基于角色的访问控制概述
Contrail 服务编排支持用户的身份验证和授权。服务提供商、OpCo 和租户用户根据其角色和访问权限访问统一管理门户和客户门户中的页面。
除了预定义角色之外,CSO 还允许您添加基于对象的自定义角色。您可以创建自定义角色并为每个角色分配访问权限(读取、创建、更新、删除和其他操作)。
表 1 显示了预定义的服务提供商、OpCo 和租户角色及其访问权限。
作用 |
角色范围 |
访问权限 |
|---|---|---|
SP 管理员 |
服务提供商 |
具有 SP 管理员角色的用户对管理门户 UI 或 API 功能具有完全访问权限。 他们可以使用 UI 或 API 添加一个或多个具有 SP 管理员、SP 操作员和自定义角色的用户。他们可以载入租户,并在租户载入过程中添加第一个租户用户。他们还可以通过将范围切换到特定租户来添加租户管理员或操作员。
注意:
当 SP 管理员在服务提供商下创建一个或多个运营公司时,该服务提供商称为全局服务提供商,SP 管理员称为全局 SP 管理员。 |
SP 运算符 |
服务提供商 |
具有 SP 操作员角色的用户对管理门户 UI 和 API 具有只读访问权限。 |
|
注意:
当您将 CSO 用作 SaaS 时,服务提供商范围内的角色不适用 |
||
租户管理员 |
租户 |
具有租户管理员角色的用户对客户门户 UI 和 API 具有完全访问权限。他们可以添加一个或多个具有租户管理员或租户操作员角色的用户。 |
租户运营商 |
租户 |
具有租户操作员角色的用户对客户门户 UI 和 API 具有只读访问权限。 |
OpCo 管理员 |
运营公司 |
具有 OpCo 管理员角色的用户对 OpCo 的管理门户 UI 和 API 功能具有完全访问权限。他们可以使用 UI 或 API 添加一个或多个具有 OpCo 管理员、OpCo 操作员和自定义角色的用户。他们可以载入租户,并在 OpCo 的租户载入过程中添加第一个租户用户。他们还可以通过将范围切换到特定租户来添加租户管理员或操作员。 |
OpCo 运营商 |
运营公司 |
具有 OpCo 操作员角色的用户对 OpCo 的客户门户 UI 和 API 具有只读访问权限。 |