工作区访问控制列表

工作区访问控制列表(ACL)用于管理保存对象的授权 AuthZ(Authorization),同时在 UDB-SX 中启用身份验证 AuthN(Authentication) 功能。

角色

工作区 的使用场景涉及以下关键角色:

  • 仪表盘管理员:对所有 UDB-SX Dashboards 功能和数据拥有完全访问权限。

  • 工作区管理员(也称为“所有者”):对特定工作区具有完全控制权,包括其配置和保存的对象。创建工作区的用户会自动成为该工作区的所有者。

  • 工作区内容生产者:可以查看、创建和更新工作区中的保存对象。

  • 工作区查看者:对工作区中的保存对象具有只读访问权限。

角色是针对工作区定义的,因此用户可以在不同工作区中拥有不同的角色。

启用权限控制

有关启用 ACL 功能的说明,请参见 启用 ACL 功能

配置仪表盘管理员

要授予对 UDB-SX Dashboards 中所有工作区和对象的完全访问权限,请配置管理员权限。编辑 udbsx_dashboards.yml 文件,通过用户 ID 和后端角色定义管理员,如下所示:

udbsxDashboards.dashboardAdmin.users: ["UserID"]
udbsxDashboards.dashboardAdmin.groups: ["BackendRole"]
savedObjects.permission.enabled: true

默认情况下,该配置设置为 [],表示没有用户被指定为管理员。
如果未安装 Security 插件且 savedObjects.permission.enabled: false,则所有用户都具有管理员权限。

配置全局管理员访问权限

使用通配符设置可将所有用户设为管理员:

udbsxDashboards.dashboardAdmin.users: ["*"]

为单个用户配置管理员访问权限

使用以下设置为单个用户配置管理员访问:

udbsxDashboards.dashboardAdmin.users: ["admin-user-id"]

按后端角色配置管理员访问权限

使用以下设置为具有特定后端角色的用户配置管理员访问:

udbsxDashboards.dashboardAdmin.groups: ["admin-role"]

管理员限定的操作

以下操作仅限管理员执行:

  • 创建工作区

  • 删除工作区

  • 数据源连接

  • 解除工作区与数据源的关联

定义工作区协作者

仅管理员可以访问协作者管理功能。 协作者 功能仅在启用权限控制后可用。有关启用权限控制的说明,请参见 启用权限控制。 访问级别包括:

  • 只读:可查看工作区及其资产。

  • 读写:可查看并编辑工作区内的资产。

  • 管理员:拥有完全访问权限,包括查看和编辑资产,以及更新工作区元数据(如名称、描述、数据源和协作者)。

协作者 页面中,可以通过协作者 ID 搜索,并按类型和访问级别筛选结果。

添加协作者

工作区创建者自动获得 Admin 访问级别。 要添加更多协作者,选择 Add collaborators 按钮,在下拉菜单中选择 Add UsersAdd Groups 打开对应的添加窗口。

添加用户

添加用户步骤如下:

  1. 选择 Add Users 打开窗口,默认显示一个空的 User ID 字段。

  2. 选择访问级别:Read onlyRead and writeAdmin

  3. 选择 Add another User 可添加多个用户。请勿使用重复或已存在的 User ID,以避免错误。

  4. 在确认前解决所有错误。成功添加的用户会显示在协作者表中。

添加组

添加组步骤如下:

  1. 选择 Add Groups 打开窗口,默认显示一个空的 Group ID 字段。

  2. 选择访问级别:Read onlyRead and writeAdmin

  3. 选择 Add another group 可添加多个组。请勿使用重复或已存在的 Group ID

  4. 在确认前解决所有错误。成功添加的组会显示在协作者表中。

修改访问级别

如果具有相应权限,你可以在协作者表中修改协作者的访问级别。
协作者可被分配任意访问级别。但如果所有 Admin 协作者被降级为较低权限,则只有管理员可继续管理协作者。

修改单个协作者权限

  1. 选择表格行右侧的操作图标。

  2. 从下拉菜单中选择 Change access level

  3. 从列表中选择新的访问级别。

  4. 在弹出窗口中选择 Confirm 确认修改,表格将更新。

批量修改协作者权限

  1. 勾选要修改的协作者行。

  2. 选择出现的 Actions 按钮。

  3. 从菜单中选择 Change access level

  4. 选择新的访问级别。

  5. 在弹出窗口中确认修改,表格将更新。

删除协作者

协作者添加后可以被删除。
删除管理员协作者时请谨慎,若删除所有管理员,则只有系统管理员能管理协作者。执行此操作前会显示确认窗口。

删除单个协作者

  1. 点击表格行右侧的 ../../_images/ellipsis-icon.png 图标以展开菜单。

  2. 选择 Delete collaborator

  3. 在弹窗中选择 Confirm 以删除协作者。

批量删除协作者

  1. 勾选多个协作者行,系统会显示 “Delete x collaborators” 按钮。

  2. 点击按钮并查看确认弹窗。

  3. 选择 Confirm 删除所有选中协作者。

配置工作区隐私

启用权限控制后,工作区管理员可设置以下三种访问级别:

  • 仅协作者可见(默认):仅协作者可访问工作区。

  • 任何人可查看:授予所有用户 只读 权限,可查看工作区资产。

  • 任何人可编辑:授予所有用户 读写 权限,可查看、创建和更新资产。

如果协作者的个人访问级别低于工作区隐私设置,则会自动提升。例如,若工作区设置为“任何人可编辑”,即使协作者原本只有只读权限,也可编辑资产。
仪表盘管理员可在 创建工作区 页面中设置隐私;工作区管理员或仪表盘管理员也可在 协作者 页面或 工作区详情 页面修改隐私设置。

创建工作区时设置隐私

  1. Set up privacy 面板中选择访问级别。

  2. (可选)勾选 Add collaborators after workspace creation.,在创建后添加协作者。

  3. 点击 Create workspace 创建工作区。

在协作者页面修改隐私设置

  1. Workspace privacy 旁选择 Edit

  2. 从下拉列表中选择新的访问级别。

  3. 点击 Save changes 保存修改。

在工作区详情页面修改隐私设置

  1. 点击 Details 面板右上角的 Edit 按钮。

  2. 从下拉列表中选择新的访问级别。

  3. 点击 Save 应用修改。