飞连
飞连
- 文档首页
飞连管理员指南企业设置管理员权限配置管理员权限
文档反馈
问问助手管理员权限模块提供了灵活和细致的权限管控能力,结合系统预设的管理员角色和系统控制策略,能够满足不同管理角色对于菜单、操作和数据访问的具体需求,保证了数据的可视化安全以及对管理范围的精确控制。本文档将为您提供详细的指导,帮助您添加和配置管理员,确保企业资源得到高效和安全的管理。
建议根据以下顺序配置企业管理员:
- 添加管理员角色:管理员角色是连接员工与权限的桥梁,为管理员提供预设的角色和权限策略,再将权限关联到管理员角色,再给员工赋予管理员角色,即可实现基于角色的权限管控。管理员角色可以分为内置角色以及自定义角色。
- 内置角色:系统根据系统规范以及业内资质提供专门的角色,例如超级管理员、安全管理员、IT 管理员、审计管理员等等。
- 自定义角色:企业根据自身情况灵活设置角色的可见性和权限点。
- 添加管理资源范围:实现对不同资源组的精细管控,确保管理员仅管理授权范围内的资源。管理单元为飞连管理后台所有可管理的资源类型。管理单元分为内置单元资源和自定义单元资源:
- 内置单元资源:按单元资源类型进行分类,内置角色可以有效管控指定内置单元数据范围。
- 自定义单元资源:企业可按企业属性(集团与子公司)、员工部门以及职责范围划分单元资源,当管理员角色可关联指定单元资源进行管理。
- 添加管理员权限:为特定员工分配角色和权限,确保其在有效期内对指定资源进行管理。
- 配置管理员告警策略:在管理员账号出现连续登录失败时,及时通知管理员,预防安全风险。
管理员角色是一组权限的集合,决定了管理员可以执行的操作。角色分为内置角色和自定义角色,内置角色由系统预设,而自定义角色允许更细粒度的权限控制。通过管理员角色可控的细粒度权限点包含菜单权限和操作权限:
登录管理后台。
在左侧导航栏,选择企业设置 > 管理员权限进入管理员配置页面。
在管理员权限页面中,单击管理员角色页签。
在管理员角色页签下,单击右上角的添加角色。
在添加角色页面中,完成以下配置,并单击完成。
配置模块
配置项
说明
基本信息
角色名称
输入一个描述性的角色名称,限 30 字以内,例如“财务审核员”。单击右侧的多语言按钮可以设置中英文名称。
角色 ID
输入一个角色 ID 作为唯一标识符,确保其唯一性。
角色描述
简要描述角色的职责和权限范围,限 60 字以内。单击右侧的多语言按钮可以设置中英文描述。
菜单权限
菜单权限
根据角色的职责,勾选需要赋予当前角色的菜单权限,支持多选。
操作权限
操作权限
根据角色的职责,勾选需要赋予当前角色的操作权限,支持多选。
说明
操作权限之间存在关联性,选中部分操作权限后,相关联的操作权限将会默认勾选。
管理资源范围允许您将飞连内的资源对象(如员工、应用、角色、标签等)进行分组,以便不同的管理员角色可以针对不同的资源组进行管控。通过对管理员可操作的数据资源范围进行细分,实现子管理员权限的精细化隔离与最小化授权,避免越权操作风险。
登录管理后台。
在左侧导航栏,选择企业设置 > 管理员权限进入管理员配置页面。
在管理员权限页面中,单击管理资源范围页签。
在管理资源范围页签下,单击右上角的添加管理单元。
在添加管理单元页面中,完成以下配置,并单击完成。
配置模块
配置项
说明
基本信息
管理资源范围名称
输入当前管理资源范围名称,限 30 字以内,单击右侧的多语言按钮可以设置中英文名称。
管理资源范围描述
输入当前管理资源范围的描述,限 60 字以内。单击右侧的多语言按钮可以设置中英文描述。
管理资源范围
管理人员范围
限定子管理员仅能管理指定部门 / 部门及下属部门 / 特定角色内的员工权限,实现人员管理范围的精细化隔离,确保管理员仅处理权责内的员工。
注意
特定角色范围目前仅适用于数据安全模块。
管理应用范围
限定子管理员仅能对指定业务应用进行权限配置与管理。
管理角色范围
限定子管理员仅能管理指定角色列表(如仅可管理实习生角色,其他角色不可管理)。
注意
此功能目前仅适用于角色管理、单点登录业务模块。
管理标签范围
限定子管理员仅能管理指定标签关联的资源,按标签维度实现资源权限隔离,让不同管理员管理对应标签下的资源。
- 全部标签:默认勾选,授予管理员对所有标签下资源的访问权限。
- 部分标签:勾选后弹出标签选择器,允许您从标签库中勾选一个或多个标签,实现精细化授权。
注意
如需为管理员分配“部分标签”,请确保已提前在标签库中创建了对应的资源标签。详细操作说明参看标签库管理。
管理员权限配置允许您为特定员工分配角色,确保他们可以在指定的有效期内对资源进行管理。
- 登录管理后台。
- 在左侧导航栏,选择企业设置 > 管理员权限,您可以通过以下任一一种方式添加管理员权限:
在管理员角色页签内:
选择目标管理员角色,并在操作列下单击添加管理员。
在添加管理员弹框中,完成以下配置,并单击确定。
配置项
说明
员工
搜索并选择一个员工,该员工将被赋予所选角色的权限。
管理资源范围
在下拉列表中选择或搜索一个管理资源范围,确定员工的管理权限范围。
生效时间
在下拉列表中选择自定义或永久,自定义时间提供快捷选项近 1 天、近 7 天、近 30 天、近 90 天以及近 180 天,支持精确到秒。
在管理员权限页签内:
单击右上角的添加管理员。
在添加管理员弹框中,完成以下配置,并单击确定。
配置项
说明
角色名称
在下拉列表中选择当前管理员的角色。
员工
搜索并选择一个员工,该员工将被赋予所选角色的权限。
管理资源范围
在下拉列表中选择或搜索一个管理资源范围,确定员工的管理权限范围。
生效时间
在下拉列表中选择自定义或永久,自定义时间提供快捷选项近 1 天、近 7 天、近 30 天、近 90 天以及近 180 天,支持精确到秒。
管理员告警策略是一种安全机制,当管理员账号连续登录失败达到一定次数时,系统会向指定的通知渠道发送告警。
登录管理后台。
在左侧导航栏,选择企业设置 > 管理员权限。
在管理员配置页签内,设置管理员账号连续几次登录失败,并选中启用告警通知的复选框。
当管理员账号连续登录失败达到指定次数时,会按照告警策略的配置发送告警通知。在管理员配置页签内,单击右上角的通知策略。
在编辑通知策略页面,完成以下配置,并单击立即生效。
告警通知支持选择短信通知、邮箱通知或者第三方 IM 通知,支持多选,当触发告警时会同时向指定渠道发送告警通知。通知渠道
说明
短信通知
配置通知手机号。可以添加最多 5 个手机号码,以回车键
Enter间隔。邮箱通知
配置通知邮箱。可以添加最多 5 个邮箱地址,以回车键
Enter间隔。第三方 IM 通知
在下拉列表中选择第三方 IM 机器人。该通知方式要求提前配置好 IM 机器人,您可以单击下拉列表底部的新增机器人,前往添加机器人。添加机器人的具体配置方式,请参见管理第三方 IM。
若企业对数据安全有一定要求,可选择配置管理员敏感操作二次认证。配置后,当企业管理员进行以下操作时,需要先完成二次认证才可以继续操作。
- 在部门与成员内,批量导出部门与成员。
- 在终端列表内,导出设备。
- 在账号配置 > 多因素认证内,关闭认证场景开关。
- 在集成管理 > API 管理内,创建 Access Key。
- 在 MDM 管理 > 策略管理内,编辑策略。
- 在 MDM 管理 > 执行脚本内,执行脚本。
- 在终端安全 > 终端防火墙内,添加或编辑终端防火墙策略。
- 在软件管理 > 软件分发内,分发软件。
- 在管理员权限 > 管理员角色内,添加或编辑管理员角色。
- 在数据安全 > 调查审计内,查看外发截图存证、预览或下载外发文件。
- 任何入口内,添加或编辑管理员。
- 修改管理员敏感操作二次认证。
操作步骤
- 登录管理后台。
- 在左侧导航栏,选择企业设置 > 管理员权限。
- 进入管理员配置页签,开启管理员敏感操作时,需要身份认证功能开关,并完成以下配置。
说明
功能启停必须由超级管理员操作,并进行二次认证。其他管理员仅能在功能开启时调整认证方式。
- 在认证方式区域右侧单击编辑,配置主选认证方式和备选认证方式。
- 主选认证方式:必填项,仅能单选,可选择动态口令、短信验证码、邮箱验证码。
- 备选认证方式:选填项,支持多选,可选择动态口令、短信验证码、邮箱验证码,但已经设置为主选认证方式的不可选。
- 设置免认证有效期,区间 5~30 分钟。二次认证后在有效期内无需再次认证。
- 在认证方式区域右侧单击编辑,配置主选认证方式和备选认证方式。
添加管理员后,您可以根据组织结构或人员变动,动态调整管理员的权限或者管理资源范围。如需进行编辑或删除操作,请参见编辑管理员权限。