工单配置管理
配置工单模式
系统工单模式是指用户在申请资源访问权限时,可通过工单申请资源的范围,以及提交工单的方式。
- “基本模式”通过选择资源范围,简单限定访问控制工单申请范围;同时通过选择工单提交方式,可指定命令控制工单的提交方式。
- “高级模式”针对访问授权工单,从用户部门、用户角色、资源部门多维度限定用户可访问资源的范围。
前提条件
已获取“系统”模块管理权限。
配置基本工单模式
1 登录云堡垒机系统。
2 选择“系统 > 系统配置 > 工单配置”,进入系统工单配置管理页面。
系统工单配置
3 在“基本模式”区域,单击“编辑”,弹出基本工单模式配置窗口。
设置用户可以查看的资源范围,以及命令授权工单的提交方式。
基本模式参数说明
| 参数 | 说明 |
|---|---|
| 访问授权工单申请范围 | 选择访问控制工单可申请资源范围。 默认为本部门。 部门:申请访问控制工单时,运维人员可申请本部门资源的访问控制权限,不包括下级部门的资源。 本部门及下级部门:申请访问控制工单时,运维人员可申请本部门及下级部门资源的访问控制权限。 全部:运维人员可申请系统全部资源的访问控制权限。 |
| 命令授权工单提交方式 | 选择命令授权工单提交方式,可选择手动提交或自动提交。 默认为手动提交。 手动提交:触发生成命令控制工单后,需运维人员提交工单至管理员处审批。 自动提交:触发生成命令控制工单后,自动提交至管理员处审批。 |
4 单击“确认”,返回工单配置管理页面,可查看已配置的基本工单模式配置。
查看基本工单模式配置
配置高级工单模式
1 登录云堡垒机系统。
2 选择“系统 > 系统配置 > 工单配置”,进入系统工单配置管理页面。
3 在“高级模式”区域,单击“添加”,弹出高级工单模式配置窗口。
4 配置用户池。
选择用户部门或用户角色。
5 单击“下一步”,配置资源池。
6 单击“确定”,返回系统工单配置管理页面,查看高级模式配置。
后续管理
- 若需修改高级模式资源池和用户池,可单击“编辑”,在弹出的高级模式编辑窗口重新选择用户或资源范围。
- 若不再需要该高级模式限制 ,可在单击“删除”。删除后认证信息不能找回,请谨慎操作。
配置工单审批流程
系统工单审批流程是指用户提交工单后,工单审批通过的策略。可从审批流程方式、审批形式、审批节点、审批级数、终审节点等维度,自定义系统工单审批流程,加强对工单审批流程的管理。
- 审批流程:包括分级流程和固定流程。分级流程适用于部门内部审批的场景,固定流程适用于跨部门审批的场景。
- 审批形式:审批环节中多名审批人时审批通过方式,包括多人审批和会签审批。多人审批是任意一名审批人同意,即审批通过;会签审批是需所有审批人同意,审批才通过。
- 审批节点:审批环节中审批人的属性,包括部门和角色属性,符合部门和角色要求的部门管理员拥有审批权限。
- 审批级数:审批环节的数量,选择分级流程后必须确定审批级数。
- 终审节点:各级审批环节后,由系统管理员admin进行最终审批的一个环节。
本小节主要介绍如何配置系统工单审批流程。
前提条件
已获取“系统”模块管理权限。
操作步骤
1 登录云堡垒机系统。
2 选择“系统 > 系统配置 > 工单配置”,进入系统工单配置管理页面。
系统工单配置
3 在“审批流程”区域,单击“编辑”,弹出审批流程配置窗口。
配置审批流程的各项参数。
配置审批流程
工单审批流程参数说明
| 参数 | 说明 |
|---|---|
| 审批流程 | 选择审批流程方式,可选择“分级流程”和“固定流程”。 配置工单审批流程后,工单将由各级审批人进行逐级审批。若其中一级审批环节没有符合要求的审批人,则默认此环节已批准,工单流转至下一审批环节。 默认为分级流程方式。 分级流程:按照审批级数逐级进行审批。 固定流程:按照固定审批节点进行审批。 |
| 审批形式 | 选择审批形式,可选择“多人审批”和“会签审批”。 默认为多人审批形式。 多人审批:同级节点仅需一个审批人进行批准,即可通过审批。审批通过后,同级其他审批人也不会看到该工单。如果同级的任意一个审批人驳回,则审批不通过。 会签审批:同级节点所有审批人都审批通过,工单才进入下一级审批。任意一个审批人驳回,则审批不通过。 |
| 审批节点 | 设置节点审批人属性,需同时设置部门属性和角色属性。 设置完成后,符合部门和角色要求的用户自动成为节点审批人。如果没有符合部门和角色要求的用户,则自动向上级部门内寻找,直到找到“总部”为止。 部门属性:“用户所属部门”为工单申请人所属部门的管理员;“资源所属部门”为工单申请资源所属部门的管理员。 角色属性:需要拥有管理员和工单审批权限的角色,默认为部门管理员。 |
| 审批级数 | 设置审批环节数量,选择“分级流程”后必须配置工单通过审批所需的最大级数。 最多可设置5层审批节点。 默认为1,则需要一个审批环节进行审批。 |
| 终审节点 | 选择开启或关闭系统管理员admin终审,默认 。表示关闭admin终审环节。表示启用admin终审环节,所有环节审批人通过审批后,还需admin进行最终审批。 极端情况下,所有审批环节都没有符合要求的审批人,那么无论是否开启终审,都需admin审批工单。 |
4 单击“确定”,返回系统工单配置管理,可查看已配置的审批流程。
查看审批流程配置
访问授权工单
当运维用户不具备某些资源访问控制权限时,可主动提交工单,申请相应资源访问控制权限。
本小节主要介绍如何创建和管理访问授权工单。
前提条件
已获取“访问授权工单”模块管理权限。
操作步骤
1 登录云堡垒机系统。
2 选择“工单 > 访问授权工单”,进入访问控制工单列表页面。
访问控制工单列表页面
3 单击“新建”,弹出新建访问授权工单窗口。
配置访问授权工单基本信息。
配置工单基本信息
访问授权工单基本信息说明
| 参数 | 说明 |
|---|---|
| 运维时间 | 选择访问资源的时间段,生效时间和失效时间均必须配置。 |
| 文件传输 | 在运维过程中文件传输权限,包括上传和下载文件权限。 |
| 更多选项 | 在Web浏览器运维过程中,会话窗口功能选项。 文件管理:管理文件或文件夹的权限。若需文件上传下载权限,必须同时配置文件管理权限。 上行/下行剪切板:运维会话RDP剪切板的功能。 显示水印:运维会话窗口显示用户登录名水印的功能。 |
| 工单备注 | (可选)简要描述申请资源访问控制权限的原因或其他信息。 |
4 单击“下一步”,选择待访问资源账户。
选择资源账户
5 单击“确定”,提交工单申请,返回工单列表页面。
管理员审批工单后,即可拥有资源的访问控制权限。
后续管理
- 提交工单申请后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。
- 提交工单申请后,若需修改已提交的工单,可单击“撤回”,取消已提交的工单申请,工单状态变为“已撤回”。
- 创建工单后,若需查看工单和修改工单信息,可单击“管理”,进入工单详情页面查看和修改工单信息。
- “审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。
- 若已提交的工单已过期,可单击“删除”,管理工单列表。亦可勾选多条工单,单击列表左下角删除,批量删除工单。
- 删除后工单信息不能找回,请谨慎操作。
命令授权工单
云堡垒机支持对Linux主机操作进行“动态授权”管理,加强对敏感操作的限制管理。
当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。
命令被拦截示例
本小节主要介绍如何管理命令控制工单。
约束限制
- 仅SSH和Telnet协议类型的Linux主机,支持拦截敏感操作生成工单。
- 命令授权工单由运维用户触发命令策略,自动创建,不能手动创建。
前提条件
- 已获取“命令授权工单”模块管理权限。
- 已触发命令拦截,生成命令授权工单。
操作步骤
1 登录云堡垒机系统。
2 选择“工单 > 命令授权工单”,进入命令授权工单列表页面。
命令授权工单
3 提交工单。
- 命令授权工单可通过“自动提交”和“手动提交”。工单提交方式说明请参见配置工单基本模式。
- 若为自动提交方式,则由系统自动提交工单给管理员审批。
- 若为手动提交方式,则需运维用户在工单列表页面,单击指定工单“操作”列的“提交”,手动提交工单给管理员审批。
- 若工单被管理员驳回,可修改工单信息后再次提交工单。
已提交工单状态
4 撤回工单。
单击指定工单“操作”列的“撤回”,即可取消已提交的工单申请,工单状态变为“已撤回”。
5 修改工单信息。
- 单击“管理”,进入工单详情页面,即可查看工单基本信息。
- 单击工单详情页面编辑,即可修改工单授权运维时间。
- “审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。
6 删除工单。
- 单击指定工单“操作”列的“删除”,可以删除该工单。
- 同时勾选多个工单,单击列表下方的“删除”,批量删除多个工单。
- 删除后工单信息不能找回,请谨慎操作。
后续管理
- 运维用户提交工单后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。
- 相关管理员审批工单通过后,运维用户权限立刻生效,即可在授权范围和时间段拥有命令操作权限。
- 相关管理员撤销工单权限后,运维用户权限立刻失效,操作命令会再次被拦截。
数据库授权工单
云堡垒机支持对数据库操作进行“动态授权”管理,加强对数据库关键操作的限制管理。
当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该数据库“动态授权”操作命令的权限。
本小节主要介绍如何管理数据库授权工单。
约束限制
- 仅专业版实例支持数据库运维操作审计。
- 仅针对MySQL和Oracle类型数据库,支持拦截敏感操作生成工单。
- 数据库授权工单由运维用户触发命令策略,自动创建,不能手动创建。
前提条件
- 已获取“数据库授权工单”模块管理权限。
- 已触发操作拦截,生成数据库授权工单。
操作步骤
1 登录云堡垒机系统。
2 选择“工单 > 数据库授权工单”,进入数据库授权工单页面。
数据库授权工单列表
3 提交工单。
- 单击指定工单“操作”列的“提交”,手动提交工单给管理员审批。
- 若工单被管理员驳回,可修改工单信息后再次提交工单。
4 撤回工单。
单击指定工单“操作”列的“撤回”,即可取消已提交的工单申请,工单状态变为“已撤回”。
5 修改工单信息。
- 单击“管理”,进入工单详情页面,即可查看工单基本信息。
- 单击工单详情页面编辑,即可修改工单授权运维时间。
“审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。
6 删除工单。
- 单击指定工单“操作”列的“删除”,可以删除该工单。
- 同时勾选多个工单,单击列表下方的“删除”,批量删除多个工单。
删除后工单信息不能找回,请谨慎操作。
后续管理
- 运维用户提交工单后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。
- 相关管理员审批工单通过后,运维用户权限立刻生效,即可在授权范围和时间段拥有操作权限。
- 相关管理员撤销工单权限后,运维用户权限立刻失效,操作命令会再次被拦截。
审批系统工单
运维用户提交工单申请或者触发命令工单后,工单流转到系统指定的审批人处。审批人可在“消息中心”收到工单审批提醒,此时可在工单审批列表中查看到待审批的工单。
本小节主要介绍如何管理已提交审批工单,包括查看工单详情、审批工单、驳回工单、撤销工单授权等。
前提条件
已获取“工单审批”模块管理权限。
操作步骤
1 登录云堡垒机系统。
2 选择“工单 > 工单审批”,进入审批工单列表页面。
审批工单列表
3 查看工单详情。
单击目标工单“操作”列的“管理”,进入工单详情页面,即可查看工单详细信息,包括工单基本信息、资源账户列表、审批人列表。
查看工单详细信息
4 批准工单。
- 单击目标工单“操作”列的“批准”,即可通过该工单审批。
- 勾选多个工单,单击列表左下角批准,即可批量通过
5 驳回工单。
单击目标工单“操作”列的“驳回”,即可取消申请的工单。
6 撤销工单。
工单被批准后,单击目标工单“操作”列的“撤销”,即可收回资源的授权。
系统工单应用示例
实例一:按用户所属部门申请资源,建立分级流程工单
前提条件
- 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考 部门概述,用户和角色设置请参考用户概述,资源设置请参考资源概述。
- 工单审批流程设置如表所示,具体操作请参考配置工单审批流程。
工单配置参数说明
| 参数 | 值 |
|---|---|
| 审批流程 | 分级流程 |
| 审批形式 | 多人审批 |
| 审批节点 | 用户所属部门-部门管理员 |
| 审批级数 | 3 |
审批流程
用户提起工单电子流,按用户所属部门申请访问资源,工单审批流程如图所示。
大队管理员User A和User B均拥有审批权,只要任意一人批准,则该环节审批通过,任意一人驳回,则该环节审批不通过。大队管理员审批通过后,下一环节将由村管理员User C进行审批。以此类推,直到镇管理员User D审批通过后,用户即可获得相应的权限。审批过程中任意一个环节驳回,则该工单审批不通过,用户不能获得相应的权限。
工单审批流程
实例二:按资源所属部门申请资源,建立分级流程工单
前提条件
- 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考 部门概述,用户和角色设置请参考 用户概述,资源设置请参考 资源概述。
- 工单审批流程设置如表所示,具体操作请参考 配置工单审批流程。
工单配置参数说明
| 参数 | 值 |
|---|---|
| 审批流程 | 分级流程 |
| 审批形式 | 多人审批 |
| 审批节点 | 用户所属部门-部门管理员 |
| 审批级数 | 3 |
审批流程
用户提起工单电子流,按资源所属部门申请访问资源,审批流程如图所示。
镇管理员User D进行审批,审批通过则由县管理员User E进行下一环节的审批,审批不通过则工单被驳回。以此类推,直到市管理员User
F审批通过后,用户即可获得相应的权限。审批的过程中任意一个环节驳回,则该工单审批不通过,用户不能获取相应的权限。
审批流程
实例三:建立固定流程的会签审批工单
前提条件
- 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考 部门概述,用户和角色设置请参考 用户概述,资源设置请参考 资源概述。
- 工单审批流程设置如表所示,具体操作请参考 配置工单审批流程。
工单配置参数说明
| 参数 | 内容 |
|---|---|
| 审批流程 | 固定流程 |
| 审批形式 | 会签审批 |
| 审批节点 | 3 |
签核流程
用户提起工单电子流,申请访问非用户所属部门的资源,审批流程如图所示。
工程部管理员User B和User C均拥有审批权,两者都批准则该环节审批通过,任意一人驳回则该环节审批不通过。工程部管理员审批通过后,下一环节将由财务部管理员User D进行审批,以此类推,直到财务部管理员User E审批通过后,用户即可获得相应的权限。审批过程中任意一个环节驳回,则该工单审批不通过,用户不能获取相应的权限。
会签审批流程
