基本概念

• 部门

  部门是企业组织结构中的基本单元。通常以职能区分不同部门，例如财务部、行政部、人力资源部等。

• 项目

  项目是资源隔离的最小单元。通常以业务区分不同项目，如财务系统建设项目等。

  项目归属于部门，一个项目必须且只能属于一个部门，一个部门可以拥有多个项目。

  在为用户分配项目时，用户与项目必须属于同一个部门。

• 用户

  用户即本云平台的使用者，拥有用户名、用户邮箱、密码和所属部门等多个属性。用户使用用户邮箱和密码登录云平台。

  一个用户只能属于一个部门，但可以关联该部门下的多个项目。此外，一个用户支持加入所属部门下的多个用户组中。

• 用户组

  用户组即拥有相同角色权限的一组用户。通常按照业务需求以用户组的形式对用户进行分类并授权。当新用户添加至用户组后，将继承该用户组的所有角色权限和项目信息，以实现用户权限的高效管理。

  一个用户组只能属于一个部门，但可以关联该部门下的多个项目。

• 策略

  策略即一组权限的集合，通过将其分配给角色，以表示此角色具有此策略所定义的所有权限。

  本云平台支持自定义策略，也支持使用默认预设的CloudAdminAccess、DomainAdminAccess、ProjectAdminAccess和MemberAccess四个系统策略，且不支持编辑、配置和删除。各系统策略的具体说明如下：

  • CloudAdminAccess：对所有资源都具有操作权限。该角色只能授权给Default部门下的用户。在云平台中，默认拥有一个云管理员admin，且不支持对其执行任何操作。

  • DomainAdminAccess：管理所在部门的所有项目资源，并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限，具体权限范围请参考对应服务帮助中“权限说明”章节。

  • ProjectAdminAccess：管理所在项目的所有资源，并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限，具体权限范围请参考对应服务帮助中“权限说明”章节。

  • MemberAccess：管理所在项目的相关资源，并拥有所有云产品、身份与访问管理、产品与服务管理的操作权限，具体权限范围请参考对应服务帮助中“权限说明”章节。

• 角色

  角色是策略的集合，通过为角色分配策略，再将角色赋予用户或用户组，满足用户细粒度访问权限控制的需求。

  本云平台支持自定义角色，也支持使用默认预设的云管理员、部门管理员、项目管理员和普通用户四个系统角色，且不支持编辑、分配策略和删除。各系统角色的具体说明如下：

  • 云管理员：使用CloudAdminAccess策略，是云平台的超级管理员，对所有资源都具有操作权限。该角色只能授权给Default部门下的用户。在云平台中，默认拥有一个云管理员admin，且不支持对其执行任何操作。

  • 部门管理员：使用DomainAdminAccess策略，管理所在部门的所有项目资源，并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限，具体权限范围请参考对应服务帮助中“权限说明”章节。

  • 项目管理员：使用ProjectAdminAccess策略，管理所在项目的所有资源，并拥有所有云产品、配额管理、产品与服务管理、身份与访问管理的操作权限，具体权限范围请参考对应服务帮助中“权限说明”章节。

  • 普通用户：使用MemberAccess策略，管理所在项目的相关资源，并拥有所有云产品、身份与访问管理、产品与服务管理的操作权限，具体权限范围请参考对应服务帮助中“权限说明”章节。

• AD/LDAP

  AD/LDAP是业界比较常用的用户身份统一认证方式。LDAP（Light Directory Access Portocol）是基于X.500标准的轻量级目录访问协议，类似于文件目录一样，整体呈树状结构，使用这个协议可以访问提供服务目录的产品。AD(ActiveDirectory)是一种基于数据库的系统，可在Windows环境中提供身份验证、目录、策略和其他服务。AD其实是LDAP的一种应用。

  在LDAP协议中，命名模型为DN形式，每个用户都拥有自己的DN，如同文件系统中，带路径的文件名就是DN。DN可能包含很多属性，其中CN、OU、DC分别表示用户信息名称、所属组织名称、所属域名称，例如DN为“CN=users，OU=abccloud，DC=cloud，DC=com”，实际查找顺序是首先DC=com，其次DC=cloud，然后OU=abccloud，最后CN=users，其含义为：名称为users的用户处于cloud.com域中的abccloud组织中。

• OAuth2.0

  OAuth（Open Authorization，开放授权）是一个开放标准的授权协议，OAuth2.0是OAuth的第二个版本。OAuth2.0为用户资源的授权提供一个安全、开放而又简易的标准，与以往的授权方式不同之处是OAuth2.0的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即用户无需将自己的用户名和密码暴露给第三方，即可使第三方应用获取用户在该云平台上的数据，最常见的场景便是现在互联网上的各种使用XXX账号登录。

• OIDC

  OIDC是OpenID Connect的简称，OIDC=身份认证+ OAuth 2.0。OAuth2.0提供授权，即基于权限验证是否有权访问某些内容的过程。OIDC在OAuth2.0之上提供身份验证的能力。

• SAML

  SAML全称是安全断言标记语言（Security Assertion Markup Language）是一个基于XML的开源标准数据格式。用于在当事方之间交换身份验证和授权数据，尤其是在身份提供者（IDP）和服务提供者（SP）之间交换。SAML的相关概念如下：

  • SP(Service Provider): 向用户提供服务的应用。
  • IDP（Identity Provide）：向SP提供用户身份信息。
  • 用户：通过登录IDP获取身份断言，并向SP返回身份断言来使用SP提供的服务。
  • 断言 (Assertions) ：即信息，断言是在 SAML中用来描述认证的对象，其中包括一个用户在什么时间、以什么方式被认证，同时还可以包括一些扩展信息，比如用户的Email地址和电话等等。
  • 绑定 (Binding) ：即传输，定义了SAML信息如何使用通信协议进行传输的。例如，HTTP重定向绑定，即声明 SAML信息将通过HTTP重定向消息传输。
  • 元数据 (MetaData)：SAML协议规定，要让IDP和SP实现单点登录，需要在IDP和SP进行参数配置，主要是交换IDP和SP的Metadata（元数据）信息，例如ID、Web Service的IP地址、所支持的绑定类型以及通信中实用的密钥等等。