HAP Cloud功能分四個層:全局層、組織層、項目層、用戶層
I 全局層
選中頂部導航欄的【管理】選項,即可進入全局層
全局層
一、 用戶服務
1. 服務
- 所有服務的列表
- 可根據搜索條件查詢服務
服務
1.1 搜索服務
- 不選擇屬性,根據輸入值全局搜索
- 選擇一個屬性:ID、服務編碼、服務名稱、描述,輸入相應屬性值進行模糊搜索
2.權限
- 所有權限的列表
- 可根據搜索條件查詢權限
- 根據角色層級(全局層/組織層/項目層)、服務、類型;或根據輸入值進行搜索
權限
2.1 搜索權限
- 先選擇角色層級:全局層/組織層/項目層,進行層級過濾
- 然后根據輸入值進行搜索;或通過選擇服務/類型進行權限過濾
3.角色
- 權限的集合
- 可創建、根據所選角色創建、刪除、編輯、停用/啟用、查看詳情、根據搜索條件查詢角色
角色
3.1 創建角色
必填項:
角色名:角色創建成功并啟用后,可在角色分配(與角色權限相對應的層級)的自定義角色中,根據角色名選擇
-
角色編碼:
- 具有唯一性
- 用于與Git Lab角色關聯
權限:全局層與組織層/項目層不可共存,組織層與項目層權限可共存。選擇權限時,如果對于功能所需的權限不清楚,可以使用導航欄右上角的調試功能來查看
image.png
選填項:
-
角色標簽:實現不同系統之間角色的映射
- 角色標簽選項是針對GItLab或其他平臺的角色靈活變更
- 角色標簽的選項不是固定的,可根據對應的其他平臺進行設置,角色標簽代表的是與其他平臺角色關聯關系
是否可編輯:目前不可選,所有新建的角色都默認勾選可編輯
是否啟用:勾選后,角色可以被應用到角色分配中
創建角色
3.2 根據所選角色創建
- 操作:勾選要被繼承的角色后,選中【根據所選角色創建】
- 結果:新建的角色將繼承被選角色的權限
3.3 其他操作
- 刪除:如果為內置角色,不可刪除;不為內置角色,可刪除
- 詳情:可查看創建角色時的信息
- 編輯:如果是從后臺數據庫導入的角色,則不可編輯;前端創建的角色默認都可編輯
- 啟用/停用:停用角色后,角色信息依然存在,但在分配角色時無該角色選項
4.菜單配置
- 側邊欄/菜單欄
- 可創建、配置菜單欄
菜單配置
4.1 菜單配置
-
層級選擇
- 通過選擇層級,來查看、配置不同層級(全局層/組織層/項目層)的菜單欄
勾選要添加到菜單欄的目錄/菜單
點擊[將所選菜單項添加至菜單結構]
在菜單展示頁將出現剛剛添加的目錄/菜單,可拖動進行位置順序調節
菜單配置流程
4.2 添加目錄
必填項:
- 目錄中文名稱
- 目錄英文名稱
- 目錄編碼
選填項:
-
目錄ICON(目錄圖標)
- 在搜索欄,輸入圖標名稱進行搜索
- 鼠標懸停在圖標上,顯示圖標全稱
- 在添加欄,輸入圖標全稱
- 點擊添加按鈕
- 彈出彈窗,點擊確認
添加目錄圖標流程
后繼操作:
- 創建目錄成功后,該目錄在菜單配置頁和菜單展示頁底部
- 長按鼠標右鍵,可對該目錄進行位置拖動
- 注:只有目錄下有菜單時,該目錄才在菜單欄顯示;否則該目錄在菜單欄不顯示
添加目錄后
4.3 其他操作
- 刪除:目錄可刪除,菜單不可刪除
- 詳情:在菜單配置頁可查看菜單詳情(目錄不可)
- 編輯:在菜單展示頁可編輯目錄(菜單不可)
其他操作
5.角色分配(全局層)
- 管理成員(類型:用戶/服務)角色
- 可對成員分配、刪除、更改、查看(按成員/角色)角色
- 所有用戶創建后,在全局層都被賦予【用戶服務平臺使用者】這個角色
5.1 角色分配(全局層)可選角色
-
用戶服務
- 用戶服務平臺管理員:菜單管理、角色管理、用戶管理(初始化導入)、角色分配(組織層)及除服務發布之外所有功能
- 用戶服務平臺使用者:只能進入平臺,無其他任何功能權限
-
用戶管理
- 用戶管理服務平臺管理員
-
系統
- 框架服務平臺使用者
-
微服務管理服務
- 微服務管理服務管理員
-
自定義角色
- 如:項目查看者
5.2 分配、更改角色
分配角色:
(1)點擊【添加】
分配角色
- (2)輸入成員(用戶:用戶名),選擇角色
分配角色
- 更改角色分配:
- 點擊角色名,出現下圖列表即可繼續角色更改
更改角色
-
注意:
- 對已存在在角色分配列表里的成員,若進行【添加】操作會報錯(因為【添加】操作是對沒有被分配過角色的成員進行的),而應在更新操作中進行角色的更改
已被分配角色的成員無法進行添加操作
已被分配角色的成員只能進行更改操作
5.3 其他操作
- 刪除角色分配:可刪除角色分配列表中的數據
刪除角色分配
- 查看角色分配:可按成員/角色方式查看
角色分配查看方式
-
搜索角色分配:可根據搜索條件查找角色分配列表的數據項
- 不選擇屬性,根據輸入值進行全局搜素
- 選擇一個屬性:類型(用戶/服務)、成員、昵稱,輸入相應屬性值進行模糊搜索
II 組織層
- 選中頂部導航欄的【組織/項目】選項
導航欄-組織層
- 彈出組織/項目列表的彈窗
- 在下拉菜單中選擇一個組織,組織/項目列表則變為被選組織與該組織下的所有項目
- 鼠標右鍵雙擊組織/項目列表的第一項-組織項,則進入該組織
組織/項目菜單-組織
一、用戶服務
1.用戶
- 管理平臺用戶
- 可創建、刪除、查看詳情、編輯、搜索、啟用/禁用、解鎖、管理是否為LDAP用戶
1.1 創建用戶
必填項:
-
用戶名:
- 具有唯一性
- 可用于登陸,角色分配
-
昵稱:
- 用戶的別名
- 例如,‘張三’在公司的工號為‘01’,可將這個用戶的用戶名設為‘01’,因為具有唯一性,用于登陸,這個用戶的昵稱則可設為‘張三’,便于識別
-
組織名稱:
- 用戶所在的組織
- 當前默認所有用戶都屬于運營組織
-
密碼、確認密碼:
- 用戶登陸系統所需的密碼
- 兩次密碼輸入要一致
- 密碼的設置要符合密碼策略
- 當用戶是LDAP用戶時,前端設置的密碼無效
-
郵箱:
- 具有唯一性
- 用戶要填寫真實有效的郵箱
- 郵箱可用于登陸、找回密碼
選填項:
- 語言:默認為English
- 是否啟用:未啟用用戶時,用戶為未激活狀態,不可登陸系統
- 是否為LDAP用戶(使用公司統一認證登陸密碼進行登陸):為LDAP用戶時,密碼為公司系統中存儲的密碼,在頁面前端填入的密碼無效;用戶本人修改密碼時,只能通過公司系統修改,在平臺前端修改無效,且不能在平臺使用忘記密碼功能
創建用戶
1.2 其他操作
詳情:查看用戶創建時所填信息
編輯:更改用戶信息,信息更改無誤后,點擊’保存’生效
刪除:刪除用戶數據
-
搜索:
- 不選擇屬性,根據輸入值進行全局搜索
- 選擇一個屬性:用戶名、昵稱、認證來源(LDAP用戶/非LDAP用戶)、語言、是否啟用(啟用/未啟用)、是否鎖住(鎖住/未鎖住),輸入相應的屬性值進行搜索
-
啟用/停用:
- 啟用時,用戶狀態為啟用,可登陸平臺進行權限內的操作
- 停用時,用戶狀態為未啟用,用戶變為未激活狀態,無法登陸系統
-
解鎖:
- 當用戶多次輸錯密碼被鎖住無法登陸時,則出現解鎖選項
- 解鎖后該用戶則可登陸平臺進行操作
2.項目
- 管理項目列表
- 可創建、編輯、搜索、啟用/停用項目
2.1 創建項目
必填項:
-
項目編碼:
- 具有唯一性
- 不能包含大寫字母、中文、特殊字符
-
項目名稱:
- 具有唯一性
- 項目名稱長度限定為4-30字符
創建項目
2.2 其他操作
編輯:項目代碼一旦創建,不可編輯,只可編輯項目名稱
-
搜索:
- 不選擇屬性,根據輸入值進行全局搜索
- 選擇一個屬性:項目ID(創建后自動生成)、項目編碼、項目名稱,輸入相應的屬性值進行搜索
啟用/停用:項目停用后,項目信息仍在項目列表中,但是不可應用該項目或進入該項目進行操作
注:項目一旦創建,不可刪除
3.用戶組
- 將用戶分組統一進行管理
- 可創建、刪除、編輯、搜索用戶組,可在用戶組內添加、刪除用戶
3.1 創建用戶組
必填項:
-
用戶組編碼
- 具有唯一性
用戶組名:填寫用戶組的名稱
用戶組描述:附加的對用戶組的描述信息
創建用戶組
3.2 其他操作
刪除:刪除會刪除用戶組信息及與用戶組關聯的數據
編輯:不可編輯用戶組編碼,可編輯用戶組名、用戶組描述
-
搜索:
- 不選擇屬性,根據輸入值進行全局搜索
- 選擇一個屬性:組ID(創建用戶組時默認生成)、組編碼、組名、描述,輸入相應的屬性值進行搜索
-
管理用戶組用戶
- 添加用戶:選中添加用戶選項后,進入到系統全用戶列表,根據搜索條件查找用戶進行勾選添加
添加用戶組用戶-1添加用戶組用-2- 刪除用戶:展開用戶組,出現該用戶組的用戶列表,可直接進行刪除操作
刪除用戶組用戶
4.客戶端
- 與服務器相對應,為客戶提供本地服務的程序,即第三方應用程序
- 可創建、刪除、編輯、詳情查看、搜索客戶端
4.1 創建客戶端
必填項:
-
客戶端名稱
- 具有唯一性
密鑰:使用客戶端的密碼。例如用戶登陸需要用戶名和密碼,密鑰相當于密碼
-
授權類型:客戶端必須得到用戶的授權(authorization grant),才能獲得令牌(access token),進而憑令牌獲取本平臺資源。下面提供了五種授權方式:
- password:密碼模式,用戶向客戶端提供自己的用戶名和密碼。客戶端使用這些信息,向"服務商提供商"索要授權
- implicit:簡化模式,不通過第三方應用程序的服務器,直接在瀏覽器中向認證服務器申請令牌,跳過了"授權碼"這個步驟,因此得名。所有步驟在瀏覽器中完成,令牌對訪問者是可見的,且客戶端不需要認證
- client_credentials:客戶端模式,客戶端以自己的名義,而不是以用戶的名義,向"服務提供商"進行認證。嚴格地說,客戶端模式并不屬于OAuth框架所要解決的問題。在這種模式中,用戶直接向客戶端注冊,客戶端以自己的名義要求"服務提供商"提供服務,其實不存在授權問題
- authorization_code:授權碼模式,是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的后臺服務器,與"服務提供商"的認證服務器進行互動
- refresh_token:表示早前收到的更新令牌,如果用戶訪問的時候,客戶端的"訪問令牌"已經過期,則需要使用"更新令牌"申請一個新的訪問令牌
選填項:
- 訪問授權超時:access_token_validity,assecc token的有效時間
- 授權超時:refresh_token_validity,refresh token的有效時間
- 重定向地址:用戶的登陸后從登陸界面跳轉的地址
- 附加信息:用json格式添加客戶端的附加信息。如{ "description": "string","name": "string"}
創建客戶端
4.2 其他操作
- 詳情:可查看創建客戶端時所填的信息
-
編輯:
- 客戶端ID在創建客戶端后自動生成,不可編輯
- 除客戶端ID外,其他屬性都可編輯
- 刪除:可刪除客戶端信息
5.LDAP
- 輕量目錄訪問協議
- 可更新LDAP信息
5.1 更新LDAP
必填項:
- LDAP名稱:通過應用LDAP訪問LDAP 目錄服務器中注冊的用戶、群組條目,方便統一管理用戶的密碼登陸方式
選填項:
- 服務器地址:LDAP要訪問的服務器地址
- LDAP屬性名:要訪問的數據的名稱
- 加密方式
- SSL
- TSL
- STARTTLS
- 基礎DN:獲取數據的路徑
- 描述:對該LDAP得附加信息
6.密碼策略
- 規定密碼強度規則,即密碼必須符合的規則;規定密碼使用規則
- 可更新密碼策略
登陸安全策略:使用密碼登陸時的規則
-
是否開啟密碼輸錯鎖定:勾選后,密碼輸錯鎖定策略將生效
- 最大輸錯次數:密碼輸錯次數超過填寫的最大輸錯次數后,該用戶將會被鎖定,無法登陸系統
- 密碼輸錯鎖定時間(秒):用戶被鎖定后,經過輸入的密碼輸錯鎖定時間(秒)后,系統自動將該用戶解鎖,該用戶可重新進行輸入密碼登入系統的操作
密碼輸錯鎖定規則 是否下線其他設備:勾選后,只允許用戶登陸一臺設備,若登陸其他設備,自動將上一臺設備的登陸狀態下線
密碼失效時長(秒):密碼有效期,若超過這個有效期,需重新設置密碼
輸錯次數:若超過填入的輸錯次數,則出現驗證碼驗證
密碼安全策略:密碼創建或更改時需要滿足的規則
- 是否開啟密碼檢查:勾選后,密碼檢查規則將生效
- 最小密碼長度:設置密碼時,密碼長度不能小于填入的最小密碼長度
- 最少小寫字母數:密碼中至少應包含的小寫字母數
- 最少大寫字母數:密碼中至少應包含的大寫字母數
- 最少特殊字符數:密碼中至少應包含的特殊字符數
- 密碼正則:定義針對給定文本檢查的匹配模式,通過填入特定的正則表達式來制定密碼規則
- 是否密碼不可與賬號相同:勾選后,密碼不能和用戶名相同
- 最大近期密碼數:與最近n次密碼不能相同。例:若填入數值為3,則表示不能與最近3次歷史密碼相同
密碼策略
7.角色分配(組織層)
- 管理成員(類型:用戶/服務)角色
- 可對成員分配、刪除、更改、查看(按成員/角色)角色
- 所有系統用戶初始都被分配了默認的【運營組織】的【組織查看者】的角色
7.1 角色分配(組織層)可選角色
-
用戶服務
- 用戶服務組織管理員:組織層可進入單個組織界面(默認為運營組織)且有組織層【用戶服務】所有功能權限-可管理用戶、項目、用戶組、客戶端、LDAP、密碼策略、角色分配(組織層);項目層可進入所有項目的單個項目界面,具有項目層【用戶服務】所有功能權限-可角色分配(項目層)
- 用戶服務組織維護者
- 用戶服務項目管理員:組織層只有【項目】項目管理功能權限;項目層具有【用戶服務】所有功能權限-可角色分配(項目層)
- 組織查看者:組織層只可進入單個組織界面(默認為運營組織)而無任何功能權限
- 項目查看者:組織層可進入【項目】項目管理界面查看項目列表而無操作權限;項目層可進入所有項目的單個項目界面而無任何功能權限
-
部署管理
- 部署管理員:組織層可進入單個組織界面(默認為運營組織)且有組織層【部署管理】所有功能權限-可資源管理、網關管理、域名管理、服務管理、服務部署、部署詳情(階段及日志)、設置自動部署
-
運營監控
- 運營監控查看者:全流程信息監控查看。組織層可進入單個組織界面(默認為運營組織)且有組織層【智能監控】所有功能權限-性能監控、模板控制、指標控制
-
移動管理
- 移動開發管理員:組織層可進入單個組織界面(默認為運營組織)且有組織層【移動管理】所有功能權限-APP管理、模塊管理
-
文件管理
- 文件管理員:有文件上傳下載接口的權限
-
系統
- 框架服務組織管理員
-
自定義角色
- 在全局層具有角色管理的用戶在創建組織層角色后,該角色將會在自定義角色中顯示
- 例如:定義了一個組織層角色-項目創建者,該角色權限如下。用戶被分配項目創建者角色后,組織層可進入單個組織界面(默認為運營組織)且有組織層【用戶服務】的【項目】、【用戶】、【用戶組】功能權限,和組織層【開發管理】的【環境】功能權限
| 權限名稱 | 權限描述 | 權限層級 |
|---|---|---|
| hap-user-service.password-policy.queryOrganization | 查詢目標組織密碼策略 | organization |
| hap-devops-service.environment.listEnvironment | 查詢全部環境信息 | organization |
| hap-devops-service.environment.createEnvironment | 創建環境 | organization |
| hap-devops-service.environment.checkEnvironmentByName | 檢查環境名是否可用 | organization |
| hap-devops-service.environment.listEnvironmentByPageSize | 分頁查詢環境信息 | organization |
| hap-devops-service.environment.getEnvironmentByEnvironmentId | 環境管理詳情 | organization |
| hap-devops-service.environment.updateEnvironment | 更新環境 | organization |
| hap-devops-service.environment.deleteEnvironmentByEnvironmentId | 刪除環境 | organization |
| hap-devops-service.project.checkProject | 校驗項目code,name是否重復 | organization |
| hap-user-service.project.select | 分頁查詢項目 | organization |
| hap-user-service.project.create | 添加項目,organization id不需要,強制當前用戶所屬organization | organization |
| hap-user-service.project.checkProjectCode | checkProjectCode | organization |
| hap-user-service.project.queryOrganizationProject | 根據組織id查詢項目 | organization |
| hap-user-service.user.select | 分頁查詢 | organization |
| hap-user-service.user.create | 新增用戶 | organization |
| hap-user-service.user.query | 根據刪除組織下所有用戶 | organization |
| hap-user-service.user.updateUser | 通過用戶id查詢用戶 | organization |
| hap-user-service.organization.query | 根據組織id查詢組織 | organization |
| hap-user-service.role.selectOrganizationRole | 查詢可分配組織角色列表 | organization |
| hap-user-service.project.update | 根據id修改項目信息,只能修改自己組織項目 | organization |
7.2 分配、更改角色
分配角色:
(1)點擊【添加】
分配角色
- (2)輸入成員(用戶:用戶名),選擇角色
分配角色
- 更改角色分配:
- 點擊角色名,出現下圖列表即可繼續角色更改
更改角色
-
注意:
- 對已存在在角色分配列表里的成員,若進行【添加】操作會報錯(因為【添加】操作是對沒有被分配過角色的成員進行的),而應在更新操作中進行角色的更改
已被分配角色的成員無法進行添加操作
已被分配角色的成員只能進行更改操作
7.3 其他操作
- 刪除角色分配:可刪除角色分配列表中的數據
刪除角色分配
- 查看角色分配:可按成員/角色方式查看
角色分配查看方式
-
搜索角色分配:可根據搜索條件查找角色分配列表的數據項
- 不選擇屬性,根據輸入值進行全局搜素
- 選擇一個屬性:類型(用戶/服務)、成員、昵稱,輸入相應屬性值進行模糊搜索
III 項目層
- 選中頂部導航欄的【組織/項目】選項
image.png
- 彈出組織/項目列表的彈窗
- 在下拉菜單中選擇一個組織,組織/項目列表則變為被選組織與該組織下的所有項目
- 項目過多時,可在搜索框中對項目名進行模糊搜索
- 鼠標右鍵雙擊組織/項目列表的項目選項,則進入該項目
image.png
一、用戶服務
1.角色分配(項目層)
- 管理成員(類型:用戶/服務)角色
- 可對成員分配、刪除、更改、查看(按成員/角色)角色
- 默認每個項目里,創建該項目的用戶有【項目所有者】、【用戶服務項目管理員】這兩個角色
1.1 角色分配(項目層)可選角色
-
用戶服務
- 項目查看者:只可看到被分配該角色的項目,進去項目界面后無任何功能權限
- 用戶服務項目管理員:只能看到被分配的項目,項目層具有【用戶服務】所有功能權限-可角色分配(項目層)
-
開發管理
- 項目所有者:只能看到被分配的項目,項目層具有【用戶服務】所有功能權限-角色分配(項目層);具有【開發管理】所有功能權限-服務管理、服務發布、環境管理
- 項目成員:只能看到被分配的項目,項目層只有【開發管理】部分功能權限-服務詳情查看、分支管理、服務版本、代碼質量查看、服務發布
- 源代碼管理員:只能看到被分配的項目,項目層只有【開發管理】部分功能權限-服務創建、服務詳情查看、分支管理、服務版本、代碼質量查看、服務發布
-
看板服務
- 看板項目所有者:只能看到被分配的項目,項目層具有【敏捷管理】所有功能權限-故事管理、沖刺管理、任務和缺陷
- 看板項目成員:只能看到被分配的項目,項目層只有【敏捷管理】部分功能權限-故事管理、沖刺管理、任務和缺陷
- 洞察數據接口
-開發監控查看者:只能看到被分配的項目,項目層具有【智能洞察】所有功能權限-全流程信息監控查看
1.2 分配、更改角色
分配角色:
(1)點擊【添加】
分配角色
- (2)輸入成員(用戶:用戶名),選擇角色
分配角色
- 更改角色分配:
- 點擊角色名,出現下圖列表即可繼續角色更改
更改角色
-
注意:
- 對已存在在角色分配列表里的成員,若進行【添加】操作會報錯(因為【添加】操作是對沒有被分配過角色的成員進行的),而應在更新操作中進行角色的更改
已被分配角色的成員無法進行添加操作
已被分配角色的成員只能進行更改操作
1.3 其他操作
- 刪除角色分配:可刪除角色分配列表中的數據
刪除角色分配
- 查看角色分配:可按成員/角色方式查看
角色分配查看方式
-
搜索角色分配:可根據搜索條件查找角色分配列表的數據項
- 不選擇屬性,根據輸入值進行全局搜素
- 選擇一個屬性:類型(用戶/服務)、成員、昵稱,輸入相應屬性值進行模糊搜索
IV 用戶層
1.用戶信息維護
-
不可更改項:
- 用戶名:用戶名可用于登陸,一旦創建,不可修改
- 組織:用戶所屬組織用戶本人不可變更
-
可更改項:
- 昵稱:用戶的別稱
- 郵箱:填寫真實正確的郵箱,可用于登陸、密碼找回
- 語言:系統界面顯示的語言
- 時區:系統所有與時間有關的操作根據選擇的時區進行轉換
2.密碼更改
- 密碼更改要符合系統密碼策略
- LDAP用戶不能在本系統更改密碼,只能在LDAP訪問的系統中實現密碼的更改
- 更改密碼需要輸入原始密碼
- 更改密碼需要確定新密碼
3. 授權
- 用戶可以通過調用接口創建自己的token
- 可創建、刪除、詳情查看、編輯、搜索授權
授權管理
3.1 創建授權
-
名稱
- 具有唯一性
-
過期時間
- token的失效時間
- 無法選擇當前時間之前的
創建授權
3.2 其他操作
- 刪除:可刪除token數據
- 編輯:可修改token的過期時間,不可修改token名稱
