概述

租户管理为用户提供组织架构管理,以及基于项目的资源访问控制、工单管理、独立区域管理等功能。

租户管理以单独的功能模块形式提供,需提前购买租户管理模块许可证,且需在购买云平台许可证基础上使用,不可单独使用。

相关定义

租户管理相关定义:
  • 人员与权限:租户管理体系以人员和权限为基础进行构建,根据实际需求搭建部门与角色,对用户赋予多样化的权限。
  • 组织架构:租户管理模块中的基本单位,由自定义创建或通过统一认证同步,分为未分组部门和自定义部门,支持自定义新团队和子部门。其中,新团队通常指一个组织或者子组织,其下可创建多级部门。组织架构树以层级折叠方式展示,可直观查看组织架构全貌。
    说明: 项目成员仅支持查看所在团队的组织架构树。
  • 用户:表示自然人,是租户管理中的最基本单位。ZStack Cloud云平台用户包括本地用户和统一认证用户:
    • 本地用户:云平台中创建的用户,支持加入组织、加入项目、绑定角色等操作。
    • 统一认证用户:通过统一认证同步到云平台的用户,支持加入组织、加入项目、绑定角色、变更为本地用户等操作。
    说明:
    • 租户管理不同类型用户登录云平台入口不同:
      • 本地用户从本地租户登录入口登录云平台。
      • AD/LDAP用户从AD/LDAP租户登录入口登录云平台。
      • OIDC/OAuth2/CAS用户从统一认证应用免密登录云平台。
    • admin/平台管理员支持查看所有用户列表。
    • 若云平台已创建组织架构树,平台成员仅支持查看所属组织架构的用户列表;若云平台未创建任何组织架构树,平台成员支持查看所有用户。
  • 成员组:有双重含义,既表示一组自然人的集合,也表示一组项目成员的集合,支持以成员组为单位进行权限控制。
  • 角色:权限的集合,为用户和成员组赋予权限可获得调用相关API进行资源操作的能力。包括平台角色和项目角色两类。
    • 平台角色:用户绑定平台角色后,将拥有对应区域的管理权限。平台角色的权限仅在用户自身管控的区域内生效。
    • 项目角色:用户加入项目并绑定项目角色后,将拥有该项目的使用权限,管控项目内的数据。
    说明:
    • 同一用户支持同时绑定两种角色类型。
    • 同一用户支持绑定多个平台角色或项目角色。
    • 在一个项目内,若用户绑定了多个项目角色,拥有的权限为所有项目角色的全集。
  • 统一认证SSO:云平台提供的统一认证登录服务,支持无缝接入统一认证登录系统,相应统一认证用户将直接登录云平台,便捷使用云资源,目前支持添加AD/LDAP/OIDC/OAuth2/CAS服务器。
    • AD认证:

      AD(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务, 为日益多样化的企业办公应用提供了一套独立、标准的登录认证系统。

      通过AD服务器可将AD用户/组织同步到ZStack Cloud云平台用户列表/组织架构,并支持使用指定的AD登录属性直接登录ZStack Cloud云平台。

    • LDAP认证:

      LDAP(Lightweight Directory Access Protocol)是轻量目录访问协议,可提供标准的目录服务, 为日益多样化的企业办公应用提供了一套独立、标准的登录认证系统。

      通过LDAP服务器可将LDAP用户同步到ZStack Cloud云平台用户列表,并支持使用指定的LDAP登录属性直接登录ZStack Cloud云平台。

    • OIDC认证:

      OIDC(OpenID Connect)是一套基于OAuth2协议构建的身份认证协议,允许客户端验证用户身份并获取基本的用户配置信息。

      通过OIDC服务器可将用户信息按照映射规则同步至云平台,并支持OIDC认证系统用户免密登录云平台。

    • OAuth2认证:

      OAuth2(Open Authorization 2.0)是一套授权协议标准,可认证并授权用户访问相关资源。云平台暂仅支持通过授权码模式进行授权。

      通过OAuth2服务器可将用户信息按照映射规则同步至云平台,并支持OAuth2认证系统用户免密登录云平台。

    • CAS认证:

      CAS(Central Authentication Service)是一套单点登录协议,允许网站应用对用户进行鉴权。

      通过CAS服务器可将用户信息按照映射规则同步至云平台,并支持CAS认证系统用户免密登录云平台。

  • 项目管理:以项目为导向进行资源规划,可为一个具体项目建立独立的资源池。通过对项目生命周期进行管理(包括确定时间、确定配额、确定权限等),以更细粒度更自动化的方式提高云资源利用率,同时加强项目成员间的协作性。
  • 项目:项目即是租户,指在特定时间、资源、预算下指定相关人员完成特定目标的任务。租户管理中的租户主要指项目。支持以项目为导向进行资源规划,为一个具体项目建立独立的资源池。
    • 创建项目需指定资源配额、回收策略,添加项目成员等。
    • 云平台内的基本资源(计算规格、镜像、网络等),建议提前共享或创建。
  • 工单审批:为了更高效地为每个项目提供基础资源支持,项目成员(项目负责人/项目管理员/普通项目成员)可对云平台资源提出工单申请,根据每个项目自定义工单审批流程,对工单进行审批,最终由admin/项目负责人/部门运营管理员/自定义审批人员进行审批,支持申请云主机、删除云主机、修改云主机配置、修改项目周期和修改项目配额五种工单类型。
  • 流程管理:为了更高效对项目提供基础资源支持,工单审批引入流程管理,包括默认流程和自定义流程两种类型。
    • 默认流程:项目成员提交工单--->admin审批工单。此流程适用于以下几种场景:
      • 未设置工单流程的工单,将使用默认流程提交工单。
      • 修改项目周期类型的工单,将使用默认流程提交工单。
      • 修改项目配额类型的工单,将使用默认流程提交工单。
      • 删除自定义工单流程,将使用默认流程自动重新提交工单。
    • 自定义流程:项目成员提交工单--->自定义审批工单--->admin/项目负责人审批工单。此流程适用于以下几种场景:
      • 申请云主机、删除云主机、修改云主机配置类型的工单,优先使用设置的自定义工单流程提交工单。
      • 修改有效状态的工单流程,将使用修改后的自定义工单流程自动重新提交工单。
      • 修改已失效状态的工单流程,需要使用修改后的自定义工单流程手动重新提交工单。
  • 我的审批:仅admin/项目负责人/自定义审批人员拥有审批权限,可通过或驳回申请。若审批通过,资源会自动部署并下发至项目生效。
    说明: 平台管理员/普通平台成员没有工单审批权限,暂无我的审批菜单。

术语调整

ZStack Cloud 5.1.8开始,第三方认证更名为统一认证。下表记录了技术文档中因重命名而更新的一些常见术语。
旧术语 当前术语
第三方认证 统一认证SSO
第三方认证服务器 统一认证服务器
第三方认证系统 统一认证系统
第三方用户 统一认证用户
第三方子账户 统一认证子账户
第三方属性 统一认证属性

功能框架

租户管理主要包括平台管理项目管理工单管理独立区域管理统一认证SSO子功能。
  • 平台管理

    为了更高效地管理云平台,平台成员(平台管理员/普通平台成员)可配合超级管理员共同维护云平台。ZStack Cloud提供平台管理员角色、监控大屏角色等系统角色方便用户使用,也可创建自定义角色满足各种使用场景,细粒度到API级别。

  • 项目管理

    以项目为导向进行资源规划,可为一个具体项目建立独立的资源池。通过对项目生命周期进行管理(包括确定时间、确定配额、确定权限等),以更细粒度更自动化的方式提高云资源利用率,同时加强项目成员间的协作性。

  • 工单管理

    为了更高效地为每个项目提供基础资源支持,项目成员(项目负责人/项目管理员/普通项目成员)可对云平台资源提出工单申请,根据每个项目自定义工单审批流程,对工单进行审批,最终由admin/项目负责人/部门运营管理员/自定义审批人员进行审批,支持申请云主机、删除云主机、修改云主机配置、修改项目周期和修改项目配额五种工单类型。

  • 独立区域管理

    区域通常对应某地的一个真实数据中心。在对区域进行资源隔离的基础上,可对每个区域指定相应的区域管理员,实现各地机房的独立管理,同时admin可对所有区域进行巡查和管理。

  • 统一认证

    统一认证是ZStack Cloud云平台提供的统一认证登录服务,支持无缝接入统一认证登录系统,相应账户系统可通过云平台登录页面直接登录,便捷使用云资源,目前支持添加AD/LDAP/OIDC/OAuth2/CAS服务器。

角色权限差异

账号体系相关定义:
  • admin:超级管理员,拥有所有权限,通常由IT系统管理员拥有。
  • 本地用户:云平台中创建的用户,支持加入组织、加入项目、绑定角色等操作。
  • 统一认证用户:通过统一认证同步到云平台的用户,支持加入组织、加入项目、绑定角色、变更为本地用户等操作。
  • 平台成员:绑定了平台角色的用户,包括平台管理员和普通平台成员。
  • 平台管理员:绑定平台管理员角色的用户,带有区域属性的管理员,拥有全部的界面权限,管控所分配区域的数据中心。
  • 部门负责人:admin可为部门设置负责人,该身份仅用作标识,但当部门负责人成为项目成员时,额外拥有查看部门账单的权限。
  • 项目成员:加入项目的用户,作为项目的基本组成人员,包括项目负责人、项目管理员和普通项目成员。
  • 项目负责人:拥有项目负责人角色的用户,负责管理项目内的用户,在项目中拥有最高权限。
  • 项目管理员:拥有项目管理员角色的用户,协助项目负责人管理项目,同一项目可指定一个或多个项目成员作为项目管理员。
  • 部门运营管理员:admin可为新团队设置部门运营管理员,该身份属于平台身份的一种,负责整个部门的运营管理,包括项目管理、工单审批、查看账单以及部门核心资源监控等。
  • 根角色:根角色用于限制自定义角色的权限范围,自定义角色的权限继承自根角色,为根角色权限的子集。
  • 配额:配额是对项目的资源总量进行控制的衡量标准。主要包括云主机数量、CPU数量、内存容量、最大数据云盘数目和所有云盘最大容量等。
  • 项目回收策略:创建项目需指定项目回收策略,包括无限制、指定时间回收和指定费用回收三种。
    • 无限制:创建项目后,项目内资源默认一直处于启用状态。
    • 指定时间回收:
      • 项目有效期限不足14天时,项目成员登录云平台后智能操作助手将弹出项目即将过期的提醒信息。
      • 项目过期后,项目内资源按照指定的控制策略回收,回收策略有以下三种:禁止项目成员登录、禁止项目成员登录且停止项目资源、删除项目。
    • 指定费用回收:项目费用达到限额时,项目内资源按照指定的控制策略回收,回收策略有以下三种:禁止项目成员登录、禁止项目成员登录且停止项目资源、删除项目。
  • 登录时间限制:创建项目时,可设置项目内成员允许/禁止登录项目的时间段,限制策略包括按允许登录时间和按禁止登录时间两种。
    • 允许登录时间:支持设置每天/每周某几天项目内成员可登录项目的时间。设置后,项目内成员仅可在允许登录时间段内登录项目。
    • 禁止登录时间:支持设置每天/每周某几天项目内成员不可登录项目的时间。设置后,项目内成员在禁止登录时间段内无法登录项目。
  • 安全组限制:管理员可为项目启用或禁用安全组限制功能。启用后,项目成员创建云主机时将强制绑定安全组。
    • 启用安全组限制前,需确保项目拥有至少1个安全组配额。
    • 启用安全组限制后,将为该项目创建一个默认安全组。
租户管理体系对用户赋予多样化的权限,不同用户角色的权限差异如下:
  • 各账号登录云平台差异
    • admin从主登录界面登录云平台

      使用Chrome浏览器或FireFox浏览器打开主登录界面(http://management_node_ip:5000/#/login),admin输入相应用户名和密码登录云平台。

      图 1所示:
      图 1. 主登录页面


    • 租户管理中的用户(平台管理员/平台成员/项目负责人/项目管理员/普通项目成员/部门运营管理员)从租户登录入口登录云平台
      使用Chrome浏览器或FireFox浏览器打开项目登录界面(http://management_node_ip:5000/#/project),输入相应用户名和密码登录云平台。其中,包括两种入口:
      • 本地用户:云平台创建的用户,通过本地入口登录。
      • AD/LDAP用户:通过统一认证同步到云平台的统一认证用户,通过AD/LDAP用户入口登录。

      登录成功后,选择需要管理的平台或项目,即可登录到对应的管理界面。

      图 2所示:
      图 2. 项目登录页面


  • 不同视角功能菜单差异
    功能菜单 admin (系统角色) 平台管理员 (系统角色) 普通平台成员 (自定义) 项目负责人/项目管理员 (系统角色) 部门运营管理员(系统角色) 普通项目成员 (自定义)
    组织架构 按需配置 按需配置
    用户 按需配置 按需配置
    角色 按需配置 按需配置
    项目成员 × × × × 按需配置
    成员组 按需配置 按需配置
    统一认证 按需配置 × × ×
    项目 按需配置 × ×
    工单流程管理 按需配置 × × ×
    我的工单 × × × × 按需配置
    我的审批 × × 按需配置
  • 平台/项目身份权限差异
    • 平台身份:包括admin、平台管理员、部门运营管理员、普通平台成员。不同身份对应的权限存在如下差异:
      名称 区别
      admin 超级管理员,拥有所有权限。
      平台管理员 平台管理员主要是带有区域属性的管理员,协助admin共同管理云平台。除以下权限外,平台管理员拥有和admin同样的权限:
      • 带有区域属性,仅支持管控所属区域内的资源,且不支持创建区域、删除区域相关权限。
      • 不支持工单审批相关权限,我的审批菜单不可见。
      • 不支持许可证管理相关权限,不支持上传许可证等操作。
      部门运营管理员 部门运营管理员主要是带有部门属性的管理员,可由admin为新团队进行指定,负责整个部门的运营管理。部门运营管理员拥有如下权限:
      • 查看首页:仅支持查看所管理部门下的项目资源汇总。
      • 查看云平台监控信息:支持查看所管理部门核心资源的监控信息。
      • 查看组织架构信息:支持查看云平台的组织架构信息,不支持对组织架构进行操作。
      • 查看用户:支持查看云平台的用户信息,不支持对用户进行操作。
      • 查看成员组:支持查看云平台的成员组信息,不支持对成员组进行操作。
      • 查看角色:支持查看云平台的系统项目角色、所有者为admin的项目类型角色,以及所有者为管理部门(及子部门)的项目角色。
      • 查看项目及项目操作:对于所管理部门(及子部门)下的项目,支持查看、编辑、添加项目成员等操作。不支持为项目设置部门、更换计费价目、生成项目模板、设置登录时间限制。
      • 工单审批:支持工单审批,但流程管理菜单不可见。
      • 查看/导出账单:支持查看或导出所管理部门(及子部门)下的项目账单和部门账单。
      普通平台成员 平台管理员以外的平台成员,除以下权限外,普通平台成员拥有和admin同样的权限:
      • 不支持工单审批相关权限,我的审批菜单不可见。
      • 仅支持查看所属组织架构的用户。
      • 未赋予的权限。
    • 项目身份:包括项目负责人、项目管理员、项目成员,权限如下:
      • 项目负责人可指定一个或多个项目成员作为项目管理员,协助管理项目。
      • 除项目负责人可对项目管理员进行管控外,项目管理员拥有和项目负责人相同的全部权限。

功能优势

ZStack Cloud租户管理具有以下优势:
  • 功能全面:租户管理为用户提供组织架构管理,以及基于项目的资源访问控制、工单管理、独立区域管理等功能。
  • 灵活易用:租户管理以多层级组织架构方式管控企业中不同角色的操作权限,使用户的组织管理变得灵活易用。
  • 减轻成本:组织内部会有各自的行政部门,在传统的IT系统中,一般会根据行政部门情况划分资源,设立权限等。在迁移上云的大环境中,在云上进行行政部门管理,最大程度上减轻管理的成本。

应用场景

在一个组织内部有各自的行政部门,在传统的IT系统中,一般会根据行政部门情况划分资源,设立权限等。上云以后,期望云上提供和云下一样的体验,做到和行政部门管理相契合。

ZStack Cloud组织管理为用户提供组织架构管理,以及基于项目的资源访问控制、工单管理、独立区域管理等功能。通过组织架构的划分,提供和行政部门一样的管理效果,最大程度上减轻管理的成本。

历史版本

学习路径

ZStack Cloud 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack Cloud 产品。

我知道了

升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

登录观看培训视频
仅对注册用户开放,请 登录 观看培训视频

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

ZStack学院:

training@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
立即咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

信息提交成功。

我们将安排工作人员尽快与您取得联系,请保持电话畅通。

感谢您使用 ZStack 产品和服务。

预约沟通

联系我们

业务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2
其他业务(漏洞提交、投诉举报等)
400-962-2212 转 3

联系我们

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Cloud 混合云版
ZStack Cloud 基础版
ZStack Cloud 标准版
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。