注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

组指派

作为设置身份验证提供者的一部分,管理员可以定义基于规则的组。基于规则的组的成员资格会在登录时根据评估的规则自动指派。这些规则可以为每个身份验证提供者配置。要设置基于规则的组,请导航到 控制面板 > 身份验证 > 身份验证提供者 > 管理组指派 使用组指派编辑器。

指派规则菜单中的组指派选项。

定义基于规则的组

规则

组指派规则包含一个或多个 AND 条件,这些条件根据用户属性或提供者组进行评估。对于每个规则,符合所有条件的用户将被指派为指定的基于规则的组的成员。管理员可以通过定义应用于同一组的单独指派规则来指定 OR 条件。

条件使用正则表达式(regex)模式进行匹配。提供了三种匹配选项:

  • 包含模式匹配:模式至少匹配一个用户的提供者组或用户的数组类型属性中的一个值。
  • 不包含模式匹配:模式不匹配任何用户的提供者组或不匹配用户数组类型属性中的任何值。
  • 等于模式匹配:模式匹配用户的字符串类型属性。

使用模式匹配的示例规则定义。

Foundry 在平台上使用三种类型的 用户组

  1. 基于规则的组:用于管理员在登录期间应用的规则。
  2. 内部组:在 Foundry 中手动指派,可以包含用户以及其他外部、基于规则或内部组。
  3. 外部组:也称为提供者组,这些组在外部定义,通常由身份验证提供者定义。这些组在用户登录时被引入。

在这三种组类型中,只有基于规则的组成员资格可以在 Foundry 中使用这里讨论的自动化规则定义。

组及其类型的列表。

基于规则的组有助于保证组成员资格的清晰度和一致性,因此我们建议在可能的情况下优先使用基于规则的组而不是内部组。内部组在临时访问、临时群体创建或特定的入职或撤销要求无法通过外部身份验证提供者满足的情况下是合理的。由于在这些情况下的访问需要人工介入,基于规则的组使用的属性和组条件可能不足以确定访问。

示例组及其组指派规则。

验证和测试

  • 导航到 控制面板 > 身份验证 > 身份验证提供者 > 管理组指派 > 测试规则 以验证现有用户的规则。这将显示用户匹配的规则以及他们在下次登录时将被指派到的组。请注意,只有已经使用此提供者登录过的用户才能在 测试规则 面板中模拟。
  • 无论用户是现有用户还是新用户,规则在用户登录时应用。规则 不会在保存时追溯运行
  • 正则表达式的正确性是定义基于规则的组时常见的失败点。不匹配的模式往往会静默失败,同时导致用户指派的意外结果。

验证现有用户规则时的测试规则界面

从组 AUM 迁移到基于规则的组

一些 Foundry 身份验证设置使用一种名为组异步用户管理器(AUM)的旧工具进行自动用户指派。组 AUM 没有用户界面,由 Palantir 代表按照客户管理员的指示进行配置。

基于规则的组不能用于已启用组 AUM 的客户注册。在未来,组 AUM 规则将自动迁移到基于规则的组规则。