用户与角色

HSM支持用户权限控制,即为不同用户分配不同的权限,方便不同权限的用户对HSM系统进行不同的操作。在系统中,用户与权限并不直接关联,而是需要通过角色把二者联系起来;一个角色可以被赋予给一个或者多个用户。

角色

被赋予不同角色的HSM用户对HSM的各功能模块拥有的权限不同。系统支持预定义角色和自定义角色。

预定义角色

系统提供以下4种预定义角色,这4种系统预定义的角色不允许被删除和编辑。预定义角色拥有默认的功能读写权限。

系统预定义角色在HSM的各个功能模块的详细权限说明如下:

功能模块 系统管理员 操作员 系统管理员(只读) 日志审计员
安全设备管理器 读写 读写 只读 -
SD-WAN管理器 读写 读写 只读 -
ZTNA管理器 读写 读写 只读 -
ADC管理器 读写 读写 只读 -
策略分析器 读写 读写 只读 -
任务管理 读写 读写 只读 只读
系统管理 读写 只读 只读 只读
告警管理 读写 读写 只读 -
报表管理 读写 读写 只读 -
日志管理 读写 读写 只读 读写
WAF设备管理器 读写 读写 只读 -
等保设备管理器 读写 读写 只读 -
特征库服务器 读写 读写 只读 -

自定义角色

拥有“系统管理员”角色的用户可根据需要自定义角色,即为不同的角色赋予不同的权限,然后将角色赋予给所需的用户。

新建自定义角色

自定义角色,请按照以下步骤进行操作:

  1. 选择“系统 > 管理员设置 > 用户与角色 > 角色”,进入角色管理页面。
  2. 点击“新增”,打开<新增角色>页面。



    在该页面进行如下配置。

    选项说明
    名称指定角色的名称。名称长度范围为0到32个字符。
    功能权限
    • 读写:勾选功能模块前的复选框,该角色将拥有所选模块的读写权限。
    • 只读:勾选功能模块前的复选框,该角色将拥有所选模块的只读权限。
    说明
    • 若为该角色对某一功能模块同时赋予了“读写”和“只读”的权限,该角色将拥有该模块的读写权限。
    • 系统默认赋予该角色“任务”功能的“只读”权限,且不可取消。
    描述添加该角色的描述信息。
  3. 点击“确定”。
注意: 卸载某一模块的许可证后,原先具有该模块功能权限的用户将无法再使用该功能。重新安装该许可证后,该用户可重新使用该功能,无需为其重新赋予该功能权限。

预定义角色不允许被编辑或删除。用户可以对自定义角色执行以下操作:

用户

用户登录HSM系统后,即可通过HSM系统管理设备。HSM拥有一个被赋予系统管理员角色的默认用户,名称为“admin”,默认密码为“hillstone”。

本节包含以下内容:

新增用户

新增用户,请按照以下步骤进行操作:

  1. 选择“系统 > 管理员设置 > 用户与角色 > 用户”,进入用户管理页面。
  2. 点击“新增”,打开<新增用户>页面。

    在该页面进行如下配置:

    选项说明
    名称指定用户名称。
    角色在下拉菜单中指定赋予该用户的角色
    设备资源权限指定该用户可管理的设备资源,可以为全部纳管设备和指定设备。赋予系统预定义角色的用户默认拥有全部纳管设备的管理权限,包括安全设备、ADC设备、WAF设备和等保设备;赋予系统自定义角色的用户拥有指定设备的管理权限,可以指定安全设备、ADC设备、WAF设备和等保设备。
    指定安全设备、ADC设备、WAF设备和等保设备权限配置操作一致,下面以指定安全设备资源权限为例说明:
    • 点击“安全设备资源权限”下的“全部”按钮,为用户指定全部安全设备资源,用户拥有所有安全设备的管理权限。
    • 点击“安全设备资源权限”下的“指定设备/组”按钮,在弹出的<指定设备/组>页面,从左侧设备树勾选指定设备组或设备复选框,点击“确定”按钮,保存配置。
      • 当为用户指定设备组资源时,用户对设备组及组内的设备均具备管理权限;并且,当有新的设备加入该设备组时,用户将自动获得该设备的管理权限。
      • 当为用户指定设备资源时,用户仅对指定设备具备管理权限,对该设备所属的设备组不具备管理权限。若指定某一设备组下所有的设备,但未勾选设备组复选框时,当有新的设备加入该设备组,用户没有该设备的权限。
      在<指定设备/组>页面,用户还可以通过输入设备名称或设备组名称,查找指定设备或设备组;也可以通过设备类型,查找指定设备。
    邮箱指定该用户的邮件地址。
    手机号码指定该用户的手机号码。
    密码指定该用户对应的密码。密码长度为4-32位字符,支持数字、英文字母(区分大小写)和特殊字符。
    密码确认再次输入密码进行确认。
    超时时间指定用户的超时时间,单位是分钟,默认值为10分钟。如果用户在超时时间内未做任何配置,系统将断开此次登录连接。
    REST API当“角色”指定为“系统管理员”且输入用户名称时,该选项可配。
    点击“获取”按钮,系统自动生成REST API token并填入文本框中,获取后的REST API token不支持编辑。在配置生效后,用户可在有效期内调取北向API。
    有效期获取REST API后,该选项可配。
    指定REST API token的有效期,包括:永久有效和自定义,默认为永久有效。当指定为“自定义”时,在“请选择日期”下拉菜单中自定义选择有效时间,且选择的时间必须大于当前系统时间。
    描述添加该用户的描述信息。
  3. 点击“确定”按钮,完成配置。

编辑用户

编辑用户信息,请按照以下步骤进行操作:

  1. 选择“系统 > 管理员设置 > 用户与角色 > 用户”,进入用户管理页面。
  2. 点击“操作”列的按钮,打开<编辑用户>页面;若需修改当前登录HSM的用户信息,点击页面右上方的
    编辑用户信息,需遵循以下原则:
    • 用户名称不可以被修改。
    • 若当前登录至HSM系统的用户为“系统管理员”时,可以编辑其邮箱、手机号码、超时时间、REST API、有效期和描述;若为“操作员”、“系统管理员(只读)”、“日志审计员”或“自定义角色”,则仅可以编辑其邮箱、手机号码、超时时间和描述。
  3. 点击“确定”。
注意: 若需编辑默认用户“admin”,请使用“admin”登录,然后点击用户管理页面的按钮。

删除用户

删除用户,请按照以下步骤进行操作:

  1. 选择“系统 > 管理员设置 > 用户与角色 > 用户”,进入用户管理页面。
  2. 点击“操作”列的按钮,删除指定用户;点击列表右上方的按钮,批量删除选中的用户。
  3. 点击“确定”。
注意: 默认用户“admin”不允许被删除。

重置用户密码

将用户密码重置为默认密码“hillstone”,请按照以下步骤进行操作:

  1. 选择“系统 > 管理员设置 > 用户与角色 > 用户”,进入用户管理页面。
  2. 系统支持以下三种方式重置用户密码:
    • 点击列表右上方的“重置密码”,重置指定用户的登录密码。
    • 点击“操作”列的按钮。
    • 点击“操作”列的按钮,点击页面右上角的“重置密码”。

修改用户密码

系统只支持修改系统当前登录的用户密码。

系统支持以下两种方式修改用户密码:

若用户使用的是默认密码,还可按照以下步骤进行操作:

  1. 在浏览器中输入HSM设备管理IP后,打开登录页面,输入用户名及密码。
  2. 点击“登录”,弹出<安全提示>对话框。在该对话框中依次输入原密码、新密码以及重新输入新密码。
  3. 点击“确定”。

查看用户

非系统管理员的用户只可以查看自身详情。查看用户详情,请按照以下步骤进行操作:

  1. 选择“系统 > 管理员设置 > 用户与角色 > 用户”,进入用户管理页面。
  2. 点击指定用户的名称,打开<查看用户>页面,查看该用户的角色、邮箱、REST API token、有效期等详细信息。当用户头像为时,表示该用户在线;当用户头像为时,表示该用户离线。

用户还可以在用户管理页面执行如下操作:

管理用户REST API token

在用户管理页面支持复制和清除用户REST API token。admin用户可以清除全部用户的REST API token,普通系统管理员用户只能清除自身的REST API token。当用户的REST API token被清除后,该用户无法调取北向API。

复制和清除REST API token,请按照以下步骤进行操作:

  1. 选择“系统 > 管理员设置 > 用户与角色 > 用户”,进入用户管理页面。
  2. 用户可根据需要,进行如下操作:

开启/关闭用户的双因素认证

除系统默认admin用户之外的所有用户的双因素认证,即用户登录HSM时,除了对其使用的用户名和密码进行校验,还需要进行短信验证码的校验。开启用户的双因素认证,需提前配置好短信网关参数,同时保证该管理员的手机号配置正确。关于短信网关配置的详细介绍,请参阅“短信网关”。

开启/关闭用户的双因素认证,按照以下步骤进行操作:

  1. 点击“系统 > 管理员设置 > 用户与角色 > 用户”,进入用户管理页面。
  2. 点击列表右上方的按钮,然后在弹出的<确认>对话框中点击“确定”,开启或关闭除系统默认admin用户之外的所有用户的双因素认证。