多租户组织
什么是多租户
多租户是一种架构模式,其中单个 GuardMDM 实例服务于多个独立的组织(租户)。每个租户在同一个系统中作为一个完全独立的实体运行,拥有自己的:
- 设备
- 设备组
- 蓝图(配置描述文件)
- 用户和管理员
- 设置和策略
这使得单个 GuardMDM 部署可以服务于 MSP(托管服务提供商)、拥有多个业务部门的企业,或任何需要将组织相互隔离的场景。
每个租户的设备限制
每个租户可以设置可配置的设备限制。当租户达到设备上限时,新设备将无法注册,直到移除现有设备或提高限制为止。这对于以下场景非常有用:
- 在 SaaS 模型中强制执行订阅层级
- 控制跨业务部门的资源使用
- 防止意外过度注册
设备限制由超级管理员设置,并可根据每个租户进行调整。
租户隔离
租户之间的数据是完全隔离的。租户 A 中的用户或设备无法访问属于租户 B 的任何数据。这种隔离涵盖:
- 设备数据 — 库存、状态、位置、命令
- 配置描述文件 — 蓝图、自定义 XML、设置
- 用户账户 — 管理员用户、注册用户
- 分组 — 设备组、组织分组
- 日志和事件 — 审计追踪、命令历史、注册日志
这种隔离在数据库层和应用层都得到强制执行。租户之间不存在共享命名空间。
超级管理员
超级管理员账户存在于任何单个租户之外,并拥有对所有租户的可见性。超级管理员可以:
- 创建、编辑和删除租户
- 设置每个租户的设备限制
- 查看所有租户的设备、分组和蓝图
- 跨租户执行管理操作
- 分配租户级管理员
超级管理员不计入任何租户的设备限制。
在租户之间切换
当以超级管理员身份登录时,您可以通过顶部导航栏中的组织切换器在租户之间切换。选择某个租户会将上下文切换为该租户的数据 — 您将只看到该租户的设备、分组、蓝图和用户。
租户级管理员只能看到自己的租户,并且没有租户切换器。
总结
| 功能 | 租户管理员 | 超级管理员 |
|---|---|---|
| 管理自己的设备、分组、蓝图 | 是 | 是(按租户) |
| 查看其他租户的数据 | 否 | 是 |
| 创建/删除租户 | 否 | 是 |
| 设置设备限制 | 否 | 是 |
| 在租户之间切换 | 否 | 是 |
