租户添加用户 SOP

本文档用于指导管理员在当前租户下添加用户，覆盖两类高频场景：

• 在当前租户下创建一个新用户
• 将一个系统内已有用户纳入当前租户并维护 membership

适用场景

• 在当前租户下创建新用户
• 将系统内已有用户纳入当前租户
• 维护当前租户用户的启停、默认租户和安全状态

前置条件

• 已登录 TenantManager
• 已确认当前操作租户
• 已准备用户基础信息和目标归属关系

操作入口

• TenantManager 用户列表页
• 用户创建页和 Memberships 入口
• 必要时由系统管理员从 SystemManager 协助补齐跨租户 membership

操作步骤

1. 确认用户场景与对象边界

• 先区分是“新建全局用户”还是“纳入已有用户”
• 如果目标用户已经是系统内用户但当前租户看不到，通常需要先补齐当前租户 membership
• 如果只是调整默认租户、启停状态或安全处置，则不应重复创建用户主体

2. 进入用户治理入口

• 新建用户时，从用户列表点击 Create
• 维护已有用户租户关系时，从目标用户操作菜单进入 Memberships
• 需要跨租户补关系时，由系统管理员在 SystemManager 中处理

3. 执行创建、邀请或 membership 维护

• 新建用户时，填写 userName、email、displayName、password、状态和来源类型
• 普通租户管理员无需显式填写 initialTenantId，后端会以当前租户为准
• 纳入已有用户时，重点维护 tenantId、status、isDefaultTenant
• 保存前确认当前租户上下文正确，避免跨租户误操作

4. 校验当前租户生效结果

• 检查用户是否能在当前租户用户列表中被搜索到
• 检查 Memberships 页面中的当前租户记录、状态和默认租户标记
• 如涉及登录用户，验证其是否能按预期进入当前租户

场景一：在当前租户下创建新用户

1. 进入 TenantManager 用户列表页，点击 Create
2. 填写用户基础信息
3. 保持 sourceType = Local 时，确认初始密码符合当前密码策略
4. 点击 Save，系统会创建全局用户主体，并补齐当前租户 membership
5. 进入该用户的 Memberships 页面，确认当前租户关系已生成

场景二：将已有用户加入当前租户

1. 如果当前租户已经能看到该用户，直接从 Memberships 页面维护当前租户记录
2. 如果当前租户看不到该用户，由系统管理员在 SystemManager 中找到该用户并补充当前租户 membership
3. 根据需要设置：
   • status = Active：允许在当前租户正常使用
   • status = Disabled：保留关系但暂不允许在当前租户下使用
   • isDefaultTenant = true：设为默认租户
4. 点击 Save 后，重新回到当前租户视角确认是否已可见

常用接口与行为映射

• 创建用户：POST /api/user/create
• 查询 membership：GET /api/user/tenant_memberships_get
• 新增或更新 membership：POST /api/user/tenant_membership_upsert
• 移除租户关系：POST /api/user/tenant_membership_remove
• 设置默认租户：POST /api/user/tenant_default_set

默认行为提醒：

• 用户主体是全局用户，不是租户内独立账号
• 普通租户管理员创建用户时，后端会把初始租户解析为当前租户
• 只有系统管理员才可以在创建用户时显式指定 initialTenantId
• 租户管理员搜索用户时，只能看到当前租户内已有有效 membership 的用户

成功判断

• 目标用户已进入当前租户范围
• membership、默认租户和状态展示正确
• 如涉及安全处置，登录或访问限制符合预期

失败排查

• 看不到目标用户时，先确认其是否已有当前租户 membership
• 保存失败时，先核对当前登录角色是否具备租户管理权限
• 联邦或供给来源用户修改异常时，确认外部源是否会覆盖本地变更
• 密码创建失败时，优先检查密码策略、邮箱 / 账号规则和重复值冲突

相关文档

• 用户运营
• 核心对象与边界
• 处理登录失败 SOP
• 权限与访问治理

返回 租户运营配置文档