UniFi Fabrics 提供了一种灵活的方式，可以跨多个 UniFi 站点集中管理人员并分配细粒度权限。通过在 Fabric 级别定义访问权限，管理员可以扩展用户和管理访问权限，而无需在每个站点重复配置。

要求

• 启用了统一人员管理的 UniFi Fabric。有关更多信息，请参阅 UniFi Fabrics 入门。
• 如果您希望用户通过 Endpoint 应用程序访问 UniFi 服务，则必须为 Fabric 配置 UniFi Endpoint 服务。有关更多信息，请参阅配置 UniFi Endpoint 和零信任网络权限。

关键术语概述

人员

Fabric 中管理的个人。可以手动添加人员，也可以从身份提供者 (IdP) 同步。

权限

定义一个人被允许执行的操作。权限分为两类：

• 管理权限： 控制对 unifi.ui.com 上的 UniFi 管理界面的访问，范围从完全管理访问权限到仅查看或细粒度的特定应用程序权限。
• 用户权限 (UniFi Endpoint 服务)： 控制通过 Endpoint 应用程序对 UniFi 服务的访问，包括一键 WiFi、一键 VPN 和智能门禁。

角色

权限及其适用站点的逻辑分组。人员可以被分配多个角色，其实际生效的访问权限是所有分配角色的 最宽松组合。

添加人员

可以通过两种方式将人员添加到 Fabric。

身份提供者 (IdP) 绑定

集成身份提供者 (IdP) 后，用户和组将使用 SCIM 自动同步，从而实现无缝的入职和离职管理。来自 IdP 的组元数据可用于简化 Fabric 内的角色和权限分配，减少手动访问管理。

绑定 IdP 还可以为 Endpoint 应用程序启用基于 SAML 的身份验证，确保用户在访问 UniFi 服务之前进行安全身份验证。

有关支持的提供商和配置步骤，请参阅 UniFi Fabrics 身份提供者 (IdP) 集成 了解更多信息。

手动添加

1. 前往 Site Manager。
2. 选择一个 Fabric。
3. 导航至人员。
4. 点击添加新人员。
5. 输入所需信息。
6. 点击创建。

创建角色

1. 前往 Site Manager。
2. 选择一个 Fabric。
3. 导航至 人员 > 角色。
4. 点击 创建新角色。
5. 输入角色名称。
6. 选择适用的站点。
7. 选择要包含的 管理权限 和/或 UniFi Endpoint 服务。
8. 保存角色。

分配角色与权限

为组分配角色

1. 前往 Site Manager。
2. 选择一个 Fabric。
3. 导航至 人员 > 角色。
4. 选择一个角色。
5. 点击 分配人员。
6. 选择要分配的人员或用户组。
7. 点击 完成。

为个人分配角色

1. 前往 Site Manager。
2. 选择一个 Fabric。
3. 导航至 人员。
4. 选择一个人。
5. 点击 分配角色。
6. 选择要分配的角色。
7. 点击 应用更改。

为个人分配权限

1. 前往 Site Manager。
2. 选择一个 Fabric。
3. 导航至 人员。
4. 选择一个人。
5. 点击 分配站点。
6. 选择权限适用的站点。
7. 启用管理权限和/或身份服务，并根据您的需求进行配置。
8. 点击 应用更改。

发送 UniFi Endpoint 入职邮件

默认情况下，一旦人员被分配了第一个权限，系统将自动向其发送 UniFi Endpoint 邀请。但是，如果您禁用了此设置，则必须在特定人员的属性面板中手动点击 发送邀请邮件。有关更多信息，请参阅为零信任网络访问 (ZTNA) 配置 UniFi Endpoint 服务。