组中已有成员的位置或手动添加全新账号(功能与「所有账号」页面下的一致),如需添加已有用户到特定分组中来,暂时只能通过「编辑账号」操作进行。
:::
**
权限管理
一账通为管理者提供了一套完备而可扩展的精细权限控制系统,允许通过各种策略为每一个用户配置应用的访问权限,管理应用与分组的可见性,以及配置权限受限的子管理员辅助管理。
:::info
注解
在一账通的权限系统中,分组是权限管理的一个基本单位。权限可以被直接指派给分组,任何指派给分组的权限会被指派给该分组的直接用户,或是(通过某些选项)递归的指派给该分组的子组与其中的用户。在分组结构中,指派给前驱节点(上级分组)的权限总可以被指派给其后继节点(子组)的权限所覆盖。
:::
**
可见性权限
分组结构以及其中成员的详细信息(如个人资料)的可见性权限配置应在「分组管理」页面的分组实例编辑中进行,有如下几种权限策略:
| 分组可见性权限 |
|---|
| 所有人可见 |
| 仅组内成员可见(下属分组不可见) |
| 组内成员及其下属分组可见 |
| 所有人不可见 |
| 只对部分人可见 |
其中「只对部分人可见」选项可以分组或用户为单位进行任意的权限指派。
应用的可见性权限与访问权限一致,在此不再赘述。
应用权限
一账通为第三方应用提供了精细的权限控制。除了基本的访问(登录)权限之外,管理员还可以为应用额外添加任意的自定义权限,并为它们指定可访问的用户和分组。
管理员可通过账号管理或分组管理中特定用户的「应用内权限」操作来查看该用户的应用权限一览表并直接进行以个人为粒度的权限配置(通过更改默认的权限继承策略)。
账号权限管理 & 分组权限管理
_
更为全面的权限配置可以通过「应用管理」页面下特定应用的「权限管理」操作来进行。管理员可以在此为应用添加自定义权限,配置用户或分组的白/黑名单策略,以及查看根据当前配置计算得出的最终授权名单并分析其中用户的授权来源。
应用权限管理
:::success
重要
自定义权限在一账通中仅仅是一个唯一的权限 ID,第三方应用可根据此 ID 通过 HTTP API 向一账通查询特定的用户是否拥有该权限。在此情况下,一账通仅仅是在利用已有的分组–权限架构,作为一个权限子系统来检查特定的权限断言,而并不会实际涉及权限的具体内容。
:::
**
子管理员
管理员可在「子管理员」页面下添加子管理员。子管理员可以在一个指定的范围(分组,用户以及应用)下行使受限的权力。
其他
登录页面配置
管理员可在「配置管理」页面下为公司进行基本的登录页面配置。
操作日志
管理员可在「操作日志」页面下查看并检索详细的用户及管理员活动日志。
操作日志
若有收获,就点个赞吧
0 人点赞
