NOM 用户管理

**用户管理**允许创建和管理 NOM 用户,使管理 Neo4j 集群的人员能够根据其角色分配适当的访问级别。NOM 用户的有效访问级别将在 NOM UI 中适当地反映。

NOM 用户的角色

NOM 管理员

可以访问所有 DBMS 的 NOM 的所有功能,并且可以管理 NOM 用户,包括创建具有 **“NOM 管理员”** 角色的其他用户。

管理员

可以访问 NOM 管理员配置的 NOM 功能。无法管理 NOM 用户。

默认的 NOM 用户 admin 具有 **NOM 管理员** 角色,因此可用于创建新的 NOM 用户(包括其他 **管理员**)并配置其对 NOM 功能的访问权限。

NOM 用户的范围

NOM 用户只能用于访问 NOM 服务器的功能。它们与其他系统(NOM 持久化、受监控的 Neo4j DBMS、操作系统等)的用户无关。

NOM 用户管理任务

NOM 用户管理在 NOM 设置页面中的 **管理员** 部分执行。

nom administrators section

创建用户

单击 **“创建用户”** 按钮以打开包含选项卡 **“用户信息”** 和 **“DBMS 访问控制”** 的侧边栏。填写用户详细信息,包括指定是否应为其分配 **“NOM 管理员”** 角色。

新用户在登录后将自动重定向到更改密码页面。
nom administrators create user

如果新用户将具有 **NOM 管理员** 角色,则无需指定其他详细信息。使用 **“创建”** 按钮确认用户创建。

全局功能的访问级别可以在 **“用户信息”** 选项卡上设置。对 NOM 设置区域的 **“代理”** 页面的访问权限当前是唯一需要显式权限的全局功能。适用的访问级别为:**“无访问权限”**、**“查看”**、**“编辑”**。

分配 DBMS 特定功能的访问级别

对于具有 **管理员** 角色的用户(**“用户信息”** 选项卡上的 **NOM 管理员** 复选框为 **关闭**),可以在 **“DBMS 访问控制”** 选项卡中配置对每个 DBMS 特定功能的访问权限。

nom administrators dbms access control

有关权限说明,请参见下表。

DBMS 特定功能 访问级别 描述

状态

查看、编辑

访问分配的 DBMS 的 **“状态”** 页面。

安全

无访问权限、查看、编辑

访问分配的 DBMS 的 **“安全面板”** 页面。

状态

无访问权限、查看

访问分配的 DBMS 的 **“日志”** 页面。

升级

无访问权限、查看、编辑

访问分配的 DBMS 的 **“升级”** 页面。

权限可以显式或隐式分配。未分配显式或隐式权限的 DBMS 将不会在正在编辑的用户的名为 NOM UI 中可见。

显式权限

显式权限直接分配给 DBMS。每个 DBMS 都可以分配自己的权限集。

如果 DBMS 在分配显式权限后被重命名或迁移,则权限保持不变。

隐式权限(DBMS 通配符模式)

如果 Neo4j 部署具有许多 DBMS,则可以有效地将 DBMS 特定权限隐式分配给一组使用权限表中的一行定义的 DBMS。这可以通过为 DBMS 分配通配符模式来完成。在访问控制期间,DBMS 通配符模式将与 DBMS 名称进行检查。如果使用 DBMS 通配符模式,建议首先设置 DBMS 名称。这可以在 NOM UI 中完成。

由于隐式 DBMS 权限始终基于当前 DBMS 名称计算,因此重命名 DBMS 会导致其权限发生更改。

NOM 中使用的通配符语法支持以下通配符:*?[…​]。有关这些通配符如何工作的说明,请参阅例如这篇维基百科文章

通配符模式是通过使用“分配 DBMS”弹出窗口创建的,可以重复用于多个 NOM 用户。要验证与通配符模式匹配的 DBMS 集,请使用权限表中通配符模式旁边的图标。

DBMS 上多个权限的规则

  1. 如果多个通配符模式与某个 DBMS 匹配,则所有匹配的通配符的权限以一种方式组合,即对每个功能应用最严格的访问级别。**示例**:对于某个用户,通配符模式 * 为“安全”功能定义访问级别“编辑”,而另一个通配符模式 *PROD* 为同一功能定义访问级别“查看”。用户的“安全”功能的最终访问级别为“查看”,因为它更严格。

  2. 如果权限显式分配给 DBMS,则它们始终整体优先于分配给与该 DBMS 名称匹配的通配符模式的权限。这意味着完全忽略分配给通配符模式的权限。

复制其他用户的权限

当必须创建多个具有相似权限的 NOM 用户时,可以使用“复制其他人的访问权限”功能。可以通过按 **“…”** 按钮(位于 **“分配 DBMS”** 按钮旁边)来访问它。

nom administrators copy others access

此功能会将另一个用户(在弹出窗口中选择)的权限附加到当前用户的权限。不会附加已分配的权限。

修改用户

找到要修改的用户,并使用选项卡 **“用户信息”** 和 **“DBMS 访问控制”** 来修改用户。单击 **“保存”** 按钮时,所有执行的修改都会被持久化。单击 **“取消”** 会删除修改。这也适用于从 **“DBMS 访问控制”** 中的表中删除分配的 DBMS 或 DBMS 通配符模式。在保存或取消之前,已删除的条目会以视觉方式(灰显)标记。

如果更改了用户的密码,则他们在登录后将自动重定向到更改密码页面。

具有 **NOM 管理员** 角色的用户无法将其角色降级为 **管理员**。

删除用户

找到要删除的用户,点击它并按下侧边栏底部的“删除用户”按钮。

用户无法删除自己。

如果用户修改或删除导致 DBMS glob 模式未使用(例如,未被其他用户引用),则这些 glob 也将被删除。