管理Chronograf用户

在此页面

• 管理Chronograf用户和角色
• 组织绑定用户
  • Chronograf 中的 InfluxDB 和 Kapacitor 用户
  • Chronograf 拥有的资源
  • Chronograf 访问的资源
  • 阅读者
  • 成员
  • 查看者
  • 编辑者
  • 管理员
• 跨组织超级管理员权限
  • 所有新用户都是超级管理员配置选项
• 创建用户
• 更新用户
• 删除用户
• 导航组织
  • 登录和登出
  • 切换当前组织
  • 炼狱

管理Chronograf用户和角色

Chronograf 包括四个组织绑定的用户角色和一个跨组织的 SuperAdmin 权限。在一个组织中，具有 admin 角色的管理员或拥有 SuperAdmin 权限的用户可以创建、更新和分配角色给用户，或移除角色分配。

组织绑定用户

Chronograf用户被分配以下组织绑定用户角色，按能力递增顺序列出：

• reader
• member
• viewer
• editor
• admin

下面详细描述的每个角色对于以下Chronograf拥有或访问的资源具有不同的能力。

Chronograf中的InfluxDB和Kapacitor用户

Chronograf 使用 InfluxDB 和 Kapacitor 连接来管理用户对 Chronograf 内 InfluxDB 和 Kapacitor 资源的访问控制。在这种连接中指定的 InfluxDB 和 Kapacitor 用户的权限决定了任何具有访问权限的 Chronograf 用户（即查看者、编辑者和管理员）对该连接的能力。管理员包括管理员（admin 角色）或具有 SuperAdmin 权限的任何角色的用户。

Chronograf 拥有的资源

Chronograf拥有的资源包括完全由Chronograf控制的内部资源，包括：

• Kapacitor 连接
• InfluxDB 连接
• 仪表盘
• 预设布局
• Chronograf 组织
• Chronograf 用户
• Chronograf状态页面内容，适用于新闻订阅和入门指南

Chronograf访问的资源

Chronograf 访问的资源包括可以通过 Chronograf 访问的外部资源，但对这些资源的控制受到限制。拥有 viewer、editor 和 admin 角色的 Chronograf 用户，或者拥有 SuperAdmin 权限的用户，平等地访问这些资源：

• InfluxDB 数据库、用户、查询和时间序列数据（如果使用 InfluxDB Enterprise，InfluxDB 角色也可以访问）
• Kapacitor 警报和警报规则（在 Kapacitor 中称为任务）

读者（角色：reader）

读者是Chronograf用户，他们只能以只读模式查看仪表板。他们无法更改或操纵仪表板查询。读者无法查看任务、警报、管理员页面、日志或任何其他艺术品，除了仪表板。

成员 (角色:member)

成员是已被添加到组织但没有任何功能能力的Chronograf用户。成员无法访问组织内的任何资源，因此实际上无法使用Chronograf。相反，成员只能访问Purgatory，在那里用户可以 根据分配的角色切换到组织。

默认情况下，新组织的默认角色为 member。如果默认组织是公开的，那么任何能够进行身份验证的人都会成为成员，但在管理员分配其他角色之前，将无法使用 Chronograf。

观众 (角色:viewer)

查看者是Chronograf用户，对其当前组织内的Chronograf拥有的资源具有有效的只读权限：

• 查看预设仪表板
• 查看预设布局
• 查看InfluxDB连接
• 切换当前的InfluxDB连接到其他可用连接
• 通过当前连接访问InfluxDB资源
• 查看与每个 InfluxDB 连接相关联的当前 Kapacitor 连接的名称
• 通过当前连接访问Kapacitor资源
• 切换到用户拥有角色的组织

对于Chronograf访问的资源，查看者可以：

• InfluxDB
  • 读取和写入时间序列数据
  • 创建、查看、编辑和删除数据库及保留策略
  • 创建、查看、编辑和删除InfluxDB用户
  • 查看和终止查询
  • InfluxDB Enterprise: 创建、查看、编辑和删除InfluxDB Enterprise角色
• Kapacitor
  • 查看警报
  • 创建、编辑和删除警报规则

编辑器 (角色:editor)

编辑者是Chronograf用户，具有在其当前组织内对Chronograf拥有资源的有限权限：

• 创建、查看、编辑和删除仪表板
• 查看预设布局
• 创建、查看、编辑和删除 InfluxDB 连接
• 切换当前的InfluxDB连接到其他可用连接
• 通过当前连接访问InfluxDB资源
• 创建、查看、编辑和删除与InfluxDB连接相关的Kapacitor连接
• 切换当前的Kapacitor连接到其他可用的连接
• 通过当前连接访问Kapacitor资源
• 切换到用户拥有角色的组织

对于通过Chronograf访问的资源，编辑者可以：

• InfluxDB
  • 读取和写入时间序列数据
  • 创建、查看、编辑和删除数据库及保留策略
  • 创建、查看、编辑和删除InfluxDB用户
  • 查看和终止查询
  • InfluxDB Enterprise: 创建、查看、编辑和删除InfluxDB Enterprise角色
• Kapacitor
  • 查看警报
  • 创建、编辑和删除警报规则

管理员 (角色:admin)

管理员是拥有所有能力的Chronograf用户，可以管理他们当前组织内的以下Chronograf所拥有的资源：

• 创建、查看、更新和删除Chronograf用户
• 创建、查看、编辑和删除仪表板
• 查看预设布局
• 创建、查看、编辑和删除 InfluxDB 连接
• 切换当前的InfluxDB连接到其他可用连接
• 通过当前连接访问InfluxDB资源
• 创建、查看、编辑和删除与InfluxDB连接相关的Kapacitor连接
• 将当前的Kapacitor连接切换到其他可用的连接
• 通过当前连接访问Kapacitor资源
• 切换到用户拥有角色的组织

对于Chronograf访问的资源，管理员可以：

• InfluxDB
  • 读取和写入时间序列数据
  • 创建、查看、编辑和删除数据库及保留策略
  • 创建、查看、编辑和删除InfluxDB用户
  • 查看和终止查询
  • InfluxDB Enterprise: 创建、查看、编辑和删除InfluxDB Enterprise角色
• Kapacitor
  • 查看警报
  • 创建、编辑和删除警报规则

跨组织超级管理员权限

SuperAdmin权限是Chronograf权限，允许任何用户，无论其角色如何，执行所有管理功能，既可以在组织内部，也可以跨组织。拥有SuperAdmin权限的用户具有无限的能力，包括以下与Chronograf相关的资源：

• 创建、查看、更新和删除组织
• 在组织内创建、查看、更新和删除用户
• 授予或撤销其他用户的超级管理员权限
• 切换到任意组织
• 切换默认组织的公开设置
• 切换全局配置设置 所有新用户都是超级管理员

重要的超级管理员行为：

• 超级管理员权限授予任何用户（无论是 member、 viewer、 editor 或 admin）完全的管理员权限以及上述列出的超级管理员权限。
• 当具有超级管理员权限的Chronograf用户创建一个新组织或切换到该用户没有角色的组织时，该超级管理员用户会自动被分配为admin角色。
• 超级管理员用户无法撤销自己的超级管理员权限。
• 超级管理员用户是唯一能够改变其他Chronograf用户的超级管理员权限的用户。没有超级管理员权限的常规管理员可以对超级管理员用户执行正常操作（在他们的组织内创建该用户、改变角色和移除他们），但是他们无法看到这些用户拥有超级管理员权限， nor will any of their actions affect the SuperAdmin permission of these users.
• 如果用户的SuperAdmin权限被撤销，该用户将在其组织内保留其分配的角色。

所有新用户都是超级管理员的配置选项

默认情况下，Config 的设置为 “所有新用户都是超级管理员” 是 开启 的。任何拥有超级管理员权限的用户可以在 Admin > Chronograf > Organizations 标签下切换此设置。如果该设置为 开启，任何新用户（无论是创建的还是进行认证的）将自动拥有超级管理员权限。如果该设置为 关闭，任何新用户（无论是创建的还是进行认证的）将 不 拥有超级管理员权限，除非后续由另一位拥有超级管理员权限的用户明确授予。

创建用户

所需角色: admin

创建用户：

1. 在你的网页浏览器中打开Chronograf并选择管理员 。
2. 点击用户标签，然后点击创建用户。
3. 添加以下用户信息：
   • 用户名：输入OAuth提供者提供的用户名。
   • 角色：选择Chronograf角色。
   • 提供者：输入用于身份验证的OAuth 2.0提供者。有效值为：github，google，auth0，heroku或在GENERIC_NAME环境变量中定义的其他名称。
   • 方案：显示oauth2，这是此版本中支持的唯一身份验证方案。
4. 点击 保存 完成用户创建。

更新用户

所需角色: admin

只有用户的角色可以被更新。用户的用户名、提供者和方案不能被更新。（实际上，要“更新”用户的用户名、提供者或方案，用户必须被移除并再次添加，使用所需的值。）

要更改用户的角色：

1. 在您的网页浏览器中打开 Chronograf 并选择 管理员 (皇冠图标) > Chronograf。
2. 点击用户标签以显示当前组织内的用户列表。
3. 选择用户的新角色。更新会自动保存。

删除用户

所需角色: admin

要删除用户：

1. 在你的网页浏览器中打开Chronograf并选择管理员 。
2. 点击用户标签以显示用户列表。
3. 将光标悬停在您想要删除的用户上，然后点击删除和确认。

导航组织

Chronograf 始终在组织的背景下使用。当用户登录到 Chronograf 时，该用户将只能访问其当前组织拥有的资源。唯一的例外是，具有 SuperAdmin 权限的用户还能够 管理组织 在 Chronograf 管理页面。

登录和注销

使用任何配置的OAuth 2.0提供者从Chronograf主页登录。

通过将鼠标悬停在左侧导航栏中的 User 上，然后点击 Log out 来登出。

切换当前组织

用户当前的组织和角色在切换组织列表中突出显示，该列表可以通过悬停在左侧导航栏中的用户上找到。 用户可以使用任何配置好的OAuth 2.0提供者从Chronograf主页登录。

用户可以通过将鼠标悬停在左侧导航栏中的 用户（人形图标） 上，然后点击 注销 来退出。

切换当前组织

用户当前的组织和角色在切换组织列表中突出显示，您可以通过将鼠标悬停在左侧导航栏中的用户（人形图标）上找到该列表。

当用户在多个组织中拥有角色时，该用户可以通过在切换组织列表中选择所需的组织，切换到他们拥有角色的任何其他组织。

炼狱

如果在任何时候，用户在其当前组织内是一个 member 且没有超级管理员权限，则该用户将被重定向到一个名为 Purgatory 的页面。在那里，用户将看到他们当前的组织和角色，以及一条消息，提示他们联系管理员以获取访问权限。

在同一页面，用户将看到他们所有组织和角色的列表。用户可以通过点击所需组织旁边的登录，切换到任何其角色为 viewer、editor 或 admin 的组织。

注意 在极少数情况下，如果用户在炼狱中获得了超级管理员权限，他们将能够按预期切换到任何列出的组织。