🔑 角色
Open WebUI 實現了結構化的基於角色的訪問控制系統,主要包含三種用戶角色:
| 角色 | 描述 | 默認創建 |
|---|---|---|
| 管理員 | 擁有完全控制權的系統管理員 | 第一個用戶帳戶 |
| 普通用戶 | 擁有有限權限的標準用戶 | 隨後經批准的用戶 |
| 待審核 | 等待管理員激活的未批准用戶 | 新註冊用戶(可配置) |
角色分配
- 第一個用戶: 在新的 Open WebUI 實例上創建的第一個帳戶將自動獲得管理員權限。 權限。
- 隨後的用戶: 新用戶註冊將根據
DEFAULT_USER_ROLE配置分配一個默認角色。
新註冊用戶的默認角色可以通過 DEFAULT_USER_ROLE 環境變量進行配置:
DEFAULT_USER_ROLE=pending # 選項: pending, user, admin
當設置為 "pending" 時,新的用戶必須由管理員手動批准才能獲得系統訪問權限。
用戶組
用戶組允許管理員:
- 一次為多個用戶分配權限,簡化訪問管理
- 通過將資源(模型、工具等)的訪問設置為“私人”,然後開放訪問給特定用戶組來限制對特定資源的訪問
- 對資源的用戶組訪問可以設置為“只讀”或“讀寫”
用戶組結構
Open WebUI 中的每個用戶組包含:
- 唯一標識符
- 名稱和描述
- 所有者/創建者參考
- 成員用戶 ID 列表
- 權限配置
- 附加元數據
用戶組管理
用戶組可以:
- 由管理員通過用戶界面手動創建
- 當啟用
ENABLE_OAUTH_GROUP_MANAGEMENT時,從 OAuth 提供程序自動同步 - 當同時啟用
ENABLE_OAUTH_GROUP_MANAGEMENT和ENABLE_OAUTH_GROUP_CREATION時,根據 OAuth 聲明自動創建
OAuth 用戶組集成
當啟用 OAuth 用戶組管理時,用戶組會根據 OAuth 聲明中的用戶組信息同步:
- 用戶會被添加到與其 OAuth 聲明匹配的 Open WebUI 用戶組中
- 用戶會從其 OAuth 聲明中未出現的用戶組中移除
- 當啟用了
ENABLE_OAUTH_GROUP_CREATION,且 OAuth 聲明中的用戶組在 Open WebUI 中不存在時,會自動創建這些用戶組