角色的作用
- 实现精细化的权限管理与安全保障:通过为每个角色分配明确的权限,系统能够严格控制谁可以做什么,有效规避内部和外部的安全风险(如数据泄露、误操作、恶意破坏)。这是系统安全的基础。
- 提升数据完整性与一致性:只有授权角色才能执行关键数据操作,减少人为失误和恶意破坏导致的数据损坏风险,确保系统数据的准确性和可靠性。
- 满足合规性要求:许多行业和法规要求严格的权限控制和数据隔离。通过角色机制,系统可以满足这些强制性要求,避免法律风险和罚款。
角色的分类
角色分为系统角色和业务角色,其中:
›系统角色
不可修改,拥有固定的系统权限。
›业务角色
业务内置角色———内置的业务角色不可修改,也不可删除。
自定义角色—— 用户自定义的角色可以新建、编辑、删除,灵活配置对应角色的权限。
›角色分类的两种模式
- 三权分立模式下角色包括:系统管理员(admin)、安全管理员(security)、审计管理员(audit);系统内置角色有:组织管理员、组织审计员;业务内置角色:数据管理员、 AI管理员、应用管理员
- 权责集中模式下角色包括:超级管理员(admin);系统内置角色有:超级管理员、组织管理员、组织审计员;业务内置角色:数据管理员、 AI管理员、应用管理员
_61.png)
说明:
- 三权分立与权责集中模式互斥,可根据具体组织特点,选择适合的模式。系统默认为权责集中模式。目前界面实现仅支持权责集中。
| 模式 | 系统角色 | 说明 | 管理模块 |
|---|---|---|---|
| 权责集中 | 超级管理员(系统角色) |
可进行组织管理、运营监控、系统维护和安全管控,审计所有用户(包括自己)的行为,管理所有用户权限。 |
信息安全管理 |
| 组织管理员(系统角色) |
可进行组织管理、在限定管辖范围内(指定组织、部门)进行用户管理。 |
信息安全管理
|
|
| 组织审计员(系统角色) |
可审计用户行为;在限定管辖范围内(指定组织、部门)审计用户全部行为或管理组织审计员。一个组织关系中可以有多个组织审计员,每个组织审计员可以审计多个部门或组织的日志。组织审计员不能审计自己的日志。 |
|
|
| 数据管理员(业务内置角色) |
主要管理多模态数据湖、本体引擎、以及Dataflow中数据处理流模块,拥有模块下所有资源的增删改查以及权限管理等操作 |
|
|
| AI管理员(业务内置角色) |
主要管理Dataflow中逻辑和行动下所有资源,拥有模块下所有资源的增删改查以及权限管理等操作;同时可接入系统模型,以及模型的训练、优化 |
|
|
|
应用管理员(业务内置角色)
|
创建系统Data Agent和Data Agent空间 管理所有的Data Agent和Data Agent空间 |
|
|
|
自定义角色 |
自定义生成 |
根据业务需求自定义角色 |
|
| 三权分立 | 系统管理员(系统角色) |
可进行组织管理、运营监控、系统维护和安全管控。 |
信息安全管理 |
| 安全管理员(系统角色) |
可进行安全管控;可管控所有与安全相关的业务策略,并审计除系统管理员、安全管理员外所有用户(含审计管理员)行为。 |
信息安全管理
|
|
| 审计管理员(系统角色) |
可进行安全审计;可对系统管理员、安全管理员的行为进行审计。初始用户audit直接作为审计管理员,其他用户无法管理。 审计管理员账户无法被禁用/修改/删除;全局唯一,授予后不允许授予其他用户。 |
|
|
| 组织管理员 |
同上 |
同上 |
|
| 组织审计员 |
同上 |
同上 |
|
| 数据管理员 |
同上 |
同上 |
|
| AI管理员 |
同上 |
同上 |
|
| 应用管理员 |
同上 |
同上 |
|
|
自定义角色 |
自定义生成 |
根据业务需求自定义角色 |
自定义 |
为角色添加成员
›为业务角色添加成员:
点击【信息安全管理】->【角色管理】,选择具体的想要添加成员的业务角色(图示:为数据管理员添加成员为例),点击【添加成员】。
›为系统角色添加成员:(图示:以组织管理员为例)
自定义角色
自定义角色:进入信息安全管理 > 角色管理配置页面,点击【+新建角色】,进入“新建角色”的配置流程,如下所示:
为自定义角色添加成员:自定义角色配置完成后,返回角色管理主页,可查看新创建的自定义角色“数据监察员”。点击添加成员,选择需要添加的成员,点击确定,自定义角色创建完成。
