Documentation
搜索文档
karat

+

K

API 参考 ↗
安全平台安全管理管理角色

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

管理角色

在 Foundry 设置中的角色部分管理角色。

manage roles

自定义默认角色

以自定义您的组织角色,您必须在控制面板中获得组织管理员权限。

理解角色和操作

为了理解角色自定义,我们需要更深入了解操作。

操作是 Foundry 应用程序检查的单个权限,以验证用户是否有权限执行给定的操作。角色是一组操作:当您在某个资源(如项目或数据集)上为某人授予角色时,您是在该资源及其所有子资源上授予他们一组操作。每个操作都有一个名称和唯一标识符。

例如,默认拥有者角色(但不是较低角色)中包含的一个操作名为“更改默认分支”操作(标识符为:stemma:mutate-default-branch),允许您更改代码库的默认分支。当您在项目上授予用户拥有者角色时,该用户在该项目中的所有资源上获得 stemma:mutate-branch,因此他们可以更改任何代码库内部的默认分支。

创建自定义角色

角色管理界面可以在平台设置页面的角色选项卡下找到。

您可以创建全新的自定义角色。您可能希望创建自己的自定义角色以支持组织中的不同用户类型,如下文详细介绍的合并者支持者角色。

要创建您自己的自定义角色,只需点击“新角色”,然后系统会提示您进入新角色对话框:

Create custom role

您可以“包含”其他角色。对于上面的新合并者角色,我们包含了只读角色,这意味着只读授予的所有权限将在合并者角色中授予。一旦创建,您可以通过附加操作自定义此角色。

编辑默认角色

您只能编辑自定义角色集的默认角色(例如只读)。因此,要自定义您的组织角色,您首先需要创建默认角色的自定义角色集。然后您可以编辑这些默认角色。

例如,如果您希望实例上的所有编辑者都能够更改存储库的默认分支,您只需编辑编辑者角色以包含此操作。

Editing default roles

示例自定义角色

以下是一些在您的情况下可能有用的自定义角色示例。

合并者

合并者角色提供合并到受保护分支的能力,应该在只读角色之外授予。创建一个自定义角色,包括以下操作:

  • 管理工件库
  • 合并到受保护分支
  • 合并拉取请求
  • 更新拉取请求

支持者

支持者能够查看与项目相关的问题,但无法查看任何元数据(如模式、数据集名称等)。这主要是为 Palantir 或第三方支持团队提供的,他们可能没有加入或被授权查看某些数据。支持者角色可以通过包含以下操作创建:

  • 应用指派规则
  • 存档问题
  • 编辑问题
  • 关闭和重新打开问题
  • 查看问题

角色集

角色集是一组角色,允许在组织级别自定义角色权限,并在特定上下文中使用,例如在项目或 Ontology 中。当同一注册中的组织希望有不同角色时,角色集增加了灵活性。角色集提供以下保证:

  • 同一集中的角色不依赖于该集之外的任何角色。
  • 所有角色仅属于一个角色集。
  • 集中的角色属于同一组织,并统一授权。
  • 集中的角色被设计为在同一上下文中协同工作。目前,角色集可用的三个上下文是项目上下文、Ontology 上下文和市场安装上下文。

每个注册将至少有三个默认角色集:项目默认(拥有者、编辑者等)、Ontology 默认(Ontology 拥有者、Ontology 编辑者等)和市场安装默认(市场安装编辑者、市场安装只读等)。默认角色集及其内部角色始终对所有组织可用。

创建新角色集

角色管理员必须在他们管理角色的组织中拥有“管理角色和角色集”权限。此权限在控制面板中的组织管理员角色下授予。只有拥有此权限的管理员才能为组织创建新的角色集,并在属于该组织的角色集中自定义现有角色。

Screenshot of organization permissions

要为给定组织自定义角色,管理员应首先创建一个新角色集。

要进行此操作:

  1. 进入平台设置,并点击位于右上角的角色部分下的创建角色集
  2. 完成新角色集表单。

Screenshot of Create role set dialog

创建新角色集时,管理员需要从现有角色集中复制角色。然后,管理员只需从现有角色集中进行相关更改。

此外,当复制项目默认角色集或另一个依赖于项目默认角色集的角色集时,新复制的角色集将自动更新为项目默认角色集的任何角色更新。随着 Foundry 开发的继续,Palantir 可能会添加新角色;自动接收这些权限更新可以减少未来的管理工作。

Screenshot of creating a new role set from existing

在上述角色集创建后,任何在 Org B 上具有“管理角色和角色集”权限的管理员都可以编辑此新角色集。

共享角色集

角色集的可见性由组织可发现性决定。组织可发现性在平台设置下的组织部分进行管理。

Screenshot of Organization Discoverability

Screenshot of Organization Discoverability configuration

在上述示例中,Org B 拥有的角色集仅对 Org A 和 Org D 可见,因为它们是相互可发现的(在这种情况下,第一列切换为所有 3 行选择)。Org B 和 Org C 用户无法看到彼此的角色集。允许来自相互可发现组织的用户看到彼此的角色集有助于跨组织协作。例如,在一个应用了 Org A 和 Org B 的项目中,管理员可能希望来自 Org A 和 Org B 的用户接收仅由 Org B 定义的自定义角色。

应用角色集

角色集只能在空间级别应用。该空间内的所有项目、文件夹和文件只能使用在空间设置中应用的角色集中定义的角色。为管理此项,管理员可以:

  1. 访问注册设置中的 Control Panel 下的空间选项卡。

spaces-tab-page

  1. 在空间创建对话框中选择角色集,如下所示。

Space creation dialog

  1. 现有角色集也可以在空间设置下的角色集卡片中替换为新角色集,如下所示。

A screenshot of making an edit in the space settings

如果管理员用新角色集替换空间上的当前角色集,则每个当前角色必须映射到替换角色。下面是更新现有空间上的角色集时映射对话框的示例。

A screenshot of a mapping dialog for updating a role set on an existing space

完成后,整个空间中的所有角色授予将更新为它们的新替换角色。

当用户跨角色集边界移动资源(项目、文件夹或文件)且资源有直接应用的角色时,上述映射对话框也将显示。