类别

版本

用户、组和角色

本页将指导您完成最常见的任务用户集团角色管理。本页描述的场景适用于RapidMiner平台附带的默认身份和安全配置部署模板。下面是我们选择的默认值以及如何管理它们。

要快速回顾概念和术语,请阅读我们的安全概述

的必备条件

要执行下面描述的管理任务,您需要使用分配了适当角色的用户登录。在我们的默认配置中,此角色由platform-adminRealm角色,该角色分配给预先配置的管理用户。

登录后,导航到身份及保安在你的部署中着陆页访问管理界面。以下所有说明都假定您已经登录并导航到此页面。

管理用户

默认情况下,只有一个管理user在RapidMiner平台部署中创建。该用户具有跨所有平台组件的管理权限。我们强烈建议为每个将与RapidMiner平台交互的人配置用户,无论是作为用户还是管理员。这是一个很好的实践,它还支持清晰的审计跟踪。

用户数据库和身份提供者联合还支持,这消除了管理用户的管理负担,并且是企业环境中的典型需求。

如果您是从以前版本的RapidMiner平台升级,或从独立的RapidMiner服务器安装升级,请咨询我们的升级和迁移指南配置以前存在的用户。

添加用户

添加用户是一个两步过程:首先必须创建用户,然后必须分配(临时)凭据,以便用户可以登录。

用户菜单,点击添加用户

您需要提供的唯一必填字段是用户名(我们将在下一步中提供初始密码)。以下是您可以选择的其他设置的简短列表:

  • 如果您正在填写用户的电子邮件地址,并且您知道它是有效的,那么继续设置电子邮件验证
  • 如果您希望用户填写他们的个人资料信息(姓名和电子邮件),然后添加更新配置文件的列表所需的用户操作。这将在用户第一次登录时显示一个表单来提供他们的数据。
  • 如果希望用户在下次登录时更改密码,请添加更新密码的列表所需的用户操作
  • 如果希望用户在下次登录时配置双因素身份验证,请添加配置OTP的列表所需的用户操作

当你点击保存,创建用户,并显示用户详细信息页面。

第二步是为用户设置(临时)密码。要做到这一点,请转到凭证选项卡并将用户的新密码添加到密码密码确认字段。默认情况下,您设置的密码将是临时密码,用户必须在首次登录时更改密码。要更改此设置,请设置临时

当你点击保存则存储了用户的初始密码,他们现在应该可以登录了。

缺省情况下,为用户分配角色,这使得他们可以作为普通的非特权用户访问RapidMiner平台的所有组件。看到第1章角色如果您希望更改此默认值。

删除用户

用户,找到要删除的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。

点击删除在用户行中并确认操作。

重置用户密码

触发用户的密码重置是一个典型的管理任务,以防用户忘记了他们的凭据(这在自助服务方式中是不可能的,因为电子邮件和密码重置未配置)。

用户,找到需要重置密码的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。点击编辑

凭证选项卡,在重置密码节,将用户的新密码添加到密码密码确认字段。默认情况下,您设置的密码将是临时密码,用户必须在下次登录时更改密码。要更改此设置,请设置临时

冒充用户

当您试图识别特定用户的身份验证或授权问题时,模拟可能是一个非常有用的工具。它允许您用用户的眼睛看到RapidMiner平台的“世界”,而无需询问他们的密码,也无需与用户安排时间段。

用户,找到要删除的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。

点击模仿在用户行中。

您需要注销并使用自己的用户重新登录以停止冒充。

管理组

组管理用户组。你可以映射角色到一组。成为组成员的用户继承该组定义的角色映射。

如果需要这样的粒度级别,可以将组嵌套到任意级别。

缺省情况下,不发放组。

添加组

,然后点击。输入组名,单击保存

要为该组分配角色,请单击角色映射选项卡并添加所需的角色。要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色(例如,您只想允许组访问仪表板),首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>

要添加嵌套在现有组中的子组,过程非常相似。去,然后确保在单击之前选择父组。按照上面的说明来完成你的任务。

删除组

,选择要删除的组或子组,然后单击删除。确认您的操作以完成任务。

注意:删除一个组也会删除它的嵌套子组,没有任何额外的警告。

更改默认组

您可以选择将新创建的用户自动添加到哪个组。

,然后点击默认的组选项卡。在列表中查找组可用的组(可以使用搜索框或查看所有组按钮),然后点击它来选择它。最后,点击添加完成任务。

向组中添加和删除用户

用户,并找到您希望添加的用户。您可以使用搜索框,也可以单击查看所有用户然后在显示的列表中找到它们。点击编辑在用户行中。

要将用户添加到组中,请单击选项卡。在列表中查找组可用的组(可以使用搜索框或查看所有组按钮),然后点击它来选择它。最后,点击加入完成任务。

要从组中删除用户,请单击选项卡。在列表中查找组组成员(可以使用搜索框或查看所有组按钮),然后点击它来选择它。最后,点击离开完成任务。

管理角色

角色描述了用户可以访问RapidMiner平台中的哪些组件,以及他们可以在这些组件中执行哪些特定操作。各种组件(在KeyCloak术语中称为客户端)可以拥有自己的一组角色,整个部署还定义了一组角色,称为领域角色。为了简化角色定义和管理,存在复合角色的概念,它允许领域角色将一组领域和客户端角色“捆绑”在一起。

默认情况下,我们提供了三个组合领域角色:platform-adminplatform-webservice-access

  • role授权用户以普通非特权用户的身份访问所有RapidMiner平台组件。
  • platform-admin角色将用户授权为每个组件的管理员,并提供访问组件的特权身份及保安组件。
  • platform-webservice-access是否只应用于的受限角色安全的web服务访问

下表总结了各种客户端角色及其与这些领域角色的关系。

组件 角色 platform-admin
指示板 管理 检查图标 删除图标
编辑器 检查图标 检查图标
查看器 检查图标 检查图标
JupyterHub 管理员 检查图标 删除图标
用户 检查图标 检查图标
着陆页 view-landing-page 检查图标 检查图标
平台管理 python-env-admin 检查图标 删除图标
python-env-viewer 检查图标 检查图标
rts-admin 检查图标 删除图标
rts-deployment-admin 检查图标 删除图标
rts-viewer 检查图标 检查图标
RapidMiner服务器 管理员 检查图标 删除图标
分析师 检查图标 检查图标
连接管理器 检查图标 删除图标
执行 检查图标 检查图标
报表编辑器 检查图标 检查图标
报表管理器 检查图标 检查图标
报表查看器 检查图标 检查图标
调度器 检查图标 检查图标
服务 检查图标 检查图标
用户 检查图标 检查图标
令牌生成器 用户 检查图标 检查图标

添加角色

如果您的组织需要角色对哪些用户可以访问RapidMiner平台的哪些组件进行更严格的限制,您可以定义自己的角色。

为此,您应该使用复合领域角色。RapidMiner平台的组件使用一组预定义的客户端角色进行操作,更改它们可能会导致问题。这个规则的一个例外是RapidMiner Server。请看下面的章节如何配置角色和RapidMiner服务器组

添加新角色,请执行角色然后点击添加角色。输入新角色的名称并单击保存

细节选项卡,设置复合角色。复合角色部分将出现在下面。

要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色(例如,您只想允许组访问仪表板),首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>

为用户分配角色

用户,并找到希望为其分配角色的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。

点击编辑在用户所在行中,然后单击角色映射选项卡。您将看到分配给用户的所有领域角色和客户端角色(要查看特定客户端的客户端角色,您需要从客户端角色下拉列表,输入客户的名字)。

要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色,首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>

可以使用同一接口删除已分配的角色。

修改新用户的默认角色

新创建的用户获得默认为角色。

要更改此选项,请转到角色然后点击默认角色选项卡。

要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色,首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>

角色及其与RapidMiner服务器的关系

当涉及到组时,RapidMiner平台的身份和安全组件与RapidMiner服务器之间的术语不匹配。平台中的角色对应RapidMiner Server中的组。

创建新组的一个典型用例是将执行队列限制为某些RapidMiner服务器组的成员。为了确保正确映射到RapidMiner身份和安全中定义的用户和角色,请遵循以下步骤。

首先,使用具有platform-admin角色,转到身份及保安

客户,找urn: rapidminer:服务器然后点击编辑排成一行。

角色选项卡,点击添加角色并为您的新角色提供一个名称。点击保存

接下来,转到RapidMiner Server,然后单击用户管理政府。点击添加组。为您的组使用与客户端角色相同的名称,然后单击提交

选项卡,单击新创建的组名称以打开组详细信息页面。在下面的屏幕中,单击管理LDAP/SAML/Keycloak组行动。输入新建组的名称,单击添加

回到组详细信息页面,并进行检查由LDAP/SAML/Keycloak管理的组(如果选中,下面指定的LDAP/SAML/Keycloak组的成员将在登录时自动添加到该组)。下面的面板将变为列出组的面板。

在这个面板上,选择新创建的组并单击复制。点击提交来保存更改。

现在,您的RapidMiner Server组已经准备好使用并正确配置为客户端角色身份及保安