应用访问分配 SOP
本文档用于指导管理员在当前租户内为应用配置访问分配,并验证用户、角色或组织是否已按预期获得应用访问权。
适用场景
- 新应用创建后需要给用户、角色或组织开通访问
- 用户可登录但看不到目标应用
- 需要回收应用访问权或核对访问来源
前置条件
- 目标应用已存在于当前租户
- 目标用户、角色或组织已在当前租户内可见
- 已明确本次是直接授权还是继承授权
操作入口
- 应用列表或应用详情页中的
Access Assignments - 必要时从用户视角查看结果页,确认有效应用列表
操作步骤
1. 确认授权主体与目标应用
- 明确是对用户、角色还是组织授予访问权
2. 进入访问分配页
- 从应用列表或应用详情页打开
Access Assignments
3. 新增、调整或回收访问分配
- 设置主体、状态和需要保留的授权关系
4. 验证最终生效结果
- 从应用摘要或用户有效应用视角确认是否实际生效
授权主体说明
- 用户:适合少量直接指定人员访问
- 角色:适合按岗位或职责成组授权
- 组织:适合按组织结构或部门成组授权
如果同一应用对较大人群开放,优先考虑通过角色或组织分配,减少后续逐个用户维护成本。
操作步骤
- 进入目标应用的编辑页或应用列表操作菜单,打开
Access Assignments - 点击新增分配,选择
subjectType - 选择
subjectId,设置状态 - 点击保存,系统会调用
POST /api/application-access/create - 若同一主体的记录已存在,后端会恢复或更新原记录,而不是重复创建
- 通过应用侧摘要或用户侧
Applications结果页验证生效情况
分配状态建议
Enable:主体可正常访问该应用Disable:保留关系但暂时不允许访问Pending:适合暂存或等待其它配置就绪后再启用Delete:彻底移除该主体的应用访问关系
结果验证方法
- 在应用编辑页查看
Access Summary - 在用户列表中进入目标用户的
Applications页面,确认目标应用是否已生效 - 如果是角色或组织继承,确认用户当前仍属于该角色或组织
管理 API 与数据真源
- 创建:
POST /api/application-access/create - 更新:
POST /api/application-access/update - 删除:
DELETE /api/application-access/delete - 真源表:
application_access_assignment - 唯一索引:
(tenant_id, application_id, subject_type, subject_id)
成功判断
- 分配记录存在且状态正确
- 目标主体已能按预期访问应用或已被正确回收
- 继承链路与直接授权口径清晰
失败排查
- 新增失败时,先确认主体是否属于当前租户
- 已分配但无访问时,先确认应用是否开启强制访问分配和主体状态是否有效
- 仍无法判断时,继续查看 处理权限未生效 SOP
- 用户侧能进应用但功能不对时,继续排查角色、
Claim、Scope或应用内本地鉴权逻辑
相关文档
返回 租户运营配置文档