概述
最后更新时间:2020-10-26

动机

角色权限管理服务用于管理应用及应用内的资源权限。可以给不同的角色赋予不同的应用及资源访问权限,将该角色赋予给机构或用户后,对应的用户默认就拥有该应用及角色内声明的资源的使用权限。一个机构可以有多个默认角色,一个用户也可以有多个角色。角色支持增删改查,修改角色内声明的应用及资源后,使用该角色的用户将同步调整对应应用及资源的使用权限。

基础知识

角色

一组应用及资源权限的合集,赋予了用户功能操作的权限。

特性

角色管理服务的API可以实现以下能力:

CRUD角色。

设置角色可访问的应用。

设置角色可访问的资源。

将角色赋予/移除给某个机构/用户。

将角色批量赋予/移除给某个机构/用户。

内置子管理员、超级管理员角色,默认拥有所有应用及资源的访问权限。

限制

暂不支持多级角色。

暂不支持角色跨企业继承。

暂不支持非自己企业上架的应用设置访问权限给角色。

示例场景

角色内定义了应用及权限资源,企业管理员通过创建并配置角色,可以将权限集绑定到角色内,从而为机构或指定用户快速定义可访问的资源。

企业管理员可以为一个特定部门指定对应的默认角色,加入到这个部门的用户,就会默认拥有该角色,进而拥有了一批可访问操作的资源。

企业管理员可以对权限进行增删改查,从而方便其对不同的用户或者机构使用不同的权限来控制其可访问操作的资源。

运营商管理人员可以为自己的下游企业定义不同的资源权限集,从而控制下游企业使用仅被允许访问的资源。

企业管理人员可以获取某一个拥有的所有权限资源,并对其进行调整,从而满足该用户的资源访问需要。

运营商管理人员可以获取到下游客户企业的所有权限资源,并对其调整,从而满足该企业的资源访问需要。