用户
更新时间:2024-03-26 10:04:241. 本地用户
1.1 新增账户
在用户-本地用户点击【新增】,进入新增账户页面
选项 | 功能描述 |
---|---|
姓名 | 账户真实名称 |
账号 | 创建成功后,不可修改 |
密码 |
密码可手动编辑,也可自动生成 密码必须包括大写字母、小写字母、数字、字符中的三种组合且8~20个字符,密码与账号不能相同。 特殊符号支持:_~!@#%$.^-+*(){}? |
部门 | 用户所在部门,默认为本地部门成员 |
强制用户首次登录时修改密码 | 启用后,用户在第一次登录后需要强制修改初始密码 |
邮箱 | 支持邮箱登录 |
主目录 | 用户个人文件存储位置,不填写则默认在您存储路径的user目录下 |
虚拟目录 | 添加虚拟目录后,用户可在前台查看到用户的虚拟目录,并对虚拟目录内的文件进行传输及操作。支持添加多个虚拟目录。虚拟目录别名:基于用户主目录下的一个路径;虚拟目录路径:基于虚拟存储的有效路径。 |
禁止访问路径 | 设置该用户禁止访问的路径,前端用户页面无法显示该路径的文件(夹),无法对禁止访问的文件(夹)进行新建,删除,重命名,复制,移动,上传,下载操作。参考提示内规则填写 |
允许访问路径 | 设置该用户允许访问的路径,前台用户只能看到设置的路径,支持设置文件或文件夹,除了允许访问路径之外的路径,无法进行新建,删除,重命名,复制,移动,上传,下载操作。参考提示内规则填写 |
最大存储容量 | 设置该用户在当前空间的存储容量上限。当空间已使用的存储超过设定上限时,将无法再存储新的文件。开启后,对于文件的传输和文件的操作会进行实时统计,默认间隔1小时会进行全局的统计。注意,默认只统计本地存储,若需要统计对象存储或修改统计周期,您可以进入【空间管理】-【空间统计】进行配置。 |
权限 | 文件列表、下载文件、删除、重命名、创建文件夹、上传文件、同步文件夹、移动、复制、 邀请、分享 |
上传文件选项 | 开启仅允许上传新增文件后,用户只能上传新增加的文件,同名文件上传失败。 |
上传、下载速度限制 | 限制该用户上传、下载速度,默认为不限制 |
传输文件格式 | 传输后缀格式白名单和黑名单。白名单用来配置系统允许上传的文件后缀。黑名单用来配置系统不允许上传的文件后缀。多种格式时需用“;”隔开,如“txt;iso” |
传输文件过滤 | 1)禁止用户在创建同步任务时设置过滤条件 2)支持传输文件(夹)黑白名单,满足某些条件的文件会被过滤或传输,支持通配符,例如传输时过滤以test开头的文件,启用黑名单,输入test*。支持传输时跳过文件大小超过设定大小的文件。 |
传输文件通知 | 上传下载文件时通知管理员 |
邮箱发送方 | 以管理员配置邮箱发送:设置后需要在管理员后台邮箱设置中配置好邮箱方可使用。分享链接等邮件通知时以管理员配置的邮箱为发送方;以用户配置邮箱发送:设置后用户在登录后需在账户设置中配置好邮箱方可使用。分享链接等邮件通知将以用户配置的邮箱为发送方。 |
分享下载邮件通知 | 1)链接和密码以一封邮件发送 2)链接和密码分不同邮件发送 |
IP登陆白名单 | 勾选启用后,在输入框输入允许该用户登录的IP地址。多个IP地址需用“;”隔开,如“127.0.0.1;172.16.4.55”,支持使用通配符[],如172.16.[0-100].[0-100] |
登录免邮箱验证 | 当开启邮箱验证是,启动免邮箱验证的账号不需要进行邮箱验证 |
同步频率控制 | 用户创建同步任务无法设置频率,以该配置为准 |
首次登录弹框提示 | 用户第一次登录时,在用户主页面弹出提示弹框 |
不显示隐藏文件 | 用户列表不显示.开头的隐藏文件 |
关闭点对点功能 | 针对单个用户关闭点对点传输 |
1.2 编辑账户
选中任意用户,点击【编辑】,选中多个用户点击【编辑】支持批量编辑用户
1.3 锁定/解锁账户
选中任意未被锁定的用户,点击【锁定】,锁定的用户则无法继续登录系统;任意已锁定的用户,点击【解锁】即可解锁。
1.4 删除用户账户
勾选想要删除的用户,点击上方的【删除】。弹出确认删除弹框后点击确定即可删除成功
1.5 导入LDAP/AD域账户
点击【导入LDAP/AD域账户】能主动导入域服务已创建的所有域用户账号,支持仅导入用户,也支持导入用户、组织和群组,导入成功后,ad域的组织将在镭速创建出对应的部门,ad域的用户组将在镭速创建出对应的群组文件库。前提需要在用户集成-第三方鉴权配置【LDAP/AP域】,才能够支持该功能。
1.6 导入/导出账户
点击【导入用户】,通过指定的模板填入账号、邮箱、密码、部门可一键导入账号。点击【导出用户】即可将所有的账户的邮箱、账户、姓名、部门导出。
1.7 复制用户
选中需要复制的账号,点击【复制】,即可复制一个拥有相同设置的账户,但邮箱、账号、密码、姓名需要单独配置。
1.8 组织
支持创建部门,可将用户添加到部门中。导入ad域账号时,可直接根据用户的组织进行导入,便于管理员对用户进行管理。系统默认存在本地部门。
2. 用户集成
支持第三方用户鉴权,与企业内部账户互通。
2.1 LDAP/AD域鉴权
2.1.1 AD域
填写正确的域服务器地址、域账户路径、域测试账号和密码,点击测试,测试通过表示信息填写正确。点击保存即可生效。
配置说明:
用户user1,用户组group都处在abc.com域的BU组织单位下的RD组织单元下,user1路径为:abc.com/BU/RD/user1, group组路径为abc.com/BU/RD/group
1)如只需导入user1到系统账户中,则
域账户路径为:cn=user1,ou=RD,ou=BU,dc=abc,dc=com
域测试账号和密码:必须为user1的显示名和user1的密码
2)如需配置group组的所有账户,则
域账户路径为:cn=group,ou=RD,ou=BU,dc=abc,dc=com
域测试账号和密码:必须为RD组织单元层级下的其中一个账号的显示名和密码
如需配置指定的多个用户组下的账户,则添加多条域账户路径即可
注意:无法直接导入组内用户,用户登录后,可在用户列表展示
3)如需导入RD组织单元下的所有账户,则
域账户路径为:ou=RD,ou=BU,dc=abc,dc=com
域测试账号和密码:必须为RD组织单元层级下的其中一个账号的显示名和密码
如需导入指定的多个组织单元下的账户,则添加多条域账户路径即可
4)如需导入域下面的所有账户,则
域账户路径为:dc=abc,dc=com
域测试账号和密码:必须为abc.com层级下的其中一个账号的显示名和密码
用户在前台的ad域登录账号为域账号的登录名
2.1.2 OpenLdap
配置说明:
用户user1,用户组group都处在abc.com域的BU组织单位下的RD组织单元下,user1路径为:abc.com/BU/RD/user1, group组路径为abc.com/BU/RD/group
则BindUser为: uid=user1,ou=RD,ou=BU,dc=abc,dc=com(BindUser也可以为abc.com域内的任意用户)
BindPasswd为: 账号user1的密码
1)如只需导入user1到系统账户中,则
域账户路径为:uid=user1,ou=RD,ou=BU,dc=abc,dc=com
2)如需配置group组的所有账户,则
域账户路径为:cn=group,ou=RD,ou=BU,dc=abc,dc=com
如需配置指定的多个用户组下的账户,则添加多条域账户路径即可
注意:无法直接导入组内用户,用户登录后,可在用户列表展示
3)如需导入RD组织单元层的账户,则
域账户路径为:ou=RD,ou=BU,dc=abc,dc=com
如需导入指定的多个组织单元下的账户,则添加多条域账户路径即可
2.2 邮箱鉴权
点击用户集成-三方登录鉴权,选中邮箱 填写正确的SMTP地址、SMTP端口、使用的加密方法、测试账号和密码,测试通过表示信息填写正确。点击保存即可生效。(邮箱服务需要开通SMTP服务,部分邮箱服务需要使用应用授权密码)
2.3 Unix System 鉴权
使用linux系统root权限或sudo权限启动镭速服务时,支持配置linux系统用户鉴权。
点击用户集成-三方登录鉴权,选中System 鉴权,点击保存。提示保存成功及配置成功。 (普通linux系统用户启动的镭速服务,无权限进行该配置。)
2.4 外部http鉴权
支持使用外部的http服务进行镭速鉴权,当您已有一套自己的http服务,您可以直接在您的http服务中登录您原有的用户来使用镭速,也可以在镭速系统中登录您的http用户账号。
1)由外部http服务控制权限:外部鉴权服务登录镭速,由外部服务控制权限。不会在镭速系统同步创建用户,无法使用外部鉴权服务的账号密码登录镭速系统
2)由镭速控制权限:会在镭速系统同步创建出外部鉴权的用户,由镭速控制权限。用户可以使用外部鉴权服务的账号密码登录镭速系统
具体的集成文档可联系镭速技术或业务人员提供。
2.5 企业微信
2.5.1场景介绍
概述:企业微信自建应用扫码适用于在网页中通过扫码企业微信让用户进行登录的场景。在镭速中配置企业微信自建应用扫码 的企业登录,即可实现通过镭速速获取企业微信基本开放的信息和帮助用户实现企业微信登录功能。
终端用户预览图:
注意事项
如果你未开通 企业微信管理员 账号,请先前往 企业微信管理员后台 (opens new window)进行注册登录
2.5.2 创建企业微信自建应用
1)应用管理-应用-创建应用
上传logo、输入应用名称、选择应用可见范围,创建应用
2)配置应用主页
进入到应用详情页面,配置应用主页为:镭速前台地址 + wechat/index_qywx.html 如https://test.raysync.cn:8091/wechat/index_qywx.html
3)配置应用网页授权及JS-SDK-可信域名
在应用详情页,点击网页授权及JS-SDK-设置可信域名:镭速前台域名+端口 如test.raysync.cn:8091
点击【申请校验域名】
下载文件
将下载的文件并放入镭速服务器dist/app目录内
成功后回到【设置可信域名】,点击确定。 已验证则表示配置成功。
4)配置企业可信IP
在应用详情页,点击配置企业可信IP
填入镭速服务器的IP地址
5)配置企业授权登录
在应用详情页,点击设置企业维系授权登录
配置Web网页的授权回调地址:镭速前台域名地址 如test.raysync.cn:8091
6)配置通讯录企业可信IP
管理工具 – 通讯录同步,点击配置企业可信IP
填入服务器IP
2.5.3 镭速服务器配置企业微信连接信息
字段 | 描述 |
---|---|
企业 ID | 在企业微信应用的后台, 在我的企业 - 企业信息 - 企业 ID |
应用AgentId | 在企业微信应用的后台, 应用管理 - 自建应用 - 选择应用 - AgentId |
应用Secret | 在企业微信应用的后台, 应用管理 - 自建应用 - 选择应用 - Secret |
通讯录Secret | 在企业微信应用的后台, 管理工具 - 通讯录同步 - Secret |
2.5.4 企业微信用户端登录
也可以通过后管用户-导入第三方鉴权账户,导入企业微信账号
2.6 OpenID Connect
OIDC(OpenID Connect)是一种基于 OAuth 2.0 协议的身份验证和授权协议。它扩展了 OAuth 2.0,为身份提供了一种标准化的方式,使用户能够通过第三方应用程序进行身份验证,并授权这些应用程序访问受保护的资源。
镭速oidc 鉴权实现与 IDP 的后端通信。它的功能类似于传统的OAuth流程,通过传统的OAuth访问令牌方式与镭速Web应用程序交互获取访问令牌。在此流程中,IDP提供商不会发送用户详细信息,而是发送一个特殊的一次性代码,镭速Web 服务可以将该代码交换为 OAuth 访问令牌。除了一次性代码之外,此交换还需要包含客户端 ID 和客户端密钥,与传统的 OAuth 2.0 流程一样。此令牌通过浏览器不可见,实现镭速服务于IDP服务间进行身份验证。
如果您已经有自己的企业管理系统,您可以使用您的企业管理系统帐号登录镭速。
2.6.1 OKTA登录
2.6.1.1 创建OKTA应用
1)登录您的okta管理页面,在左侧菜单栏找到Applications,并点击Create APP Integration
2)在弹出的页面上选择 Sign-in method: OIDC - OpenID Connect,并选择Application type: Web Application, 完成选择后点击Next
3)填写应用信息,请确保地址准确
字段 | 描述 |
---|---|
App integration name | 应用名称 |
Client acting on behalf of a user | Authorization Code |
Sign-in redirect URIs |
回调地址:为您的镭速服务前台 + /api/user/oidc/callback |
4)确定授权范围,默认选择如下,运行okta 的所有用户,选择完成后点击Save
2.6.1.2 获取OKTA应用信息
1)点击已创建的APP
2)在页面获取Client ID、Client Secret
3)在左侧菜单栏,选择Security下的API,并进入
4)如图点击进入okta 的配置信息
5)获取Issuer ,如下图
6)根据issuer,获取idp 的配置信息地址,转换地址如:{{issuer}}/.well-known/openid-configuration,转换完成后,在浏览器输入地址
7)步骤六获取的json 信息中,获取authorization_endpoint,token_endpoint, userinfo_endpoint
2.6.1.3 将OKTA配置信息填入
将以上信息填入镭速oidc 鉴权配置中,并点击保存
点击测试连接,若成功跳转至OKTA的登录页面则配置成功。配置成功后,用户在前台则可以使用OKTA账号登陆镭速。
2.6.2 OneLogin登录
2.6.2.1 创建OneLogin应用
1)进入您的Onelogin管理页面,在上方导航栏中,点击 Application > Add App
2)搜索”OpenId Connect“或者”oidc“,然后选择Open Connect(OIDC)应用程序
3)输入应用程序的名称,然后单击Save
4)在Configuration选项卡中,配置应用信息,请确保地址准确,点击Save。
字段 | 描述 |
---|---|
Login Url |
您的镭速服务前台地址 |
Redirect URI's |
回调地址:您的镭速服务前台地址 + api/user/oidc/callback |
Post Logout Redirect URI's |
登出回调地址:为您的镭速服务前台地址 |
5)在 SSO 选项卡中,Application Type 选择 Web;Authentication Method 选择 POST 作为令牌端点,单击Save
6)将用户添加到应用程序中
单击导航栏Users > Users,然后选择一个用户,点击进入
点击Application,然后添加
选择需要添加的应用,点击Save
2.6.2.2 获取OneLogin应用信息
1)点击进入app
2)点击SSO,获取Client ID、Client Secret
3)获取IssuerURL
点击“Well-known Configuration” 获取authorization_endpoint,token_endpoint, userinfo_endpoint
2.6.2.3 将OneLogin配置信息填入
保存后,点击测试连接,若跳转至Onelogin登录页面则配置成功,配置成功后,用户在前台则可以使用Onelogin账号登陆镭速
2.6.3 Google 登录
2.6.3.1 创建谷歌凭据
1)登录google控制台 https://console.cloud.google.com
2)选择API & Services
3)选择Credentials,Create Credentials
4)选择OAuth client ID
5)选择应用类型为Web application
6)填写Authorized JavaScript origins和Authorized redirect URIs
功能 | 说明 |
---|---|
Authorized JavaScript origins |
您的镭速服务的前台地址,该地址必须使用顶级域名 |
Authorized redirect URIs |
您的镭速服务前台地址 + /api/user/oidc/callback https://{{RAYSYNC Top-level domain:8091}}/api/user/oidc/callback |
点击Create
7)下载json文件或者点击进入您的Client,获取您的Client ID 、Client secret
2.6.3.2 在镭速配置OpenID Connect 谷歌的信息
登录镭速后台,用户--用户集成--三方登录鉴权--OpenID Connect
1)打开帮助文档
https://accounts.google.com/.well-known/openid-configuration
获取Issuer URL、Authorization Endpoint、Token Endpoint 、Userinfo Endpoint
2)填入配置信息,保存
4)点击测试连接
跳转至谷歌登录页即为配置成功
配置成功后,用户在前台则可以使用谷歌账号登陆镭速。
2.7 鉴权默认权限配置
配置登录鉴权方式后,可对鉴权用户进行默认权限配置。
LDAP/AD域 & 邮箱 & 企业微信 & OpenID Connect & 外部http鉴权-由镭速控制权限 & System :配置默认仅对新登录的账户生效,已登录的账户可通过账户信息列表修改配置。(System鉴权不会创建账户信息,暂不支持首次登录提示配置)
外部http鉴权-由外部http服务控制权限 :由外部服务控制权限,配置默认权限不生效。