🔑 角色
Open WebUI 实现了结构化的基于角色的访问控制系统,具有三个主要用户角色:
| 角色 | 描述 | 默认创建 |
|---|---|---|
| 管理员 | 具有完全控制权的系统管理员 | 第一个用户账户 |
| 普通用户 | 具有有限权限的标准用户 | 后续已批准用户 |
| 待审核 | 等待管理员激活的未批准用户 | 新注册(可配置) |
角色分配
- 第一个用户: 在新的 Open WebUI 实例上创建的第一个账户自动获得管理员权限。
- 后续用户: 新用户注册根据
DEFAULT_USER_ROLE配置分配默认角色。
新注册的默认角色可以使用 DEFAULT_USER_ROLE 环境变量配置:
DEFAULT_USER_ROLE=pending # 选项:pending, user, admin
当设置为"pending"时,新用户必须由管理员手动批准才能获得系统访问权限。
用户组
组允许管理员:
- 一次为多个用户分配权限,简化访问管理
- 通过将资源(模型、工具等)的访问权限设置为"私有",然后向特定组开放访问权限来限制对特定资源的访问
- 组对资源的访问权限可以设置为"读取"或"写入"
组结构
Open WebUI 中的每个组包含:
- 唯一标识符
- 名称和描述
- 所有者/创建者引用
- 成员用户 ID 列表
- 权限配置
- 其他元数据
组管理
组可�以:
- 手动创建 由管理员通过用户界面创建
- 自动同步 当启用
ENABLE_OAUTH_GROUP_MANAGEMENT时从 OAuth 提供商同步 - 自动创建 当同时启用
ENABLE_OAUTH_GROUP_MANAGEMENT和ENABLE_OAUTH_GROUP_CREATION时从 OAuth 声明创建
OAuth 组集成
当启用 OAuth 组管理时,用户组成员身份会与在 OAuth 声明中接收的组同步:
- 用户被添加到与其 OAuth 声明匹配的 Open WebUI 组中
- 用户被从其 OAuth 声明中不存在的组中移除
- 启用
ENABLE_OAUTH_GROUP_CREATION后,OAuth 声明中存在但在 Open WebUI 中不存在的组会自动创建