管理 Chronograf 用户
本页内容
管理 Chronograf 用户和角色
注意: Chronograf 1.4 或更高版本支持组织和用户角色。首先,必须配置 OAuth 2.0 身份验证(如果已配置,您将在“管理”菜单上看到“Chronograf 管理”选项卡)。有关更多信息,请参阅管理安全性。
Chronograf 包括四个组织绑定的用户角色和一个跨组织超级管理员权限。在一个组织中,管理员(具有 admin
角色)或具有超级管理员权限的用户可以创建、更新用户并为其分配角色或删除角色分配。
组织绑定的用户
Chronograf 用户被分配以下组织绑定的用户角色之一,此处按功能递增的顺序列出
以下详细描述的每个角色对于以下 Chronograf 拥有或 Chronograf 访问的资源具有不同的功能。
Chronograf 中的 InfluxDB 和 Kapacitor 用户
Chronograf 使用 InfluxDB 和 Kapacitor 连接来管理用户对 Chronograf 中 InfluxDB 和 Kapacitor 资源的访问控制。在此类连接中指定的 InfluxDB 和 Kapacitor 用户的权限决定了任何具有访问权限的 Chronograf 用户(即查看者、编辑者和管理员)对该连接的功能。管理员包括管理员(admin
角色)或具有超级管理员权限的任何角色的用户。
注意: Chronograf 用户与 InfluxDB 和 Kapacitor 用户完全分离。Chronograf 用户和身份验证系统适用于 Chronograf 用户界面。InfluxDB 和 Kapacitor 用户及其权限是单独管理的。Chronograf 连接确定连接到每个服务时要使用的 InfluxDB 或 Kapacitor 用户。
Chronograf 拥有的资源
Chronograf 拥有的资源包括完全在 Chronograf 控制之下的内部资源,包括
- Kapacitor 连接
- InfluxDB 连接
- 仪表盘
- 预设布局
- Chronograf 组织
- Chronograf 用户
- Chronograf 状态页面的新闻提要和入门内容
Chronograf 访问的资源
Chronograf 访问的资源包括可以使用 Chronograf 访问但受 Chronograf 有限控制的外部资源。角色为 viewer
、editor
和 admin
的 Chronograf 用户或具有超级管理员权限的用户对这些资源具有相同的访问权限
- InfluxDB 数据库、用户、查询和时间序列数据(如果使用 InfluxDB Enterprise,也可以访问 InfluxDB 角色)
- Kapacitor 警报和警报规则(在 Kapacitor 中称为任务)
读者(角色:reader
)
读者是 Chronograf 用户,他们只能以只读模式查看仪表盘。他们无法更改或操作仪表盘查询。读者无法查看任务、警报、管理页面、日志或仪表盘以外的任何工件。
成员(角色:member
)
成员是已添加到组织但没有任何功能能力的 Chronograf 用户。成员无法访问组织内的任何资源,因此实际上无法使用 Chronograf。相反,成员只能访问炼狱,用户可以在其中根据分配的角色切换到组织。
默认情况下,新组织具有 member
的默认角色。如果默认组织是公共的,那么任何可以进行身份验证的人都将成为成员,但在管理员分配不同的角色之前,将无法使用 Chronograf。
查看者(角色:viewer
)
查看者是 Chronograf 用户,他们对其当前组织中 Chronograf 拥有的资源具有有效的只读功能
- 查看预设仪表盘
- 查看预设布局
- 查看 InfluxDB 连接
- 将当前 InfluxDB 连接切换到其他可用连接
- 通过当前连接访问 InfluxDB 资源
- 查看与每个 InfluxDB 连接关联的当前 Kapacitor 连接的名称
- 通过当前连接访问 Kapacitor 资源
- 切换到用户拥有角色的组织
对于 Chronograf 访问的资源,查看者可以
- InfluxDB
- 读取和写入时间序列数据
- 创建、查看、编辑和删除数据库和保留策略
- 创建、查看、编辑和删除 InfluxDB 用户
- 查看和终止查询
- InfluxDB Enterprise:创建、查看、编辑和删除 InfluxDB Enterprise 角色
- Kapacitor
- 查看警报
- 创建、编辑和删除警报规则
编辑者(角色:editor
)
编辑者是 Chronograf 用户,他们对其当前组织中 Chronograf 拥有的资源具有有限的功能
- 创建、查看、编辑和删除仪表盘
- 查看预设布局
- 创建、查看、编辑和删除 InfluxDB 连接
- 将当前 InfluxDB 连接切换到其他可用连接
- 通过当前连接访问 InfluxDB 资源
- 创建、查看、编辑和删除与 InfluxDB 连接关联的 Kapacitor 连接
- 将当前 Kapacitor 连接切换到其他可用连接
- 通过当前连接访问 Kapacitor 资源
- 切换到用户拥有角色的组织
对于 Chronograf 访问的资源,编辑者可以
- InfluxDB
- 读取和写入时间序列数据
- 创建、查看、编辑和删除数据库和保留策略
- 创建、查看、编辑和删除 InfluxDB 用户
- 查看和终止查询
- InfluxDB Enterprise:创建、查看、编辑和删除 InfluxDB Enterprise 角色
- Kapacitor
- 查看警报
- 创建、编辑和删除警报规则
管理员(角色:admin
)
管理员是 Chronograf 用户,他们对其当前组织中 Chronograf 拥有的资源具有所有功能
- 创建、查看、更新和删除 Chronograf 用户
- 创建、查看、编辑和删除仪表盘
- 查看预设布局
- 创建、查看、编辑和删除 InfluxDB 连接
- 将当前 InfluxDB 连接切换到其他可用连接
- 通过当前连接访问 InfluxDB 资源
- 创建、查看、编辑和删除与 InfluxDB 连接关联的 Kapacitor 连接
- 将当前 Kapacitor 连接切换到其他可用连接
- 通过当前连接访问 Kapacitor 资源
- 切换到用户拥有角色的组织
对于 Chronograf 访问的资源,管理员可以
- InfluxDB
- 读取和写入时间序列数据
- 创建、查看、编辑和删除数据库和保留策略
- 创建、查看、编辑和删除 InfluxDB 用户
- 查看和终止查询
- InfluxDB Enterprise:创建、查看、编辑和删除 InfluxDB Enterprise 角色
- Kapacitor
- 查看警报
- 创建、编辑和删除警报规则
跨组织超级管理员权限
超级管理员权限是一种 Chronograf 权限,允许任何用户(无论角色如何)在组织内部以及跨组织执行所有管理员功能。具有超级管理员权限的用户具有无限功能,包括以下 Chronograf 拥有的资源
- 创建、查看、更新和删除组织
- 创建、查看、更新和删除组织内的用户
- 授予或撤销其他用户的超级管理员权限
- 切换到任何组织
- 切换默认组织的公共设置
- 切换 所有新用户都是超级管理员 的全局配置设置
重要的超级管理员行为
- 超级管理员权限授予任何用户(无论是
member
、viewer
、editor
还是admin
)管理员的全部功能以及上面列出的超级管理员功能。 - 当具有超级管理员权限的 Chronograf 用户创建一个新组织或切换到该用户没有角色的组织时,默认情况下,该超级管理员用户会被自动分配
admin
角色。 - 超级管理员用户无法撤销自己的超级管理员权限。
- 超级管理员用户是唯一可以更改其他 Chronograf 用户的超级管理员权限的人。没有超级管理员权限的普通管理员可以对超级管理员用户执行正常操作(在其组织内创建该用户、更改角色和删除他们),但他们不会看到这些用户具有超级管理员权限,他们的任何操作也不会影响这些用户的超级管理员权限。
- 如果用户的超级管理员权限被撤销,该用户将保留其组织内分配的角色。
所有新用户都是超级管理员配置选项
默认情况下,“所有新用户都是超级管理员”的“配置”设置是“开启”。任何具有超级管理员权限的用户都可以在“管理 > Chronograf > 组织”选项卡下切换此设置。如果此设置是“开启”,则任何新用户(创建或身份验证的用户)都将自动具有超级管理员权限。如果此设置是“关闭”,则任何新用户(创建或身份验证的用户)都不会具有超级管理员权限,除非稍后由另一个具有超级管理员权限的用户明确授予。
创建用户
所需角色:admin
要创建用户
- 在 Web 浏览器中打开 Chronograf,然后选择“管理 ”。
- 单击“用户”选项卡,然后单击“创建用户”。
- 添加以下用户信息
- 用户名:输入 OAuth 提供商提供的用户名。
- 角色:选择 Chronograf 角色。
- 提供商:输入要用于身份验证的 OAuth 2.0 提供商。有效值为:
github
、google
、auth0
、heroku
或GENERIC_NAME
环境变量中定义的其他名称。 - 方案:显示
oauth2
,这是此版本中唯一支持的身份验证方案。
- 单击“保存”以完成创建用户。
更新用户
所需角色:admin
只能更新用户的角色。用户的用户名、提供商和方案无法更新。(实际上,要“更新”用户的用户名、提供商或方案,必须先删除该用户,然后使用所需的值再次添加。)
要更改用户的角色
- 在 Web 浏览器中打开 Chronograf,然后选择“管理(皇冠图标) > Chronograf”。
- 单击“用户”选项卡以显示当前组织中的用户列表。
- 为用户选择新角色。更新将自动持久保存。
删除用户
所需角色:admin
要删除用户
- 在 Web 浏览器中打开 Chronograf,然后选择“管理 ”。
- 单击“用户”选项卡以显示用户列表。
- 将光标悬停在要删除的用户上方,然后单击“删除”和“确认”。
导航组织
Chronograf 始终在组织的上下文中使用。当用户登录 Chronograf 时,该用户将仅访问其当前组织拥有的资源。唯一的例外是具有超级管理员权限的用户也可以在 Chronograf 管理页面中管理组织。
登录和注销
使用任何配置的 OAuth 2.0 提供商从 Chronograf 主页登录。
通过将鼠标悬停在左侧导航栏中的“用户”上方并单击“注销”来注销。
切换当前组织
用户的当前组织和角色在“切换组织”列表中突出显示,可以通过将鼠标悬停在左侧导航栏中的“用户”上方找到该列表。用户可以使用任何配置的 OAuth 2.0 提供商从 Chronograf 主页登录。
用户可以通过将鼠标悬停在左侧导航栏中的“用户(人物图标)”上方并单击“注销”来注销。
切换当前组织
用户的当前组织和角色在“切换组织”列表中突出显示,可以通过将鼠标悬停在左侧导航栏中的“用户(人物图标)”上方找到该列表。
当用户在一个以上的组织中拥有角色时,该用户可以通过在“切换组织”列表中选择所需的组织来切换到他们拥有角色的任何其他组织。
炼狱
如果用户在任何时候都是其当前组织中的 member
并且没有超级管理员权限,则该用户将被重定向到一个名为炼狱的页面。在那里,用户将看到他们当前的组织和角色,以及联系管理员以获取访问权限的消息。
在同一页面上,该用户将看到其所有组织和角色的列表。用户可以通过单击所需组织旁边的“登录”来切换到其角色为 viewer
、editor
或 admin
的任何列出的组织。
注意 在极少数情况下,如果用户在炼狱中被授予超级管理员权限,他们将能够按预期切换到任何列出的组织。
此页是否对您有帮助?
感谢您的反馈!
支持和反馈
感谢您成为我们社区的一份子!我们欢迎并鼓励您提供关于 Chronograf 和本文档的反馈和错误报告。要查找支持,请使用以下资源