用户管理和访问控制 > 配置对 ThingWorx 群组成员身份的访问权限
  
配置对 ThingWorx 群组成员身份的访问权限
* 
本节所述的授权应用程序密钥是由安装程序自动创建并进行配置。以下说明适用于您需要手动重建应用程序密钥的情况。
如前所述,Experience Service 利用 ThingWorx 服务器的用户和群组管理功能进行身份验证和授权。要对用户授权,Experience Service 必须能够将 Experience Service 角色的成员身份与 Experience Service 访问控制规则中所用 ThingWorx 用户组的成员身份进行同步。
应用程序密钥的配置
* 
如果已将 Experience Service 配置为使用 SSO,则此部分内容不适用。
Experience Service 使用应用程序密钥来同步角色的成员身份。使用以下步骤在 ThingWorx 中创建必要的应用程序密钥。
1. 创建一个名为 es-authorization 的用户。
2. 创建一个名为 es-authorization-org 的组织。
3. es-authorization 用户添加到 es-authorization-org 组织中。
4. 配置 es-authorization ,使其具有以下必需的运行时权限,以允许 Experience Service 访问 ThingWorx 用户组的成员资格:
用户组集合的“服务执行”运行时权限
用户集合的“服务执行”运行时权限
5. 配置 es-authorization-org 组织,使其具有以下必要的可见性权限,以访问 Experience Service 访问控制规则所用 ThingWorx 用户组的成员资格:
用户组集合的可见性权限
用户集合的可见性权限
6. 创建一个应用程序密钥,并将其与 es-authorization 用户相关联。有关详细信息,请参阅生成应用程序密钥
* 
务必为应用程序密钥设置相应的到期日期。
7. 编辑 Experience Service 安装目录中的 configuration.json 文件,并将 authentication.authorization.appKey 参数的值设置为与之前步骤 6 中所创建应用程序密钥的 keyId 属性值相同。
可选的增强安全配置
为增强安全性,可进行以下可选的配置。
权限类型
说明
运行时
为提高安全性,只能对特定的用户和群组授予所需的访问权限。
对于每个必须获得授权访问 Experience Service 的用户,请为每个用户授予对 GetGroups 服务的“服务执行”运行时权限。
对于 Experience Service 访问控制规则定义中使用的每个组,授予每个组对 GetGroupMembers 服务的“服务执行”运行时权限
* 
请务必对 GetGroupMembers (复数,末尾有 s) 服务授予访问权限,而不是 GetGroupMember (单数,末尾无 s)。
有关授予这些权限的详细信息,请参阅授予用户权限中的“启用对属性、服务和事件的访问权限”部分。
可见性
为提高安全性,只可对需要与 Experience Service 同步所属成员身份的用户和群组授予可见性。此时,对于每个必须授予其 Experience Service 访问权限的用户,还应授予其对 es-authorization-org 组织的可见性,并对 Experience Service 访问控制规则定义中所使用的每个群组授予该组织的可见性。
有关授予这些可见性权限的详细信息,请参阅授予用户权限中的“对用户和群组集合授予可见性”部分。