Feinian Ids tenant Docs main troubleshoot-permission-not-effective.md

处理权限未生效 SOP

本文档用于指导管理员处理“权限已配但仍无访问”的问题,帮助团队快速判断问题落在应用访问、角色授权、Claim / Scope 还是应用本地鉴权。

适用场景

  • 用户能登录但进不去目标应用
  • 用户能进应用但功能权限不足
  • 角色、ClaimScope 已配置但前台或接口结果不符合预期

前置条件

  • 已确认问题用户、目标应用和期望权限
  • 已准备当前授权配置截图或记录
  • 已确认问题发生在当前租户范围内

操作入口

  • 用户治理页、应用治理页和 Access Assignments
  • 需要补充接入链路背景时查看 租户接入与联调

操作步骤

1. 判断问题发生层级

  • 先区分是应用访问没开通,还是进入应用后的功能权限不足

2. 检查主体和租户范围

  • 确认用户、角色、组织和应用都属于当前租户且状态有效

3. 检查授权链路

  • 依次核对应用访问分配、角色继承、ClaimScope 的配置位置

4. 做结果验证

  • 用目标用户重新验证登录、进入应用和功能访问结果

推荐排查路径

  1. 先确认用户能否进入目标应用
  2. 若连应用都看不到,优先查应用访问分配
  3. 若能进入应用但功能不对,优先查角色、ClaimScope
  4. 若配置都正常但结果仍不对,再检查应用侧本地权限模型

常见问题拆解

应用不可见

  • 检查目标应用是否处于启用状态
  • 检查 enforceAccessAssignments 是否开启
  • 检查用户、角色或组织是否真的获得有效应用访问分配

应用可见但进入后功能不足

  • 检查角色是否已正确授予
  • 检查 Claim 是否存在且值正确
  • 检查 Scope 是否只是接入范围,而不是被误当成岗位权限

同一用户在不同租户结果不同

  • 检查当前租户上下文
  • 检查不同租户中的应用访问分配、角色和默认租户是否一致

操作建议

  • 每次只改一层配置,再复验,避免同时改应用访问、角色和 claim 后无法判断根因
  • 优先使用角色治理,而不是给用户堆大量零散 Claim
  • 在排查结果中明确记录问题是“进不去应用”还是“进了应用但功能不对”

成功判断

  • 已明确问题落点在应用访问、角色、ClaimScope 或对象范围
  • 调整后用户访问结果与预期一致,或已形成明确升级结论

失败排查

  • 应用不可见时,优先查 应用访问分配 SOP
  • 应用可见但功能受限时,优先查角色、ClaimScope 边界
  • 如仍无法判断,结合审计和接入文档确认是否为应用侧本地鉴权逻辑导致
  • 如果同一时间大面积权限异常,优先确认是否做过应用、租户或平台级变更

相关文档

返回 租户运营配置文档