👥 成員與權限（成員管理）

成員管理用於控制系統使用者的訪問範圍與操作能力，核心是「使用者 + 角色 + 分組權限」的組合。

一句話理解

誰可以登入系統、能看到哪些選單、能操作哪些環境，都由這裡的「成員與權限」決定。

🧩 預設角色：先選「身分」

系統預設提供兩類核心角色，開箱即用：

• 👑 企業管理員

  • 通常用於企業負責人 / 技術負責人
  • 擁有系統內絕大部分功能權限和選單訪問權限
  • 可管理團隊成員、分組權限、費用中心等關鍵模組
  • 通常具備「全部分組權限」，可以看到全部環境

• 👤 普通使用者

  • 用於營運同事、測試人員、外包帳號等日常使用場景
  • 一般只需要訪問與自身工作相關的選單頁面
  • 環境訪問範圍由「分組權限」決定（見《分組管理》）

你可以在「角色管理」中新增更多自訂角色，但這兩個預設角色已經覆蓋了大多數團隊的常見需求。

🧱 常用操作：圍繞「人」做的事

在成員管理（角色使用者）介面，可以完成以下常見操作：

• ➕ 新增使用者

  • 透過「建立新使用者」新增帳號，設定使用者名稱、暱稱、初始密碼等
  • 新增完成後，可將該使用者分配到合適的角色

• 🏷 指定角色

  • 在使用者清單中選擇某個使用者，點擊「指定角色」
  • 選擇目標角色（企業管理員 / 普通使用者 / 自訂角色等）
  • 確認後，該使用者將依照新角色的權限進行訪問

• 🟢🟥 線上狀態 / 啟用停用

  • 使用者清單中可看到使用者當前狀態
  • 透過開關進行啟用 / 停用
  • 停用後的帳號無法繼續登入或操作系統

• 🔐 重設密碼

  • 當使用者忘記密碼或懷疑帳號外洩時，可透過「重設密碼」為其重新產生密碼
  • 支援在重設後強制使用者下次登入修改密碼

• 🗑 刪除使用者

  • 對不再使用的帳號可以執行「刪除」操作
  • 建議在刪除前先確認該使用者對應的業務是否已經交接

• 🧭 授權分組

  • 透過「授權分組」功能，控制使用者能訪問哪些環境分組
  • 支援兩種模式：
    • 全部分組：使用者可以訪問所有環境（全部權限）
    • 指定分組：使用者只能訪問被授權的指定分組
  • 詳細說明可參考《分組管理》

🔐 權限三層：選單 / 功能 / 按鈕

系統的權限控制大致分為三層，從「看得到」到「能不能點」：

• 📑 選單 / 頁面權限

  • 決定使用者在左側選單中能看到哪些模組（如環境管理、費用中心、系統管理等）
  • 一般情況下，只需要配置選單權限，就能滿足大多數業務場景

• ⚙️ 功能權限

  • 細化到某個模組內部的具體操作能力，例如：
    • 是否可以新增 / 刪除環境
    • 是否可以修改分組、授權使用者
    • 是否可以訪問某些敏感頁面
  • 在「功能權限」頁以樹狀結構展示，可針對角色進行精細勾選

• 🎛 按鈕級權限

  • 進一步細化到頁面上的某個按鈕、某個功能入口
  • 例如「重設密碼按鈕」「刪除按鈕」等
  • 對應前端的按鈕級權限控制

🚫 內建角色的限制說明

出於安全性考量，系統內建的一些角色（如企業管理員、普通使用者）在功能權限方面有特殊約束：

• 內建角色的核心功能權限是預先設計好的，無法直接在介面上調整，介面會有明顯提示：
  • 「內建角色無法更改功能權限」
• 若需要差異化的功能權限：
  • 建議在內建角色基礎上另建一個自訂角色
  • 然後在自訂角色上去微調選單 / 功能 / 按鈕級權限

這樣既能保證內建角色的安全預設策略，又可以透過自訂角色滿足個性化需求。

⭐ 普通使用者的推薦做法（重點）

對於大多數「普通使用者」，實際上無需配置非常細的功能/按鈕級權限，通常：

• 只需要透過選單權限控制其可見頁面（路由權限）
  • 給他需要用到的模組選單
  • 隱藏與他無關的模組
• 再結合「分組權限」控制他在環境管理裡能看到哪些環境

這樣配置既簡單，又足夠安全，維護成本也最低。

🧭 配置建議：怎麼搭一套好用的權限體系

• 對少數超級帳號（如企業管理員）

  • 使用內建角色，避免頻繁調整功能權限
  • 搭配全部分組權限使用

• 對大多數普通使用者

  • 選擇「普通使用者」或自訂業務角色
  • 重點配置選單權限 + 分組權限
  • 一般不需要再去調整按鈕級權限

• 當需要非常特殊的權限組合時

  • 新建自訂角色
  • 在「功能權限」中按需勾選選單、功能、按鈕
  • 再把相關使用者「指定角色」為該自訂角色

透過「預設角色 + 分組權限 + 選單權限」三者配合，可以在不增加配置負擔的前提下，構建一套清晰易維護的成員權限體系。