【已评审】蓝盾对接需求：管理空间缩减人员范围时，支持从空间下用户组剔除相关人员

[Xmandon]

解决方案（方案里的第5步）：https://github.com/TencentBlueKing/bk-iam-saas/issues/1561

[zhu327]

分级管理员人员范围缩减同时缩减用户组人员范围

• 如何判断是范围缩减了, 并不能判断是否是扩大还是缩减, 所以只能在修改时就开始检查
• 异步任务检查遍历所有用户组的成员是否在新的范围内, 如果是则剔除
• 后台操作, 需要考虑如何通知用户, 你被剔除了, 而不是静默

[zhu327]

分级管理员增加自动有权限的配置

• 创建一个分级管理员关联的用户组, 需要对用户组打上标签, 并且是readonly
• 配置打勾时需要自动创建用户组, 并授权, 添加人员
• 分级管理员增减人员时, 判断是否需要同步用户组的关系
• 分级管理员修改授权范围时, 判断是否需要同步用户组关系
  • 全部走自定义权限, 自动同步

分级管理员人员范围缩减同时缩减用户组人员范围

• 如何判断是范围缩减了, 并不能判断是否是扩大还是缩减, 所以只能在修改时就开始检查
• 异步任务检查遍历所有用户组的成员是否在新的范围内, 如果是则剔除
• 后台操作, 需要考虑如何通知用户, 你被剔除了, 而不是静默

二级管理员跟一级管理员的人员授权范围保持同步

• 需要对比范围有变更
• 异步任务, 遍历更新

分级管理员的授权范围缩小同步缩小用户组的权限

• 对比出需要缩小的部分权限, 由于分级管理员的授权范围可能有很多个系统, 这里的数量需要评估下
• 遍历对用户组的授权回收, 包括自定义/权限模板
• 如果缩减了操作, 还需要遍历修改权限模板
• 静默操作, 同样可能需要考虑通知到用户

---

以上操作都是放大写, 需要评估用户组/系统具体的数量, 极端情况下任务可能会很多, 导致worker被占用, 影响到其它的任务

[EchoQT]

ok