授权管理¶
框架平台为管理员提供了基于角色的访问控制(RBAC)功能,以管理用户和管理员对其帐户的访问。通过Frame Admin用户界面,管理员能够分配角色,授予用户不同级别的访问权限。这些相同的粒度控件可用于所有身份验证类型。
请注意
Customer和Organization管理员可以从Admin页面中管理用户,方法是单击所需实体旁边的省略号,选择“Edit”,然后单击“Security”选项卡。帐户管理员从仪表板的“用户”部分管理用户。
角色¶
角色允许管理员轻松地管理用户的权限和访问级别。无论身份验证类型如何,管理员都必须指定他们希望授予用户的角色,然后才能授权这些用户访问Frame资源。
角色 |
权限 |
|---|---|
客户管理员 |
最高访问级别。客户管理员能够创建和管理多个组织和帐户。客户管理员还可以修改下面列出的任何用户角色的权限。 |
客户分析 |
客户分析用户只能访问客户级别的分析图表。 |
客户审计员 |
客户审计员用户对客户、组织和帐户级别的功能只有只读访问权限。 |
客户安全管理员 |
客户安全管理员用户只能访问客户级的Audit Trail和users功能,以管理所有的认证提供者(基本(用户名/密码),谷歌,SAML2, API, SAT),配置SAML2提供者,管理SAML2权限,并为所有组织和帐户管理用户(如果启用了Frame IdP)。 |
有限的客户管理员 |
有限客户管理员拥有与客户管理员相同的组织和帐户管理权限。但是,它们不具备启动会话的能力。 |
组织管理员 |
组织管理员可以管理客户或有限客户管理员分配给他们的任何组织以及这些组织的帐户。组织管理员只能由“客户”或“有限客户”管理员创建。 |
组织分析 |
“组织分析”用户只能访问指定组织级别的“分析”图。 |
组织审计 |
组织Auditor用户对该组织及其下的帐户只有只读访问权限。 |
组织安全管理员 |
组织安全管理员用户只能访问指定组织级别的Audit Trail和users功能,以管理所有的认证提供商(基本(用户名/密码),谷歌,SAML2, API, SAT),配置SAML2提供商,管理SAML2权限,并为指定组织下的所有帐户添加用户(如果启用了框架IdP)。 |
账户管理员 |
帐户管理员可以访问和管理组织、客户或有限客户管理员分配给他们的任何帐户。 |
有限的帐户管理员 |
有限帐户管理员拥有与帐户管理员相同的帐户管理权限。但是,它们不具备启动会话或管理用户的能力。 |
账户分析 |
帐户分析用户只能访问帐户仪表板中的“分析”页面。 |
账户审计员 |
帐户Auditor用户对帐户Dashboard只有只读访问权限。 |
账户安全管理员 |
帐户安全管理员用户只能访问帐户仪表盘的users和Audit Trail页面来管理所有的认证提供商(Basic(用户名/密码),谷歌,SAML2, API, SAT),配置SAML2提供商,管理SAML2权限,以及管理指定帐户的用户(如果启用了Frame IdP)。他们还能够访问指定帐户的审计跟踪和会话跟踪。 |
账户的支持 |
帐户支持用户只能在帐户级别,摘要,分析,审计跟踪和状态页面访问,以查看活动和研究用户会话。他们可以重新启动,终止VM和关闭会话。他们可以分离个人驱动器和企业简介磁盘(如果磁盘在会话结束后不分隔)和备份,还原和删除个人驱动器和配置文件磁盘卷。 |
沙箱管理员 |
沙箱管理员can only access the Sandbox page in the account Dashboard to manage the Sandbox (e.g., power on/off VM, install and update applications, update the OS, backup Sandbox, restore from backup, change instance type, and clone to another Sandbox, if authorized). |
实用程序服务器管理员 |
实用程序服务器管理员只能访问帐户仪表板中的实用程序服务器页面以添加,管理和终止实用程序服务器。 |
Launchpad管理员 |
此帐户级角色只能添加、删除和更改Launchpad定义。 |
启动用户 |
最终用户或“Launchpad用户”只能访问由管理员配置的Launchpad。如果管理员以这种方式配置,Launchpad用户可以从多个帐户访问多个Launchpad。 |
API -生成匿名客户令牌 |
授权API请求者获取安全的匿名的令牌从框架管理API开始在指定的客户实体下的所有框架帐户的框架会话。 |
API -生成匿名组织令牌 |
授权API请求者从框架管理API中获得安全匿名令牌,用于在指定组织实体下的所有框架帐户中启动框架会话。 |
API -生成匿名账户令牌 |
授权API请求者从Frame Admin API获取安全匿名代码,以在指定的帧帐户中启动帧会话。 |
管理员能够根据自己的访问级别授予权限。例如,Customer管理员可以将任何角色分配给任何用户,而Organization管理员只能将Organization admin或以下角色授予另一个用户。
中有关Frame帐户层次结构的更多信息平台的层次结构部分.邀请用户时,管理员必须分配角色。他们还可以随时修改现有用户的角色。如果您还没有邀请任何用户,请参阅框架基本(用户名/密码)IdP或第三方身份提供者集成部分,取决于您希望使用哪个平台添加您的用户。
用户权限框架基本(用户名/密码)IdP¶
管理员可以使用“Frame(内置用户)”选项卡以及以下情况使用帧作为其身份提供者(IDP)。用户邀请流程.如果您想在框架上通过已建立的SAML2提供商分配角色,请转到“为SAML2用户指定权限”一节。
请注意
管理员可以在任何时候通过单击用户旁边列出的省略号并选择“edit”来编辑用户角色。
用户权限与谷歌(OAuth2) IdP¶
如果您决定使用G套件OAuth2通过框架集成,通过域/电子邮件管理用户很容易。
首先,从Admin视图中单击所需Organization或Account实体旁边的省略号,并选择“Users”。
在Authentication选项卡中启用“谷歌”切换,然后单击控制台右上角的“保存”。
将出现一个新窗口,提示您输入电子邮件地址或域。对于本例,我们将添加一个域,并在“doc - Account”帐户上为任何与该域相关联的人赋予一个“Account Administrator”角色。
请注意
当指定G套件域时,必须在域前加上@符号,如上所示。
管理员还可以在同一个角色集下添加多个域和电子邮件地址。例如,使用“添加”按钮,我们已经添加了一个单独的电子邮件地址与我们的域名。与该电子邮件地址相关联的用户将在“Doc-Acct”帐户上被赋予相同的角色。
要添加另一个级别的粒度,我们的域和单个电子邮件地址可以通过单击“角色”部分下面的“添加”来提供额外的角色。
现在,一旦我们点击窗口底部的“添加”,域和单个电子邮件地址将被给予“Launchpad用户”访问的“应用程序2”Launchpad,和“持久桌面”帐户的“帐户管理”访问。管理员可以为多个域/电子邮件地址添加多个谷歌授权角色集。
使用SAML2 IdP的用户权限¶
一旦你有的话使用帧设置SAML2提供程序集成,您将需要为用户指定权限。从所需实体的用户页面导航到“SAML2提供商”选项卡右侧的“SAML2权限”选项卡。点击“添加许可。”
完成后单击“保存”。管理员可以在“SAML2权限”一节中添加多个权限集。
请注意
当按域限定用户时,最佳实践是使用“新兴市场结尾@yourcompany.com”。
主张申请 |
索赔价值 |
例子 |
|---|---|---|
新兴市场 |
电子邮件 |
johnsmith@mycompany.com |
givenName |
第一个名字 |
约翰 |
sn |
姓 |
史密斯 |
请注意
在IdP设置过程中,您可能已经使用了“mail”来定义email属性。虽然这对IdP来说很好,但在对Frame配置SAML2权限时,必须使用" em "引用email属性。
saml2属性¶
在创建帧上的SAML2权限时,Admins可以通过设置特定权限设置来使用IDP中的自定义属性。对于此示例,我们将使用一个非常常见的自定义属性 - “组”。大多数IDP提供了“组”用户的方法,这些组可以通过自定义属性映射传递给帧。使用其他属性映射,可以构建变化角色和访问权限的条件。在为SAML2索赔/属性创建任何规则时,使用比较操作员字段中的“包含”如下所示。
下面是一个在Okta中设置组语句的例子:
以下是Okta中的群组列表:
这就是我们将其中一个组(“Okta-Contractors”)传递给Frame的方式,允许管理员创建规则和角色来满足他们的需求。
通过上面的配置,来自“Okta-Contractors”组的任何用户登录到Frame后,都将被赋予帐户管理员访问“承包商帐户”的权限。
所有身份提供者都使用不同的方法来管理用户组,有关组和组管理的更多信息,请参阅您的IdP文档。