华为云用户手册

更多操作 门户页面创建完成后，您还可以执行如下表的操作。 表2 相关操作 操作 说明 启用门户页面 在门户页面列表，单击“启用”列的“设为启用”。 门户页面启用后，该门户页面可以在菜单里进行配置。如果需要在菜单里更改某个门户页面，可以选择“编辑”，调换其他已启用的页面。 禁用门户页面 在门户页面列表，单击“启用”列的“设为禁用”。 门户禁用后，该门户无法被关联到菜单、站点。 如果一个门户页面已经被配置到某个菜单中，再将其禁用，此时为保证门户的前台体验，该页面依旧可以被访问。如果要禁用已经配置在菜单中的门户，需要在门户菜单和门户站点移除被关联的门户页面。 预览门户页面 在门户页面列表，单击“操作”列的“预览”，可以对门户页面进行预览。 复制门户页面 在门户页面列表，单击“操作”列的“复制”，将在门户页面列表中生成一个该门户的副本。 编辑门户页面 在门户页面列表，单击“操作”列的“编辑”。 删除门户页面 在门户页面列表，单击“操作”列的“删除”。 说明： 门户页面为禁用状态时，才能被删除。

组织和账号同步说明 组织部门信息同步（增量）/组织部门信息同步（全量）： 组织同步说明： 应用有组织部门 ISV应用中如果每个用户都有单独的组织，即整个租户下的组织是树形结构，每个用户都挂在各自的组织下，则需要做组织的同步。 应用无组织部门 ISV应用中如果每个用户都挂在一个根组织下，即没有组织结构，组织不做对接就可以，同步组织事件做一个“伪通过”即可。 存量组织、账号同步说明： 应用涉及存量组织、账号同步 ISV应用本身有存量的组织、用户，若涉及旧数据迁移到MIW新平台，就需要考虑存量组织、用户同步的场景。 应用不涉及存量组织、账号同步 ISV应用本身无存量的组织、用户，若不涉及旧数据迁移到MIW新平台，就无需考虑存量组织、用户同步的场景。 应用中的存量组织数据迁移，应用程序根据如下流程处理： 应用中的存量用户数据迁移，应用程序根据如下流程处理：

更多操作 门户页面创建完成后，您还可以执行如下表的操作。 表2 相关操作 操作 说明 启用门户页面 在门户页面列表，单击“启用”列的“设为启用”。 门户页面启用后，该门户页面可以在菜单里进行配置。如果需要在菜单里更改某个门户页面，可以选择“编辑”，调换其他已启用的页面。 禁用门户页面 在门户页面列表，单击“启用”列的“设为禁用”。 门户禁用后，该门户无法被关联到菜单、站点。 如果一个门户页面已经被配置到某个菜单中，再将其禁用，此时为保证门户的前台体验，该页面依旧可以被访问。如果要禁用已经配置在菜单中的门户，需要在门户菜单和门户站点移除被关联的门户页面。 预览门户页面 在门户页面列表，单击“操作”列的“预览”，可以对门户页面进行预览。 复制门户页面 在门户页面列表，单击“操作”列的“复制”，将在门户页面列表中生成一个该门户的副本。 编辑门户页面 在门户页面列表，单击“操作”列的“编辑”。 删除门户页面 在门户页面列表，单击“操作”列的“删除”。 说明： 门户页面为禁用状态时，才能被删除。

请求参数场景说明 租户信息同步接口/租户应用信息同步接口/组织部门信息同步（增量）： 若接口请求参数的“flag”字段删除、修改或新增，服务商需要实现删除、修改或新增租户信息的业务逻辑。自测用例请参见云商店购买SaaS类应用绑定。 租户应用授权信息同步接口： 若接口请求参数的“flag”字段删除、修改或新增，服务商需要实现删除或新增租户信息的业务逻辑。自测用例请参见云商店购买SaaS类应用绑定。 下述两个场景需要用到扩展字段extension功能： ERP类应用，涉及到多账套的需通过扩展字段extension来传账套信息。 非ERP类应用，如果需要同步user扩展字段（如手机号、工号、邮箱等字段），可通过扩展字段来进行扩展传参，ISV端需要提前做好对接逻辑。扩展字段详细操作请参考企业租户将应用授权给下属的用户中的ERP类应用多账套或者扩展字段传参流程。 租户应用授权信息同步时，需要根据用户信息userList中的role参数描述的逻辑进行处理。 role字段有admin、user的区分，测试时与租户手机号相同的用户作为admin角色，其它用户作为user角色： admin：role传到第三方应用下游，该用户在平台进入应用时默认有管理员的权限。 user：role传到第三方应用下游，该用户在平台进入应用时默认有用户的权限。

绑定流程 SaaS类应用对接MIW自测可以通过MIW的ISV应用注册中心绑定，或者通过云商店买家中心购买绑定，建议通过云商店买家中心购买绑定。 如果通过MIW的ISV应用注册中心绑定，云商店将无法识别到应用已绑定，这将导致： 云商店会一直发送短信提醒买家进行绑定。 当买家购买应用的时间到期，云商店无法通知工业工作台停止应用。 云商店购买SaaS类应用绑定流程如下： 图1 云商店购买SaaS类应用绑定流程 父主题： 云商店购买SaaS类应用绑定

应用单点登录 新增组织机构、用户成功，即可开始应用单点登录。用户登录之后工业工作台若无门户页面，门户配置请参考管理员配置企业门户。 打开华为工业云平台页面。 图1 华为工业云平台页面 输入账号、密码，进入工业工作台用户界面。 图2 工业工作台用户界面 单击“通用应用”，进入应用界面。 图3 应用界面 单击其中一个应用进行单点登录。 图4 应用单点登录页面 父主题： 应用绑定企业租户后对接工业工作台

应用单点登录 新增组织机构、用户成功，即可开始应用单点登录。用户登录之后工业工作台若无门户页面，门户配置请参考管理员配置企业门户。 打开华为工业云平台页面。 图1 华为工业云平台页面 输入账号、密码，进入工业工作台用户界面。 图2 工业工作台用户界面 单击“通用应用”，进入应用界面。 图3 应用界面 单击其中一个应用进行单点登录。 图4 应用单点登录页面 父主题： 应用绑定企业租户后对接工业工作台

应用对接接口规范 若首次与MIW应用对接，请跳过本章内容，从接入准备工作章节开始查看。 若已与MIW应用对接，请联系华为工程师确认对接接口规范，并按下列步骤进行操作： 对接License接口。 对接License接口前需要完成接入准备工作的操作，对接License接口详细指导请参考对接License接口。 调试License接口。 需要调试的四个License接口：获取License、License续费、License过期和License释放。接口调试详细指导请参考调试License接口。 上架0元测试商品。 上架联营SaaS类0元商品是为了后面进行应用自测使用。上架的详细指导请参考上架联营License类0元测试商品。 在MIW注册中心创建应用模板，绑定测试租户。 对接老MIW同步接口的应用需先创建应用模板，绑定测试租户才能触发同步事件。详细操作见联营License类应用绑定。 输出自测报告。 按测试用例输出对应用例的测试报告，由平台审核。详细指导请参考应用绑定企业租户后对接工业工作台。 父主题： License类商品接入（物理多租）

单点登录测试 应用凭证申请。 服务器接口调测成功后，集成联营Kit前，服务商需要申请应用凭证，该凭证在发布商品、Kit集成阶段均会使用，具体操作步骤请参见《云商店 接入指南》的应用凭证申请。 应用测试账号获取。 服务商成功申请应用凭证并完成如上的接口开发后，为了测试已调试好的应用的可用性，可以申请测试账号进行测试验证，具体操作步骤请参见《云商店 接入指南》的应用测试账号获取。 父主题： 单点登录改造和测试

更多操作 门户菜单创建完成后，您还可以执行如下表的操作。 表2 相关操作 操作 说明 编辑门户菜单 在门户菜单列表，单击“操作”列的“编辑”。 设置门户菜单权限 在门户菜单列表，单击“操作”列的“权限配置”。 在弹出的对话框中，勾选可以查看该门户菜单的人员，单击“确定”。 说明： 设置权限时，需从右边“已选”区域清除租户名称，否则，其余用户依然有权限访问该门户菜单。 删除门户菜单 在门户菜单列表，单击“操作”列的“删除”。 调整门户菜单排序 单击门户菜单列表上方的“排序”，拖拽菜单上下调整位置，单击“保存”，可以调整多个门户菜单的顺序。

数据保护技术 开天工业工作台通过数据保护手段，保障开天工业工作台数据可靠性。 表1 开天工业工作台的数据保护手段 数据保护手段 简要说明 传输加密（HTTPS） 开天工业工作台外部接口支持HTTPS传输协议，保障数据传输的安全性。 服务端加密 开天工业工作台涉及个人数据处理，包括姓名、手机号码、邮箱等。这些数据在开天工业工作台内加密存储，避免个人数据的泄露。 数据容灾保护 开天工业工作台内的数据，包括RDS（Relational Database Service）、D CS （Distributed Cache Service），启用了定时备份机制，定时全量备份（默认每天）与增量备份（默认5分钟）。 同时，RDS、DCS启用了双AZ（Availability Zone）容灾，当一个AZ异常后，可以无缝切换到另一个AZ上继续使用。 父主题： 安全

计费说明 开天工业工作台业务规格类型分为专业版基础型、专业版标准型、专业版增强型。 表1 专业版基础型 业务规格类型 规格描述 详细规格 计费模式 专业版基础型 用户数 用户数100个。 包年 办公应用 IM即时消息、日历、通讯录、审批、待办中心、新闻资讯、企业公告。 应用管理 统一组织、统一账号、统一授权、统一登录、应用分组管理、支持企业在华为云的自建应用对接。 门户应用 默认门户 定制门户 应用集成 支持集成流编排和运行（40条流）。 知识管理 数字化诊断工具。 表2 专业版标准型 业务规格类型 规格描述 详细规格 计费模式 专业版标准型 用户数 用户数500个。 包年 办公应用 IM即时消息、日历、通讯录、审批、待办中心、新闻资讯、企业公告。 应用管理 统一组织、统一账号、统一授权、统一登录、应用分组管理、支持企业在华为云的自建应用对接。 门户应用 默认门户 定制门户 应用集成 支持集成流编排和运行（80条流）。 知识管理 数字化诊断工具。 专业版基础型和专业版标准型支持订购扩容包，1个扩容包包含100个用户数和10条集成流。 表3 专业版增强型 业务规格类型 规格描述 详细规格 计费模式 专业版增强型 用户数 用户数1000个。 包年 办公应用 IM即时消息、日历、通讯录、审批、待办中心、新闻资讯、企业公告。 应用管理 统一组织、统一账号、统一授权、统一登录、应用分组管理、支持企业在华为云的自建应用对接。 门户应用 默认门户 定制门户 应用集成 支持集成流编排和运行（200条流）。 知识管理 数字化诊断工具。

关键特性 工业云商城：打造工业企业的数字化商店，精准的解决方案匹配，打造行业数字化标杆。 工业工作台：企业一站式信息服务及数字化管理平台。 一个账号访问所有服务：简化IT服务使用门槛，统一权限管理和应用管理。 随时随地处理业务：跨终端账号和数据协同，移动办公不受地域限制。 一站式使用数字服务：一个入口访问所有IT服务，用户自动获取数字服务。 打造行业专属桌面：企业Logo、桌面菜单自定义，积木式搭建企业办公桌面。 数据采集：轻量化大数据分析服务。 数据集成：沉淀行业应用集成资产。 应用集成只对接一次，可提升集成效率30%+。 提供行业API开放服务，提供人工智能、行业标识等基础能力。标准 API服务 已达到1000+。 聚合应用集成资产，连接器封装工业应用南向和北向接口，连接流串联连接器。 数据运营：可视化报表展示，监控企业核心业务指标。 协同办公：IM、日历、通讯录、审批、待办、新闻、公告。

应用场景 开天工业工作台是面向中小型制造业定制的一站式数字化解决方案。涵盖业务数字化的管理工具（销售订单管理、库存管理等）、企业业务流程工具（ERP、MES、业务互通）、定制化企业门户、常用协同办公能力、应用统一管理、应用集成和数据互通等能力。支持企业多业务场景管理，为企业打通上下游业务流。提供开箱即用的应用、低成本高回报、解决各种业务痛点，助力企业轻松上云。 业务数据化管理，帮助企业解决四大业务痛点。 快速掌握企业的全面销售情况： 图1 销售情况 对比去年同期与公司整体销售额。 对比区域销售额与客户销售额。 对比业务员业绩。 分析重点客户销售。 分析主要产品销售。 快速掌握企业订单情况，按时交付： 图2 订单情况 打开移动端app可快速查询客户订单状态。 企业及时处理超期订单。 从客户、产品维度了解订单交付情况。 通过报表分析提升企业准交率。 快速掌握企业库存物料呆滞程度： 图3 库存物料呆滞程度 快速查看库存总金额与呆滞金额比重。 分析每月呆滞物料变化情况。 分析不同仓库的物料积压程度。 快速掌握企业工厂生产效率： 图4 生产效率 企业实时产量报表。 工人手机派工、报工。 统计工人生产绩效。 三大业务工具：为企业提供ERP、MES主流工业应用和应用互通工具。 应用间业务互通： 基础资料同源：在ERP中维护的物料信息，可以在MES录入工单时被使用。 业务流的数据互通：在ERP中录入的销售订单，可以在MES录入工单时，通过来源单据被选到。 可视化报表展示与ERP数据的同步。

修订记录 发布日期 修订记录 2024-01-10 第七次正式发布。计费说明删除“基础版”业务规格类型。 2023-09-28 第六次正式发布。 优化如下章节： 计费说明 2023-02-17 第五次正式发布。 优化如下章节： 图解开天工业工作台 应用场景 2023-01-17 第四次正式发布。 新增如下章节： 图解开天工业工作台 优化如下章节： 计费说明 2023-01-03 第三次正式发布。 优化如下章节： 计费说明 2022-12-15 第二次正式发布。 优化如下章节： 计费说明 约束与限制 2022-12-08 第一次正式发布。

产品功能 开天工业工作台产品功能如表1所示。 表1 开天工业工作台功能概览 功能 简介 工作台配置 工作台提供门户、移动门户的定义，门户可以通过行业管理员或者企业管理员来定义（二级门户定义），行业管理员定义的门户将默认被企业继承。 工作台提供登录页定义的能力，登录页设置包括：网站Logo、登录页背景、登录页标题等。 门户管理 工作台的门户由三个部件组成：门户站点、首页和导航菜单。当前系统提供几种默认布局，支持企业管理员新建或复制一个已存在的站点，并对站点的布局进行更改。首页由企业管理员根据已有模板进行复制更改或者新建。 统一账号 企业管理员自注册：企业管理员账号拥有对企业所有组织结构和用户、应用、管理门户菜单的管理权限。 账号管理：自动为用户添加应用账号，提供账号的注册、密码重置、禁用等功能。 账号首登密码强制修改：支持判断是否是首次登录，如果是首次登录，会要求用户强制更改初始密码。 账号登录日志查询：业务管理员或者企业管理员可以通过账号登录日志界面查看登录日志。登录日志中显示账号、用户名、登录时间、IP、账号状态等信息。 统一组织 部门管理：企业管理员管理本企业部门结构，支持手动创建或导入创建。 成员管理：企业管理员为部门添加成员，添加后将自动生成登录账号。成员添加有直接添加和成员邀请两种模式，其中成员邀请可通过邀请码、二维码和URL三种方式邀请。 权限管理：企业管理员可以通过创建角色并将角色赋予企业成员来分配管理权限。 统一登录 提供统一登录认证、应用间账号的免登录、账号登录日志、账号密码重置等相关功能。 统一授权 统一管理企业自建应用和在云市场采购的应用，并对应用进行统一授权管理。 企业向服务提供商主动授权用户数据，涉及手机号、邮箱等。 应用管理 应用分为四类：内置应用、预装应用、订阅应用、自建应用。 内置应用： 企业工作台 预置的应用，如审批、日程、待办中心等。 预装应用：预装应用包括联邦应用和SaaS应用，由系统配置，配置完成后即可使用。 订阅应用：由企业管理员或者拥有企业采购能力的员工通过云市场订单订购而来。 自建应用：企业内IT自建的应用或者通过 集成工作台 发布的企业内应用。 应用管理包括：应用详情查看、应用分组、跳转云市场（查看市场应用并订购）。 实例管理 企业开通开天工业工作台后，开天工业工作台会给企业分派默认三级 域名 ，并为企业绑定预装的应用列表。企业可以查看用户登录和管理侧的登录地址，并能跳转到管理后台对企业进行管理操作。 运营运维 运营管理：开天工业工作台提供基础企业运营相关数据，支持管理员查看到企业的基本信息，包括：企业名称、企业简介、企业联系人、企业联系方式、企业的组织数、当前用户数、已激活用户、订阅的应用数等信息。 运维管理：开天工业工作台基于高可靠的部署和组网，支持主备容灾。 新闻管理 新闻管理的一个重要功能是分类管理，通过对发布的新闻进行分类，可实现对应的权限管控、展示不同字段内容信息。发布的新闻会推送给企业内所有成员，也可以置顶显示。 多端能力 工作台提供多种形式客户端，支持用户使用统一的账号通过Web浏览器、PC端和移动端登录。

应用类型 按照是否独占云服务资源，应用分为两种类型：共享域名和独立域名。 共享域名应用：不同客户使用相同的网站域名登录。一般而言，软件即服务SaaS应用，不同企业均共享统一的云基础设施环境，使用共享域名的情况居多。 独立域名应用：不同客户使用不同的网站域名登录。一般而言，每个企业独立一套部署环境的应用。由于IP地址不同，只能使用独立域名，少部分SaaS应用也会给企业分配独立域名。 父主题： 基本概念

权限管理 表1 开天工业工作台权限管理 权限名称 描述 依赖关系 企业管理员 开通开天工业工作台时自动创建的企业管理员，是企业内拥有最高权限的管理员，可对企业内的门户、组织成员（通讯录）、应用、权限、角色、新闻、公告及企业信息等内容进行管理。 无 业务管理员 由企业管理员在开天工业工作台角色权限处创建，拥有对企业部分门户、组织成员（通讯录）、应用的管理权限。 企业管理员 普通用户 具体使用开天工业工作台的人员，一般是由企业管理员或业务管理员在管理后台添加，添加完成后，用户账号自动开通，可登录开天工业工作台。 无

技术优势 实现应用统一账号、统一登录、统一鉴权、统一组织信息，提供统一接入规范。涉及领域包括ERP、CRM、PLM、OA、IoT、BI、MES、CAD、SRM、生产培训、知识管理等。 行业资产库，丰富的行业API、连接器、流模板、卡片、数据集等，使能业务创新，缩短应用上线时间。 预置行政人事轻应用，后台数据打通：预装即时消息、待办、公告、日历、行政服务、人事管理等基础应用，打通应用间数据关联，实现开箱即用，企业业务一站启航。 数据模型驱动开发和集成：具备数据模型定义能力，具备基于数据模型驱动的应用开发和集成能力，包含研、产、供、销、服各大领域通用数据资产模型，基于数据模型可以快速构建轻应用和快速集成轻应用。 门户自定义编排，打造企业专属阵地：提供丰富的模板组件，自定义工作台门户；更换登录页的图片及Logo，匹配企业个性化需求。灵活配置企业门户，支持企业门户自定义，同时支持产业集群运营门户，满足企业运营需求。 数据集成零码/低码平台： 连接器实现了集成工作台流编排能力扩展，预置丰富的连接器，还为用户提供自定义连接器能力。 业务流编排：通过可视化的方式对连接器进行组合、编排，支持流程编排，事件编排等。 IoT边缘集成：支持对接IoT边缘通道，支持IoT数据对接。 集成资产积累：支持预集成资产积累，支持ERP、CRM、PLM、OA、IoT、BI、MES、CAD、SRM间数据快速集成，相比传统集成开发速度提升5倍以上。 组织、用户、应用多维度管理： 精细化管理，应用使用权限可细化到组、人和部门。 用户分组分角色管理。 企业内组织的统一管理配置，多处复用。 无需跳转，应用一站使用：工作台预装的办公应用、企业自建应用、用户在云市场购买的应用，均可在工作台快速打开使用，无需二次登录，提高办公效率。 父主题： 产品优势

身份认证与访问控制 身份认证 开天工业工作台提供了两种身份认证登录方式，未授权的用户不能访问： 企业管理员可以使用华为云用户名与密码登录华为云，通过华为云企业工作台SSO登录开天工业工作台的管理后台。 企业员工可以使用员工的用户名与密码登录开天工业工作台，如果是管理员，可以再跳转到管理后台。 访问控制 企业管理员可以通过设置员工的访问权限和业务管理员角色来管理开天工业工作台。 企业员工只能在企业管理员设置的权限下使用开天工业工作台。 父主题： 安全

服务韧性 开天工业工作台提供了3级可靠性架构，通过双AZ容灾、AZ内集群容灾、数据容灾技术方案，保障服务的持久性与可靠性。 表1 开天工业工作台可靠性架构 可靠性方案 简要说明 跨AZ容灾 开天工业工作台实现AZ双活，一个AZ异常时，另一个AZ为云服务持续提供服务。 AZ内集群容灾 开天工业工作台通过集群提供服务，集群中每个微服务都有多个实例，当一个或部分实例异常时，其他实例可以持续提供服务。 数据容灾 开天工业工作台数据存储在RDS、DCS服务中，RDS、DCS实现了AZ容灾方案，数据持续会同步到容灾站点，当生产站点的RDS异常后，容灾站点可以接管业务，保障云服务持续运行。 父主题： 安全

产品价值 作为SaaS（Software as a Service）应用分发平台，开天工业工作台助力企业数字化转型，加速新技术应用和业务创新，面向工业企业提供的主要价值包括： 一个账号登录企业应用：开天工业工作台提供统一账号认证服务，企业用户切换不同应用时，无需重复输入密码，大幅提升了工业企业应用间协同效率。 工业应用推荐服务：开天工业工作台基于华为云市场海量的应用资源，构建工业应用分发平台，根据企业行业特点实现供需匹配，方便工业企业获取满足业务需要的应用。 门户自定义编排，打造企业专属阵地：提供丰富的模板组件，自定义工作台门户；更换登录页的图片及Logo，匹配企业个性化需求。 组织、用户、应用多维度管理：精细化管理，应用使用权限可细化到组、人和部门；用户分组分角色管理；企业内组织的统一管理配置，多处复用。 预置行政人事轻应用，后台数据打通：预装即时消息、待办、公告、日历、行政服务、人事管理等基础应用，打通应用间数据关联，实现开箱即用，企业业务一站启航。 业务敏捷按需开发：依托开天工业工作台自带的 低代码开发平台 ，预置大量开发模板，支持业务人员以积木拼接的方式，快速构建行业应用和企业经营看板，满足企业内部80%以上应用开发需求，加速业务创新。 工业解决方案：工业解决方案预集成多个工业应用和华为云服务，以SaaS服务形式提供细分的场景解决方案，用户无须关心方案的构建细节，只需聚焦业务场景和应用使用效果。 以上用户价值需要应用生态协同才能达成，为更好的支持生态伙伴发展，开天工业工作台为伙伴也提供了许多高价值服务： 云技术协同创新：依托开天工业工作台，为伙伴应用提供大数据、AI、物联网等云原生基础技术能力，加速伙伴应用创新。 市场联合拓展：和应用伙伴联合拓展 工业互联网 市场，依托本地化技术团队，协助应用伙伴解决前期获客、中期交付和后期服务的难题。 专业集成验证：为伙伴应用与开天工业工作台的集成提供专业的技术咨询和集成验证服务，一次验证，华为云生态通用，避免反复集成验证，同时基于开天工业工作台确保验证和生产环境的一致性。 交付效率提升：基于开天工业工作台提供标准客户服务支持，应用生态伙伴聚焦项目交付实施投入，减少服务人员投入；随着交付经验的积累，开天工业工作台支持通过应用编排和部署工具，将交付实施工作标准化、自动化，大幅提升交付实施效率。 多应用高效集成：开天工业工作台提供的API集成、数据共享基础能力，大幅降低应用间集成开发难度，实现了数据在应用间的无缝流转，面向用户提供整体解决方案。 父主题： 产品优势

TDIS权限 默认情况下，新建的 IAM 用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TDIS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问TDIS时，需要先切换至授权区域。 如下表所示，包括了TDIS的所有系统权限。 表1 TDIS系统权限 系统权限 权限描述 权限类别 说明 Tenant Administrator 全部云服务管理员（除IAM权限） 系统角色 详情请参考系统权限。 Tenant Guest 全部云服务只读权限（除IAM管理权限） 系统角色

方案优势 完备的身份和认证管理 随着数字社会的发展，数字身份得到越来越多的使用。传统的身份管理中，身份颁发和获取依赖中心化的第三方，无法实现身份的自主可控、自解释。同时身份的可移植性差。TDIS服务可提供完备的身份管理和认证凭证管理。 强数据隐私保护 分布式场景下用户通过出示凭证获得相应的权限和权益。但凭证出示粒度较粗，隐私保护能力较差，在出示验签的过程中导致用户无关属性暴露。TDIS服务提供强数据隐私保护能力，保障证照应用中的证照数据可用不可见。 丰富易用的扩展组件 证照应用中凭证多种多样，难于管理和维护。凭证模板管理组件可以提将证照统一化、标准化。屏蔽底层 区块链 用户接入门槛，可快速集成分布式身份构建业务。

产品优势 分布式身份系统 遵循W3C的 Decentralized Identifiers(DIDs)v1.0 和 Verifiable Credentials(VC)v1.0 标准规范实现。系统扩展性强，支持身份和可验证凭证的全流程链上管理能力。 强数据隐私保护 可验证凭证支持基于属性级别的细粒度出示，凭证使用者可根据隐私保护需要，任意组合出示凭证中的属性给验证者完成验证，最大程度保护用户隐私，同时解除了已签发凭证对应用业务场景的限制。 凭证申请和签发的相关材料全链路加密存储，使数据可用不可见。 丰富的扩展组件 提供凭证模板管理、链下凭证签发、密钥托管等扩展功能组件，帮助用户基于分布式身份快速构建应用，无须购买和管理区块链资源。

使用方式 根据持有者申请可验证凭证的方式，将可信分布式身份服务的使用分为链外申请模式和链上申请模式。 链外申请模式中，持有者将申请可验证凭证的身份/凭证数据直接发送给签发者。 链上申请模式中，持有者将申请可验证凭证的身份/凭证 数据加密 存储于区块链。 图2 可信分布式身份使用时序图(链外申请模式) 链上申请模式中，根据持有者与签发者之间是否需要通信信道，分为在线申请和离线申请。 图3 可信分布式身份使用时序图(链上申请-在线申请模式) 图4 可信分布式身份使用时序图(链上申请-离线申请模式)

响应提取 响应提取是提取接口响应结果的某一部分，命名为参数，供后续测试步骤参数化调用。响应提取需要在前序测试步骤定义，后续测试步骤使用。 在前序测试步骤中，在“响应提取”页签创建要传递的参数。响应提取来源用到内置参数，请参考内置参数了解如何使用内置参数。响应提取同时支持正则表达式的匹配，提取出与给定正则表达式匹配的返回值。 在后续测试步骤中，通过“${参数名}”方式引用前序测试步骤创建的响应提取。后续步骤的URL、请求头、请求体中均可以引用此参数。如果在JSON格式的请求体中引用此参数，请在参数外使用英文引号，如： { id: "用例ID" name:"${name}" } 响应提取支持根据给定的“key:value”获取字符串，详细配置可参考示例：根据给定的key:value从响应体中获取字符串。 字段 说明 出参名称 用于之后使用${出参名称}来引用此参数，名称使用字母数字下划线。 来源 被检测字段的来源，如响应体（JSON）、响应头、响应码。 属性 若来源是响应码，属性为空。详细介绍请参见响应码检查。 若来源是响应头，属性为响应头中字段的名称。详细介绍请参见响应头检查。 若来源是响应体（JSON），属性有两种填写方法： 普通提取表达式（非“$”开头），例如“item.name”。 取字段中的值，支持嵌套取值。详细介绍请参见响应体（JSON）检查。 从响应体中提取数组时，下标可以是数字，也可以是“key:value”表达式，详细介绍请参见示例：根据给定的key:value从响应体中获取字符串。 JsonPath表达式(“$.”或“$[”开头)，例如“$.store.book[0].title”。 详细介绍请参见示例：根据JsonPath从响应体中获取数据。 高级提取类型 可选项，使用高级提取类型，辅助提取响应结果信息，若选择不涉及则视为不使用额外的方式匹配。 目前有两种方式： 字符串提取，也就是字符串的截取。 正则表达式，即使用正则方式对来源字符串进行过滤。 高级提取类型优先使用字符串提取功能，若不能满足需求可考虑使用正则表达式。 赋值给环境动态参数 将响应提取后的值赋值给动态变量，用于后续测试引用。请参考新建变量，如何设置动态变量。 父主题： 测试用例管理

与 区块链服务BCS 的关系 区块链服务（Blockchain Service简称 BCS ）是面向企业及开发者提供的区块链技术服务平台，它可以帮助您快速部署、管理、维护区块链网络，降低您使用区块链的门槛，让您专注于自身业务的开发与创新，实现业务快速上链。 分布式身份服务TDIS依赖区块链服务BCS。用户无需在区块链服务BCS购买区块链，可直接开通TDIS服务使用基于BCS服务构建的可信分布式身份服务。实现分布式身份和可验证凭证的生成、申请、签发等管理能力，以及数据的发布、授权、分享、解密等能力。

基本概念 分布式身份(Decentralized Identity, DID)：一种新型的标识符，可实现可验证的、去中心化的数字身份。 可验证凭证(Verifiable Credential, VC): 一种可验证具备防篡改能力的数字化凭证。包含物理凭证可代表的所有信息，签发机构(者)相关信息、凭证类型信息(驾照、保险卡)、凭证声明属性信息(出生日期、国籍)、凭证限制相关信息(过期时间、使用条款)、凭证所有者信息(身份证号、did标识、姓名)等等。 签发者(Issuer): 分布式身份系统中的角色之一，根据业务逻辑验证后，负责签发可验证凭证。 持有者(Holder): 分布式身份系统中的角色之一，根据业务需要可向签发者申请可验证凭证，向验证者出示已持有的可验证凭证。 验证者(Verifier): 分布式身份系统的角色之一，可校验持有者出示的可验证凭证，用于支撑后续业务决策。 每个did可以是设备、应用、组织或者个人。每个did身份可以同时是签发者、持有者或者验证者角色。

对于响应的处理 pm.response 在后置脚本中pm.response接口请求完成后返回响应信息，Response SDK 参考。 response包含了以下结构： pm.response.code:Number：获取响应码。 pm.response.status:String：获取响应状态。 pm.response.headers:HeaderList：获取响应头。 pm.response.responseSize:Number：获取响应大小。 pm.response.text():Function：以文本形式输出响应体。 pm.response.json():Function：以json形式输出响应体。 pm.response.setBody('')：设置响应体。 pm.response.headers.get：从响应头中获取指定参数的值，Response SDK 参考。 后置脚本中使用“pm.response.headers.get”命令可以获取响应头中指定参数的值。例如想要获取响应Header中date参数的值，那么可以在后置操作中输入如下自定义脚本： var test = pm.response.headers.get("date");console.log(test);