ZStack Cloud 4.8.10>产品手册>ZStack运维手册>运营管理

运营管理

租户管理

租户管理主要为企业用户提供组织架构管理，以及基于项目的资源访问控制、工单管理、独立区域管理等功能。

租户管理以单独的功能模块形式提供，需提前购买租户管理模块许可证，且需在购买云平台许可证基础上使用，不可单独使用。

功能框架

租户管理主要包括平台管理、项目管理、工单管理、独立区域管理、第三方认证子功能。

平台管理：
为了更高效地管理云平台，平台成员（平台管理员/普通平台成员）可配合超级管理员共同维护云平台。ZStack Cloud提供平台管理员角色、监控大屏角色等系统角色方便用户使用，也可创建自定义角色满足各种使用场景，细粒度到API级别。
项目管理：
以项目为导向进行资源规划，可为一个具体项目建立独立的资源池。通过对项目生命周期进行管理（包括确定时间、确定配额、确定权限等），以更细粒度更自动化的方式提高云资源利用率，同时加强项目成员间的协作性。
工单管理：
为了更高效地为每个项目提供基础资源支持，项目成员（项目负责人/项目管理员/普通项目成员）可对云平台资源提出工单申请，根据每个项目自定义工单审批流程，对工单进行审批，最终由admin/项目负责人/部门运营管理员/自定义审批人员进行审批，支持申请云主机、删除云主机、修改云主机配置、修改项目周期和修改项目配额五种工单类型。
独立区域管理：
区域通常对应某地的一个真实数据中心。在对区域进行资源隔离的基础上，可对每个区域指定相应的区域管理员，实现各地机房的独立管理，同时admin可对所有区域进行巡查和管理。
第三方认证：
第三方认证是ZStack Cloud云平台提供的第三方登录认证服务，支持无缝接入第三方登录认证系统，相应账户系统可通过云平台登录页面直接登录，便捷使用云资源，目前支持添加AD/LDAP/OIDC/OAuth2/CAS服务器。

角色权限差异

账号体系相关定义：

admin：超级管理员，拥有所有权限，通常由IT系统管理员拥有。
本地用户：云平台中创建的用户，支持加入组织、加入项目、绑定角色等操作。
第三方用户：通过第三方认证同步到云平台的用户，支持加入组织、加入项目、绑定角色、变更为本地用户等操作。
平台成员：绑定了平台角色的用户，包括平台管理员和普通平台成员。
平台管理员：绑定平台管理员角色的用户，带有区域属性的管理员，拥有全部的界面权限，管控所分配区域的数据中心。
部门负责人：admin可为部门设置负责人，该身份仅用作标识，但当部门负责人成为项目成员时，额外拥有查看部门账单的权限。
项目成员：加入项目的用户，作为项目的基本组成人员，包括项目负责人、项目管理员和普通项目成员。
项目负责人：拥有项目负责人角色的用户，负责管理项目内的用户，在项目中拥有最高权限。
项目管理员：拥有项目管理员角色的用户，协助项目负责人管理项目，同一项目可指定一个或多个项目成员作为项目管理员。
部门运营管理员：admin可为新团队设置部门运营管理员，该身份属于平台身份的一种，负责整个部门的运营管理，包括项目管理、工单审批、查看账单以及部门核心资源监控等。
根角色：根角色用于限制自定义角色的权限范围，自定义角色的权限继承自根角色，为根角色权限的子集。
配额：配额是对项目的资源总量进行控制的衡量标准。主要包括云主机数量、CPU数量、内存容量、最大数据云盘数目和所有云盘最大容量等。
项目回收策略：创建项目需指定项目回收策略，包括无限制、指定时间回收和指定费用回收三种。
- 无限制：创建项目后，项目内资源默认一直处于启用状态。
- 指定时间回收：
  - 项目有效期限不足14天时，项目成员登录云平台后智能操作助手将弹出项目即将过期的提醒信息。
  - 项目过期后，项目内资源按照指定的控制策略回收，回收策略有以下三种：禁止项目成员登录、禁止项目成员登录且停止项目资源、删除项目。
- 指定费用回收：项目费用达到限额时，项目内资源按照指定的控制策略回收，回收策略有以下三种：禁止项目成员登录、禁止项目成员登录且停止项目资源、删除项目。
登录时间限制：创建项目时，可设置项目内成员允许/禁止登录项目的时间段，限制策略包括按允许登录时间和按禁止登录时间两种。
- 允许登录时间：支持设置每天/每周某几天项目内成员可登录项目的时间。设置后，项目内成员仅可在允许登录时间段内登录项目。
- 禁止登录时间：支持设置每天/每周某几天项目内成员不可登录项目的时间。设置后，项目内成员在禁止登录时间段内无法登录项目。
安全组限制：管理员可为项目启用或禁用安全组限制功能。启用后，项目成员创建云主机时将强制绑定安全组。
- 启用安全组限制前，需确保项目拥有至少1个安全组配额。
- 启用安全组限制后，将为该项目创建一个默认安全组。

租户管理体系对用户赋予多样化的权限，不同用户角色的权限差异如下：

各账号登录云平台差异
- admin从主登录界面登录云平台
  使用Chrome浏览器或FireFox浏览器打开主登录界面（http://management_node_ip:5000/#/login），admin输入相应用户名和密码登录云平台。
  如图 1所示：
  图 1. 主登录页面
- 租户管理中的用户（平台管理员/平台成员/项目负责人/项目管理员/普通项目成员/部门运营管理员）从项目登录入口登录云平台
  使用Chrome浏览器或FireFox浏览器打开项目登录界面（http://management_node_ip:5000/#/project），输入相应用户名和密码登录云平台。其中，包括两种入口：
  - 本地用户：云平台创建的用户，通过本地入口登录。
  - AD/LDAP用户：通过第三方认证同步到云平台的第三方用户，通过AD/LDAP用户入口登录。
  登录成功后，选择需要管理的平台或项目，即可登录到对应的管理界面。
  如图 2所示：
  图 2. 项目登录页面

不同视角功能菜单差异

功能菜单	admin/平台管理员/普通平台成员	项目负责人/项目管理员	部门运营管理员	普通项目成员
组织架构	○	○	○	○
用户	○	○	○	×
角色	○	○	○	○
项目成员	×	○	×	○
成员组	○	○	○	○
第三方认证	○	×	×	×
项目	○	×	○	×
工单流程管理	○	×	×	×
我的工单	×	○	×	○
我的审批	○	○	○	○

平台/项目身份权限差异

平台身份：包括admin、平台管理员、部门运营管理员、普通平台成员。不同身份对应的权限存在如下差异：

名称	区别
admin	超级管理员，拥有所有权限。
平台管理员	平台管理员主要是带有区域属性的管理员，协助admin共同管理云平台。除以下权限外，平台管理员拥有和admin同样的权限：带有区域属性，仅支持管控所属区域内的资源，且不支持创建区域、删除区域相关权限。不支持工单审批相关权限，我的审批菜单不可见。不支持许可证管理相关权限，不支持上传许可证等操作。
部门运营管理员	部门运营管理员主要是带有部门属性的管理员，可由admin为新团队进行指定，负责整个部门的运营管理。部门运营管理员拥有如下权限：查看首页：仅支持查看所管理部门下的项目资源汇总。查看云平台监控信息：支持查看所管理部门核心资源的监控信息。查看组织架构信息：支持查看云平台的组织架构信息，不支持对组织架构进行操作。查看用户：支持查看云平台的用户信息，不支持对用户进行操作。查看成员组：支持查看云平台的成员组信息，不支持对成员组进行操作。查看角色：支持查看云平台的系统项目角色、所有者为admin的项目类型角色，以及所有者为管理部门（及子部门）的项目角色。查看项目及项目操作：对于所管理部门（及子部门）下的项目，支持查看、编辑、添加项目成员等操作。不支持为项目设置部门、更换计费价目、生成项目模板、设置登录时间限制。工单审批：支持工单审批，但流程管理菜单不可见。查看/导出账单：支持查看或导出所管理部门（及子部门）下的项目账单和部门账单。
普通平台成员	平台管理员以外的平台成员，除以下权限外，普通平台成员拥有和admin同样的权限：不支持工单审批相关权限，我的审批菜单不可见。仅支持查看所属组织架构的用户。未赋予的权限。

项目身份：包括项目负责人、项目管理员、项目成员，权限如下：
- 项目负责人可指定一个或多个项目成员作为项目管理员，协助管理项目。
- 除项目负责人可对项目管理员进行管控外，项目管理员拥有和项目负责人相同的全部权限。

租户管理使用流程

可参考以下步骤使用租户管理功能：

admin创建组织架构树；
admin创建用户并将用户加入对应的组织架构；
admin指定部门负责人；
admin全局共享基本资源；
admin创建项目并指定项目负责人；
项目负责人创建自定义角色；
项目负责人为项目添加成员并绑定角色；
登录云平台。

组织架构

租户管理为企业用户提供组织架构管理功能，组织架构树以层级折叠方式展示，可直观查看企业组织架构全貌。主要涉及以下概念：

组织：
组织是租户管理中组织架构的基本单位，由自定义创建或通过第三方认证同步，分为顶级部门和部门，顶级部门是组织的一级部门，其下可添加多级部门。
用户：
表示自然人，是租户管理中的最基本单位，拥有平台管理员、项目管理员、部门负责人等多种属性。
部门负责人：
组织架构中负责管理部门的用户，拥有查看部门账单权限。
部门运营管理员：
admin可为顶级部门设置部门运营管理员，负责整个部门的运营管理，包括项目管理、工单审批、查看账单以及部门核心资源监控等。

组织架构树

组织架构树以层级折叠方式展示，可直观查看企业组织架构全貌。
组织可分为顶级部门和部门，顶级部门是组织的一级部门，其下可添加多级部门。
组织架构树中，顶级部门/部门的部门负责人图标右下角有红色五角星标识。
通过第三方认证同步的组织，单独创建一棵组织架构树。
支持添加多个组织架构树；不同组织架构树中的用户相互不可见。
admin/平台管理员支持查看所有组织架构树；平台成员仅支持查看所属组织架构树。
admin可为顶级部门设置部门运营管理员，负责整个部门的运营管理，包括项目管理、工单审批、查看账单以及部门核心资源监控等。
admin可为部门设置配额，部门配额将限制部门内项目的配额总量。

组织架构支持以下操作：

操作	描述
创建组织架构	创建一个新的组织架构。可通过创建子部门或新团队的方式进行创建。
添加子部门	在组织架构中添加新的子部门。
编辑组织架构	修改组织架构的名称和简介。
设置部门运营管理员	为一级部门设置部门运营管理员。说明: 若用户已绑定其他角色，不支持设置为部门运营管理员。若用户已设置为部门管理员角色，不支持绑定其他平台角色。
更换部门负责人	重新指定部门负责人。
移动部门	更改子部门的上级部门。
添加成员	添加新的成员到组织。
移除成员	将成员从组织移除。说明: 若该成员为部门负责人，从部门移除将同时移除部门负责人身份。
加入项目	添加成员至指定项目中。
设置配额	支持为部门设置配额。设置后，部门配额将限制部门内项目的配额总量。
删除	删除当前组织架构。说明: 删除部门将同时删除其下所有子部门，请谨慎操作。

注意事项

不同视角对组织架构树的可见程度略有区别：

admin/平台管理员支持查看所有组织架构树。
普通平台成员/项目负责人/项目管理员仅支持查看所属组织架构树。
普通项目成员不可查看组织架构树。

用户

用户表示自然人，是租户管理中的最基本单位，拥有平台管理员、项目管理员、部门负责人等多种属性。

ZStack Cloud云平台用户有两种分类方式：

方式一：根据来源分类
- 本地用户：
  云平台中创建的用户，支持加入组织、加入项目、绑定角色等操作。
- 第三方用户：
  通过第三方认证同步到云平台的用户，支持加入组织、加入项目、绑定角色、变更为本地用户等操作。
说明: 租户管理不同类型用户登录云平台入口不同：
- 本地用户从本地用户项目登录入口登录云平台。
- AD/LDAP用户从AD/LDAP项目登录入口登录云平台。
- OIDC/OAuth2/CAS用户从第三方应用免密登录云平台。
方式二：根据是否加入项目分类
- 平台成员：
  未加入项目的用户，包括平台管理员和普通平台成员。
- 项目成员：
  加入项目的用户，作为项目的基本组成人员，包括项目负责人、项目管理员和普通项目成员。

本地用户支持以下操作：

操作	描述
创建用户	基于员工基本信息创建用户。
编辑用户	修改用户的名称和简介。
修改密码	修改用户登录密码。
加入部门	将用户加入到一个或多个部门。
加入成员组	将用户加入到一个或多个成员组。
修改平台角色	为用户绑定一个或多个平台角色。
加入项目	将用户加入到一个或多个项目。
设置管理区域	设置用户所管理的区域，设置后，用户将只可管控指定的区域。
删除	将用户删除说明: 若删除用户为部门负责人/项目负责人/项目管理员，移除用户将同时移除部门负责人/项目负责人/项目管理员身份。若删除用户属于工单流程环节，从项目移除用户后工单流程将不可用，且该流程相关工单全部撤回。

第三方用户支持以下操作：

操作	描述
加入部门	将用户加入到一个或多个部门。
加入成员组	将用户加入到一个或多个成员组。
修改平台角色	为用户绑定一个或多个平台角色。
加入项目	将用户加入到一个或多个项目。
设置管理区域	设置用户所管理的区域，设置后，用户将只可管控指定的区域。
变更为本地用户	同步服务器后不存在的用户将变更为已删除状态并无法登录，此时支持变更为本地用户操作，将已删除状态的用户变更为云平台本地用户。该操作仅支持AD/LDAP用户，不支持OIDC/OAuth2/CAS用户。说明: 变更为本地用户后，继承用户原有数据，例如：所在项目、拥有的权限等可以继续使用。变更为本地用户后，需要在本地用户列表执行修改密码操作，即可正常登录云平台。
删除	将用户删除说明: 若删除用户为部门负责人/项目负责人/项目管理员，移除用户将同时移除部门负责人/项目负责人/项目管理员身份。若删除用户属于工单流程环节，从项目移除用户后工单流程将不可用，且该流程相关工单全部撤回。删除第三方用户后，源第三方认证服务器中的用户不受影响。

注意事项

admin/平台管理员支持查看所有用户列表。
若云平台已创建组织架构树，平台成员仅支持查看所属组织架构的用户列表；若云平台未创建任何组织架构树，平台成员支持查看所有用户。

若云平台已创建组织架构树，项目负责人/项目管理员仅支持查看所在组织架构树的用户。
若云平台未创建任何组织架构树，项目负责人/项目管理员支持查看所有用户。

模板导入方式创建用户需要注意以下情况：
- 组织架构必须为已有组织，输入格式：以符号"/"分隔，例如Company/Dev；
- 若组织架构路径重复，附带顶级部门uuid，例如Company(f11444d42701483791370e9f8b9300b9)/Dev；
- 同时加入多个组织，以"&&"分隔，例如Company/Dev&&Company/QA。
- 项目必须为已有项目，加入单个项目时，直接输入项目名称，例如project-01；
- 同时加入多个项目，以"&&"分隔，例如project-01&&project-02。