管理用户组

重要信息： IBM Cloud Pak® for Data 4.7 版本将于 2025 年 7 月 31 日结束支持 (EOS)。如需了解更多信息，请参阅 IBM Cloud Pak for Data 版本 4.X 的停止服务公告。

在 IBM Cloud Pak for Data 4.7 版本支持结束之前，升级到 IBM Software Hub 5.1 版本。更多信息，请参阅 IBM Software Hub 版本 5.1 文档中的升级 IBM Software Hub。

您可以创建用户组以简化管理一大群用户的过程。

利用用户组，可以更轻松地管理存在类似访问需求的大量用户。例如，如果您知道有 20 个不同的用户将协作处理某个项目，并且他们都需要数据专员角色，那么您可以将他们添加到一个组，并为该组分配数据专员角色。如果组中某个成员离开公司，您可以从组中移除该用户，而不必查找该用户有权访问的所有资产。

此任务所需的许可权

要管理用户组，您必须具有下列其中一个许可权：

管理平台
管理用户组

当您需要完成此任务时

您可以在需要创建、编辑或删除用户组的任何时候完成此任务。

关于本任务

您可以从访问控制页面的用户组选项卡创建和编辑组。

重要信息: 缺省情况下， IBM Cloud Pak for Data 包含所有用户组。如该名称所示，所有 Cloud Pak for Data 用户都将自动包含在此组中。该组用于为所有平台用户提供对平台连接目录之类的资产的访问权。不能编辑或删除此组。

您可以创建的组类型取决于您的环境:

	未与 LDAP 服务器集成	与 LDAP 服务器集成
未与 Identity Management Service 集成	创建没有 LDAP 服务器的用户组	使用 LDAP 服务器创建分配的用户组
与 Identity Management Service 集成	创建没有 LDAP 服务器的用户组	使用 LDAP 服务器创建分配的用户组使用 LDAP 服务器创建动态用户组

创建没有 LDAP 服务器的用户组

如果尚未连接到身份提供者，那么可以通过指定要包含在组中的用户来创建组。

要创建用户组：

登录到 Cloud Pak for Data。
从导航菜单中选择管理工具 > 访问控制。
打开用户组选项卡。
单击新建用户组。
输入角色的名称和描述。
指定要包含在组中的用户。
您可以选择要添加到组中的现有平台用户

如果您有管理用户许可权，但看不到要添加到组中的用户，那么您可以创建新用户。
单击下一步。
选择要分配给此组的一个或多个角色。
如果您具有管理平台角色许可权，并且您没有看到满足您需求的角色，那么您可以创建新角色。
单击下一步。
查看摘要。如果这些值正确，请单击创建。

使用 LDAP 服务器创建分配的用户组

在分配的用户组中，必须指定属于该用户组的平台用户， LDAP 用户和 LDAP 组。

要创建分配的用户组，请执行以下操作:

登录到 Cloud Pak for Data。
从导航菜单中选择管理工具 > 访问控制。
打开用户组选项卡。
单击新建用户组。
输入角色的名称和描述。
如果与 Identity Management Service集成，请选择已分配。 (如果您未与 Identity Management Service 集成，那么该组将自动成为已分配的组。)
单击下一步。

指定要包含在组中的用户。

可用选项取决于 LDAP 服务器是否具有 LDAP 组。

组	指示信息
LDAP 没有组	如果 LDAP 已配置，您可以选择以下一种或多种类型的用户：现有的平台用户如果您要将现有平台用户添加到组中，请单击现有用户并选择要添加的用户。 LDAP 用户如果要从 LDAP 服务器添加用户，请单击身份提供程序用户并搜索要添加的用户。
LDAP 已配置了组	如果 LDAP 已配置了组，您可以选择以下一种或多种类型的用户：现有的平台用户如果您要将现有平台用户添加到组中，请单击现有用户并选择要添加的用户。 LDAP 用户如果要从 LDAP 服务器添加用户，请单击身份提供程序用户并搜索要添加的用户。 LDAP 组如果要将 LDAP 组中的所有用户添加到用户组，请单击身份提供程序组并搜索要添加的组。如果从 LDAP 组添加用户，那么不会立即将这些用户添加到 Cloud Pak for Data 用户组。当用户登录到 Cloud Pak for Data时，平台将确定该用户是否是 LDAP 组的成员。如果用户没有概要文件，那么平台将创建用户概要文件并将该用户添加到 Cloud Pak for Data 用户组。

组

指示信息

LDAP 没有组

如果 LDAP 已配置，您可以选择以下一种或多种类型的用户：

现有的平台用户: 如果您要将现有平台用户添加到组中，请单击现有用户并选择要添加的用户。
LDAP 用户: 如果要从 LDAP 服务器添加用户，请单击身份提供程序用户并搜索要添加的用户。

LDAP 已配置了组

如果 LDAP 已配置了组，您可以选择以下一种或多种类型的用户：

现有的平台用户: 如果您要将现有平台用户添加到组中，请单击现有用户并选择要添加的用户。
LDAP 用户: 如果要从 LDAP 服务器添加用户，请单击身份提供程序用户并搜索要添加的用户。
LDAP 组: 如果要将 LDAP 组中的所有用户添加到用户组，请单击身份提供程序组并搜索要添加的组。
如果从 LDAP 组添加用户，那么不会立即将这些用户添加到 Cloud Pak for Data 用户组。当用户登录到 Cloud Pak for Data时，平台将确定该用户是否是 LDAP 组的成员。如果用户没有概要文件，那么平台将创建用户概要文件并将该用户添加到 Cloud Pak for Data 用户组。

单击下一步。
选择要分配给此组的一个或多个角色。
如果您具有管理平台角色许可权，并且您没有看到满足您需求的角色，那么您可以创建新角色。
单击下一步。
查看摘要。如果这些值正确，请单击创建。

使用 LDAP 服务器创建动态用户组

限制: 仅当与 Identity Management Service集成时，此选项才可用。

在动态用户组中，您可以创建基于属性的规则，以确定哪些用户包含在该组中。您可以使用以下属性来定义动态用户组:

位置
国籍
组织
用户类型

根据在身份提供者上分配给用户的属性，将自动向用户组添加用户或从用户组中除去用户。例如，您在加拿大 (位置) 的财务组 (组织) 中为人员经理 (用户类型) 创建用户组。如果 Annette 在加拿大被聘为财务组的人员经理，她将自动成为该组的成员。同样，如果拉杰什被转移到西班牙，他将自动被免职。

要创建动态用户组，请执行以下操作:

登录到 Cloud Pak for Data。
从导航菜单中选择管理工具 > 访问控制。
打开用户组选项卡。
单击新建用户组。
输入角色的名称和描述。
选择动态。
单击下一步。
定义组的成员资格规则:
1. 指定如何实施条件:
  - 选择所有条件 (AND) 以仅在满足所有条件时包含用户。
  - 选择任何条件 (OR) 以在至少满足一个条件时包含用户。
2. 通过指定以下内容来指定一个或多个条件:
  - 属性: 位置，国籍，组织或用户类型
  - 运算符: 等于，不等于，匹配或不匹配
  - 条件的值。
单击下一步。
选择要分配给此组的一个或多个角色。
如果您具有管理平台角色许可权，并且您没有看到满足您需求的角色，那么您可以创建新角色。
单击下一步。
查看摘要。如果这些值正确，请单击创建。

当用户登录到平台时，将根据在 LDAP 服务器上分配给该用户的属性自动添加该用户或从该组中除去该用户。