内容提要据统计，2019年4月至今，国务院办公厅已经连续7次在有关数字政府建设的发文中强调要深化应用电子印章，从明确法律效力到深化应用推动数字政府建设，仅用3年时间，逐步发挥电子签章应用价值。政策回顾政务服务中的电子签章推广应用政策2019年4月，国务院总理李克强签发《国务院令》，明确规定：可靠的电子签名与手写签名或者盖章具有同等法律效力。至此，正式开启电子签章应用普及之路。▶ 2019年8月，《全国深化“放管服”改革优化营商环境电视电话会议重点任务分工方案》中，提倡加快“电子印章”推广应用，深入推动简政放权、提升政府服务能力。▶ 2020年7月，《关于进一步优化营商环境更好服务市场主体的实施意见》，加快实现电子营业执照、电子印章应用，提升企业服务质量和效率。9月，《关于加快推进政务服务“跨省通办”的指导意见》，完善统一身份认证、电子证照、电子印章等支撑能力，加强全国一体化政务服务平台“跨省通办”服务能力。▶ 2021年8月，《法治政府建设实施纲要（2021－2025年）》：加快推进身份认证、电子印章、电子证照等统一认定使用，优化政务服务流程，优化革新政府治理流程和方式，大力提升法治政府建设数字化水平。9月，《关于印发全国一体化政务服务平台移动端建设指南》要求各地区各部门加快推进全国一体化政务服务平台的建设，推动更多政务服务事项网上办、掌上办。并在政务服务平台建设的技术支撑中提到“统一身份认证、统一电子印章”应用。11月17日，《“十四五”推进国家政务信息化规划》：“十四五”时期，要不断丰富全国一体化政务服务平台功能，推广电子合同、签章等应用，在社保、医疗、教育、就业等方面提供更便捷公共服务，实现更多事项一网通办、跨省通办。11月25日，《关于开展营商环境创新试点工作的意见》，明确提出要大力推进电子签章、电子证照在银行开户、贷款、招投标等领域全面应用，推进招投标全流程电子化改革。合法有效、全面移动化的电子签章技术已经逐步成为各级政府机关日常办公及服务的重要技术工具！>>> 多年来，契约锁电子签章在服务地方政府以及各级机关的过程中，通过开放集成地方政务服务平台、业务系统以及微信小程序，帮助打造政府型印控中心，支撑机关内部日常办公用印的同时，推动各类惠民、营商服务网上办。（电子签章在各级政府机关中的应用）应用场景日常办公、政务服务全面网上办各级政府机关的政务服务签署场景：1、住房公积金中心文件类型：公积金缴存证明、公积金缴存流水、住房公积金电子缴存收据、住房贷款结清证明、住房公积金支付款凭证（公积金提取明细）、银行卡解绑业务受理单。契约锁集成“住房公积金综合服务平台及APP应用”，为外部缴存单位及个人常办业务提供电子签名、电子盖章支撑。（公积金中心电子签集成应用情况）缴存企业及职工只需登录手机端应用，选择相应模块即可自主生成、下载或者打印带有缴存地住房公积金管理中心业务专用章的文件，无需前往缴存地柜台，实现全程网上办。（各类公积金文件在线签署样式）【点击文字查看】：住房公积金综合服务平台引入电子签章，推动全程网办公积金业务2、医保中心合作协议文件类型：医保定点医疗机构/药店合作协议、变更协议契约锁帮助无缝集成医保服务系统，医疗机构及药店可以登录医保服务系统注册认证身份信息，自主发起合作协议或者变更协议文件签署流程，快速制作印章完成签署。签署消息同步回传医保系统通知医保局负责人在线签名、加盖医保局合作专用章，高效完成合作对接。（医保合作协议签署场景）（按需选择模板发起签署）（双方在线签署）3、应急管理局整改通知书文件类型：店铺整改通知书借助数字印控中心，为应急管理局下属的各大街道安监局提供统一制章、用章服务，通过集成应急管理局自制APP应用，日常监管工作中需要整改的店铺，各大街道安监局会登录APP借助模板快速发起整改通知流程，上级审批后，系统自动盖章，手机端按需下载、打印。（在线签署商铺整改通知）4、村镇、街道社区中心文件类型：计生类证明、住房类证明、户口居住类证明、党政关系接收证明打造基层组织统一印控中心，统一社区用印平台，集成企业微信、钉钉等移动应用，解决群众常用的“计生、房产、户口、党政等”各类证明文件手机端申请办理，三五分钟用印下发。（社区证明在线办理）【点击文字查看】：街道、社区推广电子化用印：让数据多跑腿，让群众少跑腿5、房管局房屋交易合同网签备案特色：商品房、二手房、租赁方交易合同在线签署、备案契约锁电子签章支持集成地方政府搭建的房屋交易平台，为商品房、二手房、租赁房交易双方提供房源发布、身份认证、印章制作、电子签约、交易合同在线备案全程数字化服务，推动房屋交易规范化、透明化，备案高效化。（房屋交易网签备案签署场景）（手机端签署商品房销售合同）【点击文字查看】：多省市房屋交易平台引入电子签章推动住房交易合同网签备案6、自然资源局不动产登记特色：政务服务平台集成、不动产在线办理登记、在线签发登记证明集成政务服务平台，为不动产登记提供“电子模板、电子签章、身份认证”支持，办理人登录政务服务平台注册完成身份认证，发起不动产登记申请，上报材料发起审批，1天内审核完成，自动套用模板、生成加盖资产管理局印章的电子证明。7、人社局电子劳动合同特色：劳动合同签署、借助电子劳动合同实现劳动争议调解仲裁及诉讼、失业登记等契约锁可以和地方人社局自主搭建的电子劳动合同网签平台集成，用人单位及劳动者在线签署电子劳动合同，文件自动存档备案，用于后期仲裁诉讼依据。【点击文字查看】：杭州人社局与契约锁达成试点合作，全力推进网签劳动合同8、水电气管理局开户、缴费文件类型：客户开户合同、供水/供电/供气合同、银行代扣费协议、施工合同、过户合同、收费确认协议、水质报告、收费凭证等水电气等公共事业单位通过引入电子签章，无缝集成网上营业厅、微信公众号，让居民用户可以通过手机、PC端远程签署“开户合同、供水/供电/供气合同以及过户合同”，足不出户高效办事。【点击文字查看】：电子签章助力水电气公共事业服务“一网通办”9、环保局排污许可签发特色：排污许可证在线申领集成地方政务服务平台，企业在线注册认证身份，按需发起排污许可申请，环保局相关责任人快速查收消息，在线审批、高效盖章生成电子许可证，申请人在政务服务平台即可查看、下载。（填写证照基本信息）（在线签发许可证）机关内部日常办公签署：10、省/市级政府印控中心特色：省/市各级机关一体化印控中心、政务系统集成、机关内部/企业签署支持以省级、市级政府为单位，建立覆盖全省（市）各级机关的统一印控中心，1套系统支撑全省或全市机关部门及企业在线制作、管理、使用印章。通过接入地方政务服务平台或者电子证照系统、医保系统、水务系统等，为各级政府机关日常政务服务办理提供电子印章、电子签名支持，推动群众网上办事！（申请制章）（全市各级机关印章管理台帐）【点击文字查看】：地方人民政府特色印控方案：统一政府内部用印平台，推动政务在线办11、机关内部公文签署特色：信创适配、OFD格式文件识别及签署、联合会签、公文档案管理、审批/查看身份认证契约锁电子签章可以集成政府机关内部OA系统或者政务服务平台，为机关公文签署提供“身份认证、电子签章以及数字档案管理”服务，实现：① 信创全产业链适配，支持OFD标准化格式文件识别及签署。② 机密文件、重要文件审批、核验、查看智能核验身份，防止信息泄露。③ 多人、多部门、多机关在线联合会签，提升机关内部协作效率，高效发文。④ 建立数字化公文档案馆，已发公文自动分类归档，高效授权、查询。（公文在线签署样式）【点击文字查看】：政府、国企公文在线会签-联合用印-自动存档，签发、查阅更便捷总结政务服务网上办、掌上办已经形成趋势，电子签章作为业务文件线上签署必不可少的技术工具，为越来越多政府机关引入深化应用，助力数字化政府建设！

【功能模块】GIS BO功能【操作步骤&问题现象】1、地图权限管理中上传地图,一直在转圈，上传不成功2、后台GIS_getTokenByGISCode接口报错504，【截图信息】【日志信息】（可选，上传日志内容或者附件）顾庆耀/18068848554/guqingyao@chinasoftinc.com

## 摘要 根据用户使用场景总结出账号权限管理的相关建议。详细信息见下图 ## 服务解释 **IAM**：统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助您安全地控制华为云服务和资源的访问权限。 详情见：https://support.huaweicloud.com/iam/index.html **项目管理**：项目管理（ProjectMan）为研发团队提供简单高效的团队协作服务，包含多项目管理、敏捷Scrum、精益看板、需求管理、缺陷跟踪、Wiki在线协作、文档托管、统计分析、工时管理等功能。 详情见：https://support.huaweicloud.com/projectman/index.html ## 账号管理建议 云市场账号管理：https://support.huaweicloud.com/usermanual-marketplace/zh-cn_topic_0292776652.html 

【功能模块】【操作步骤&问题现象】1、创建新角色并授权2、用户登录后提示没有权限访问【截图信息】【日志信息】（可选，上传日志内容或者附件）

【问题版本】    HCS 803 DWS 8.1.0.3【问题现象】进入审计界面提示创建委托成功，但实际查看转储记录时发现转储失败【问题分析】后台查看controller日志发现IAM接口返回报错400，assumefrom domain is not trusted      2.疑似用户token问题，但op_svc_dws获取token成功[1]assume_role方式【头域必选：X-Auth-Token，Content-Type】curl -i -s -v -H "Content-Type: application/json;charset=utf8" -H "X-Auth-Token:$token" -X POST -d '{ "auth": { "identity": { "methods": [ "assume_role" ], "assume_role": { "domain_id": "0084a5e625bf43709a009ab2e2821775", "xrole_name": "weituo_test", "duration-seconds": "3600" } } } }' https://192.144.1.37:31943/v3.0/OS-CREDENTIAL/securitytokens -k ，其中xrole_name值为audit_log_dump_items表agencyname字段值；请求头token请用op_svc_dws账号获取    3.继续定位发现传入IAM接口的参数中，有一个策略名是从audit_log_dump_items表获取，查看表信息发现只有该集群一行审计obs信息，其中agencyname字段是空。实际应该是DWSAccessOBS【问题根因】audit_log_dump_items表中agencyname字段未更新策略【恢复措施】手动更新值为DWSAccessOBS后，界面查看转储成功

【功能模块】GIS BO【操作步骤&问题现象】1、地图权限管理页面上传，上传项目定制的香港启德轻量版地图包2、上传报错，“上传文件非法，请校验文件有效性，文件数量错误”【截图信息】【日志信息】（可选，上传日志内容或者附件）顾庆耀/18068848554/guqingyao@chinasoftinc.com

Ⅰ　　Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Ⅱ　　Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。Ⅲ　　以cn-south-1区域为例，说明如何通过Postman获取用户Token。Ⅳ　　POST请求URL：https://iam.cn-south-1.myhuaweicloud.com/v3/auth/tokens，不需要填写Headers。Ⅴ　　Body体的格式如下：{ "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "用户名", "password": "账号密码", "domain": { "name": "账号名" } } } }, "scope": { "project": { "name": "人脸识别服务部署的区域，如cn-south-1" } } } }Ⅵ　　发送请求后返回码为201时，点击返回的“Header”，获取“X-Subject-Token”即为Token。Ⅶ　　若调用其他区域的接口，需要用其它区域的iam地址获取Token再调用该区域的接口。

【功能模块】大禹平台》手机验证【操作步骤&问题现象】1、联合解决方案项目环境，iam方式登录大禹平台后，绑定了手机验证，但是手机号码不是我们这边的，没法输入验证码登录，麻烦给我们处理一下，解除绑定或者修改一下环境：https://www.huaweicloud.com/账号：hwbescloud用户：chinasoft2021【截图信息】【日志信息】（可选，上传日志内容或者附件）e-mail:dubin@chinasofti.comtel:18182698675

广西田园生化股份有限公司（以下简称“广西田园”），引入契约锁电子签章构建覆盖全国20家子公司的数字印控平台，以可信数字身份认证信息为基础，与全国数千名经销商实现在线签署，全面提升农事经销商服务效率！关于广西田园：广西田园是一家经营领域涵盖农药、药肥、智能农业机械的高新技术企业，位列中国农药制剂30强第2位，享有农民日报 “中国农民最喜爱的农药品牌”等荣誉。公司核心业务定位于“为农业产业链提供产品和服务”，通过为植保服务商、综合农事服务商及农业龙头企业提供产品和技术支撑，服务于种植业者保产增收。（产品图片截图自广西田园官网）引入电子签章，提升内部运营效率，助力农事服务数字化转型：1994年发展至今，广西田园合作的批发商有5000多个，零售商约10万个，销售服务网络覆盖中国主要农业区的20多个省市。以“批发”、“分销”、“零售”为主的销售模式下，解决几十家子公司大批量合同、单据签字、盖章难题，提升上下游对接效率，成为广西田园农事服务升级的关键：• 印章停留在线下意味着广西田园与全国经销商只能通过快递传输来签署纸质合同，对接周期长、一年下来签署成本居高不下。• 此外，产品物流运输中“收货确认”环节只能依靠客服人员线下与客户沟通，确认“实际收货量”、“收货日期”等信息，然后手动录入现有的金蝶K3业务系统，制作收货确认单。全人工对接模式，不仅会影响收货确认及时性，耽误财务核算效率；数据的准确性也无法保障。2020年，广西田园引入契约锁电子签章，对接公司内部自主开发的微信公众号应用，以“微信公众号”为端口，打通“业务系统-微信应用-电子签章”信息通道，打造连接企业内部员工以及外部客户的在线签署平台，实现内部用印、外部签署电子化。（契约锁&微信公众号集成应用）目前，该平台已经在广西田园和全国20家子公司上线使用，帮助广西田园解决了“收货确认单、经销商合同、季度对账单、结算单、人事合同、担保协议、采购合同等”十多种常用文件在线签署难题。覆盖4000多家外部企业、累计发起签约近2万份！↓ 例如：1、市场经理在企业微信发起“收货确认”：针对广西田园的收货确认业务，契约锁通过无缝集成公司自主开发的微信公众号应用，为线上收货确认业务提供“数字身份认证、电子模板、电子签章”功能支撑。（收货确认单在线签署场景）现在，广西田园的外部批发商、经销商、零售商只需通过微信公众号就能快速下单，订单信息自动回传公司内部业务系统，自动发起出库单审批，马上安排发货。客户在微信公众号同步查收出库单通知，一收到货打开微信就能生成电子收货确认单，实名认证后及时填报实际收货数量、以及确认收货日期。（客户在线签署出库单）>>> 应用效果：① 电子签章的引入完善了广西田园现有应用系统的线上签署能力，省去了公司内部与外部客户人工对接的麻烦，实现“产品下单-审批发货-收货确认-信息填报”全程数字化。② 无需人工干预，电子收货确认单自动回传广西田园业务系统，自动完成收货确认信息填报，省去客服人员线下联系客户、手动填写的麻烦，数据真实可靠。2、业务人员、经销商在企业微信快速签订“经销商合同”：针对广西田园持续发展的经销商合作业务，现在，合作申请一通过，业务人员通过企业微信就能同步发起经销商合同线上签署流程。业务人员、经销商、企业印章管理员借助系统短信通知链接，依次完成签署工作，几分钟就能达成合作。（填写合同信息）（多方在线签署）整个签署过程，都有实名认证保护，确保每一位签署人身份信息真实，签署有效，签署结果随时支持验真，保障双方合法权益。总结广西田园的数字化建设工作一直走在行业前列，电子签章工具的应用成为其业务实现无纸化转型的最后一公里。通过深化集成应用，契约锁电子签章将持续推动广西田园将印章管理制度、业务用印审批管理规范真正落实到业务中，为内外部的签署提供合法有效技术保障，助力公司构建自己的可信数字化基础！

近日，人社部印发《电子劳动合同订立指引》（以下简称“指引”），指导用人单位和劳动者依法规范订立电子劳动合同。《指引》是人社部根据《中华人民共和国劳动合同法》《中华人民共和国民法典》以及《中华人民共和国电子签名法》等法律法规组织编写，旨在逐步推进电子劳动合同在人力资源社会保障政务服务中的全面应用。文件中明确了电子劳动合同的订立、调取、储存和应用规范，确保电子劳动合同的真实、完整、准确、不被篡改。文件中指出，订立电子劳动合同的用人单位和劳动者，可参照《指引》协商一致订立电子劳动合同。（截图自人社部官网）本次《指引》的印发，是人社部继2020年3月发布《人力资源社会保障部办公厅关于订立电子劳动合同有关问题的函》，明确“用人单位与劳动者协商一致，可以采用电子形式订立书面劳动合同”以来，推广应用电子劳动合同的重要引导规范。国家对于电子劳动合同的推广应用已经逐渐从“可以采用”发展为“指导签署”，电子劳动合同普及应用已成趋势。目前，北京、山东青岛、浙江建德、辽宁沈阳、云南昆明等多地已经陆续推进使用电子劳动合同，加速了电子劳动合同的普及。契约锁电子签章作为「数字可信」基础建设者，可以无缝对接用人单位的HRM管理软件，为电子劳动合同签署业务提供“数字身份认证、电子签章、印控平台以及数字档案管理”等一体化服务支持。· 帮助用人单位解决签署双方身份认证问题，确保签署出于本人真实意愿，不可抵赖；· 让用人单位的HRM管理软件实现合法有效的电子签署能力，具备全程数字化管理环境；· 实现电子劳动合同签署过程自动存证，一键出证，及时提供有效司法证据；· 帮助企业建立电子劳动合同数字档案馆，解决合同存储难题，3秒可查、可验真。

IAM  统一身份认证，也有着小小的堡垒机的作用。什么是IAM统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助您安全地控制华为云服务和资源的访问权限。IAM无需付费即可使用，您只需要为您帐号中的资源进行付费。IAM的优势对华为云的资源进行精细访问控制   最大限度的保障企业数据安全，责任划分。您注册华为云后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问华为云所有的云服务。如果您在华为云购买了多种资源，例如弹性云服务器、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在华为云中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。除了IAM外，还有企业管理服务同样可以进行资源权限管理，相对于IAM，企业管理对资源的控制粒度更为精细，同时还支持企业项目费用的管理，建议结合企业需求选择IAM或是企业管理进行资源权限管理。

GaussDB(DWS)两级用户权限管理实践一、      场景描述       在项目交付中，经常会用到两级或者多级用户权限管理，例如系统用户分为省和市两级，省级用户包括1名省级管理员和N名省级普通用户，市级用户包括多名市级管理员（每个地市设置1名市级管理员）和N名普通用户。省级管理员对接管理省级用户和市级管理员用户，市级管理员对接管理市级用户，并进行分级用户和权限管理。例如针对如下场景：结合用户场景需求，梳理用户组织架构。【说明】（1）系统管理员是数据库自带的用户，作为一个技术用户和数据库日常维护用户，一般不在日常应用开发中使用。（2）省级管理员设置1名，可以作为应用开发和管理的全局用户，由省级管理员创建其他地市管理员或者省级普通用户。通常来说，省级管理员只负责创建地市的管理员，之后，由地市管理员管理地市的普通用户，省级管理员也可以创建省级的普通用户。（3）地市管理员，作为某地市的管理员，可以管理本地市的所有用户。（4）普通用户，日常应用开发或者查询的用户。二、      两级用户权限管理实践由于GaussDB(DWS) 8.0版本暂不支持with grant option（后续版本已支持，整体方案实现步骤会相对简单），结合用户场景需求和组织架构，使用常规赋权语句设计两级用户权限管理方案如下：省级范围由省级管理员用户统一管理，分解工作如下：省级管理员创建和管理省级用户组和省级普通用户。省级管理员将省级schema权限授予省级用户组。省级管理员创建和管理省级schema。省级管理员创建市级schema，并将市级schema的owner修改为市级管理员。省级管理员将省级schema权限授予市级用户组（部分市级用户需要查询使用省级schema相关表信息）。省级管理员创建市级管理员用户，并赋予create role权限。市级范围由市级管理员用户统一管理，分解工作如下：市级管理员创建和管理市级用户组和市级普通用户。市级管理员将市级schema权限授予市级用户组。市级管理员管理市级schema。三、      授权方案验证1、         用户场景假设角色假设角色名称系统管理员Ruby省级管理员Province_adminA地市管理员City_A_adminB地市管理员City_B_admin省级普通用户Province_01A地市普通用户01City_A_user01A地市普通用户02City_A_user02B地市普通用户01City_B_user01省级用户组Province_role01市级用户组CityA_role2、         用户与schema的关系schema用户schema与用户的关系province_schema省级管理员schema的owner省级普通用户01普通用户city_a_schema地市A管理员schema的owner地市A普通用户01普通用户地市A普通用户02普通用户city_b_schema地市B管理员schema的owner地市B普通用户01普通用户 3、         权限赋予方法步骤1：首先通过系统管理员（Ruby用户），创建省级管理员province_admin，省级管理员拥有sysadmin的权限。--i. 以系统管理员的用户登录(数据库后台)gsql -d postgres -p 8000 -ar--ii. 创建省级管理员create user province_admin with sysadmin identified by 'test@123'; 步骤2：省级管理员相关账号和权限配置命令。--i.  以省级管理员用户登录（或通过DataStudio工具前台登录）gsql -d postgres -p 8000 -ar -U province_admin -W test@123--ii. 创建地市A的管理员用户create user city_a_admin identified by 'test@123';--iii. 创建地市B的管理员用户create user city_b_admin identified by 'test@123';--iv. 赋予地市A管理员创建用户的权限alter user city_a_admin createrole;--v. 赋予地市B管理员创建用户的权限alter user city_b_admin createrole;--vi. 创建省级普通用户（注意，省级普通用户不需要createrole的权限）create user province_user01 identified by 'test@123';--vii 创建省级用户组，并将省级用户加入用户组；create role province_role01 identified by 'Bigdata123@';grant province_role01 to province_user01; 步骤3：地市管理员相关账号和权限配置命令。注意，地市A管理员创建地市A的普通用户，不需要给普通用户赋予createrole的权限。--i. 以地市A的管理员用户登录（或通过DataStudio工具前台登录）gsql -d postgres -p 8000 -ar -U city_a_admin -W test@123--ii. 创建地市A的普通用户create user city_a_user01 identified by 'test@123';create user city_a_user02 identified by 'test@123';--iii 创建市级用户组，并将市级用户加入用户组；create role citya_role identified by 'Bigdata123@';grant citya_role to city_a_user01;grant citya_role to city_a_user02;地市B管理员创建地市B的普通用户（不需要给普通用户赋予createrole的权限）。--i. 以地市B的管理员用户登录（或通过DataStudio工具前台登录）gsql -d postgres -p 8000 -ar -U city_b_admin -W test@123--ii. 创建地市B的普通用户create user city_b_user01 identified by 'test@123';--iii 创建市级用户组，并将市级用户加入用户组；create role cityb_role identified by 'Bigdata123@';grant cityb_role to city_b_user01; 步骤4：由省级管理员创建三个schema，分别为province_schema，city_a_schema，city_b_schema。并将city_a_schema和city_b_schema的owner分别赋予city_a_admin，city_b_admin。--i. 以省级管理员用户登录（或通过DataStudio工具前台登录）gsql -d postgres -p 8000 -ar -U province_admin -W test@123--ii. 创建省级的schema并赋予其拥有者为省级管理员create schema province_schema authorization province_admin;--iii. 创建地市A的schema并赋予其拥有者为地市A管理员create schema city_a_schema;alter schema city_a_schema owner to city_a_admin;--iv. 创建地市B的schema并赋予其拥有者为地市B管理员create schema city_b_schema;alter schema city_b_schema owner to city_b_admin; 步骤5：以省级管理员用户province_admin登录，赋予地市A用户组使用province_schema的权限。--i. 以省级管理员登录（或通过DataStudio工具前台登录）gsql -d postgres -p 8000 -ar -U province_admin -W test@123--ii 设置search_path= province_schemaset search_path= province_schema;--iii. 赋予地市A用户组使用省级province_schema的权限grant usage on schema province_schema to citya_role ;grant select on all tables in schema province_schema to citya_role; 步骤6：以地市A管理员用户city_a_admin登录，赋予地市A用户组使用city_a_schema的权限。--i. 以地市A管理员登录（或通过DataStudio工具前台登录）gsql -d postgres -p 8000 -ar -U city_a_admin -W test@123--ii 设置search_path=city_a_schemaset search_path=city_a_schema;--iii. 赋予地市A用户组使用市级city_a_schema的权限grant usage on schema city_a_schema to citya_role;grant select on all tables in schema city_a_schema to citya_role;步骤7：以市级普通用户city_a_user01用户登录，验证是否拥有查询province_schema 和 city_a_schema的权限。--i. 以city_a_user01的用户登录（或通过DataStudio工具前台登录）gsql -d postgres -p 8000 -ar -U city_a_user01 -W test@123--ii. 设置搜索路径为省级schema。set search_path= province_schema;--iii. 确认是否有省级schema的查询权限select * from tbl_a;--iv. 设置搜索路径为市级schema；set search_path=city_a_schema;--v. 确认是否有市级schema的查询权限select * from tbl_a;4、         权限回收方法--i 将省级用户从省级用户组剔除；revoke province_role01 from province_user01;--ii 将市级用户从市级用户组剔除；revoke citya_role from city_a_user01; 

【功能模块】使用IAM系统单点登录第三方系统【操作步骤&问题现象】中东G42项目需要使用IAM单点登录到先施系统，查看园区的二次开发指南文档，不明白该如何去开发？有以下疑问1.前提条件，需要完成IOC与IAM的对接，IOC该如何与IAM对接？2.按照文档流程，第三方系统是在portal系统内打开的，如何重新在新的标签页打开第三方系统？3.整个基于IAM SSO集成第三方系统，文档写的不清楚，不太明白？有更详细的资料可以提供吗【截图信息】【日志信息】（可选，上传日志内容或者附件）顾庆耀/18068848554/guqingyao@chinasoftinc.com

【功能模块】用户权限管理轻应用开发返回：{"resCode":"405230401","resMsg":"脚本'test_case__PUM_createUser'运行失败，TypeError: Cannot read property 'saltedPassword' of undefined"}

你可能坚信你的公有云提供商能够始终如一的符合服务水平协议(SLA)中期望的详细说明，但是你的私有云是否有同样的SLA?如果没有，你可能需要基于两个云的期望创建SLA，很可能就是基于你自己的私有云了。在你的私有云的可用性和性能的显示工作负载下收集数据。集成公有云和私有云寻求潜在的问题都会破坏服务。例如，如果一个私有云的关键业务驱动在本地保持敏感和机密数据，然后你的SLA应该体现出在公有云中使用这些服务的限制性。从业务角度，信息安全是管理管理风险的。云计算(尤其是混合云)使用新的应用程序接口(API)，要求复杂的网络配置，并对传统的系统管理员的知识和能力范围造成挑战。这些因素引入了新型的威胁。云计算并不比内部基础架构一样安全，但是混合云是个复杂的系统，管理员在管理上有限的经验，可能就造成了风险。现有的安全控制，像身份认证、授权和身份认证管理需要在公有云和私有云**同工作。整合这些安全协议，你只能选择其一:在两个云中复制控制并保持安全数据同步，或者使用身份认证管理服务，提供单一的服务运转在云端。在计划和时间阶段分配足够的时间，以便解决这些相当复杂的整合问题。