帮助手册

用户管理中的自定义角色

管理多种资源的组织需要对用户访问权限进行精细化控制。用户对监视器等资源、仪表板和标签等功能,以及变更账户设置等操作的访问需求各不相同。基于角色的访问控制(RBAC)配合自定义角色,可帮助限制此类访问。自定义角色允许用户获得量身定制的访问权限。
Admin、Super Admin 和 Operator 等默认用户角色具有固定权限,无法根据特定管理需求进行限制。例如,负责网站监视器的用户可能需要一个可查看服务器监视器但不能编辑的角色;系统管理员可能只需要访问仪表板和报表的角色。自定义角色通过允许客户创建具有精确权限的角色来满足这些需求。

注意
  • 自定义角色仅适用于 Site24x7 Elite 和 Enterprise 套餐的客户。
  • 对于业务单元,自定义角色将在所有单元之间同步。

了解用户角色

创建新用户或更新现有用户角色时,需要为其分配角色。从 Site24x7 用户角色下拉字段中选择用户角色,该字段包含系统角色和自定义角色。系统角色包含以下传统角色:

  • Super Admin
  • Admin
  • Operator
  • Read Only
  • Billing Contact
  • Spokesperson
  • Hosting Provider
  • Alert Contact

如果您希望分配一个超出预设角色的独特角色,请使用自定义角色

请按照以下步骤访问自定义角色:

  1. 点击 Site24x7 用户角色字段旁的创建自定义角色。如果列表中已有其他自定义角色,也可以从中选择。
  2. 您可以:
    1. 创建自定义角色
    2. 编辑自定义角色

添加新的自定义角色

自定义角色页面,超级管理员或 MSP 管理员可以创建新的自定义角色。请按照以下步骤添加新的自定义角色:

  1. 登录 Site24x7。
  2. 导航至管理 > 用户与告警管理 > 自定义角色
  3. 点击右上角的添加自定义角色
  4. 在弹出的添加自定义角色表单中填写以下信息:
    • 角色名称:填写一个合适的角色名称。
    • 描述:提供角色名称的简短描述,说明其用途。
    • 权限设置:为每个模块授予所需的访问权限。权限设置共有四种类型:
      • 全部:授予对所有资源和配置的全部权限。
      • 允许:授予对用户在其表单中指定的所有可访问监视器的全部权限。
      • 已创建:与"允许/全部"权限相同,但仅适用于该用户创建的资源和配置。
      • 无访问权限:拒绝访问资源和配置。
        注意

        当为某个模块勾选无访问权限复选框时,包括查看写入删除在内的所有权限均将被禁用。

  5. 每个模块支持以下四种操作权限:
    • 无访问权限:勾选后将阻止对模块和操作的所有访问。
    • 查看:授予只读权限。
    • 写入:授予对模块和操作进行修改的权限。
    • 删除:授予删除模块和操作的权限。
  6. 配置:从下拉列表中选择一个或多个选项,以添加或更新相关模块的配置。例如,如需修改特定服务器监视器的阈值配置文件设置,需要为服务器监视器选择修改阈值配置文件
  7. 填写完详细信息和权限后,点击右上角的保存
    • 某些字段已被禁用,以限制模块和配置的特定权限。
    • 当您为查看选择已创建权限时,写入权限也将自动更改为已创建。但是,当您将查看权限设置为全部时,可以将写入权限设置为全部已创建无访问权限
    • 查看权限受限时,无法为模块授予写入删除权限。

自定义角色详情

现有用户的自定义角色列表及其相关详情可在自定义角色列表页面查看,该页面显示:

    • 角色名称:用于标识角色的用途和职责。
    • 描述:用于了解角色的范围及其创建目的。
    • 创建者:用于了解是谁创建了该角色。
    • 最后更新:用于了解角色最近一次更新的时间。

编辑自定义角色

自定义角色页面,您可以编辑、克隆、查看关联用户或删除用户角色。请按照以下步骤执行相关操作:

  1. 点击自定义角色右侧的 图标。
  2. 弹出的菜单允许您对特定自定义角色执行以下操作:
  • 编辑
    • 选择"编辑"可修改特定用户角色的角色名称、描述和访问权限。
    • 编辑角色页面,可自定义模块配置、仪表板与报表、监视器组、用户与告警管理、配置、标签、第三方集成、操作和设备密钥的访问权限。
    • 点击保存应用更改,或选择取消放弃更改。
  • 克隆:选择克隆可将同一套自定义访问权限复制到多个用户角色。默认情况下,角色名称设置为当前用户角色名称加"- clone"。您可以将其修改为更合适的用户角色名称。
  • 关联用户:显示具有当前用户角色的所有用户列表。如果未找到关联用户,您可以在用户列表页面中选择用户并点击添加用户
  • 预览角色:选择此项可预览特定用户角色的访问控制。此选项可查看特定角色中用户可执行的操作、限制及访问权限。在预览模式下,您无法进行任何更改或保存。
注意
  • 预览角色功能仅适用于超级管理员和管理员。
  • 您无法预览超级管理员角色。
  • 仅当在允许访问字段中选择了所有监视器时,预览角色功能才可用。
  • 删除:选择删除可永久删除当前自定义角色及其配置设置。
    注意

    仅当自定义角色未与任何现有用户关联时,才能将其删除。要删除已与用户关联的自定义角色,必须先解除关联。

权限设置

通过为不同模块分配特定权限来自定义新角色,从而管理访问。通过为所需的监视器、标签、集成及其他功能和配置分配查看写入删除权限,防止未经授权的访问并维护精细化的访问控制。

监视器配置:您可以分配权限来控制对以模块为单位的资源的访问,还可以选择用户可修改的不同配置设置。

例如,系统管理员可能需要对各类监视器具有不同级别的访问权限。他们可能需要服务器监视器的查看写入权限,以便修改配置并高效排除故障;对于网络监视器,可能只需要查看权限,以便监控网络性能而不进行更改;对于云监视器,也可能只需要查看权限,以便查看其状态和性能指标同时限制修改。

对于每项资源,应在配置中选择"修改位置配置文件"、"修改用户告警组"、"修改阈值配置文件"、"修改待命排班"、"修改通知配置文件"、"升级"、"修改标签"、"修改第三方集成"、"修改 IT 自动化"和"服务"等配置,以允许用户添加或更新其设置。

例如,要创建一个负责所有互联网服务监视器通知和告警的自定义角色,可以在配置中选择修改用户告警组修改待命排班修改通知配置文件。该自定义角色用户将有权修改或删除与所有互联网服务监视器关联的用户告警组、待命排班和通知配置文件设置。

仪表板与报表:根据用户角色为仪表板报表分配不同权限。在为管理仪表板分配权限时,用户可以查看与其有权访问的资源相关的小部件。

监视器组:自定义角色对监视器组只能拥有已创建无访问权限

用户与告警管理:根据组织政策,可以为自定义用户角色授予对用户管理用户告警组待命排班的不同级别访问权限。

配置文件:为配置文件(如位置配置文件、通知配置文件、阈值配置文件、业务时间、电子邮件模板、全局参数、OAuth 提供商、Web 令牌、APM Agent 配置APM 关键事务配置)分配所需权限。

以下是一个示例场景:DevOps 工程师需要 APM Agent 配置的所有权限来管理应用监控,同时只需要全局参数的查看权限;网络管理员只需要通知配置文件和阈值配置文件的查看写入权限来配置告警,同时具有业务时间的查看权限以进行排班对齐;合规官员应只能获得电子邮件模板、OAuth 提供商和 Web 令牌的查看权限,以确保合规而不做更改。

标签:您可以授予全部已创建无访问权限来管理标签。如果在任何模块的配置中选择了修改标签,则无法为标签管理勾选无访问权限

第三方集成:要管理第三方集成渠道,可以拥有全部已创建权限。如果在任何模块的配置中选择了修改第三方集成,则无法为标签管理勾选无访问权限

账单:授予对订阅模块的访问权限,用户可以查看所有监视器的许可证使用情况,不受其自定义角色中模块限制的影响。

操作:要为用户限制敏感操作的访问权限,如 IT 自动化计划维护账户设置告警日志审计日志,请为上述每项操作选择不同的权限。要分配 IT 自动化权限,请确保已为相关资源配置了 IT 自动化。除审计日志外,所有操作均支持全部已创建无访问权限;审计日志可分配允许无访问权限

注意

授予对审计日志模块的访问权限后,您可以查看所有监视器的日志详情,不受自定义角色中任何访问限制的影响。

设备密钥:授予对设备密钥访问的受限访问权限。设备密钥是 Site24x7 Agent 和本地轮询器的唯一身份验证机制。通过控制对设备密钥的访问,可以确保只有授权用户才能与 Site24x7 平台交互并推送性能指标,从而保护敏感数据安全并维护适当的基于角色的访问控制。

使用场景

  • 允许管理所有仪表板或仅管理用户自建仪表板:在"管理仪表板"下,分别为查看写入删除授予全部已创建权限。
  • 允许用户查看任何用户创建的仪表板,但只能修改自己创建的仪表板:在"管理仪表板"下,为查看授予全部权限,为写入删除授予已创建权限。
  • 将用户访问限制为特定监视器类别(如服务器监视器):在"管理仪表板"下,为服务器监视器的查看写入删除授予全部权限,并为所有其他模块勾选无访问权限
  • 阻止用户访问用户与告警管理:在"用户与告警管理"部分勾选无访问权限
  • 仅对用户创建的监视器配置标签管理:在"管理标签"部分为查看写入删除授予已创建权限。
  • 限制用户执行 IT 自动化相关操作:在"IT 自动化"部分勾选无访问权限,该用户将无法查看、修改或计划任何 IT 自动化。

为用户分配自定义角色

创建新的自定义角色后,可以将其分配给任意用户。请按照以下步骤为用户分配自定义角色:

对于新用户

  1. 导航至管理 > 用户与告警管理 > 用户与告警 > 添加用户
  2. 在显示的表单中填写所有详细信息。
  3. Site24x7 用户角色下拉菜单中,新创建的自定义角色列于自定义角色下方。
  4. 选择它以将自定义角色分配给新用户。
  5. 点击保存

对于现有用户

  1. 导航至管理 > 用户与告警管理 > 用户与告警
  2. 点击任意用户详情旁的图标并选择编辑
  3. 在显示的表单中,在 Site24x7 用户角色下拉菜单中,新创建的自定义角色列于自定义角色下方。
  4. 选择它以将自定义角色分配给该用户。
  5. 点击保存

自定义角色表单中的关联关系

自定义角色表单中的某些设置相互依赖,更改其中一项可能会影响其他设置。

情形 1

在监视器配置中设置的任何配置均不能随后设置为"无访问权限"。例如,如果为互联网服务监视器选择了"修改位置配置文件",则无法禁用位置配置文件设置。

情形 2

"计划与导出仪表板和报表"的查看写入权限相互关联,设置其中一项将自动将另一项设置为相同的值。

情形 3

如果为 IT 自动化勾选了无访问权限,则"计划 IT 自动化"将自动被禁用。

情形 4

如果您在监视器配置下授予了"修改位置配置文件"、"修改标签"、"修改第三方集成"及其他配置权限,则无法为相应模块设置无访问权限

本文档对您有帮助吗?

您愿意帮助我们改进文档吗?请告诉我们哪些方面可以做得更好。


很抱歉本文档未能让您满意。我们希望了解可以从哪些方面改进您的体验。


感谢您抽出时间分享反馈。我们将利用您的反馈来改进在线帮助资源。

短链接已复制!