14.3 用户管理
用户管理通过管理控制台 → 用户管理访问,涵盖用户、角色和单点登录(SSO)配置。
用户
TDengine IDMP 使用电子邮件地址作为用户 ID。首位激活或注册系统的用户自动成为超级管理员。
邀请用户
添加新用户时,请前往管理控制台 → 用户管理 → 用户,点击右上角的 + 按钮,填写以下字段:
| 字段 | 说明 |
|---|---|
| 邮箱 | 新用户的电子邮件地址(用作登录 ID) |
| 角色 | 分配的一个或多个角色,每个角色可配置可访问的元素范围 |
被邀请的用户将收到一封电子邮件,其中包含设置个人信息和密码的链接。
用户列表显示以下信息:
| 列 | 说明 |
|---|---|
| 名 | 用户名字 |
| 姓 | 用户姓氏 |
| 电话号码 | 可选电话号码 |
| 邮箱 | 电子邮件地址(用作用户 ID) |
| 状态 | 账户状态(如:已激活、已邀请) |
| 角色 | 已分配的角色 |
| 描述 | 可选描述 |
按角色分配控制元素访问权限
为用户分配角色时,可限制该用户在该角色下可访问的元素范围。操作方式为:点击角色行的可访问元素列,打开资源配置对话框。
对话框包含两个面板:
- 左侧面板: 完整的元素树。勾选要授权访问的顶层元素节点。勾选某节点后,用户即可访问该节点及其层级下的所有元素。
- 右侧面板: 已选元素的实时预览。
示例: 若为用户分配数据分析师角色,并在资源配置对话框中仅勾选公用事业,则该用户只能查看和操作公用事业元素子树,对其他顶层元素(如油田)无可见性。未选中的元素在资产树中完全隐藏——不会出现在资源浏览器或任何相关仪表盘、分析或事件中。
用户可持有多个角色,每个角色有独立的元素访问配置。用户的有效元素访问权限是所有角色授权顶层节点的并集。
可供分配的内置角色:
| 角色 | 典型用途 |
|---|---|
| 工厂经理与主管 | 生产资产的运营监管 |
| IT/OT 系统管理员 | 基础设施与系统配置 |
| 维护人员 | 设备维护与工单管理 |
| 数据分析师 | 数据探索、仪表盘与报表 |
| 运营人员 | 日常工厂操作 |
| 工艺工程师 | 工艺优化与分析 |
| 超级管理员 | 完整的系统管理权限 |
密码重置
任何用户均可在登录页面点击忘记密码来重置自己的密码,系统将通过电子邮件发送重置链接。出于安全考虑,超级管理员无法重置其他用户的密码。
请确保 config/application.yml 中的 tda.server-url 配置为可从外部访问的 URL 或 IP 地址。若配置不正确,被邀请的用户将无法通过邮件链接访问 IDMP。
角色
IDMP 使用基于角色的访问控制(RBAC)。每个角色对一种或多种资源类型授予查看、新增、删除和编辑权限。用户可持有多个角色,其有效权限为所有已分配角色的并集。
系统内置多个角色,也可在角色列表页点击 + 创建自定义角色。
角色权限涵盖的资源包括: 元素模板、AI 功能、事件模板、枚举集、分析、外部表、邮件配置、通知规则模板、仪表盘模板、数据备份、仪表盘、元素、OAuth、用户、角色、计量单位(UOM)、面板模板、数据导入等。
元素级访问控制
由于元素以树形层级组织,元素访问权限与其他权限分开控制。即使角色授予了对元素的总体访问权,每个用户的元素可见范围还会进一步限定在邀请或编辑用户时配置的特定顶层节点。
用户无法访问的元素在资产树中完全不可见——不会以折叠节点的形式出现。与不可访问元素关联的属性、分析、事件、面板和仪表盘同样被隐藏,从而实现跨团队、站点或业务单元的强数据隔离。
单点登录(OAuth 2.0)
IDMP 支持 OAuth 2.0 单点登录。OAuth 配置通过管理控制台 → 用户管理 → OAuth 进行管理。
创建 OAuth 配置
点击 + 添加新的 OAuth 提供商,填写以下字段:
| 字段 | 必填 | 说明 |
|---|---|---|
| 图标 | 是 | 提供商 Logo 图片(PNG、JPG 或 SVG),显示在登录页面。 |
| 名称 | 是 | OAuth 选项的显示名称(如 GitHub、TAOS)。 |
| 客户端 ID | 是 | 在 OAuth 提供商处注册的应用程序标识符。 |
| 客户端密钥 | 是 | 从 OAuth 提供商开发者控制台获取的密钥。 |
| 授权 URL | 是 | OAuth 2.0 授权端点 URL(http:// 或 https://)。 |
| Token URL | 是 | Token 交换端点 URL(http:// 或 https://)。 |
| 用户信息 URL | 是 | 获取用户档案信息的端点。 |
| 回调 URL | 是 | 在提供商处注册的回调 URL(如 http://localhost:6042/login/back),必须与注册值完全匹配。 |
| 范围(Scope) | 否 | 请求的权限范围(如 openid email profile)。 |
| 用户信息映射类型 | 是 | 从提供商响应中提取用户字段的方式:GITHUB、LARK 或 CUSTOM。 |
| 自定义映射规则 | CUSTOM 时必填 | 定义 JSONPath 表达式以提取 name、email 及可选字段的 JSON 对象。 |
| 角色 | 是 | 通过该 OAuth 提供商登录的用户所分配的角色。 |
自定义映射规则
当用户信息映射类型为 CUSTOM 时,提供一个将字段名映射到 JSONPath 表达式的 JSON 对象:
{
"name": "$.username",
"email": "$.email",
"nickname": "$.display_name",
"phone": "$.contact.mobile",
"description": "$.bio"
}
name 和 email 字段为必填项,其余字段为可选项。
配置步骤
- 在 OAuth 提供商的开发者控制台中注册应用程序,获取客户端 ID、客户端密钥,并配置回调 URL。
- 在 IDMP 中,前往管理控制台 → 用户管理 → OAuth,点击 +。
- 填写所有必填字段,点击保存。
- 退出登录,验证新的登录选项是否出现在登录页面。
