概述
平台允许每个人以用户的身份登录平台,并对登录信息进行验证。
用户来源
-
本地用户:平台部署时系统自动创建的管理员账号、通过平台创建的账号,以及通过本地 dex 配置文件添加的用户。
-
第三方用户
-
同步至平台的 LDAP 用户:在平台上通过对接 IDP(Identity Provider)添加 LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)后,可同步 LDAP 用户至平台用户体系导入的企业已有的用户账号。
可通过 IDP 配置对接 LDAP,来源显示为 IDP 配置的名称。 -
OIDC 用户:平台认可的通过 OIDC(OpenId Connect)协议登录平台的第三方平台的用户账号。
可通过 IDP 配置对接 OIDC,来源显示为 IDP 配置的名称。
注意:通过为项目添加成员创建的 OIDC 用户,在 OIDC 用户未成功登录平台作校验前,来源显示为-;成功登录平台后,来源显示为 IDP 配置的名称。
-
-
其他第三方平台用户:平台支持的 dex 已实现的连接器(Connectors)认证的账号,例如:GitHub、Microsoft 等。
如需了解更多,请参考 dex 官方文档 。
约束与限制
-
创建本地用户时,不可与平台上已有用户(本地、第三方)同名。
-
当通过 IDP 对接的第三方用户(OIDC、LDAP)和平台上已有用户(本地、第三方)同名时,同名用户自动关联,权限与已有用户保持一致,并且可通过各自来源对应的登录方式登录平台。
-
平台用户列表中仅显示一条同名用户记录,来源取决于最近一次的登录方式(本地、IDP 配置的名称)。
用户生命周期
平台上用户的状态说明参见下表。
| 状态 | 说明 |
|---|---|
| 正常 | 用户账号在有效期内,且可正常登录平台。 |
| 禁用 | 用户账号被禁用,无法登录平台,联系平台管理员激活后可用。 处于禁用状态的可能原因如下: 用户账号在有效期内,但连续超过 90 天未登录平台; 用户账号已过有效期; 用户账号被平台管理员禁用。 |
| 锁定 | 在有效期内的账号,24 小时内由于用户名/密码输入错误,连续 5 次登录平台失败账号即被锁定。锁定状态会持续 20 分钟,20 分钟后自动解锁,锁定期间无法使用账号登录平台。 账号解锁后 ,可重新使用账号登录平台。锁定期间也可联系平台管理员通过手动激活的方式解锁账号。 |
| 无效 | 再次同步平台已对接的 LDAP 时,LDAP 中已删除的用户账号状态显示为无效,且无效账号无法登录平台。 |