组织机构概览

INFO

有关支持「组织机构」功能各项权益的 GenAuth 用户池版本信息，请查看 官网「价格」页。如你的版本不支持此权益，且想试用，可开通体验期。有关体验期介绍及开通方式，请查看 体验期。

借助 GenAuth, 可以快速 实现基于角色的访问控制（RBAC）。简单来说，RBAC 指的是通过用户的角色授权其相关权限，这相比直接授予用户权限，要更加灵活、高效、可扩展。

而在现实生活中，组、角色往往是分层嵌套的，呈树状结构，最常见的就是组织机构，如公司、学校等等。

一个常见的的组织机构架构如下：

• 一级部门有产品部、研发部、运营部、综合管理部
• 一级部门下面又有二级部门，如产品部中包含产品经理和设计等。

上图是一个典型的树状结构，其中有且仅有一个根节点，一般而言，根节点就是一家公司、一个组织。每个节点对应一个分层的部门。

在 GenAuth中, 你可以 从企业微信、钉钉、LDAP、Active Directory 等第三方用户目录导入组织机构, 我们还提供了 控制台、SDK 两种管理组织机构的方式，你可以很方便地管理成员生命周期，还可以 使用 LDAP 协议对外开放组织机构数据。

创建或导入组织机构

如果你还没有创建自己的组织机构，我们推荐你使用 GenAuth 作为主的身份源，存储用户和组织机构数据；如果你在其他地方存储了自己的组织机构数据，我们也支持将第三方的组织机构数据导入或同步到 GenAuth。

创建组织机构

你可以选择使用控制台或者 API & SDK 创建。

选择方式dashboardjavajavascriptcreate-org

Code snippet: create-org

导入组织机构

GenAuth 组织机构支持从以下途径导入组织机构与用户：

• Excel
• 同步中心同步（新版）
  • 企业微信
  • 钉钉
  • 飞书
  • LDAP Server
  • Windows 本地的 Active Directory
  • ...
• 你也可以使用 API & SDK，编写用户导入脚本。

管理组织机构

组织机构的管理包含添加子部门、修改部门、删除子部门、移动子部门、获取子部门列表、添加成员、删除成员、获取成员列表等操作，GenAuth 支持控制台和 API & SDK 两种操作方式。

INFO

• 对于 B2E 场景，在控制台左侧导航栏可以看到 组织机构->组织管理 菜单，在此可以管理组织架构及相应层级组织下的成员。对于 B2B 和 B2C 场景，可以在 用户管理->组织机构 中进行管理。
• 当前新旧版本组织机构功能并行，你可以根据需要选用。要切换新旧版本，可以在 组织机构->组织管理 页面点击页面右上角 切换旧版 / 切换新版 按钮。

添加子部门

选择方式dashboardjavajavascriptadd-node

Code snippet: add-node

修改部门

选择方式dashboardjavajavascriptupdate-node

Code snippet: update-node

删除子部门

选择方式dashboardjavajavascriptdelete-node

Code snippet: delete-node

移动子部门

选择方式dashboardjavajavascriptmove-node

Code snippet: move-node

获取子部门列表

选择方式dashboardjavajavascriptlist-children

Code snippet: list-children

添加成员

选择方式dashboardjavajavascriptadd-member

Code snippet: add-member

删除成员

选择方式dashboardjavajavascriptremove-member

Code snippet: remove-member

获取成员列表

选择方式dashboardjavajavascriptlist-members

Code snippet: list-members

管理成员生命周期

随着公司的发展，企业内部应用和人员数量会不断增加。不断的员工入职、离职，人员组织架构频繁调整，企业内部的应用账号体系错综复杂，管理员手动操作账号的工作量陡增。同时，缺乏统一的账号管理控制方案也会给企业安全生产带来隐患，经常出现员工离职但是应用账号未关停的安全风险案例。

用自动化的 账号生命周期管理（Lifecycle Management，简称 LCM） 代替手动账号管理，是将企业 IT 人员从灵活用工所涉及的繁琐复杂的身份信息管理工作中解放出来的关键，同时也可以通过及时关停人员账号和减少授权错误率来提升企业整体的业务安全系数。

自动化 LCM 涵盖了员工生命周期所涉及的多个节点，从员工入职、员工在职，到员工离职，既包含了管理员的操作行为，也包含了终端用户的触发行为，具体如下：

账号生命周期管理，有以下几个优势：

• 提高生产力并降低成本。
• 降低复杂度。
• 更为安全合规。

你可以阅读了解更多 账号生命周期管理 相关的内容。

旧版组织管理

成员入职

你可以在控制台组织机构管理页面进行成员入职操作：

创建账号

你可以使用手机号或者邮箱创建账号：

选择组织

你可以为新加入员工指定所在部门：

授权应用

你可以为新加入员工授权可以访问的应用：

授权角色

你可以给该员工授权角色，从而该成员自动继承赋予该角色的所有权限：

查看详情

点击相应组织层级下某个员工的 查看详情 按钮可以跳转至该用户在 成员管理 中的详情页面（对于 B2B 和 B2C 场景，跳转至 用户列表 页面）。

INFO

查看详情按钮

你可以在员工详情页面查看用户信息，为该员工授予角色，授权应用，及查看该员工的应用访问日志。

INFO

查看员工详情

锁定 / 解锁账号

你可以临时锁定某个员工的账号。锁定后，该用户无法登录应用直到解锁。

INFO

锁定账号

INFO

解锁账号

变更部门

成员在职阶段，如需更换部门，可以在 组织管理 页面点击该员工所在行 变更部门 按钮，在打开窗口中勾选目标部门，也可以在搜索框进行搜索后勾选：

你也可以在相应层级组织下勾选成员列表中成员，然后点击成员列表上方的 变更部门 按钮，打开 变更部门 窗口进行变更。

设置主部门

如果当前成员属于多个部门，可以设定一个为主部门。为此，可以在 组织管理 页面用户列表中点击目标成员所在行 设置主部门 按钮：

然后在打开窗口选择并确定主部门：

禁用 / 启用员工账号

在出现账号被盗等紧急情况，需要临时禁用员工账号。可以在 成员管理 页面（对于 B2B 和 B2C 场景是 用户列表 页面）点击该员工所在行 禁用账号 按钮。

禁用账号之后，将会自动执行以下操作：

• 取消应用授权关系。
• 取消策略授权关系。
• 该账号无法登录。
• 依旧保留部门关系。
• 仍可以编辑用户信息。

在确认安全后，可以在同一个路径下 启用账号。则账号权限恢复正常。

办理离职

你可以在 组织管理 页面为员工办理离职。

员工离职之后，将会自动执行以下操作：

• 取消应用授权关系。
• 取消策略授权关系。
• 该账号无法登录。
• 移出原有部门，移动至已离职部门。
• 保留用户基本信息，删除该员工部门、角色、分组关系。

INFO

该操作不可恢复，请谨慎操作！

删除账号

在给某员工办理离职后，成员管理 下该员工的 删除账号 按钮被激活：

删除员工账号会彻底删除所有用户相关数据。如：

• 用户数据
• 应用授权
• 策略授权
• 部门关系
• 分组关系
• 角色关系
• 从用户池中删除
• 登录历史记录

新版组织管理

成员入职

你可以在控制台组织机构管理页面进行成员入职操作：

你可以使用手机号或者邮箱创建账号，在 成员入职 窗口输入 姓名、手机号 / 邮箱，选择部门：

新加入的成员会显示在用户列表中：

点击列表中新加入成员，进入用户详情页，可对其进行角色授权和应用授权：

INFO

角色授权

INFO

应用授权

禁用 / 启用员工账号

在出现账号被盗等紧急情况，需要临时禁用员工账号。

禁用账号之后，将会自动执行以下操作：

• 取消应用授权关系。
• 取消策略授权关系。
• 该账号无法登录。
• 依旧保留部门关系。
• 仍可以编辑用户信息。

可以在两个路径下禁用 / 启用员工账号。

在组织管理下禁用 / 启用账号

在 组织管理 页面点击该员工所在行 禁用账号 按钮，并在弹窗中进行确认。

你也可以在同路径下重新启用该账号：

在成员管理下禁用 / 启用账号

可以在 成员管理 页面（对于 B2B 和 B2C 场景是 用户列表 页面）点击该员工所在行 禁用账号 按钮。

在确认安全后，可以在同一个路径下 启用账号。则账号权限恢复正常。

变更部门

成员在职阶段，如需更换部门，可以在 组织管理 页面点击 变更部门 按钮，在打开窗口中勾选目标部门，也可以在搜索框进行搜索后勾选，变更部门会显示在窗口右侧列表中：

设置主部门

如果当前成员属于多个部门，可以设定一个为主部门。为此，只需在上面 变更部门 窗口右侧部门列表中点击 设为主部门，然后点击 确定：

也可在 组织管理 页面用户列表中点击目标成员所在行 设置主部门 按钮：

然后在打开窗口选择并确定主部门：

设为负责人

你可以为不同层级的组织 / 部门设定负责人。

INFO

可以跨部门设置负责人。但只有在所选人为被选部门直属成员时才会打上负责人标签。

有两种方式设置部门负责人：

• 在组织树中点击待设定部门后更多按钮，选择 设置部门负责人。

• 在组织对应的用户列表中设定负责人：

  1. 在左侧组织机构列表中选定组织 / 部门。

  2. 在右侧当前组织 / 部门的用户列表中点击相应成员所在行 设为负责人。

则所选成员成为该组织 / 部门的负责人。

办理离职

可以在 组织管理 页面为员工办理离职。

员工离职之后，将会自动执行以下操作：

• 取消应用授权关系。
• 取消策略授权关系。
• 该账号无法登录。
• 移出原有部门，移动至已离职部门。

删除账号

可以在 办理离职 时同步删除员工账号：

离职和删除账号也可以分步进行：

1. 先在 组织管理 页面 办理离职。

2. 然后在 成员管理 中 删除账号。

会彻底删除所有用户相关数据。如：

• 用户数据
• 应用授权
• 策略授权
• 部门关系
• 分组关系
• 角色关系
• 从用户池中删除
• 登录历史记录

管理终端设备

设备管理

设备管理功能旨在管理登录用户池应用的所有网页端、移动端、 PC 端设备；通过登录用户池应用，终端设备主动上报该设备信息到用户池，通过对该设备的移除、挂起、停用等操作，来实现对设备的终极管理能力。

管理员侧设备管理

1. 点击「组织机构」-「设备管理」模块，进入设备列表，在这里可以看到所有的设备的基础及使用信息，并且可以对设备进行移除/挂起/停用。启用的操作；

2. 在设备管理列表，点击某一条设备信息，进入到该设备的信息详情页面，可以看到所有使用该设备的账号信息、设备的安全信息及活跃信息；

3. 点击「组织机构」-「成员管理」-「成员详情」页面，用户可以看到使用该账户登录的所有设备信息，并且可以进行移除、挂起、停用操作；

用户侧设备管理

1. Web 端应用个人中心：在 Web 端应用的个人中心，可以看到该用户下，所有登录了该应用的设备；

2. GenAuth 令牌移动端 App: 打开 GenAuth 令牌 APP， 输入用户池相应的移动端应用，并进行登录，登录后，可以在个人中心看到「设备管理」模块，点击进入后，可以对该账号在该应用下登录的设备进行管理操作：

通过「管理数据对象」对设备进行管理

1. 首先，在一个开启「管理数据对象」功能的用户池里，打开「设置」-「管理数据对象」页面，点击「终端设备管理」模块，进入终端设备管理模块：

2. 「终端设备管理」功能的基本信息里，展示定义好的功能名称、功能标识符、功能描述及父级菜单，且无法修改：

3. 字段管理 : 展示所有的和设备管理功能相关的字段，可以选择是否展示、是否可编辑：

4. 操作管理：展示的是针对设备管理的常规表单操作能力，包含 「创建」、「编辑」、「删除」、「导入」、「导出」的能力；

5. 详情页配置：展示了某个设备详情页面的配置，可以对详情页的 Tab 及相应的字段进行配置；

设备管理 API 调用

设备管理 API 调用，需要使用业务侧提供的 API，具体的 API 位置为：管理终端设备 API