用户、组和角色
本页将指导您完成最常见的任务用户,集团和角色管理。本页描述的场景适用于RapidMiner平台附带的默认身份和安全配置部署模板。下面是我们选择的默认值以及如何管理它们。
要快速回顾概念和术语,请阅读我们的安全概述。
的必备条件
要执行下面描述的管理任务,您需要使用分配了适当角色的用户登录。在我们的默认配置中,此角色由platform-adminRealm角色,该角色分配给预先配置的管理用户。
登录后,导航到身份及保安在你的部署中着陆页访问管理界面。以下所有说明都假定您已经登录并导航到此页面。
管理用户
默认情况下,只有一个管理user在RapidMiner平台部署中创建。该用户具有跨所有平台组件的管理权限。我们强烈建议为每个将与RapidMiner平台交互的人配置用户,无论是作为用户还是管理员。这是一个很好的实践,它还支持清晰的审计跟踪。
用户数据库和身份提供者联合还支持,这消除了管理用户的管理负担,并且是企业环境中的典型需求。
如果您是从以前版本的RapidMiner平台升级,或从独立的RapidMiner服务器安装升级,请咨询我们的升级和迁移指南配置以前存在的用户。
添加用户
添加用户是一个两步过程:首先必须创建用户,然后必须分配(临时)凭据,以便用户可以登录。
去用户菜单,点击添加用户。
您需要提供的唯一必填字段是用户名(我们将在下一步中提供初始密码)。以下是您可以选择的其他设置的简短列表:
- 如果您正在填写用户的电子邮件地址,并且您知道它是有效的,那么继续设置电子邮件验证来在。
- 如果您希望用户填写他们的个人资料信息(姓名和电子邮件),然后添加更新配置文件的列表所需的用户操作。这将在用户第一次登录时显示一个表单来提供他们的数据。
- 如果希望用户在下次登录时更改密码,请添加更新密码的列表所需的用户操作。
- 如果希望用户在下次登录时配置双因素身份验证,请添加配置OTP的列表所需的用户操作。
当你点击保存,创建用户,并显示用户详细信息页面。
第二步是为用户设置(临时)密码。要做到这一点,请转到凭证选项卡并将用户的新密码添加到密码和密码确认字段。默认情况下,您设置的密码将是临时密码,用户必须在首次登录时更改密码。要更改此设置,请设置临时来从。
当你点击保存则存储了用户的初始密码,他们现在应该可以登录了。
缺省情况下,为用户分配上角色,这使得他们可以作为普通的非特权用户访问RapidMiner平台的所有组件。看到第1章角色如果您希望更改此默认值。
删除用户
去用户,找到要删除的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。
点击删除在用户行中并确认操作。
重置用户密码
触发用户的密码重置是一个典型的管理任务,以防用户忘记了他们的凭据(这在自助服务方式中是不可能的,因为电子邮件和密码重置未配置)。
去用户,找到需要重置密码的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。点击编辑。
在凭证选项卡,在重置密码节,将用户的新密码添加到密码和密码确认字段。默认情况下,您设置的密码将是临时密码,用户必须在下次登录时更改密码。要更改此设置,请设置临时来从。
冒充用户
当您试图识别特定用户的身份验证或授权问题时,模拟可能是一个非常有用的工具。它允许您用用户的眼睛看到RapidMiner平台的“世界”,而无需询问他们的密码,也无需与用户安排时间段。
去用户,找到要删除的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。
点击模仿在用户行中。
您需要注销并使用自己的用户重新登录以停止冒充。
管理组
组管理用户组。你可以映射角色到一组。成为组成员的用户继承该组定义的角色映射。
如果需要这样的粒度级别,可以将组嵌套到任意级别。
缺省情况下,不发放组。
添加组
去组,然后点击新。输入组名,单击保存。
要为该组分配角色,请单击角色映射选项卡并添加所需的角色。要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色(例如,您只想允许组访问仪表板),首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>。
要添加嵌套在现有组中的子组,过程非常相似。去组,然后确保在单击之前选择父组新。按照上面的说明来完成你的任务。
删除组
去组,选择要删除的组或子组,然后单击删除。确认您的操作以完成任务。
注意:删除一个组也会删除它的嵌套子组,没有任何额外的警告。
更改默认组
您可以选择将新创建的用户自动添加到哪个组。
去组,然后点击默认的组选项卡。在列表中查找组可用的组(可以使用搜索框或查看所有组按钮),然后点击它来选择它。最后,点击添加完成任务。
向组中添加和删除用户
去用户,并找到您希望添加的用户。您可以使用搜索框,也可以单击查看所有用户然后在显示的列表中找到它们。点击编辑在用户行中。
要将用户添加到组中,请单击组选项卡。在列表中查找组可用的组(可以使用搜索框或查看所有组按钮),然后点击它来选择它。最后,点击加入完成任务。
要从组中删除用户,请单击组选项卡。在列表中查找组组成员(可以使用搜索框或查看所有组按钮),然后点击它来选择它。最后,点击离开完成任务。
管理角色
角色描述了用户可以访问RapidMiner平台中的哪些组件,以及他们可以在这些组件中执行哪些特定操作。各种组件(在KeyCloak术语中称为客户端)可以拥有自己的一组角色,整个部署还定义了一组角色,称为领域角色。为了简化角色定义和管理,存在复合角色的概念,它允许领域角色将一组领域和客户端角色“捆绑”在一起。
默认情况下,我们提供了三个组合领域角色:上,platform-admin和platform-webservice-access。
上role授权用户以普通非特权用户的身份访问所有RapidMiner平台组件。platform-admin角色将用户授权为每个组件的管理员,并提供访问组件的特权身份及保安组件。platform-webservice-access是否只应用于的受限角色安全的web服务访问。
下表总结了各种客户端角色及其与这些领域角色的关系。
| 组件 | 角色 | platform-admin | 上 |
|---|---|---|---|
| 指示板 | 管理 |  |
 |
| 编辑器 | |
|
|
| 查看器 | |
|
|
| JupyterHub | 管理员 | |
|
| 用户 | |
|
|
| 着陆页 | view-landing-page | |
|
| 平台管理 | python-env-admin | |
|
| python-env-viewer | |
|
|
| rts-admin | |
|
|
| rts-deployment-admin | |
|
|
| rts-viewer | |
|
|
| RapidMiner服务器 | 管理员 | |
|
| 分析师 | |
|
|
| 连接管理器 | |
|
|
| 执行 | |
|
|
| 报表编辑器 | |
|
|
| 报表管理器 | |
|
|
| 报表查看器 | |
|
|
| 调度器 | |
|
|
| 服务 | |
|
|
| 用户 | |
|
|
| 令牌生成器 | 用户 | |
|
添加角色
如果您的组织需要角色对哪些用户可以访问RapidMiner平台的哪些组件进行更严格的限制,您可以定义自己的角色。
为此,您应该使用复合领域角色。RapidMiner平台的组件使用一组预定义的客户端角色进行操作,更改它们可能会导致问题。这个规则的一个例外是RapidMiner Server。请看下面的章节如何配置角色和RapidMiner服务器组。
添加新角色,请执行角色然后点击添加角色。输入新角色的名称并单击保存。
在细节选项卡,设置复合角色来在。复合角色部分将出现在下面。
要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色(例如,您只想允许组访问仪表板),首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>。
为用户分配角色
去用户,并找到希望为其分配角色的用户。你可以使用搜索框,也可以点击查看所有用户然后在显示的列表中找到它们。
点击编辑在用户所在行中,然后单击角色映射选项卡。您将看到分配给用户的所有领域角色和客户端角色(要查看特定客户端的客户端角色,您需要从客户端角色下拉列表,输入客户的名字)。
要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色,首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>。
可以使用同一接口删除已分配的角色。
修改新用户的默认角色
新创建的用户获得上默认为角色。
要更改此选项,请转到角色然后点击默认角色选项卡。
要添加领域角色,请从列表中选择它们可用的角色并点击添加已选>。要添加特定于客户端的角色,首先在客户端角色下拉列表(您需要开始键入它的名称),然后通过选择它们并单击添加所需的角色添加已选>>。
角色及其与RapidMiner服务器的关系
当涉及到组时,RapidMiner平台的身份和安全组件与RapidMiner服务器之间的术语不匹配。平台中的角色对应RapidMiner Server中的组。
创建新组的一个典型用例是将执行队列限制为某些RapidMiner服务器组的成员。为了确保正确映射到RapidMiner身份和安全中定义的用户和角色,请遵循以下步骤。
首先,使用具有platform-admin角色,转到身份及保安。
去客户,找urn: rapidminer:服务器然后点击编辑排成一行。
在角色选项卡,点击添加角色并为您的新角色提供一个名称。点击保存。
接下来,转到RapidMiner Server,然后单击用户管理下政府。点击添加组。为您的组使用与客户端角色相同的名称,然后单击提交。
在组选项卡,单击新创建的组名称以打开组详细信息页面。在下面的屏幕中,单击管理LDAP/SAML/Keycloak组行动。输入新建组的名称,单击添加。
回到组详细信息页面,并进行检查由LDAP/SAML/Keycloak管理的组(如果选中,下面指定的LDAP/SAML/Keycloak组的成员将在登录时自动添加到该组)。下面的面板将变为列出组的面板。
在这个面板上,选择新创建的组并单击复制。点击提交来保存更改。
现在,您的RapidMiner Server组已经准备好使用并正确配置为客户端角色身份及保安。
