系统管理
1. 系统配置
在左侧菜单栏选择 系统管理 - 系统配置 ,进入概况标签页:
1.1. 用户登录类型
支持配置多种用户登录方式,可将需求的登录类型设为默认。平台支持的登录类型有:
- 本地登录:直接使用SmartCMP配置的用户名和密码登录。
- oAuth2
- LDAP/Microsoft Active Directory
- CAS SSO
- SAML2
1.1.1. LDAP/Microsoft Active Directory
不论大小企业,无论企业性质,都需要一个集中式的帐号管理系统,员工只需要设置一次帐号密码,就可以方便地使用各个不同的系统。(例如:行政层面的OA系统、邮件系统、会议室预订系统等等。研发团队内部又可能有代码管理、项目进度管理、Bug追踪、依赖管理、Wiki等等。)
当选用经典的LDAP (Lightweight Directory Access Protocol)作为帐号管理服务器,LDAP是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。将OA系统、代码服务器、Jenkins等系统接入LDAP,实现“一套帐号,各系统共享”。
LDAP配置中填入:LDAP Connection Name、LDAP URL即LDAP服务器地址、 Base DN、ROOT DN、Password
配置完成之后,在LDAP的登录UI中,输入 LDAP的 uid/password, 进行登录,验证成功之后,可以进入到SmartCMP,但用户在第一次登录后没有任何的权限,管理员给这个User 配置ROLE和BG之后,用户需要重新登录,然后正常进行其它的操作。
1.1.2. OAuth2
OAuth2 是一个开放授权标准,它允许用户让第三方应用访问该用户在某服务的特定私有资源,但是不提供账号密码信息给第三方应用。例如:用户小明希望通过github账号来登录SmartCMP
下面为您介绍SmartCMP如何使用 OAuth2 登录的具体步骤。
- 选择登录类型为 OAuth2 进行具体的参数配置,以github为例,获取授权信息:
- 登陆giuhub,点击个人头像,一次点击 Settings --> Developer Settings --> OAuth,点击 New OAuth App
创建成功后如下:
- 配置完成后,在浏览器中输入:http://<服务器域名或地址>端口号/login/oauth2/用户id,将会自动跳转到用户授权页面,输入gitHub用户名和密码,验证通过后直接跳转到SmartCMP平台,以此实现通过github账号来登录SmartCMP的功能需求。
1.1.3. CAS_SSO
当选择登录方式为 CAS_SSO时,UI界面没有任何配置信息,后台会提前配置,具体配置方法请咨询交付工程师。 用户的访问方式:SmartCMP的每个用户在对接Cas的时候需要使用每个用户定制的登录方式, 例如: 用户 "default", 那么Cas的登录地址就是 custlogin/cas/default, 在浏览器下输入,http://192.168.12.34/custlogin/cas/default , 就是cas的登录方式,后缀“default”,是当前用户的id。在实际常见中,default替换为实际id,ip(192.168.12.34)以实际ip为准
1.1.4. SAML2
SAML2:安全断言标记语言(Security Assertion Markup Language)2.0,用于实现基于网络跨域的单点登录。 当选择SAML2登录类型,需要配置IdP Metadata URL和IdP EntityID。
1.1.5. 访问配置
您可以配置访问的IP黑白名单,针对用户登录的IP进行访问控制和过滤,限定可以访问系统的用户IP。
「Note」 黑名单的应用优先于白名单。
1.2. 业务组
管理员可在当前页面为所有业务组配置默认命名规范模板及授权配置模板,并可勾选是否在将用户加入到子业务组时同时加入到父业务组中。
该默认配置可以为空。若配置默认模板,则每个业务组不再需要单独配置。
授权配置模板:可选“允许所有操作”和“允许常规操作”
命名规范:您可以选择云主机和云资源的命名规则,得先在 组织架构管理 - 命名规范 中设置命名规则
1.3. 安全配置
1.3.1. 双因素认证概述
平台支持对用户的登录和运维操作启用双因素认证,启用双因素认证后,将在原有静态密码验证的基础上新增验证动态信息的认证步骤。平台支持通过短信、邮箱、企业微信及钉钉发送动态认证信息进行双因素认证。
「Note」双因素验证(Two Factor Authentication)是在用户名和密码之外,额外增加的一层安全认证,用于确保登录和使用云资源的用户身份的安全性。
1.3.2. 启用双因素认证
如需开启双因素认证,请按以下步骤设置:
在 系统管理 - 通知配置 中对接需要发送认证信息的系统,具体配置方法请参考:通知配置
在 系统管理 - 系统配置 的安全配置标签页选择双因素认证方式,支持短信验证、邮箱验证、微信验证及钉钉验证。
如需对用户登录开启双因素认证,请进行界面配置,具体配置方法请参考:界面配置
如需对用户的运维操作开启双因素认证,请在 组织架构 - 授权配置 中设置对部署操作授权或云资源操作授权启用双因素认证,具体配置方法请参考:授权配置
1.3.3. 双因素认证使用场景
SmartCMP双因素认证包含以下两种使用场景:用户登录及运维操作。
- 当用户登录开启双因素认证时,在登录界面,用户输入静态密码点击登录后会跳出弹框提示“已启用双因素认证,需要输入验证码进行验证”。用户可通过配置的认证方式获取动态验证码完成双因素认证,如下图所示。
- 当运维操作开启双因素认证时,以安装软件为例,用户需根据提示点击获取验证码,通过已配置的认证方式完成双因素认证。
1.3.4. 密码配置
管理员可在当前页面设置用户登录的相关配置。
限制登录失败次数:您可以设置登录失败的限制次数,当连续登录失败超过限制,账号将被锁定。您可以联系管理员解锁或者等待当日24点自动解锁后再登录。留空则默认限制五次登录失败机会。
用户密码过期时间:您可在当前页面设置用户密码的过期时间。如果用户在此期间没有更新密码,用户密码将过期失效,账号将被锁定,必须先修改密码方可正常使用。时间默认为90天,留空则无限制。
密码过期通知时间:可设置密码过期前由系统自动发送给用户密码过期提醒的时间。您可以在 系统管理 - 通知配置 中,配置邮件,企业微信,SMS短消息或钉钉的通知方式,则平台会根据配置的方式通知用户密码即将过期的信息。如您选择配置阿里云短信服务,则需添加密码过期的模板。
禁止重复使用近几次密码:用户重置密码时,新密码不能是用户近几次使用过的密码。留空则默认禁止重复使用近三次密码。
1.3.5. 密码校验规则
管理员可在当前页面设置密码校验规则,包括是否包含大写字母,小写字母,数字和特殊字符,并可根据需求设置密码的最小长度。留空则默认设置密码的最小长度为8位。
1.4. 费用配置
管理员可在 系统管理 - 系统配置 - 费用配置 页面设置服务计费的货币单位,支持选择人民币、欧元、美元、日元、英镑等。可勾选是否在服务申请及运维操作时显示预估费用。
1.5. 扩展属性
管理员可以在 系统管理 - 系统配置 - 扩展属性标签页,为不同对象配置扩展属性表单。
支持为云平台、资源池、业务组、项目、用户、IP池、IP地址、脚本库和流水线等对象配置扩展属性表单,在该对象的列表页及详情页展示扩展属性且支持扩展属性作为检索条件搜索。添加扩展属性表单可以参考表单配置。
1.6. 云平台参数
管理员可在当前页面设置IP地址冷却时间。IP地址回收后,暂时冷却保留一段时间再重新进行分配使用。
支持配置IP地址检测,开启该功能后,当IP地址分配方式为IP池情况下,服务申请提交和审批时,通过Ping的方式检查IP地址是否已被使用。
- 管理员可以勾选“检查IP地址是否被平台管理的云主机使用”,在服务申请提交和审批时检查IP地址是否被平台管理的其他云主机使用;如需要在不同的VxLAN中使用相同的IP地址,请关闭此选项。
管理员可在当前页面启用或关闭同步键值标签功能。启用后,用户为云资源设置标签时,键值标签将被同步到云平台。
管理员可选择设置隐藏某些盘符,在用户为云主机添加磁盘或挂载点时不开放给用户添加。
- 支持设置是否显示资源环境,开启后可在云主机云资源详情页面查看详细资源环境信息,有相应权限时支持跳转。
vSphere云平台配置
- “允许选择宿主机”,开启该功能后创建vSphere资源池时可选择资源池的集群和宿主机,关闭状态下仅支持选择集群。
- 制备模式:默认使用精简置备模式,您可以根据需要定义自己所需的置备模式。当您在此配置制备模式后,用户使用通用云组件创建vSphere云主机时,可以选用系统默认的置备模式。
Openstack云平台配置
- 操作系统类型的Metadata Key:针对OpenStack云平台同步和导入的云主机,通过不同的Metadata Key判断云主机的操作系统类型。
- DNS域:如果需要配置和发布DNS服务,可在这里设置DNS根域名,并在资源池中根据不同环境的需要设置子域名,从而在服务配置中进行选择。管理员可以新增一个或多个DNS域(选填)。
「Note」DNS域名需在DNS服务器上配置,如无,在申请服务时将报错。 域名由根域名、顶级域、二级、三级等多级域名构成,每级域名由字母、数字和连字符(-)构成(第一个字符不能是连字符),不区分大小写,长度不超过63个字符。一个完整域名总长度不超过255个字符,必须以点结尾。配置成功后,可在OpenStack资源池中配置二级、三级域名。
管理员可在此添加并修改AWS云平台的实例规格,存储类型和区域,则用户在申请服务时可选择相对应的参数。
1.7. 系统参数
管理员可在当前页面配置云资源到期的操作、启用或关闭回收站功能,配置流程关闭策略和设置用户在申请服务或运维操作时提交请求单的最大数量与使用的流程。
1.7.1. 服务配置
管理员可在当前页面配置是否关闭蓝图设计和应用栈。当您选择关闭时,系统 会关闭蓝图设计和应用栈菜单,不支持用户使用相关的功能,并且在申请和审批资源的服务界面以及云资源的操作历史中,系统不显示“应用栈”字样。
支持设置是否展示云资源部署的应用栈,勾选后通过云资源部署生成的云资源将展示应用栈;若不勾选,在 我的资源 - 应用栈 页面将不展示通过云资源部署申请的资源且该云资源详情页服务信息不展示应用栈信息。
1.7.2. 租期配置
管理员可在当前页面配置云资源(包年包月和按需到期之后的机器)到期之后的操作。
- 租期到期操作:云资源到期之后可配置以下操作;
- 关闭过期应用栈:云主机租期到期之后,进行关机操作。
- 不进行任何操作:如选择不进行任何操作,在保留时间到期操作选项只能选择不进行任何操作;
- 通知到用户:指定该操作通知的用户;
- 通知到角色:指定该操作通知的角色;
- 保留时间到期操作:云资源在保留时间到期之后可配置以下操作;
- 移至回收站或者卸除:当管理员开启回收站时,云资源自动移动到回收站;当回收站未开启时,该云资源直接被卸除;
- 不进行任何操作:不对云资源做任何操作;
- 通知到用户:指定该操作通知的用户;
- 通知到角色:指定该操作通知的角色;
- 开启回收站:管理员可在当前页面启用或关闭回收站功能,开启后执行卸除操作将把云资源放入回收站,放入回收站的时候系统不会删除云上的资源;
- 回收站保留时间:指云资源放入回收站后的保留时间(留空表示无限制),保留时间到期后,系统将卸除平台中的云资源,并同步删除云上的资源;
- 已回收资源显示时间: 指已卸除的云资源在回收站中显示的时间,过期后,已卸除的云资源将不会显示;
- 回收站卸除提醒:云资源进入回收站后未完全卸除前,平台将根据已配置的用户或角色,每天发送卸除提醒;
- 通知到用户:指定该操作通知的用户;
- 通知到角色:指定该操作通知的角色;
- 清理遗失资源: 当系统发现资源遗失一定时间后,将执行删除管理信息的操作;
- 遗失资源等待时间:指资源在平台上遗失后的保留时间。保留时间到期后,系统将删除对应资源的管理信息,目前系统默认等待时间为3天;
清理遗失资源提醒:当资源已遗失,且未被删除管理信息之前,平台将根据配置的用户或角色每天定期发送通知;
- 通知到用户:指定该操作通知的用户,支持多选;
- 通知到角色:指定该操作通知的角色,支持多选。
1.7.3. 流程关闭策略
管理员可在当前页面设置流程关闭策略,当服务配置的流程部署开启自动关闭,对应步骤将按照当前策略向处理人发送通知消息或关闭流程。
- 等待时长(天):当任务超过等待时长所设置的天数后,仍未被处理,将发送通知消息给处理人。
- 通知次数(次):当通知消息发送次数达到所配置次数后,若任务仍未被处理,1天后将自动关闭该任务。
1.7.4. 请求单配置
管理员可设置用户在申请服务或运维操作时提交请求单的最大数量与使用的流程。
- 最大提交数量:限制用户可以一次提交最大请求数量,默认30条,最大支持100条,您可以根据自己的需要调整(仅支持填写正整数)。
- 流程:默认使用系统内置的请求单流程,您可以根据需求在流程配置里添加新的流程并配置。
1.7.5. 变更操作配置
支持上传表单使Day2操作支持上传附件功能。
在表单配置创建上传附件表单后,在变更操作配置中下拉选择已创建的上传附件表单,使应用栈、云主机及云资源的Day2运维操作支持上传附件功能。
「Note」目前仅支持Day2卸除操作上传附件功能。
2. 界面配置
通过 系统管理 - 界面配置 来确定品牌和服务申请信息包括,配色、页眉页脚、菜单配色和是否显示帮助文档,以及调整服务目录与服务展示的显示方式,服务申请页面字段。
2.1. 配置品牌
在配置品牌的品牌标签页中可完成对界面的设置:
选择亮色系或暗色系风格,控制左边导航栏区域的配色风格。 主题色可选择纯色或渐变色,使用调色面板选择设置颜色。当选择渐变色时,高亮显示的菜单和按钮将用渐变颜色显示,而链接和标签将用第二个颜色显示。 文本框和按钮风格可设置为方角或者圆角。
可选择是否隐藏页眉。当选择不隐藏时,使用调色面板选择页眉配色、文字及图标颜色(分别生效),上传图标、自定义文字内容。
为菜单配置颜色。可使用调色面板分别为菜单、文字和图标配置颜色,配色设置将分别生效。
可选择是否隐藏页脚。当选择不隐藏时,使用调色面板选择页脚配色、文字颜色(分别生效),上传图标、自定义文字内容。
「Note」新建用户菜单和页眉页脚颜色将不受其他用户影响。
上传图标设置浏览器标签及标题。
自定义登录页面:
- 上传登录页面背景图,自定义文字及颜色
- 设置开启登录验证码、用户登录双因素认证及忘记密码功能。
- 如您开启忘记密码功能,请选择邮箱或者手机号码的验证方式重置密码。
- 设置登录跳转URL,配置登录后的访问链接,默认平台欢迎页
- 设置登出跳转URL,配置登出后的跳转链接,默认到平台登录页
用户自注册:
- 是否开启:选择开启用户自注册,则可为用户注册配置信息;
- 表单:请选择一个已配置好的表单,为用户注册配置填写的字段。可先在 服务设计 - 表单配置 中配置所需表单;
- 流程:请选择一个已配置好的服务,定义自注册时的流程。可先在 服务设计 - 服务配置 中配置所需手工工单服务;
- 用户自注册时填写手机号码:可选择是否允许用户在注册时填写手机号码并验证。
主页:上传主页图标,设置登录后的访问链接,默认为平台欢迎页。
关于页面自定义:设置是否开启关于页面展示,开启后用户点击右上角!可弹出关于页面。关于页面将展示Logo、产品名称及版权声明等。
定义是否显示帮助文档,选择隐藏时,导航栏右上角的问号按钮将被隐藏。
2.2. 配置服务申请
配置服务申请的具体步骤:目前服务目录支持2种视图。在服务申请标签页,
您可以配置在服务目录中分组与服务的展现方式:标签页展示或层级展示
标签页展示:即分组按照标签页展示。
层级展示:按照卡片的模式,先展示服务分组,服务分组的具体操作步骤,请参考:服务分组。在服务目录视图界面,可查看服务分组的图标、名称、描述和文件夹的显示方式,点击一个分组,展现此服务分组的所有卡片。
您可以配置服务申请页面字段显示,其中可配置的字段有:业务组、项目、所有者、描述、执行时间、键值标签及云资源标签。可根据需求设置是否要求必填。
您可以配置云资源标签的展示方式,包括平铺展示和层级展示,
- 平铺展示:无分类展示所有标签
- 层级展示:分层展示云资源标签,支持搜索功能
2.3. UI定制
平台支持定制各个用户界面,您可以使用JavaScript来定制界面内容,包括颜色,按钮,是否显示内容等。
- 进入菜单 系统管理 - 界面配置 ,
- 点击添加按钮,进入定制界面,
- 页面:选择需要定制的具体页面;
- 描述:添加定制页面的描述;
- 文本框和按钮风格:添加定制的脚本内容;
- 点击保存按钮,完成界面定制。
3. 通知配置
管理员可设置对接平台,将系统的通知、告警等消息发送到所连接的消息通知平台。支持SMTP邮件、SMS短消息、企业微信与钉钉。
以下为您详细介绍各平台配置流程:
3.1. SMTP邮件配置
进入菜单 系统管理 - 通知配置 ,在SMTP配置标签页,可以配置当前能够访问的SMTP配置。
在SMTP配置中可以填入下列信息:
基本信息 | 说明 |
---|---|
使用SSL | 是一种保证私密性的安全协议,如勾选,则保证客户/服务器应用之间的通信不被攻击者窃听,并始终对服务器进行认证 |
SMTP服务器 | 请输入SMTP服务器地址 |
端口 | SMTP端口号 |
用户名 | 请输入邮箱的用户名 |
密码 | 请输入邮箱的密码 |
发件人 | 请输入邮件发件人地址 |
配置完成后,可点击验证设置,系统将会根据配置自动发送一封测试邮件到当前账户的邮箱地址,以验证SMTP服务器是否工作。
3.2. SMS短消息
进入菜单 系统管理 - 通知配置 ,在SMS配置标签页中,可以填入当前能够访问的SMS(短消息)配置。短消息类型分为阿里云短信服务,短信服务,移动云MAS短信服务和梦网短信服务。
在阿里云短信服务中,可以填入下列信息:
基本信息 | 说明 |
---|---|
访问密钥ID | 请输入阿里云访问密钥ID |
密码 | 请输入阿里云访问密钥密码 |
短信签名 | 请输入短信签名 |
模板代码 | 根据业务需求选择合适的通知模板 |
在短信服务中,可以填入下列信息:
基本信息 | 说明 |
---|---|
用户名 | 请输入SMS用户名 |
密码 | 请输入SMS密码 |
SMS服务器 | SMS服务器地址 |
端口 | SMS端口 |
在梦网短信服务中,可以填入下列信息:
基本信息 | 说明 |
---|---|
用户名 | 请输入登录梦网短信系统的账号名称 |
密码 | 请输入登录梦网短信系统的密码 |
连接地址 | 连接梦网短信系统的地址 |
3.3. 企业微信配置
进入菜单 系统管理 - 通知配置 ,在企业微信配置标签页中,可以配置企业微信的相关信息,为企业微信的消息通知和审批指定应用。通知应用用于将系统的通知发送到用户的企业微信账号,审批应用用于企业微信接收系统发起的审批(可在流程配置中进行审批流程的配置)。
基本信息 | 说明 |
---|---|
CorpId | 在企业微信管理后台“我的企业”->“企业信息”下查看 |
AgentId | 每一个应用的唯一AgentID,请在企业微信管理后台“应用与小程序”->“应用”下查看 |
Secret | 每一个应用都有一个独立的访问密钥,请在企业微信管理后台“应用与小程序”->“应用”下查看 |
Token | 调用接口凭证,必须使用审批应用或企业内自建应用的secret获取 |
EncodingAESKey | 请在企业微信管理后台“应用与小程序”->“应用”下查看 |
3.4. 钉钉配置
进入菜单 系统管理 - 通知配置 ,在钉钉配置标签页中,可以配置钉钉的相关信息,为钉钉的消息通知和审批指定应用(在钉钉开放平台创建的第三方企业应用)。通知应用用于将系统的通知发送到用户的钉钉账号,审批应用用于钉钉接收系统发起的审批(您可在流程配置中进行审批流程的配置)。
基本信息 | 说明 |
---|---|
CorpId | 企业在钉钉中的标识,每个企业拥有唯一的CorpId,可登录钉钉开发者后台-“首页”下查看 |
AgentId | 创建应用时,系统自动生成的AgentId,可用于发送企业会话消息等场景 |
AppKey | 创建应用时,与应用Key一起同时由系统自动生成 |
AppSecret | 创建应用时,系统自动分配,是应用开发过程中的唯一性标识 |
Token | 企业后台获取信息时的重要凭据,由Appkey和AppSecret产生。需通过API Exporer进行获取 |
AES_Key | 需通过API Exporer进行获取 |
URL | 需通过API Exporer进行获取 |
4. 第三方系统集成
您可以添加需要管理的第三方系统的详细信息,例如对接系统的属性参数等,可管理的第三方系统包括堡垒机,钉钉,企业微信,备份系统和消息通知系统。在添加第三方系统前请先在服务设计 - 组件库中添加对应的第三方集成组件。 您也可以启用回调参数,配置相关操作(回调流程,查询流程,启动流程),并获取回调路径。
4.1. 钉钉配置
进入菜单 系统管理 - 第三方集成 ,选择添加钉钉,在钉钉配置标签页中,可以配置钉钉的相关信息。
参数配置:可配置添加钉钉的相关参数
- Aes Key: 为数据加密密钥。用于回调数据的加密。
- Agent Id:创建应用时,系统自动生成的AgentId,可用于发送企业会话消息等场景。
- App Key: 创建应用时,AppKey是企业内部应用的唯一身份标识。
- App Secret: 创建应用时,系统自动分配,是对应的调用密钥。
- Corp Id: 企业在钉钉中的标识,每个企业拥有唯一的CorpId,可登录钉钉开发者后台-“首页”下查看。
- AES_Key: 需通过API Exporer进行获取。
- Token: 企业后台获取信息时的重要凭据,由Appkey和AppSecret产生。需通过API Exporer进行获取。
资源池配置
- 资源池:您可以选择单个或者多个资源池,以供第三方集成使用。
4.2. 微信配置
进入菜单 系统管理 - 第三方集成 ,选择添加企业微信,在企业微信配置标签页中,可以配置企业微信的相关信息。
参数配置:可配置添加微信的相关参数
- corpid: 企业ID,是企业的标识,每个企业拥有一个唯一的企业ID。请在企业微信管理后台 “我的企业”->“企业信息”下查看。
- Secret: 凭证密钥,用于保障数据安全的“钥匙"。请在企业微信管理后台的“审批”应用信息中查看。
- EncodingAESKey: 企业微信回调AesKey, 是信息加解密所用的秘钥。请在企业微信管理后台,应用管理下的配置回调地址信息中查看。
- Token: 企业微信回调token,是企业微信回调地址时验证接口的令牌。请在企业微信管理后台,应用管理下的配置回调地址信息中查看。
资源池配置
- 资源池:您可以选择单个或者多个资源池,以供第三方集成使用。
4.3. Veeam配置
进入菜单 系统管理 - 第三方集成 ,选择添加Veeam,在Veeam配置标签页中,可以配置Veeam的相关信息。
参数配置:可配置添加Veeam的相关参数
- Host: 请填写Veeam的连接地址。
- Username: 请填写登录Veeam的用户名。
- Password:请填写登录Veeam的密码。
资源池配置
- 资源池:您可以选择单个或者多个资源池,以供第三方集成使用。
4.4. 堡垒机配置
进入菜单 系统管理 - 第三方集成,选择添加堡垒机,在堡垒机配置标签页中,可以配置堡垒机的相关信息。例如,当您需要配置奇安信堡垒机,安恒堡垒机或齐治堡垒机时,可参考下表的参数配置。 在配置第三方堡垒机之前,请先在 服务设计 - 组件库 中添加堡垒机组件,并在属性标签页设计对接堡垒机的参数配置,详细操作请参考添加第三方组件。
安恒堡垒机配置参数 | 说明 |
---|---|
Admin令牌 | 管理令牌,用于验证对接安恒堡垒机 |
主机地址 | 堡垒机地址,请输入堡垒机的URL链接 |
部门Id | 主机所属部门Id |
运维规则Id | 请输入堡垒机的运维规则Id |
奇安信堡垒机配置参数 | 说明 |
---|---|
host | 堡垒机主机地址,请填写堡垒机的连接地址 |
username | 堡垒机连接用户,请填写登录第三方堡垒机的用户名 |
password | 堡垒机连接密码,请填写登录第三方堡垒机的密码 |
Platform Url | 平台连接地址,请填写平台的连接地址 |
secret_id | 堡垒机SecretId,用于标识 API 调用者的身份 |
secret_key | 堡垒机SecretKey,用于加密签名字符串和服务器端验证签名字符串的密钥 |
齐治堡垒机配置参数 | 说明 |
---|---|
主机地址 | 堡垒机主机地址,请填写堡垒机的连接地址 |
用户名 | 堡垒机连接用户,请填写登录第三方堡垒机的用户名 |
用户密码 | 堡垒机连接密码,请填写登录第三方堡垒机的密码 |
是否同步平台用户 | 选择是否同步平台用户到对应的第三方堡垒机 |
- 资源池配置
- 资源池:您可以选择单个或者多个资源池,以供第三方集成使用。
在成功添加第三方集成后,您可以在 资源治理 - 事件配置 中配置触发事件,例如当云资源创建之后,虚拟机信息注册到堡垒机中,详细操作请参考事件配置,在事件配置中,您也需要配置具体操作,详细的步骤请参考添加第三方系统集成任务。
4.5. 助通科技短信配置
进入菜单 系统管理 - 第三方集成 ,选择对接助通科技短信系统,在配置标签页中,请填写连接短信系统的相关信息。在成功对接该短信系统后,您可以在系统管理 - 系统配置 中的安全配置界面,选择开启短信验证的双因素认证方式,并在系统管理 - 通知配置 中的SMS短消息界面选择已对接的短信系统,则在相应的场景,该短信系统会发送认证信息。具体操作可参考启用双因素认证。
参数配置:可配置对接助通科技短信系统的相关参数
- 短信请求地址:请填写连接助通科技短信系统的地址
- 用户名:请输入登录通科技短信系统的用户名
- 密码:请输入登录通科技短信系统的密码
- 短信签名:请输入短信签名
资源池配置
- 资源池:您可以选择单个或者多个资源池,以供第三方集成使用。
5. 菜单配置
菜单配置可定义内置菜单访问权限、接入多种不同第三方系统,用户可以自定义需要的菜单目录,也可以接入外部系统并自由灵活的选择扩展菜单。内置菜单和扩展系统将根据定义的权限分配给不同的角色查看,并可根据定义的位置灵活地展现扩展系统。
5.1. 开关配置
用户可以在开关配置中自由开启和关闭所需的菜单,并配置用户访问授权,控制用户访问菜单权限。
每一级菜单及其子菜单(包括三级菜单)均支持自定义启用,默认授权所有用户角色访问。在添加授权角色后,将仅允许所添加角色访问所选菜单。
5.2. 菜单接入
用户可以添加菜单并指定位置,配置用户访问授权以控制用户访问菜单权限。支持配置内部链接、外部链接和Metabase链接三种类型。
点击 系统管理 - 菜单配置 - 菜单接入标签页,点击添加,选择菜单配置类型:
- 配置内部链接:配置内部菜单链接并设置内置菜单访问权限(适用于接入内部的路由,如/main/welcome)
- 新增外部链接:接入第三方系统或扩展系统(适用于接入百度、京东、Azure账单)。
- 新增Metabase链接:接入自定义仪表盘。
输入名称、描述、位置、打开方式、URL参数、角色(选择能够访问此菜单的角色)、状态(选择启用还是禁用此配置)并上传图标。
您可以灵活选择扩展菜单的位置,当添加第三方系统页面时,可选择如下位置:
前于系统管理(系统管理是一级菜单),则第三方系统也是一级菜单在系统管理菜单前面
位于系统管理(系统管理是一级菜单),则第三方系统是二级菜单内置在系统管理菜单中
后于系统管理(系统管理是一级菜单),则第三方系统也是一级菜单在系统管理菜单后面
点击保存,菜单配置列表中显示目前添加的所有内置菜单或外部链接名称、描述、URL参数、角色、状态、创建者、创建时间等。
「Note」 添加二级菜单时支持将菜单位置存放到有链接的自定义一级菜单下,适应项目需求。
5.3. 云资源菜单
用户可配置不同类型的云资源作为菜单并指定菜单位置,并能够配置用户访问授权以控制用户访问菜单权限,
您可根据以下步骤配置云资源菜单:
- 点击 系统管理 - 菜单配置 - 云资源标签页,点击添加,配置云资源菜单信息:
- 填写基本信息:
- 云平台类型:选择具体的云平台类型
- 资源类型:选择所配菜单的云资源类型
- 名称:自定义云资源菜单的名称
- 描述:自定义云资源菜单的描述,您也可使用系统提供的内置描述
- 图标:请上传云资源菜单图标,支持上传jpg/png/jpeg文件
- 位置:可灵活选择云资源菜单的位置,
- 前于:新增的云资源菜单放置于选择的一级菜单或者二级菜单的前面
- 后于:新增的云资源菜单放置于选择的一级菜单或者二级菜单的后面
- 位于:新增的云资源菜单放置于选择的一级菜单中
- 打开方式:
- 当前窗口:点击配置的云资源菜单,在当前页面打开
- 新窗口:点击配置的云资源菜单,跳转至新的页面打开
- 角色:选择可查看并使用该云资源菜单的角色
- 启用状态:选择是否启用该云资源菜单,启用时,该云资源菜单才被展示在菜单列表中
- 显示配置:您可以勾选展示云资源的不同属性,例如:云资源名称,状态,IP地址,项目,业务组等。
6. 数据字典
平台支持数据字典功能,数据字典的名称与值集可作为服务、流程和表单配置的字段来源。系统内置以下数据字典:服务类型、紧急程度、影响程度、优先级、工单关联关系以及合规性策略分组,内置的数据字典不支持修改名称、主键与序号,您可以选择启用或禁用部分值集、或新增自定义值集以修改上述配置中的字段。
您可根据以下步骤修改内置数据字典的值集(以“优先级”为例):
- 点击 系统管理 - 数据字典,选择内置的数据字典名称,如:优先级。
- 在概况标签页,内置数据字典的名称、主键、描述与序号不支持修改。
- 点击值集标签页,该页面展示了当前数据字典内已预设的值集,如:低、中、高、特高。内置的值集无法编辑。
- 对任意一个值集选择启用/禁用(或者勾选多个值集批量操作)。
- 点击添加按钮,输入自定义值集的名称、主键、描述后,也支持选择值集的父级并自定义字体颜色和排列序号,数值小的序号靠前显示。请选择是否启用该值集,并点击保存。自定义值集添加成功。
「Note」 父级仅支持选择同一数据字典内的值集,不支持跨字典选择。
若在数据字典中禁用部分值集,则在服务配置、流程定义等处相应字段将被禁用无法选择。例如:禁用“优先级”中的值集“特高”,则在服务等级协议中优先级设置仅可选择“低、中、高”或其他已启用的自定义值集。
7. 系统通告
平台支持系统公告的功能,管理员可以创建并查看系统公告例如值班通知、维护、升级、停机公告等,普通用户在登录平台后能收到已发布的公告通知。管理员可根据以下步骤配置公告通知:
- 选择 系统管理 - 系统通告 ,点击添加按钮;
- 填写通告的基本信息
- 标题:请自定义通告的标题;
- 优先级:根据通告的重要性选择优先级;
- 描述:使用富文本编辑器填写通告的主要内容;
- 发布配置:选择通告的开始和结束时间。普通用户无法收到未开始或者过期的通告;
- 点击 发布 按钮发布系统通告,普通用户在登录平台后就能收到该条系统通告。
8. 操作审计
SmartCMP支持对用户访问、操作信息的记录,平台管理员默认有该权限,若需要为其他角色增加该权限,请新增角色并添加该权限,详见角色
点击左侧导航栏的 系统管理 - 操作审计 ,可查看每个用户在系统内的登录和操作信息。该页面显示操作者、操作对象、操作名称、操作参数、状态以及操作时间。
平台记录的操作信息包括以下几类:
- 用户通过堡垒机远程登录访问虚拟机后的所有操作记录。
- 用户登录失败的相关信息,记录登录失败的原因,包括密码错误、密码过期、账户锁定等。
- 堡垒机命令过滤的相关操作记录,包括新建、修改、删除过滤命令等。
- 角色的相关操作,包括增加、删除、修改角色属性等。
您可以通过高级搜索功能进行快速筛选定位,支持操作者、状态、操作对象、起止时间的筛选,也可以使用普通搜索功能。