用户与权限
管理用户账户、角色和租户成员关系。
概述
Umoo 使用基于角色的访问控制(RBAC)。用户是全局的(不是租户特定的),但角色按租户分配。一个用户可以在不同租户中拥有不同角色。
JWT 令牌仅包含用户 ID。活动租户上下文通过 X-Tenant-ID 请求头传递,权限根据用户在该租户中的角色进行评估。
RBAC 角色层级
| 角色 | 继承 | 描述 |
|---|---|---|
viewer | — | 只读访问设备、事件、指标 |
operator | viewer | 管理设备、触发发布、打开终端 |
tenant_admin | operator | 管理用户、应用、网络子网、告警规则 |
super_admin | tenant_admin | 平台级别:管理租户、配额、所有用户 |
注意:
super_admin是直接在用户表中设置的平台级标志。所有其他角色都是按租户分配的。
用户列表
导航到用户查看租户中的所有用户。
列名:用户名、显示名称、邮箱、角色、最后登录。
按角色过滤。
创建用户
- 点击 + 创建用户。
- 填写:
- 邮箱(必填,唯一)
- 用户名(可选,唯一)
- 显示名称(在 UI 中显示)
- 电话(可选)
- 密码(必填)
- 角色 — 在此租户中的角色
- 点击创建。
用户创建后以所选角色加入当前租户。
邀请用户
邀请已有用户或尚未注册的邮箱地址:
- 点击邀请用户(如果你的角色可见此按钮)。
- 输入邮箱地址。
- 生成邀请令牌并发送(或显示)。
- 被邀请人访问
/api/v1/invite/redeem并使用令牌设置密码并加入租户。
更改用户角色
- 点击用户行的 ⋮ 菜单 → 更改角色。
- 选择新角色。
- 点击保存。
角色更改在用户的下一次 API 请求时生效。
暂停 / 激活用户
- 暂停 — 阻止用户登录,但不删除其账户。
- 激活 — 重新启用已暂停的账户。
点击 ⋮ 菜单 → 暂停或激活。
自定义角色
导航到用户 → 角色定义具有细粒度权限的自定义角色。
创建自定义角色
- 点击 + 创建角色。
- 输入角色名称。
- 点击创建。
分配权限
打开角色,点击更新权限,从可用权限表(资源 + 操作对)中选择。
可用权限由平台插件注入(例如 terminal/session:open、terminal/session:read)。
权限格式
权限遵循格式:{plugin-id}/{subresource}:{action}
示例:
terminal/session:open— 打开终端会话terminal/session:read— 列出终端会话
API 密钥角色
API 密钥在创建时分配角色。密钥继承该角色在当前租户中的所有权限。详见设置 → API 密钥。