YonBIPV3.0(R6_2407_1)旗舰版云平台-友户通-基础配置用友网络科技股份有限公司2024年9月用户手册1/32版权©2024用友集团版权所有。未经用友集团的书面许可,本用户手册任何整体或部分的内容不得被复制、复印、翻译或缩减以用于任何目的。本用户手册的内容在未经通知的情形下可能会发生改变,敬请留意。请注意:本用户手册的内容并不代表用友网络所做的承诺。用户手册2/32目录第一章总体概述..............................................................31.1产品概述..............................................................31.2名词解释..............................................................3第二章操作指南..............................................................42.1【系统管理】租户-操作说明.............................................42.1.1创建企业帐号...........................................52.1.2业务初始化.............................................62.1.3基础配置...............................................72.1.4用户运营..............................................192.1.5隐私协议..............................................222.1.6定制登录页............................................252.2用户中心-操作说明....................................................272.3企业服务中心-操作说明................................................282.3.1企业帐号-设置.........................................282.3.2企业帐号-编辑.........................................30用户手册3/32第一章总体概述1.1产品概述友户通,是用友云的基础核心产品,建立了用户、企业、企业帐号、应用等核心实体的统一业务模型,为上层云服务提供了清晰的多租户架构、用户管理和应用开通标准化流程。友户通,提供统一的用户管理和企业管理服务,可统一存储和管理所有用户和企业信息,为用友云及生态应用提供统一的用户和企业数据,并且提供统一身份管理服务,集中进行身份认证、授权和访问控制服务。友户通专属云提供的登录方式多样,支持的身份授权标准丰富,并可依据企业需求定制密码校验策略,满足企业不同的安全等级要求。同时,友户通提供的联邦用户认证服务更可在不替换企业现有用户中心的基础上将友户通用户中心和企业现有用户中心进行集成,实现单点登录。1.2名词解释⚫友户通:提供统一的用户管理、企业管理服务,可统一存储和管理所有用户和企业信息,为用友云及生态应用提供统一的用户和企业数据,并且提供统一身份管理服务,集中进行身份认证、授权和访问控制服务。⚫用户帐号:简称用户,是云产品、软件产品的具体使用人员的帐号。一个用户一个ID,终身唯一,是进入、通行用友云的“身份证”,是全局唯一的。同一个手机号码只能注册一个友户通帐号,同一个邮箱只能注册一个友户通帐号。⚫用户身份:用户身份是友户通为了支持多种产品场景而特殊设置的概念,用户身份也可以理解为一组角色的集合,在不同产品里可以支持不同类型的用户,比如普通员工,供应商,客户。用户手册4/32⚫企业:使用用友云产品时,需要登记企业信息,并对企业进行认证,通过认证过的企业具有经过国家工商部门审核的牌证,企业经过认证后可以激活和使用用友云产品。⚫企业帐号(租户):是企业在友户通的帐号,一个企业可以拥有多个企业帐号,便于隔离、方便管理,可以理解为企业的多个子帐号。企业帐号是基础的业务控制数据信息,是数据隔离、业务隔离、流程隔离、资源隔离、计费隔离等的依据。⚫应用管理中心管理的产品:是用友云中可注册、开通的所有产品,既包含财务云、人力云等云服务产品,也包含U8、U8Cloud等云注册产品。企业帐号购买和激活应用后,再授权企业的部分用户使用和管理。⚫单点登录(SingleSignOn,SSO):通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统第二章操作指南2.1【系统管理】租户-操作说明系统安装成功后,只有一个yhtmanager用户和一个系统级的【系统管理】租户,yhtmanager用户进入系统管理租户有业务初始化、基础配置等节点,可完成租户的创建和功能初始化。下面对系统管理中业务初始化、基础配置和用户管理三个节点的操作做进一步说明。用户手册5/322.1.1创建企业帐号默认用户yhtmanager默认密码get_rich@1988登录工作台,yhtmanager采用默认密码登录时需要修改密码:在默认的企业帐号下,可以查看“系统管理”企业帐号,其中业务初始化节点中新建企业帐号并进行初始化。用户手册6/32新建企业帐号时,需要输入企业帐号名称和企业帐号编码,系统自动生成企业帐号ID,如企业帐号ID有特殊要求可进入高级选择相应的企业帐号ID。创建企业帐号时,需要选择是否业务新架构。2.1.2业务初始化在企业服务中心,点击企业帐号,可以新建企业帐号。新建的企业帐号对应不同的业务,也可以多个企业帐号对应相同的业务,在创建企业帐号时只需要输入企业帐号名称信息即可完成。完成企业帐号创建后需要选择激活开通的应用。用户手册7/322.1.3基础配置与登录相关的需要邮件、短信配置、验证码模板配置、过期时间和注销前缀、兑换Token接口的IP白名单、登录白名单;用户手册8/32属性修改控制:主要是对用户属性的控制,包括头像、昵称、手机号、邮箱、状态等修改;密码策略:主要是对全局用户配置密码的规则,如果在系统管理配置了密码策略,同时又在租户级配置了密码策略,这时租户级密码策略高于系统级密码策略;其他:主要是对页面logo、隐私协议生效链接配置等;2.1.3.1邮件配置点击【系统管理】-【基础配置】进入系统的基础配置界面。点击【邮件配置】。是否集成:选择“是”,走客开的接口发送邮件逻辑;选择“否”,就是走友户通自己的发送邮件逻辑;配置名称:配置邮件名称;邮箱接收SMTP服务器:是邮件SMTP协议服务器地址;邮箱接收服务器SMTP端口号:邮件SMTP协议端口;(开发者中心部署模式服务器地址需要配置成对应的IP)邮箱发送IMAP服务器:是邮件IMAP协议服务器地址;邮箱发送服务器IMAP端口号:邮件IMAP协议端口;(开发者中心部署模式服务器地址需要配置成对应的IP)发送人邮箱账号:登录邮件服务器的用户名;用户手册9/32发送人邮箱密码/授权码:登录邮件服务器的密码测试邮箱:配置保存后可发送测试邮件,验证配置的正确性。【备注】:(配置保存成功,等待10分钟配置完成更新或重启服务更新配置)。2.1.3.2短信配置点击【系统管理】-【基础配置】进入系统配置界面。点击【短信配置】。APILink官方地址https://api.yonyoucloud.com/apilink,联系官网客户电话010-86393388。关于如何购买的说明:当前环境需要配置短信服务后,快捷登录和发送手机验证功能方可使用。进入APILink官网搜索“短信”,搜索页面,第一行第一个短信API,测试时可以选择0元10条套餐点击购买,点右上角“使用者门户”-“我的API”-“短信API接口”配置“短信签名”、“短信模板”(签名及模板注意事项请在IKM中搜过短信,获取短信必备文档)系统中主要需要配置sendNoTemplateUrl和noTemplateApicode两项,发送国际短信需要配置internationalApicode,其余配置项若无需修改使用默认值即可。系统配置-短信配置中,主要需要配置sendNoTemplateUrl和noTemplateApicode两项,发送国际短信需要配置internationalApicode,其余配置项若无需修改使用默认值即可。如果不使用ApiLink短信服务,可将短信发送的类文件放在网关类下,com.yonyou.yht.gateway.message.message1路径下,短信网关会自动加载该路径下的用户手册10/32MessageSender1。如需添加备用通道可在com.yonyou.yht.gateway.message.message2下放入MessageSender2。其中MessageSender1和MessageSender2必须实现以下send方法:Publicbooleansend(Stringmobile,Stringmsg,String[]codes,StringtemplateCode,StringcountryCode,Stringapicode)【备注】(配置保存成功,等待10分钟配置完成更新或重启服务更新配置)。2.1.3.3登录过期时间和注销前缀点击【过期时间和注销前缀】。用户帐号前缀:设置注销用户的前缀标识,注销后的用户会被限制登录。【备注】(要求中文字符《开头,数字和字母组合)。用户手册11/322.1.3.4兑换Token接口的IP白名单兑换的Token应用场景是系统应用被集成时实现免登。这里配置IP白名单获取免登Token是一种方案。从202111版本之后,专属化的被集成方案推荐使用“集成认证中心”节点以及配套方案实现免登。点击【Token接口的IP白名单】。可以输入多个IP地址进入白名单。用户手册12/322.1.3.5登录白名单点击【登录白名单】。可以输入多个IP地址进入白名单。是否开启登录白名单,开启后登录的白名单生效。用户手册13/322.1.3.6手机白名单手机白名单使用场景:在员工启用时会调友户通接口注册新用户或在用户管理导入用户时注册用户,会校验手机号是否非法。系统已预制了全球的手机区号,使用了谷歌的架包,每年会更新一次,因国家手机号有新增或变动,此架包不抱括变动的手机号,用户注册时导致校验失败,需要在手机号白名单中自定义国家手机号的区号规则。点击【系统管理】-【基础配置】进入系统配置界面。点击【手机号白名单】点新增,选择国家或地区(根据登录页支持的国家或地区的手机号来配置),录入手机号开头三位,以及手机号限制的位数,保存后等待10分钟之后生效。用户手册14/32已存在一个国家或地区的手机号区号规则,可以再新增附加规则,新增后显示规则并集,支持在行上编辑规则,保存后等待10分钟之后生效。2.1.3.7属性修改控制点击【属性修改控制】,能够对全局的用户、手机号、邮箱、帐号控制是否可以修改。控制用户修改密码的开关。是否允许修改用户密码为否时,用户不可自行修改密码。帐号管理的修改密码和忘记密码等功能不可用。本版本增加了用户激活页手机号或邮箱是否必录用户忘记密码页手机号是否显示用户绑定页面可配置手机号、邮箱是否置灰(后台配置,没有界面配置)单点绑定页面配置涉及到用户与友户通的绑定验证方式:你可以配置三个验证项中的一个或两个,其他项会自动置灰。默认项也可以设置,这样在进入绑定页面时,会直接跳转到设定的默认验证项。如果租户未开通邮箱或手机短信验证,你可以相应地将这些验证项禁用,仅通过账号和密码进行验证。同样,如果出于安全考虑,你可以禁用账号密码验证,仅使用邮箱或手机短信进行验证。配置集成认证中心的绑定用户页面(例如bindwechat页面)的验证方式,可以通过修改数据库表中的配置。具体来说,配置项的key2为'bind_third_enable_type',value2是email、mobile、password这三个验证方式的组合,用竖线分隔。用户手册15/32例如,你可以执行如下的SQL插入语句来配置:```sqlINSERTINTOiuap_uuas_usercenter.pub_configuration(id,key2,value2,type)VALUES(65925,'bind_third_enable_type','email|mobile|password','type')这将允许用户在绑定时选择使用邮箱、手机短信或密码验证。请注意,这些配置没有前端界面,只能通过修改数据库表来实现。配置更改后,用户中心、注册、找回密码页面的配置效果可能需要10分钟后才会在页面上体现。2.1.3.8验证码模板配置点击【验证码模板】。系统配置-验证码模板配置是指对发送的短信内容和邮件内容的配置,二者使用同一模板,在输入框中输入自定义的短信模板。企业标签配置需和APILink官网地址申请注册的短信标签保持一致。【备注】自定义短信通道需要自己修改短信签名。修改【企业标签(中文)】和【企业标签(英文)】配置对应APILink官网地址申请注册的短信标签,短信模板配置生效后接收短信如下图所示:用户手册16/322.1.3.9密码策略配置点击【密码策略配置】。用户手册17/32默认密码:get_rich@1988,企业服务中心导入用户的默认密码。出错次数:用户输入密码错误次数超过出错次数时帐号将被锁定,锁定时间结束自动解锁或者让用户找回密码解锁。锁定时间:默认锁定时间900秒(15分钟),单位秒。是否开启密码过期检查:默认关闭,如果开启用户长时间未修改密码登录时会提醒修改密码。密码过期时间:用户密码的过期时间,默认180天,单位天。密码过期提前提示天数:密码过期提前提示的时间,单位天。密码快过期时用户登录即提示修改密码。修改密码不可重复数:用户修改密码不可与之前修改的密码重复的次数。2.1.3.10微信小程序配置配置系统级微信登录的相关微信信息。用户手册18/32{“appSecret”:“xxx”,“appId”:“yyy”}2.1.3.11其他其他中的配置项及说明如下:【退出登录跳转地址】:用户中心,企业服务中心登出后跳转的地址;【系统LOGO】:用户中心、注册页面、忘记密码,左上角LOGO以及租户创建时的默认LOGO;【注册协议名称】和【注册协议链接地址】:复制协议已发布的最新协议的动态链接和协议名称,保存后生效。【隐私协议名称】【隐私协议链接地址】:复制隐私协议已发布的最新协议的动态链接用户手册19/32和协议名称,保存后生效。【默认版权是否显示】:出厂默认为是:显示用友版权;可修改为否,不显示版权信息。此处配置影响用户中心和企业服务中心。以上各配置完成输入后点击保存,配置效果10分钟后刷新页面生效。2.1.4用户运营yhtmanager用户登录,进入系统管理租户,可找到用户运营节点。用户运营节点提供系统级管理用户帐户信息的能力,是私有云YonBIP用户运营的管理入口用户运营节点提供系统级管理用户的功能,模糊查询可采用用户ID\帐号\用户名\邮箱\手机号查询用户。用户运营节点可根据用户ID\帐号\用户名\邮箱\手机号查询用户,查询的用户信息包括:用户ID:用户唯一标识,各档案或单据引用用户的唯一索引;帐号:用户帐户中用于登录的帐号;用户昵称:用户名;手机号:用户帐户中用于登录的手机帐号;邮箱:用户帐户中用于登录的邮箱帐号;注册时间:用户帐户的注册时间;上次设置密码时间:上一次设置密码的时间;基于查询的用户信息,节点中提供四方面的管理能力,分别是用户帐户【修改】、【注销】、【密码】管理、【其他】,下面具体介绍各方面中的管理能力。用户手册20/322.1.4.1【修改】以下各按钮的功能描述:修改用户名:修改当前用户用户昵称信息修改手机号:修改当前用户手机号信息修改邮箱:修改当前用户邮箱信息修改帐号:修改用户帐号修改状态为已封杀:未封杀的用户显示修改状态为已封杀;已封杀的用户不可登录系统;修改状态为未封杀:已封杀的用户显示修改状态为未封杀;未封杀的用户可登录系统;修改双因子状态为开启:未开启双因子的用户显示修改双因子状态为开启;修改双因子状态为关闭:已开启双因子的用户显示修改双因子状态为关闭;修改风控状态为开启:未开启风控的用户显示修改风控状态为开启;修改风控状态为关闭:已开启风控的用户显示修改风控状态为关闭;批量修改用户属性:根据模板字段列导入,支持批量修改用户昵称、用户账号、手机号、邮箱、密码、、用户激活状态。用户手册21/322.1.4.2【注销】注销用户:销毁当前用户,包括手机号、邮箱、帐号,当前用户不可登录;注销手机号:注销当用用户的手机号,手机号从当前用户释放后,不可通过此手机号登录当前用户;注销邮箱:注销当用用户的邮箱,邮箱从当前用户释放后,不可通过此邮箱登录当前用户。2.1.4.3【密码】重置密码:用户密码重置为默认密码;用户手册22/32修改密码:用户密码修改为指定的密码。2.1.4.4【其他】修改记录:修改操作的相关记录信息;企业帐号:用户关联的企业帐号列表;清除用户缓存:清除redis中当前用户信息。2.1.5隐私协议2.1.5.1自定义隐私协议或注册协议点击【系统管理】-【隐私协议】进入界面设置。支持管理员自定义各类全局级隐私协议,支持协议的管理与发布。登录页如果需要弹出隐私协议,可以调用发布的协议接口,完成用户签署协议。隐私协议包括协议管理和协议发布协议管理:是指根据业务需要新增各类隐私协议,比如注册协议、供应商隐私协议等。用户手册23/32支持新增、编辑、删除、复制、预览、发布、查看日志等操作。协议发布:是指发布后的协议,不能编辑、删除,只能查看。点“复制链接”,选择复制动态链接、静态链接是只为协同云APP使用。用户手册24/322.1.5.2在基础配置-其他-配置协议链接管理员在基础配置-其他-粘贴动态协议链接并保存,保存后立即生效,用户在登录时会弹出协议,待用户签署用户手册25/32用户在登录时,账号和密码验证完成后,会弹出协议签署页面,同意后可进入页面,同时会记录用户同意日志2.1.6定制登录页专属环境安装盘默认的登录页面元素,可通过系统管理租户下的定制登录页节点定制并发布。下图是专属环境系统默认的登录页。用户手册26/32用yhtmanager用户进入《系统管理租户》定制登录页节点,在节点中完成定制后发布,发布的自定义登录地址配置专属YonBIP的入口地址。系统管理租户下的定制登录页能力包括以下几方面。用户手册27/32⚫定制背景:可配置不显示,显示背景配置当前系统环境可访问的图片或视频地址URL;页面整体右侧登录框覆盖图片右侧,覆盖宽度520像素。图片或视频的长宽比推荐16:9的尺寸;⚫定制LOGO:可配置不显示,显示LOGO地址配置当前系统环境可访问的图片地址URL;LOGO图片推荐240:30的尺寸;⚫定制宣传语:可配置不显示,显示宣传语可配置文本、图片(地址)、富文本(系统可解析的html片段);⚫定制版权:可配置不显示,富文本(系统可解析的html片段);⚫自定义登录:地址,系统级访问地址,专属YonBIP的入口地址,发布后覆盖安装盘默认的登录页面。2.2用户中心-操作说明用户中心私有云部署环境中,通过业务中台地址+/iuap-uuas-user/可访问进入用户中心。例如,业务中台地址:https://yms-g2.yyuap.com/用户手册28/32用户中心使用下面地址即可访问:https://yms-g2.yyuap.com/iuap-uuas-user/用户中心还提供用户维护个人资料、用户帐号、密码、帐户注销、登录历史等功能。用户如忘记密码,可通过登录框的忘记密码链接进行密码重置。2.3企业服务中心-操作说明企业服务中心私有云部署环境中,通过业务中台地址+/iuap-uuas-tenant/apptenant可访问进入企业服务中心。例如,业务中台环境地址:https://yms-g1.yyuap.com/企业服务中心地址即为:https://yms-g1.yyuap.com/iuap-uuas-tenant/apptenant在企业服务中心,使用租户管理员帐号登录,可查询用户管理的租户列表。2.3.1企业帐号-设置企业帐号,又名租户。在租户的设置中,可设置新注册用户的用户状态【已激活|未激活】状态;可设置租户级默认密码。设置好两项配置后,这两项设置针对从本租户加入的新注册用户生效。新注册用户指用户注册时间晚于租户设置时间注册的用户。新注册用户指用户注册时间晚于租户设置时间注册的用户。用户的注册时间,可通过【用户运营】节点查询用户手册29/32到。2.3.1.1租户级设置用户激活状态⚫是:出厂默认为是,用户使用默认密码即可登录系统;⚫否:用户首次登录跳转到用户验证页面,需要用户验证手机验证码或邮箱验证码并设置密码后,方可登录系统;管理员可设置用户状态为否,强制通过本租户加入的新注册用户首次登录修改密码。2.3.1.2设置租户级默认密码目前系统支持系统级默认密码和租户级默认密码,系统级默认密码在【基础配置】节点》密码策略配置中设置。租户级不设置默认密码时会取系统级默认密码。目前出厂配置租户级默认密码是随机的8位字符,管理员可以在下面页面修改租户级默认密码。修改设置后,通过本租户添加的新注册用户,此默认密码生效。用户手册30/322.3.1.3多因子设置(915重新发一版,改成进入租户验证)目前系统支持了CA、人脸、手机短信在租户级配置多因子,增加安全认证。人脸识别和CA服务BIP登录增加二次验证,接入了点聚的人脸识别服务和CA服务,作为标准产品能力提供。人脸验证先在商务下订单,然后管理员在企业服务中心下的租户设置人脸多因子开启或关闭。CA验证1、先在商务下订单;2、在BIP搜索“云可信”节点,办理CA证书下发与绑定;3、登录时,录入账号密码校验通过后,会弹出二次多因了认证“CA验证”;第三方人脸识别服务和CA需要先接入点聚,点聚再接入BIP作为标准产品服务提供。BIP不支持直接接入第三方人脸识别服务和CA。手机短信服务手机短信认证,在基础配置中先完成短信通道配置,再在企业服务中心的租户设置开启手机短信认证服务,如果没有配短信通道,功能开启后,登录时,录入账号密码校验通过后,会弹出二次多因了认证“手机短信验证”,并提示“欠费”,开启此功能必需要先接入短信通道。MFA认证服务此版本不支持,915会出补丁。2.3.2企业帐号-编辑企业帐号基础信息页面,可查看企业帐号ID。企业帐号ID仅允许查询,不允许编辑。企业帐号信息的编辑页面可编辑信息如下:属性名称属性说明属性值要求logo企业帐号LOGO,出厂默认为YonBIP的LOGO,管理员可修改。gif.jpg.jpeg.bmp.png格式,小于200k用户手册31/32名称企业帐号名称。必填项。不要求全局唯一。不超过255个字符企业帐号ID企业帐号ID,又可称“租户ID”。由系统自动分配,不可编辑,全局唯一。由系统自动分配编码企业帐号编码。必填项。由系统自动分配,管理员可编辑,要求全局唯一。字母和数字组成,2到16位联系人必填项。企业帐号的联系人姓名。中文或英文字符联系电话企业帐号联系人的联系电话。数字联系邮箱必填项。企业帐号联系人的电子邮箱。用于接收企业帐号相关通知信息,请务必准确填写。电子邮箱格式所属行业非必填项。企业帐号归属的行业。选择枚举值
