1. 角色管理
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 角色管理

角色管理配置说明

概述#

角色管理是专属集成平台中用于管理用户权限和分组的重要功能,通过角色可以实现用户的分类管理和批量授权,提高权限管理效率。角色在 RBAC 授权、ABAC 动态匹配、通讯录同步集成以及审批流程等多个关键场景中发挥核心作用。

界面概览#

image.png
角色管理界面主要由应用列表和角色列表两部分组成,提供丰富的角色创建和管理功能。

应用管理#

应用是角色的最上层分类,用于对不同业务系统或场景的角色进行归类管理。每个角色必须归属于一个应用。
1
创建应用
image.png
1.
点击【添加】按钮
2.
填写应用名称、Code 和描述信息
3.
点击【确定】完成创建
2
编辑应用
1.
在应用列表中选择目标应用
2.
点击【编辑】按钮
3.
修改应用的名称、Code 或描述
4.
点击【确定】保存修改
3
删除应用
1.
在应用列表中选择目标应用
2.
点击【删除】按钮
3.
确认删除操作
注意:如果应用下存在角色,则无法直接删除,需要先删除所有关联角色。系统默认应用不支持删除。

角色管理#

创建静态角色#

静态角色是通过手动指定用户成员的角色类型。
1
选择应用并新建角色
image.png
1.
选择所属应用
2.
点击【新建】按钮
3.
填写角色名称、Code 和描述信息
4.
选择角色类型为"静态角色"
5.
点击【下一步】
2
选择角色成员
1.
从用户列表中选择成员(支持通过用户名、姓名、邮箱、手机号搜索)
2.
点击【确定】完成创建

创建动态角色#

动态角色是通过规则自动匹配用户的角色类型,当用户属性变化时,角色成员会自动更新。
1
选择应用并新建角色
image.png
1.
选择所属应用
2.
点击【新建】按钮
3.
填写角色名称、Code 和描述信息
4.
选择角色类型为"动态角色"
5.
点击【下一步】
2
设置匹配规则
设置属性匹配规则:
1.
可添加多条匹配规则,多条匹配规则之间是 AND 关系
2.
点击【确定】完成创建

管理角色组#

角色组用于对角色进行进一步分类,一个角色只能属于一个角色组,角色组只能属于特定应用。
image.png
1
创建角色组
1.
在角色界面中点击【新建角色组】按钮
2.
填写角色组名称
3.
点击【确定】完成创建
2
分配角色到角色组
创建或编辑角色时,可以选择所属角色组。

配置角色黑名单#

对于动态角色,可以设置黑名单排除特定用户。
image.png
1
添加黑名单用户
1.
在角色列表中选择动态角色
2.
在用户信息区域可以配置黑名单
3.
点击【添加用户】选择需要排除的用户
2
黑名单说明
黑名单中的用户即使满足动态匹配条件也不会被加入该角色。

编辑/删除角色#

image.png
1
编辑角色
1.
在角色列表中选择目标角色
2.
点击【编辑】按钮
3.
修改角色的名称、Code 或描述
4.
对于静态角色,可以修改角色成员;对于动态角色,可以修改匹配规则
5.
点击【确定】保存修改
2
删除角色
1.
在角色列表中选择目标角色
2.
点击【删除】按钮
3.
确认删除操作

角色查询#

角色搜索#

image.png
1.
在角色列表上方的搜索框中输入角色名称或 Code
2.
系统显示匹配结果

应用筛选#

1.
在应用列表中选择特定应用
2.
系统仅显示该应用下的角色

角色的核心应用场景#

RBAC 授权#

在应用授权管理中,平台支持基于角色的访问控制(RBAC):
1.
在应用详情页的"授权范围"选项卡中,选择"基于角色授权(RBAC)"
2.
从已创建的角色列表中选择需要授权的角色
3.
被授权角色中的所有用户将获得访问该应用的权限
4.
当用户加入或离开角色时,其应用访问权限会自动更新
典型场景:
将"财务人员"角色授权给财务系统应用
将"HR专员"角色授权给人力资源系统应用
将"销售主管"角色授权给 CRM 系统应用

ABAC(动态角色)#

平台支持基于用户属性的访问控制(ABAC),主要通过动态角色实现:
1.
创建动态角色,设置属性匹配规则(如职位="经理")
2.
在应用授权管理中选择该动态角色
3.
系统会根据用户属性自动计算符合条件的用户并授予权限
ABAC 适用于需要根据用户特定属性(如职级、地区、职能等)灵活控制访问权限的场景。

通讯录同步集成#

角色在通讯录同步过程中扮演重要角色:
上游集成:从外部系统(如钉钉)同步组织架构时,外部系统的角色会映射为平台中的角色
下游同步:将平台用户同步到下游系统时,可基于角色筛选同步范围
角色权限映射:将平台角色映射到目标系统的权限组或角色,实现跨系统权限模型对接

审批流程#

1.
审批流程:基于角色设置审批人或审批路径(如"部门经理"角色为一级审批人)
2.
业务规则:在连接流中基于角色配置业务规则(如只有"合同管理员"角色的用户才能触发合同集成流程)

最佳实践#

1.
合理规划应用与角色层级:按业务系统划分应用,按职能划分角色组,建立清晰的角色分类体系
2.
优先使用动态角色:对于成员会随用户属性变化的场景,优先使用动态角色减少手动维护成本
3.
善用黑名单机制:对动态角色中的特殊情况使用黑名单排除,避免影响整体规则
4.
利用通讯录集成同步:从企业已有系统(如钉钉、AD)同步角色结构,避免重复创建
5.
定期审查角色成员:定期检查角色成员列表,及时清理过期权限

常见问题#

静态角色和动态角色有什么区别?
为什么需要应用和角色组两级分类?
为什么有些用户满足条件但没有加入动态角色?
如何高效管理大量角色?
修改于 2026-05-06 10:33:58
上一页
用户与组织架构管理
下一页
属性管理配置说明
Built with