工單配置管理

配置工單模式

系統工單模式是指用戶在申請資源訪問權限時，可通過工單申請資源的范圍，以及提交工單的方式。

• “基本模式”通過選擇資源范圍，簡單限定訪問控制工單申請范圍；同時通過選擇工單提交方式，可指定命令控制工單的提交方式。
• “高級模式”針對訪問授權工單，從用戶部門、用戶角色、資源部門多維度限定用戶可訪問資源的范圍。

前提條件

已獲取“系統”模塊管理權限。

配置基本工單模式

1 登錄云堡壘機系統。

2 選擇“系統 > 系統配置 > 工單配置”，進入系統工單配置管理頁面。

系統工單配置

3 在“基本模式”區域，單擊“編輯”，彈出基本工單模式配置窗口。

設置用戶可以查看的資源范圍，以及命令授權工單的提交方式。

基本模式參數說明

4 單擊“確認”，返回工單配置管理頁面，可查看已配置的基本工單模式配置。

查看基本工單模式配置

配置高級工單模式

1 登錄云堡壘機系統。

2 選擇“系統 > 系統配置 > 工單配置”，進入系統工單配置管理頁面。

3 在“高級模式”區域，單擊“添加”，彈出高級工單模式配置窗口。

4 配置用戶池。

選擇用戶部門或用戶角色。

5 單擊“下一步”，配置資源池。

6 單擊“確定”，返回系統工單配置管理頁面，查看高級模式配置。

后續管理

• 若需修改高級模式資源池和用戶池，可單擊“編輯”，在彈出的高級模式編輯窗口重新選擇用戶或資源范圍。
• 若不再需要該高級模式限制 ，可在單擊“刪除”。刪除后認證信息不能找回，請謹慎操作。

配置工單審批流程

系統工單審批流程是指用戶提交工單后，工單審批通過的策略。可從審批流程方式、審批形式、審批節點、審批級數、終審節點等維度，自定義系統工單審批流程，加強對工單審批流程的管理。

• 審批流程：包括分級流程和固定流程。分級流程適用于部門內部審批的場景，固定流程適用于跨部門審批的場景。
• 審批形式：審批環節中多名審批人時審批通過方式，包括多人審批和會簽審批。多人審批是任意一名審批人同意，即審批通過；會簽審批是需所有審批人同意，審批才通過。
• 審批節點：審批環節中審批人的屬性，包括部門和角色屬性，符合部門和角色要求的部門管理員擁有審批權限。
• 審批級數：審批環節的數量，選擇分級流程后必須確定審批級數。
• 終審節點：各級審批環節后，由系統管理員admin進行最終審批的一個環節。

本小節主要介紹如何配置系統工單審批流程。

前提條件

已獲取“系統”模塊管理權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“系統 > 系統配置 > 工單配置”，進入系統工單配置管理頁面。

系統工單配置

3 在“審批流程”區域，單擊“編輯”，彈出審批流程配置窗口。

配置審批流程的各項參數。

配置審批流程

工單審批流程參數說明

參數	說明
審批流程	選擇審批流程方式，可選擇“分級流程”和“固定流程”。 配置工單審批流程后，工單將由各級審批人進行逐級審批。若其中一級審批環節沒有符合要求的審批人，則默認此環節已批準，工單流轉至下一審批環節。 默認為分級流程方式。 分級流程：按照審批級數逐級進行審批。 固定流程：按照固定審批節點進行審批。
審批形式	選擇審批形式，可選擇“多人審批”和“會簽審批”。 默認為多人審批形式。 多人審批：同級節點僅需一個審批人進行批準，即可通過審批。審批通過后，同級其他審批人也不會看到該工單。如果同級的任意一個審批人駁回，則審批不通過。 會簽審批：同級節點所有審批人都審批通過，工單才進入下一級審批。任意一個審批人駁回，則審批不通過。
審批節點	設置節點審批人屬性，需同時設置部門屬性和角色屬性。 設置完成后，符合部門和角色要求的用戶自動成為節點審批人。如果沒有符合部門和角色要求的用戶，則自動向上級部門內尋找，直到找到“總部”為止。 部門屬性：“用戶所屬部門”為工單申請人所屬部門的管理員；“資源所屬部門”為工單申請資源所屬部門的管理員。 角色屬性：需要擁有管理員和工單審批權限的角色，默認為部門管理員。
審批級數	設置審批環節數量，選擇“分級流程”后必須配置工單通過審批所需的最大級數。 最多可設置5層審批節點。 默認為1，則需要一個審批環節進行審批。
終審節點	選擇開啟或關閉系統管理員admin終審，默認。 表示關閉admin終審環節。表示啟用admin終審環節，所有環節審批人通過審批后，還需admin進行最終審批。 極端情況下，所有審批環節都沒有符合要求的審批人，那么無論是否開啟終審，都需admin審批工單。

4 單擊“確定”，返回系統工單配置管理，可查看已配置的審批流程。

查看審批流程配置

訪問授權工單

當運維用戶不具備某些資源訪問控制權限時，可主動提交工單，申請相應資源訪問控制權限。

本小節主要介紹如何創建和管理訪問授權工單。

前提條件

已獲取“訪問授權工單”模塊管理權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“工單 > 訪問授權工單”，進入訪問控制工單列表頁面。

訪問控制工單列表頁面

3 單擊“新建”，彈出新建訪問授權工單窗口。

配置訪問授權工單基本信息。

配置工單基本信息

訪問授權工單基本信息說明

4 單擊“下一步”，選擇待訪問資源賬戶。

選擇資源賬戶

5 單擊“確定”，提交工單申請，返回工單列表頁面。

管理員審批工單后，即可擁有資源的訪問控制權限。

后續管理

• 提交工單申請后，相關管理員即可在“消息中心”收到提醒，查看詳細工單內容。并可在工單審批頁面收到工單，可對工單進行批準或駁回操作。
• 提交工單申請后，若需修改已提交的工單，可單擊“撤回”，取消已提交的工單申請，工單狀態變為“已撤回”。
• 創建工單后，若需查看工單和修改工單信息，可單擊“管理”，進入工單詳情頁面查看和修改工單信息。
• “審批中”狀態的工單僅能查看工單詳情信息，不能修改工單內容。“已撤回”和“待提交”狀態的工單才能被修改。
• 若已提交的工單已過期，可單擊“刪除”，管理工單列表。亦可勾選多條工單，單擊列表左下角刪除，批量刪除工單。
• 刪除后工單信息不能找回，請謹慎操作。

命令授權工單

云堡壘機支持對Linux主機操作進行“動態授權”管理，加強對敏感操作的限制管理。

當運維用戶登錄Linux主機進行運維操作時，觸發“動態授權”命令控制策略的操作命令，系統會自動攔截操作命令，生成命令授權工單。管理員將會收到工單審批申請。當管理員用戶批準工單后，運維用戶才有執行該Linux“動態授權”操作命令的權限。

命令被攔截示例

本小節主要介紹如何管理命令控制工單。

約束限制

• 僅SSH和Telnet協議類型的Linux主機，支持攔截敏感操作生成工單。
• 命令授權工單由運維用戶觸發命令策略，自動創建，不能手動創建。

前提條件

• 已獲取“命令授權工單”模塊管理權限。
• 已觸發命令攔截，生成命令授權工單。

操作步驟

1 登錄云堡壘機系統。

2 選擇“工單 > 命令授權工單”，進入命令授權工單列表頁面。

命令授權工單

3 提交工單。

• 命令授權工單可通過“自動提交”和“手動提交”。工單提交方式說明請參見配置工單基本模式。
• 若為自動提交方式，則由系統自動提交工單給管理員審批。
• 若為手動提交方式，則需運維用戶在工單列表頁面，單擊指定工單“操作”列的“提交”，手動提交工單給管理員審批。
• 若工單被管理員駁回，可修改工單信息后再次提交工單。

已提交工單狀態

4 撤回工單。

單擊指定工單“操作”列的“撤回”，即可取消已提交的工單申請，工單狀態變為“已撤回”。

5 修改工單信息。

• 單擊“管理”，進入工單詳情頁面，即可查看工單基本信息。
• 單擊工單詳情頁面編輯，即可修改工單授權運維時間。
• “審批中”狀態的工單僅能查看工單詳情信息，不能修改工單內容。“已撤回”和“待提交”狀態的工單才能被修改。

6 刪除工單。

• 單擊指定工單“操作”列的“刪除”，可以刪除該工單。
• 同時勾選多個工單，單擊列表下方的“刪除”，批量刪除多個工單。
• 刪除后工單信息不能找回，請謹慎操作。

后續管理

• 運維用戶提交工單后，相關管理員即可在“消息中心”收到提醒，查看詳細工單內容。并可在工單審批頁面收到工單，可對工單進行批準或駁回操作。
• 相關管理員審批工單通過后，運維用戶權限立刻生效，即可在授權范圍和時間段擁有命令操作權限。
• 相關管理員撤銷工單權限后，運維用戶權限立刻失效，操作命令會再次被攔截。

數據庫授權工單

云堡壘機支持對數據庫操作進行“動態授權”管理，加強對數據庫關鍵操作的限制管理。

當運維用戶登錄數據庫進行運維操作時，觸發“動態授權”數據庫控制策略的操作命令，系統會自動攔截操作命令，生成數據庫授權工單。管理員將會收到工單審批申請。當管理員用戶批準工單后，運維用戶才有執行該數據庫“動態授權”操作命令的權限。

本小節主要介紹如何管理數據庫授權工單。

約束限制

• 僅專業版實例支持數據庫運維操作審計。
• 僅針對MySQL和Oracle類型數據庫，支持攔截敏感操作生成工單。
• 數據庫授權工單由運維用戶觸發命令策略，自動創建，不能手動創建。

前提條件

• 已獲取“數據庫授權工單”模塊管理權限。
• 已觸發操作攔截，生成數據庫授權工單。

操作步驟

1 登錄云堡壘機系統。

2 選擇“工單 > 數據庫授權工單”，進入數據庫授權工單頁面。

數據庫授權工單列表

3 提交工單。

• 單擊指定工單“操作”列的“提交”，手動提交工單給管理員審批。
• 若工單被管理員駁回，可修改工單信息后再次提交工單。

4 撤回工單。

單擊指定工單“操作”列的“撤回”，即可取消已提交的工單申請，工單狀態變為“已撤回”。

5 修改工單信息。

• 單擊“管理”，進入工單詳情頁面，即可查看工單基本信息。
• 單擊工單詳情頁面編輯，即可修改工單授權運維時間。

“審批中”狀態的工單僅能查看工單詳情信息，不能修改工單內容。“已撤回”和“待提交”狀態的工單才能被修改。

6 刪除工單。

• 單擊指定工單“操作”列的“刪除”，可以刪除該工單。
• 同時勾選多個工單，單擊列表下方的“刪除”，批量刪除多個工單。

刪除后工單信息不能找回，請謹慎操作。

后續管理

• 運維用戶提交工單后，相關管理員即可在“消息中心”收到提醒，查看詳細工單內容。并可在工單審批頁面收到工單，可對工單進行批準或駁回操作。
• 相關管理員審批工單通過后，運維用戶權限立刻生效，即可在授權范圍和時間段擁有操作權限。
• 相關管理員撤銷工單權限后，運維用戶權限立刻失效，操作命令會再次被攔截。

審批系統工單

運維用戶提交工單申請或者觸發命令工單后，工單流轉到系統指定的審批人處。審批人可在“消息中心”收到工單審批提醒，此時可在工單審批列表中查看到待審批的工單。

本小節主要介紹如何管理已提交審批工單，包括查看工單詳情、審批工單、駁回工單、撤銷工單授權等。

前提條件

已獲取“工單審批”模塊管理權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“工單 > 工單審批”，進入審批工單列表頁面。

審批工單列表

3 查看工單詳情。

單擊目標工單“操作”列的“管理”，進入工單詳情頁面，即可查看工單詳細信息，包括工單基本信息、資源賬戶列表、審批人列表。

查看工單詳細信息

4 批準工單。

• 單擊目標工單“操作”列的“批準”，即可通過該工單審批。
• 勾選多個工單，單擊列表左下角批準，即可批量通過

5 駁回工單。

單擊目標工單“操作”列的“駁回”，即可取消申請的工單。

6 撤銷工單。

工單被批準后，單擊目標工單“操作”列的“撤銷”，即可收回資源的授權。

系統工單應用示例

實例一：按用戶所屬部門申請資源，建立分級流程工單

前提條件

• 已完成部門、用戶、角色和資源等項的規劃和設置。部門設置請參考 部門概述，用戶和角色設置請參考用戶概述，資源設置請參考資源概述。
• 工單審批流程設置如表所示，具體操作請參考配置工單審批流程。

工單配置參數說明

審批流程

用戶提起工單電子流，按用戶所屬部門申請訪問資源，工單審批流程如圖所示。

大隊管理員User A和User B均擁有審批權，只要任意一人批準，則該環節審批通過，任意一人駁回，則該環節審批不通過。大隊管理員審批通過后，下一環節將由村管理員User C進行審批。以此類推，直到鎮管理員User D審批通過后，用戶即可獲得相應的權限。審批過程中任意一個環節駁回，則該工單審批不通過，用戶不能獲得相應的權限。

工單審批流程

實例二：按資源所屬部門申請資源，建立分級流程工單

前提條件

• 已完成部門、用戶、角色和資源等項的規劃和設置。部門設置請參考 部門概述，用戶和角色設置請參考 用戶概述，資源設置請參考 資源概述。
• 工單審批流程設置如表所示，具體操作請參考 配置工單審批流程。

工單配置參數說明

審批流程

用戶提起工單電子流，按資源所屬部門申請訪問資源，審批流程如圖所示。

鎮管理員User D進行審批，審批通過則由縣管理員User E進行下一環節的審批，審批不通過則工單被駁回。以此類推，直到市管理員User

F審批通過后，用戶即可獲得相應的權限。審批的過程中任意一個環節駁回，則該工單審批不通過，用戶不能獲取相應的權限。

審批流程

實例三：建立固定流程的會簽審批工單

前提條件

• 已完成部門、用戶、角色和資源等項的規劃和設置。部門設置請參考 部門概述，用戶和角色設置請參考 用戶概述，資源設置請參考 資源概述。
• 工單審批流程設置如表所示，具體操作請參考 配置工單審批流程。

工單配置參數說明

簽核流程

用戶提起工單電子流，申請訪問非用戶所屬部門的資源，審批流程如圖所示。

工程部管理員User B和User C均擁有審批權，兩者都批準則該環節審批通過，任意一人駁回則該環節審批不通過。工程部管理員審批通過后，下一環節將由財務部管理員User D進行審批，以此類推，直到財務部管理員User E審批通過后，用戶即可獲得相應的權限。審批過程中任意一個環節駁回，則該工單審批不通過，用戶不能獲取相應的權限。

會簽審批流程