用户访问概述
通过配置以下项目,管理用户对 Cisco Unified Communications Manager 的访问:
-
访问控制组
-
角色
-
用户等级
访问控制组概述
访问控制组是分配给这些用户的用户和角色的列表。当您将最终用户、应用程序用户或管理员用户分配给访问控制组时,用户将获得与组关联的角色的访问权限。您可以通过将具有相似访问需求的用户分配给仅具有他们所需角色和权限的访问控制组来管理系统访问。
有两种类型的访问控制组:
-
标准访问控制组—这些是预定义的默认组,其角色分配能够满足一般的部署需求。您不能编辑标准组中的角色分配。不过,除了编辑用户等级要求之外,还可以添加和删除用户。有关标准访问控制组及其关联角色的列表,请参阅标准角色和访问控制组。
-
自定义访问控制组—当所有标准组都不包含满足您需求的角色权限时,可以创建自己的访问控制组。
用户等级框架提供一组对可以分配给用户的访问控制组的控制。要分配给访问控制组,用户必须满足该组的最低等级要求。例如,如果最终用户的用户等级为 4,则该用户只可以分配到最低等级要求介于 4 到 10 之间的访问控制组。不能将他们分配给最低等级为 1 的组。
示例 - 访问控制组的角色权限
以下示例说明了测试团队的成员被分配给访问控制组 test_ACG 的群集。右侧的屏幕截图显示了 test_Role(即与访问控制组关联的角色)的访问设置。另请注意,访问控制组的最低等级要求为 3。所有组成员的等级必须介于 1-3 之间,才能加入组。
角色概述
用户通过与用户所属的访问控制组相关联的角色获得系统访问特权。每个角色包含一组附加到特定资源或应用程序的权限,例如 Cisco Unified CM 管理或 CDR 分析和报告。对于 Cisco Unified CM 管理之类的应用程序,角色可能包含允许您在应用程序中查看或编辑特定 GUI 页面的权限。您可以分配给资源或应用程序的权限级别有三个:
-
读取—允许用户查看资源的设置。
-
更新—允许用户编辑资源的设置。
-
无权限—如果用户既没有读取权限,也没有更新权限,则其无权查看或编辑给定资源的设置。
角色类型
在预配置用户时,您必须确定要应用的角色,然后将用户分配到包含该角色的访问控制组。Cisco Unified Communications Manager 中有以下两种主要类型的角色:
-
标准角色—这些是预先安装的默认角色,旨在满足常见部署的需求。您无法编辑标准角色的权限。
-
自定义角色—当没有标准角色拥有您所需的权限时,可创建自定义角色。此外,如果需要更精细级别的访问控制,可以应用高级设置来控制管理员编辑关键用户设置的能力。请参阅以下部分了解详细信息。
高级角色设置
对于自定义角色,您可以将详细的控制级别添加到应用程序用户配置和最终用户配置窗口上的所选字段。
在高级角色配置窗口中,您可以配置对 Cisco Unified CM 管理的访问权限,同时限制对以下任务的访问:
-
添加用户
-
编辑密码
-
编辑用户等级
-
编辑访问控制组
下表详细说明您可以通过此配置应用的更多控制:
高级资源 | 访问控制 | ||||
---|---|---|---|---|---|
权限信息 |
控制添加或编辑访问控制组的能力:
|
||||
用户可以更新自己的权限信息 |
控制用户编辑自己的访问权限的能力:
|
||||
用户等级 |
控制更改用户等级的能力:
|
||||
用户可以更新自己的用户等级 |
控制用户编辑自己用户等级的能力:
|
||||
添加新用户 |
控制添加新用户的能力:
|
||||
密码 |
控制更改密码的能力:
|
用户等级概述
用户等级分层结构提供了一组控制机制,管理员可以通过访问控制组分配给最终用户或应用程序用户。
在预配置最终用户或应用程序用户时,管理员可以为用户分配用户等级。管理员还可以为每个访问控制组分配用户等级要求。添加用户以访问控制组时,管理员只能将用户分配给用户的用户等级符合等级要求的组。例如,管理员可以将用户等级为 3 的用户分配给用户等级要求介于 3 到 10 之间的访问控制组。但是,管理员无法将该用户分配给用户等级要求为 1 或 2 的访问控制组。
管理员可以在用户等级配置窗口中创建自己的用户等级分层结构,并可在预配置用户和访问控制组时使用该分层结构。请注意,如果未配置用户等级分层结构,或者您在预配置用户或访问控制组时不指定用户等级设置,则系统会为所有用户和访问控制组分配默认的用户等级 1(可能的最高等级)。