安全平台安全管理管理组

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

管理组

在侧边栏的平台设置部分,选择。选择一个组以在仪表盘视图中查看其详细信息。

管理组

您可以查看所选组的各种信息:

  • 组名称:我们建议不要更改组名称,尽管具有管理权限的用户可以这样做(请参阅下文的重命名组)。
  • **组描述:**描述组,并对可以发现该组的组织中的所有用户可见。
  • **组ID:**组的永久唯一ID。
  • **组类型:**组的类型;外部、内部或基于规则。内部领域组成员资格在Foundry中管理。
  • **领域:**认证来源,外部或内部。对于外部组,领域标识管理该组的提供者。
  • **组织:**定义可以看到该组及其描述的组织成员。
  • **成员:**属于该组的用户。这些可以是单个用户或组。
  • **组权限:**定义有权限管理组各方面的用户。有两种类型的管理权限:
    • **管理权限:**可以授予权限以管理组各方面、管理其成员及编辑其元数据的用户。
    • **管理成员资格:**可以管理组成员,包括成员资格到期属性的用户。
  • **属性:**以键值格式存储的关于组的信息,通常由其他Foundry服务使用。

您只能查看您在组的组织中拥有查看组成员资格权限的组。此权限可以通过设置 > 平台设置 > 组织,选择感兴趣的组织,然后选择管理以获取组织权限来授予。这将显示用户和组的列表以及一个搜索框;对于已添加的用户和组,使用下拉框启用查看组成员资格选项。

成员资格到期

如果您可以管理某个特定组的成员资格,您可以要求新加入该组的成员资格是临时的。通过配置以下组属性来实现:

  • **最新到期:**所有新成员资格必须在该日期之前到期。
  • **最大时长:**所有新成员资格必须在指定的时长内到期。

可以同时设置这些属性中的一个或两个。当两者都设置时,最新允许的到期将是两者中限制性最强的属性。

此外,如果您拥有管理成员资格权限,您可以将临时成员添加到具有成员资格到期日期属性的组中。您可以将这些临时成员添加到没有设置最新到期最大时长属性的组中。

任何访问请求导致对具有最新到期最大时长属性的组的成员资格请求将受到最大到期的限制。

成员资格到期通知

当临时组成员资格到期时,会向受影响的用户发送撤销通知。此外,具有临时成员资格的用户将在其成员资格到期前七天收到提醒通知。然而,如果用户被添加到到期设置少于七天的组中,他们将不会收到提醒通知。

如果用户不希望接收这些通知,他们可以在平台侧边栏的帐户 > 设置 > 通知中配置平台通知设置。

自定义审批访问请求策略

自定义策略处于测试阶段,可能不适用于您的注册。如果您想启用此功能,请联系Palantir客服支持。

具有管理成员资格管理权限权限的用户可以为组配置自定义策略,这些策略将应用于任何导致对所选组的成员资格请求的访问请求。这可以通过如下所示的成员资格审批部分进行配置:

管理组审批策略

如果组配置了自定义策略,则任何导致该组请求的访问请求将受到影响。自定义策略将应用于组成员资格子任务以将成员添加到特定组。为了批准访问请求,所有子任务都必须获得批准。审批策略在请求访问时和审核现有访问请求时都会进行传达。

自定义策略审批访问请求

项目访问

选择项目访问选项卡旁边的详细信息选项卡以查看所选组的项目访问详细信息。

组项目访问

项目访问视图允许组管理员查看组可以访问的所有项目以及授予组的特定项目角色。当决定添加或移除用户时,此视图尤其有用,因为您可以看到访问权限将如何改变。

显示继承权限切换默认是打开的,并将遍历所有嵌套的组以查找组可以访问的项目。如果您将此切换关闭,则列表只会显示直接应用于该组的项目。

项目访问选项卡

重命名组

具有管理成员资格权限的用户可以重命名组。当用户重命名组时,一些操作会自动发生:

  • 当前组将被重命名,组ID将保持不变。
  • 将创建一个具有原始名称的新组,以支持可能依赖于原始组名称的应用程序。
  • 原始组将成为新重命名组的成员。

设置和使用组联系详情

您可以为可供用户查看的每个项目指定联系详情。这被视为项目或项目中认可文件的联系点。通过选择一个组为项目指定联系详情,并在项目以及其中的所有认可数据集中显示。

文件的联系信息

要为项目设置联系详情,首先确保该组具有联系详情。为此,选择该组,然后在页面的联系详情部分中选择管理。管理联系详情需要您具有更改组的权限。您可以定义该组是否应该通过Foundry Issues或电子邮件进行联系。

为组设置联系详情

一旦保存了联系信息,您可以将此组设为某个项目的联系点。通过侧边栏的项目和文件导航到项目,然后在操作菜单中选择编辑项目联系并选择所需的组。如果您希望选择的组未显示,请首先确认它已设置联系详情。

为项目设置联系详情

应用组权限

组详细信息仪表盘访问组权限视图。具有管理权限的用户可以使用此部分将访问权限授予组而不是单个用户,以使权限更加透明和可审计。

授予组权限在为项目指派权限时特别有用,因为管理员可以通过上面提到的项目访问选项卡查看组可以访问哪些项目。我们建议项目设置至少有三个组,每个默认角色一个:只读、编辑者和所有者。您应该将项目默认角色设置为发现者。

组项目角色

限制视图组名称策略

当创建使用组名称作为其中一个策略术语的限制视图时,您需要指定组的领域,以便可以相应地匹配组名称。您可以在平台设置 > 组界面中检查组领域,并在限制视图规则编辑器的底部更改领域名称。

限制视图组

领域

用户领域

管理员通常在控制面板中设置外部领域提供者(例如SSO、SAML领域或ADFS)。如果需要,Foundry的平台设置提供了身份提供者的内部实现。这种内部身份提供者可以在外部认证系统不适用的多种场景中使用。

组外部领域

外部领域是直接从外部系统(如ADFS等身份提供者)派生的组。平台设置配置定义了分配身份提供者的领域。

外部领域无法在Foundry中修改,处于只读状态。只能在外部系统中执行的操作包括重命名、将用户添加到组、修改属性和创建新组。外部领域组非常适合Foundry中的大多数授权和认证相关功能,包括:

  • 指派自由和强制性控制,以及
  • 启用对平台的二进制访问(例如允许或拒绝属于特定组的一组用户)。

由于外部领域组处于只读状态,用户将无法在Foundry中请求加入外部领域组的访问。然而,在控制面板中,您可以配置用户尝试请求外部领域组访问时收到的消息。导航到控制面板 > 身份验证 > 您的SSO > SAML > 管理 > 属性映射 > 外部组管理以设置外部领域的自定义消息和URL。只有与外部领域相同领域的用户会看到自定义消息和URL。下面是一个管理员向其内部Jira实例添加消息和链接的示例。

在控制面板中创建自定义消息

配置自定义消息后,当查看该外部领域中的所有组时,您将在平台设置中看到此消息。

在平台设置中查看自定义消息

当用户尝试请求对授予该组角色的项目的访问时,他们将看到该消息。

外部组请求访问

最后,您可以在登录时使用外部领域组进行组织分配。通常,通过客户SSO获得的信息成为在登录时将用户分类到不同组织的输入。

所有外部领域组必须被指派一个组织。如果没有指派组织,该组将对所有用户可见,无论其组织如何。

组内部领域

在Foundry中创建的组被指派到内部领域。

内部领域组可以在Foundry中进行修改。在界面中可以执行的操作包括重命名、将用户添加到组、修改属性和创建新组。内部领域组是授予Foundry级别功能访问权限的理想选择,包括将服务用户帐户捆绑到内部领域组以进行白名单或黑名单处理(例如,将服务用户帐户排除在用户帐户到期规则之外)。

如果正在使用外部领域组,那么重要的是避免直接将用户指派到内部领域组。相反,用户被添加/移除的外部领域组应嵌套在内部领域组中。