跳到主要内容 跳到补充内容

管理用户组

用户组对于有效的身份管理至关重要,可以帮助管理员简化用户权限并维护一个安全、有序的系统。在 Qlik Cloud 中,可以直接在 Administration 活动中心创建群组,也可以从身份提供者处配置组。

组类型

用户组有两种类型:

  • 身份提供者 (IdP) 组:这些组来自外部身份提供者,不能在 Qlik Cloud 中直接编辑、删除或管理。所有管理必须通过外部身份提供者执行。

  • 自定义组:这些组在 Qlik Cloud 租户内创建和管理。租户管理员可以直接从 Administration 活动中心或通过 API 创建、编辑、删除和管理自定义组的成员。Qlik Account 用户和从身份提供者提供的用户都可以添加到自定义组中。

自定义组可立即使用,而 IdP 组是在与组关联的用户首次登录时动态于 Qlik Cloud 中创建的。如果您使用 SCIM 来配置用户和组,则可以提前填充组。有关更多信息,请参阅使用 SCIM 配置用户和组。您可以在 Administration 活动中心查看所有组。

IdP 组和自定义组在用户界面中通过图标和标签进行区分。虽然它们可以共享相同的名称,但我们建议对自定义组使用明确的命名约定(例如在开头添加“CG-”),以避免混淆。

具有相同名称但图标不同的两个组的示例:第一个是 IdP 组,第二个是自定义组。

两个同名但图标不同的组的屏幕截图。

组在组表中按类型(“托管 (IdP)”和“自定义”)标记。

两个同名组的屏幕截图,按类型标签区分。

组的示例场景

您可以使用组根据组成员资格管理访问权限。为 IdP 组和自定义组分配安全角色和空间角色,以控制整个租户的权限。

以下是使用 IdP 组和自定义组的一些示例场景:

示例:软件开发项目的自定义组

如果您的组织正在启动一个新的软件开发项目,您可以专门为项目团队创建一个自定义组。这将允许您分配特定于项目的角色和权限,确保每个团队成员都有有效协作所需的访问权限

示例:营销团队的 IdP 组

假设您在一个与外部身份提供者集成的组织的营销部门工作。您可以为营销团队创建一个 IdP 组,授予访问基本工具和资源的唯一权限。当新成员加入团队并添加到 IdP 组时,他们会自动在 Qlik Cloud 中获得正确的权限,从而可以立即开始工作。

示例:基于用户职责的访问控制自定义组

为了高效地管理访问权限,请根据用户在不同空间中执行的任务或职责创建自定义组。这些用户职责有助于在 Qlik Cloud 内部分配适当的权限,并确保每个用户都可以访问他们工作所需的内容。

  1. 在每个空间中建立明确定义的用户责任(例如,开发人员、测试人员、所有者和用户)。

    该表显示了不同空间中的用户职责。User1 是销售领域的开发人员,是运营领域的测试人员。

    不同空间中的用户和相应角色表。
  2. 为每个用户职责创建自定义组。将空间角色(如可以查看可以贡献)分配给组,以匹配空间中所需的访问级别。

    创建自定义组是为了管理共享和受管空间中的访问权限。例如,销售开发者组需要 Sales 空间中的可以查看可以贡献角色,Operations Tester 组需要 Operations 空间中的可以查看角色。

    包含共享和受管空间中的组和相应的组权限的表格。
  3. 根据用户在每个空间中的职责,将用户映射到适当的自定义组。例如,User1 可能是销售领域的开发人员,也是运营领域的测试人员,每个职责都被分配了不同的权限。

    用户根据其职责被分配到不同的组。User1 是 Sales Developer 和 Operations Tester 组的成员。

    四个扩展组的屏幕截图,其中分配了不同的用户。

这种结构化的方法简化了权限管理,使其更容易扩展和适应组织的需求。

管理组的访问权限

组成员的权限由其分配的角色控制,无论组是 IdP 提供的还是自定义创建的。当角色分配给组时,所有成员都继承与该角色关联的权限。

如果用户有单独分配的角色和通过组成员身份分配的角色,他们最终可能会得到重复的角色分配。要从用户中完全删除角色,请确保从权限 > 用户选项卡和权限 > 选项卡中取消分配。

如果用户在空间内单独或通过组成员身份分配了不同的角色,则更高的权限级别优先。

有关为组分配租户范围角色的说明,请参阅分配安全角色和自定义角色。有关空间角色的更多信息,请参阅:

列出组成员

租户管理员可以查看 IdP 组和自定义组的成员。

执行以下操作:

  1. Administration 活动中心中,转到管理用户

  2. 选项卡上,可通过滚动列表或使用搜索功能查找组。

  3. 单击组旁边的 向下箭头,展开成员列表。

创建自定义组

租户管理员可以创建自定义组。可以在创建过程中或稍后添加成员。

要一次创建多个组,可以使用 qlik-cli 或 API。

video thumbnail

执行以下操作:

  1. Administration 活动中心中,转到管理用户

  2. 选项卡上,单击新建

  3. 输入组的名称。

    创建组对话框。

    “创建组”对话框截图。
    提示注释

    自定义组可以与 IdP 组共享相同的名称,但使用明确的命名约定(例如在开头添加“CG-”)有助于防止重复。

  4. 可选择添加描述。

  5. 要为组添加成员:

    1. 按名称或电子邮件地址搜索用户。

    2. 选择用户,将其添加到组中。

  6. 单击创建

创建组后,转到权限选项卡分配角色,这些角色将向组成员授予权限。

添加或删除自定义群组成员

作为租户管理员,您可以在自定义组中添加或删除成员。可以从 Qlik Account 和其他身份提供者添加用户。

信息注释

您不能在 Qlik Cloud 中添加或删除 IdP 组中的成员。要管理这些组,请使用外部身份提供者。

添加或删除组成员

执行以下操作:

  1. Administration 活动中心中,转到管理用户

  2. 选项卡上,找到要管理的组。

  3. 单击 向下箭头 以展开组成员列表。

  4. 添加成员:

    1. 单击分配

    2. 搜索并选择要添加的用户。

      分配用户对话框。

      “将用户分配到组”对话框的屏幕截图。
    3. 单击分配

  5. 要删除成员:

    1. 使用搜索字段查找特定用户。

      组的扩展详细信息。

      已选择成员的组选项卡上展开的组的屏幕截图。
    2. 选择要删除的用户。

    3. 单击取消分配

    4. 确认删除所选成员的操作。

编辑组详细信息

租户管理员可以修改组的名称和描述。

执行以下操作:

  1. Administration 活动中心中,转到管理用户

  2. 选项卡上,找到要编辑的组。

  3. 单击 更多 然后选择编辑

  4. 编辑组对话框中,根据需要修改组的名称或描述。

  5. 单击保存应用更改。

删除自定义组

租户管理员只有在没有分配成员的情况下才能删除自定义组。删除组之前,请确保所有成员都已取消分配。

要一次删除多个组,可以使用 qlik-cli 或 API。

执行以下操作:

  1. Administration 活动中心中,转到管理用户

  2. 选项卡上,找到要删除的组。

  3. 单击 更多 并选择删除

  4. 确认删除。

信息注释

您不能直接在 Qlik Cloud 中删除 IdP 组。要删除不再使用的 IdP 组:

  1. 删除外部身份提供者中的组。这将确保组不再同步。

  2. 使用 qlik-cli 或 API 清理 Qlik Cloud 中的组,因为从 Qlik Cloud 中删除它不会自动将其从中删除。

有关更多信息,请参阅:

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们如何改进!