一、概述 {#heading-1}

本文章主要介绍在 JumpServer V3 版本如何设置资产登陆审批。

二、使用场景 {#heading-2}

在某些场景下，需要设置当某个用户使用指定的用户登陆资产时，需要向审批人申请登陆权限。

三、设置方式 {#heading-3}

JumpServer 有访问控制功能，可以设置当特定堡垒机用户使用指定的账号信息登陆资产时，向审批人申请。审批人通过后时，堡垒机用户才能登陆指定资产。依据安全策略，系统可以针对 JumpServer 登录用户、资产信息、账号信息、匹配规则四个维度对资产的登录设置动作限制，当设置二次复核动作时，审批人审批资产登录。JumpServer 登录用户、资产信息、账号信息、规则信息、动作五种限制可以组合使用。

1、在控制台页面，点击权限管理按钮，选择资产登录页签。

2、选择创建按钮，创建资产登录规则。

在资产登录创建页面中，用户可以对用户，资产，账号和 IP 地址等进行分类创建不同的登录规则。

登录规则创建中的参数说明：

| 参数 | 说明 | |----------|---------------------------------------------------------------------------------------------------------------------------------| | 名称 | 资产登录规则的名称。唯一标识。 | | 优先级 | 资产登录规则的优先级，优先级可选范围为1~100，数值越小规则匹配越优先，默认为50。 | | 用户 | 当使用该用户登录 JumpServer 堡垒机并连接下面选项的资产时匹配该资产登录规则。 * 所有用户：所有用户均匹配该资产登录规则； * 指定用户：指定某些用户匹配该资产登录规则； * 属性筛选：创建属性筛选规则，匹配筛选规则的用户匹配该资产登录规则； | | 资产 | 当连接该资产时匹配该资产登录规则。 * 所有资产：连接所有资产时匹配该资产登录规则； * 指定资产：连接指定资产时匹配该资产登录规则； * 属性筛选：创建属性筛选规则，匹配筛选规则的资产匹配该资产登录规则； | | 账号 | 当 JumpServer 使用该账号登陆资产时匹配该资产登陆规则。 * 所有账户：匹配到的资产使用任何账号登陆都匹配该资产登陆规则； * 执行账户：匹配到的资产使用指定账号登陆都匹配该资产登陆规则； | | 规则-登录 IP | 当匹配到上述 JumpServer 用户、资产、账户时，匹配 JumpServer用户的登陆 IP。 | | 规则-时段 | 当匹配到上述 JumpServer 用户、资产、账户时，匹配 JumpServer 用户的登陆时间段。 | | 动作 | 匹配到该资产登录规则时做出的动作。 * "拒绝"：拒绝登录资产； * "接受"：允许登录资产； * "审批"：经过设置的审批人审批允许或者拒绝登录。该方式生成的会话信息，工单审批人可以在工单中对会话进行控制，例如暂停，恢复，终端，监控。 |

四、验证 {#heading-4}

规则一：规定时间内不允许登录 {#heading-5}

规则设置如下所示：设置除周一至周五的上班时间外，其余时间均不允许 admin 用户使用任何账号登陆jumpserver-V2 资产。

时间设定方法如下：

此时在设置的规定时间内登录该资产会显示如下信息：

规则二：规定时间内登录需审批 {#heading-6}

规则设置如下所示：设置除周一至周五的上班时间外，其余时间 admin 用户使用任何账号登陆 jumpserver-V3 资产均需要审批用户进行审批。

时间设定选择如下：

此时在预设的登录规则控制下，如果在规定时间内登录该资产管理侧和用户侧会分别显示如下信息：

用户登录侧显示相关提示信息：

提示用户在登录规则限制下，用户需要等待审批人审批后才可以正常登录相应资产。

审批人侧收到审批信息提示，提示有用户申请登录资产：

管理员进入信息详情，查看信息内容后，完成审批工作流程。

待审批流程完成后，申请人即可正常进行资产连接，同时登录资产。