管理 Chronograf 用户

本页内容

• 管理 Chronograf 用户和角色
• 组织绑定用户
  • Chronograf 中的 InfluxDB 和 Kapacitor 用户
  • Chronograf 拥有的资源
  • Chronograf 访问的资源
  • 读取者
  • 成员
  • 查看者
  • 编辑者
  • 管理员
• 跨组织 SuperAdmin 权限
  • 所有新用户均为 SuperAdmins 配置选项
• 创建用户
• 更新用户
• 删除用户
• 导航组织
  • 登录和注销
  • 切换当前组织
  • 炼狱

管理 Chronograf 用户和角色

Chronograf 包含四种组织绑定用户角色和一种跨组织 SuperAdmin 权限。在一个组织中，管理员（具有 admin 角色）或具有 SuperAdmin 权限的用户可以创建、更新和分配角色给用户或删除角色分配。

组织绑定用户

Chronograf 用户被分配以下组织绑定用户角色之一，此处按能力递增顺序排列

• reader
• member
• viewer
• editor
• admin

以下详细描述的每种角色对以下 Chronograf 拥有的或 Chronograf 访问的资源具有不同的能力。

Chronograf 中的 InfluxDB 和 Kapacitor 用户

Chronograf 使用 InfluxDB 和 Kapacitor 连接来管理 Chronograf 中 InfluxDB 和 Kapacitor 资源的用户的访问控制。此类连接中指定的 InfluxDB 和 Kapacitor 用户的权限决定了具有（即查看者、编辑者和管理员）对该连接的任何 Chronograf 用户的能力。管理员包括管理员（admin 角色）或任何角色的用户，他们具有 SuperAdmin 权限。

Chronograf 拥有的资源

Chronograf 拥有的资源包括 Chronograf 完全控制的内部资源，包括

• Kapacitor 连接
• InfluxDB 连接
• 仪表板
• 预设布局
• Chronograf 组织
• Chronograf 用户
• Chronograf 状态页的新闻源和入门内容

Chronograf 访问的资源

Chronograf 访问的资源包括可以通过 Chronograf 访问的外部资源，但 Chronograf 对其控制有限。具有 viewer、editor 和 admin 角色的 Chronograf 用户，或具有 SuperAdmin 权限的用户，对这些资源的访问权限相同

• InfluxDB 数据库、用户、查询和时间序列数据（如果使用 InfluxDB Enterprise，也可以访问 InfluxDB 角色）
• Kapacitor 警报和警报规则（在 Kapacitor 中称为任务）

读取者（角色：reader）

读取者是 Chronograf 用户，他们只能以只读模式查看仪表板。他们无法修改或操作仪表板查询。读取者无法查看任务、警报、管理页面、日志或仪表板以外的任何工件。

成员（角色：member）

成员是已添加到组织但没有任何功能的用户。成员无法访问组织内的任何资源，因此无法使用 Chronograf。相反，成员只能访问“炼狱”，在那里用户可以根据分配的角色切换到组织。

默认情况下，新组织的角色为 member。如果默认组织是公共的，那么任何可以进行身份验证的人都将成为成员，但除非管理员分配了不同的角色，否则无法使用 Chronograf。

查看者（角色：viewer）

查看者是 Chronograf 用户，他们对其当前组织内 Chronograf 拥有的资源具有有效的只读功能。

• 查看预设仪表板
• 查看预设布局
• 查看 InfluxDB 连接
• 将当前 InfluxDB 连接切换到其他可用连接
• 通过当前连接访问 InfluxDB 资源
• 查看与每个 InfluxDB 连接关联的当前 Kapacitor 连接的名称
• 通过当前连接访问 Kapacitor 资源
• 切换到组织，用户在该组织中拥有角色

对于 Chronograf 访问的资源，查看者可以

• InfluxDB
  • 读取和写入时间序列数据
  • 创建、查看、编辑和删除数据库及保留策略
  • 创建、查看、编辑和删除 InfluxDB 用户
  • 查看和终止查询
  • InfluxDB Enterprise：创建、查看、编辑和删除 InfluxDB Enterprise 角色
• Kapacitor
  • 查看警报
  • 创建、编辑和删除警报规则

编辑者（角色：editor）

编辑者是 Chronograf 用户，他们对其当前组织内 Chronograf 拥有的资源具有有限的功能。

• 创建、查看、编辑和删除仪表板
• 查看预设布局
• 创建、查看、编辑和删除 InfluxDB 连接
• 将当前 InfluxDB 连接切换到其他可用连接
• 通过当前连接访问 InfluxDB 资源
• 创建、查看、编辑和删除与 InfluxDB 连接关联的 Kapacitor 连接
• 将当前 Kapacitor 连接切换到其他可用连接
• 通过当前连接访问 Kapacitor 资源
• 切换到组织，用户在该组织中拥有角色

对于 Chronograf 访问的资源，编辑者可以

• InfluxDB
  • 读取和写入时间序列数据
  • 创建、查看、编辑和删除数据库及保留策略
  • 创建、查看、编辑和删除 InfluxDB 用户
  • 查看和终止查询
  • InfluxDB Enterprise：创建、查看、编辑和删除 InfluxDB Enterprise 角色
• Kapacitor
  • 查看警报
  • 创建、编辑和删除警报规则

管理员（角色：admin）

管理员是 Chronograf 用户，他们对其当前组织内的以下 Chronograf 拥有的资源具有所有功能。

• 创建、查看、更新和删除 Chronograf 用户
• 创建、查看、编辑和删除仪表板
• 查看预设布局
• 创建、查看、编辑和删除 InfluxDB 连接
• 将当前 InfluxDB 连接切换到其他可用连接
• 通过当前连接访问 InfluxDB 资源
• 创建、查看、编辑和删除与 InfluxDB 连接关联的 Kapacitor 连接
• 将当前 Kapacitor 连接切换到其他可用连接
• 通过当前连接访问 Kapacitor 资源
• 切换到组织，用户在该组织中拥有角色

对于 Chronograf 访问的资源，管理员可以

• InfluxDB
  • 读取和写入时间序列数据
  • 创建、查看、编辑和删除数据库及保留策略
  • 创建、查看、编辑和删除 InfluxDB 用户
  • 查看和终止查询
  • InfluxDB Enterprise：创建、查看、编辑和删除 InfluxDB Enterprise 角色
• Kapacitor
  • 查看警报
  • 创建、编辑和删除警报规则

跨组织 SuperAdmin 权限

SuperAdmin 权限是一项 Chronograf 权限，允许任何用户，无论其角色如何，都可以执行组织内部和跨组织的所有管理员功能。具有 SuperAdmin 权限的用户拥有无限功能，包括以下 Chronograf 拥有的资源

• 创建、查看、更新和删除组织
• 在组织内创建、查看、更新和删除用户
• 授予或撤销另一个用户的 SuperAdmin 权限
• 切换到任何组织
• 切换默认组织的公共设置
• 切换所有新用户均为 SuperAdmin的全局配置设置

重要的 SuperAdmin 行为

• SuperAdmin 权限授予任何用户（无论是 member、viewer、editor 还是 admin）管理员的全部功能以及上述 SuperAdmin 功能。
• 当具有 SuperAdmin 权限的 Chronograf 用户创建新组织或切换到该用户没有任何角色的组织时，该 SuperAdmin 用户将自动默认分配 admin 角色。
• SuperAdmin 用户无法撤销自己的 SuperAdmin 权限。
• SuperAdmin 用户是唯一可以更改其他 Chronograf 用户的 SuperAdmin 权限的人。不具有 SuperAdmin 权限的常规管理员可以对 SuperAdmin 用户执行正常操作（在其组织内创建该用户、更改角色并删除他们），但他们将看不到这些用户具有 SuperAdmin 权限，他们的任何操作也不会影响这些用户的 SuperAdmin 权限。
• 如果用户的 SuperAdmin 权限被撤销，该用户将保留其在组织中的已分配角色。

所有新用户均为 SuperAdmins 配置选项

默认情况下，“所有新用户均为 SuperAdmins”的配置设置开启。任何具有 SuperAdmin 权限的用户都可以在管理 > Chronograf > 组织选项卡下切换此设置。如果此设置开启，任何新用户（创建或身份验证的用户）将_自动具有 SuperAdmin 权限。如果此设置关闭，任何新用户（创建或身份验证的用户）将不具有 SuperAdmin 权限，除非他们稍后被另一个具有 SuperAdmin 权限的用户明确授予。

创建用户

所需角色：admin

创建用户

1. 在浏览器中打开 Chronograf，然后选择管理 。
2. 点击用户选项卡，然后点击创建用户。
3. 添加以下用户信息
   • 用户名：输入 OAuth 提供商提供的用户名。
   • 角色：选择 Chronograf 角色。
   • 提供商：输入用于身份验证的 OAuth 2.0 提供商。有效值包括：github、google、auth0、heroku，或在GENERIC_NAME 环境变量中定义的其他名称。
   • 方案：显示 oauth2，这是此版本中唯一支持的身份验证方案。
4. 点击保存完成用户创建。

更新用户

所需角色：admin

只能更新用户的角色。用户的用户名、提供商和方案无法更新。（实际上，要“更新”用户的用户名、提供商或方案，必须删除用户并重新添加具有所需值的用户。）

更改用户角色

1. 在浏览器中打开 Chronograf，然后选择管理（皇冠图标） > Chronograf。
2. 点击用户选项卡以显示当前组织内的用户列表。
3. 为用户选择一个新角色。更新会自动保存。

删除用户

所需角色：admin

删除用户

1. 在浏览器中打开 Chronograf，然后选择管理 。
2. 点击用户选项卡以显示用户列表。
3. 将鼠标悬停在要删除的用户上，然后点击删除和确认。

导航组织

Chronograf 始终在组织的上下文中运行。当用户登录 Chronograf 时，该用户将只能访问其当前组织拥有的资源。唯一的例外是，具有 SuperAdmin 权限的用户还将能够管理组织，这可以在 Chronograf 管理页面中进行。

登录和注销

使用任何配置的 OAuth 2.0 提供商从 Chronograf 主页登录。

通过将鼠标悬停在左侧导航栏中的用户上并点击注销来注销。

切换当前组织

用户当前的组织和角色在切换组织列表中高亮显示，可以通过将鼠标悬停在左侧导航栏中的用户来找到。用户可以从 Chronograf 主页登录，使用任何配置的 OAuth 2.0 提供商。

用户可以通过将鼠标悬停在左侧导航栏中的用户（人形图标）上并点击注销来注销。

切换当前组织

用户当前的组织和角色在切换组织列表中高亮显示，可以通过将鼠标悬停在左侧导航栏中的用户（人形图标）来找到。

当用户在一个以上的组织中拥有角色时，该用户可以通过在切换组织列表中选择所需的组织来切换到他们拥有角色的任何其他组织。

炼狱

如果用户在其当前组织中是 member 并且没有 SuperAdmin 权限，则该用户将被重定向到一个称为“炼狱”的页面。在那里，用户将看到他们当前的组织和角色，以及一条联系管理员以获取访问权限的消息。

在同一页面上，该用户将看到他们所有组织和角色的列表。用户可以通过点击所需组织旁边的登录来切换到他们拥有 viewer、editor 或 admin 角色的任何列出的组织。

注意 在极少数情况下，当用户在“炼狱”中被授予 SuperAdmin 权限时，他们将能够按预期切换到任何列出的组织。