MindSphere 用户与资源管理简介

1.用户账号介绍

         1.1怎么获取账号

        根据账号类型，MindSphere提供三种账号类型，分别是开发类型，运营类型，使用类型，用户可以根据自己情况，选择相应账号类型，对于没有账号用户可以联系我们的销售人员购买或者可以从我们的阿里巴巴的阿里云网店进行了解购买。我们的网店地址为：https://market.aliyun.com/mindsphere，点击”了解详情”了解相关账号提供服务。

 

1.2用户功能

          当您通过购买获得的无论是什么类型账号，购买时填写的邮箱被默认认为是一个超级用户，用它可以创建不同的用户类型--全局用户和子租户用户，通过它也可以创建受限用户或者和超级用户一样的用户类型，这个取决于创建用户的时候授予什么角色，创建用户数量和你购买的账号规模有关系，每个账号规模都有大中小三种模式，不同模式有不同的资源分配，

• 面向用户：终端用户人员，最少可以创建10个用户，最直接的使用者，用户可以此上传IoT数据，存储等功能，具体服务资源查看购买的服务包。
• 开发用户：提供开发人员使用，最少可以创建10个用户，开发人员可以在在此进行开发，测试，发布等功能，具体服务资源查看购买的服务包。
• 运营用户：此用户主要功能接受运营开发通过发布审核的应用程序，并将应用程序售卖分配给终端用户，最少可以创建5个运营用户，具体服务资源查看购买的服务包。

        创建用户的时，不同的分别拥有各自角色，各个用户角色请参考下列表中的内容：

标准角色	角色 ID	许可证
		IoT Value Plan	Developer Plan	Operator Plan
TenantAdmin	mdsp:core:TenantAdmin	✓	✓	✓
StandardUser	mdsp:core:StandardUser	✓	✓	✓
SubtenantUser	mdsp:core:SubTenantUser	✓	✓	✓
OperatorAdmin	mdsp:core:OperatorAdmin			✓
DeveloperAdmin	mdsp:core:DeveloperAdmin		✓
Developer	mdsp:core:Developer		✓

1.3创建用户

           当我们已经获取账户时的用户是具备全部的权限或者说角色，这个用户是可以创建和管理员一样的用户，凡是具备mdsp:core:TenantAdmin角色的账号，都可以为其他人在Settings中创建用户。

           创建用户时可以向该用户分配标准角色，Mindsphere平台应用角色和开发应用创建的角色，每种角色都具备用不同功能：

• 标准角色:创建用户时主要限制用户资源访问权限
• MindSphere平台应用角色：创建用户分配给用访问MindSphere应用程序的权限
• 开发应用创建的角色：创建使用时是否将已开发完成的app分配给用户

创建用户是在Settings中进行，每个标准角色的介绍请详阅连接中的内容：https://documentation.mindsphere.io/resources/html/settings/zh-CN/120094768139.html

创建用户步骤如下：

• 点击Settings
• 进入Settings中，在左上角用户下方，点击“创建用户”
• 在显示列表添加用户的电子邮件，选择创建用户类型全局用户还是子租户用户，分配相关角色
• 给用户分配完成后，在列表下方点击创建用户，此时用户创建完成，此时只需此用户点击邮箱中的连接，点击忘记密码修改密码即可登录使用Mindsphere

2. 开发用户常用访问方式

2.1Session    

        在开发应用过程中session访问Mindsphere资源是最简单，快捷的方式按照接口要求直接调用访问即可，但是需要注意是在DeveloperCockpi 中给app在添加服务接口API角色，我们会使用到什么样的MindSphere 服务的API接口，需要在DeveloperCockpit添加相应API角色。作为新手在app开发完成之后，成功部署到cloudfoundry，并在MindSphere的DeveloperCockpit中创建应用完成，时常忘记给应用程序添加API角色，直接使用APP,直接导致应用运行错误，无法获相关的资源。

通过Session方式访问用户已注册在app提供API接口或者MindSphere 提供服务的API接口，此中访问方法只适用于开发前端app访问，不需要需要使用token验证，在开发过程Session访问方式注意以下几点：

• 禁止使用访问地址使用https://gateway.cn1.mindsphere-in.cn地址，如果使用该gateway地址将无法访问相关的api，还会报跨域错误，MindSphere平台基于安全考虑，在前端禁止带有gateway地址访问
• 访问MindSphere 中已经在APP提供API地址格式为/api/{app名称} -{租户名称}/V1/{app接口地址};如/api/datasource-supplab/v1/getAccessTokenValue
• 访问MindSphere 服务提供API,直接使用相关服务提供API即可，如/api/iottimeseries/v3/timeseries
• PUT/DELETE/POST方法与MindSphere交互时，需要获取Cookie中SESSION和XSRF-TOKEN值分别作为添加到header中为cookie值和X-XSRF-TOKEN的值，如cookie={ SESSION=SESSION值；XSRF-TOKEN=XSRF-TOKEN值}；X-XSRF-TOKEN={ XSRF-TOKEN值}
• GET方法直接调用即可
• 在DeveloperCockpit中添加相关服务API角色

2.2 User token

        在开发APP的过程中通过User token去访问MindSphere平台提供API，仅适用于APP后端 访问资源的情况，此方法是通过获取MindSphere中requestheader中Authorization值，这个值我们俗称为user token，通过去访问MindSphere平台提供API，这个user token权限很小，如果不在DeveloperCockpit中给予平台服务API角色，利用user token将无法访问MindSphere 平台相关的API。

        使用user token访问API需要注意以下几点:

• 在DeveloperCockpit中添加相关服务API角色,使user token赋予访问API的能力
• 在访问API前添加https://gateway.cn1.mindsphere-in.cn地址，如https://gateway.cn1.mindsphere-in.cn/api/iottimeseries/v3/timeseries 或https://gateway.cn1.mindsphere-in.cn/api/datasource-supplab/V1/getAccessTokenValue
• GET/POST/DELETE/PUT 都需要在header中带有user token，

 

2.3 Service credentials （tech user）

        在开发APP的过程中通过tech user去访问MindSphere平台提供API，仅适用于APP后端开发访问资源的情况，tech user我们俗称成为服务凭证或者租户服务凭证，此凭证一般情况下只有develop用户才能申请，通过申请而获取的tech user包括两个信息client_id和client_secert两个值，通过https://supplab.piam.cn1.mindsphere-in.cn/uaa/oauth/token?grant_type=client_credentials接口使用服务凭证可以获取access_token,利用access token 访问MindSphere平台API。  

          通过Tech user 获取的token具有很高权限，使用此token调用相关接口可以操作Mindpshere修改资源，无须在DeveloperCockpit中给APP添加相关API的角色，可以直接访问相关API,为了你的账户安全，不能将Tech user信息发给账户无关用户，一旦发生tech user 泄露账户无关人员，造成的安全问题，用户得自己负责；建议重先创建工单申请，使用tech user需要注意以下几点：

• 在访问API前添加https://gateway.cn1.mindsphere-in.cn地址，如https://gateway.cn1.mindsphere-in.cn/api/iottimeseries/v3/timeseries 或https://gateway.cn1.mindsphere-in.cn/api/datasource-supplab/V1/getAccessTokenValue
• GET/POST/DELETE/PUT 都需要在header中带有user token，
• 不能将Tech user信息发给账户无关人员

 2.4 app credentials     

          在开发APP的过程中通过应用凭证信息去访问MindSphere平台提供API，仅适用于APP后端开发访问资源的情况。 在APP开发完成进行测试的时，我们可以在DeveloperCockpit创建应用凭证，通过应用凭证信息生成token去访问MindSphere平台提供API，当你在DeveloperCockpit中确定创建应用凭证时会生成两个信息client_id和client_secret两个信息，此信息只生成一次，有效期为365天，在develop环境应用凭证信息生成token，没有跨租户访问能力，只能作为测试使用，但是在operator环境中app应用凭证生成token，如果被分配IOT用户（终端用户）同意授权，此token具备跨租户访问数据的能力。

      在Developer环境中的应用凭证应用注意以下几点：

• 在cloudfoundry中设置app的环境变量值或者在manifest文件中进行设置，分别是版本，名称、usertenant、hosttenant、应用凭证client_id及client_secret分别对应环境变量MDSP_OS_VM_APP_VERSION、MDSP_OS_VM_APP_NAME、MDSP_USER_TENANT、MDSP_HOST_TENANT、MDSP_KEY_STORE_CLIENT_ID、MDSP_KEY_STORE_CLIENT_SECRET设置不分先后顺序，但是设置的值一定得正确，MDSP_USER_TENANT与MDSP_HOST_TENANT的租户名称相同都是开用户的租户名称，

 

• 通过APP是版本，名称、usertenant、hosttenant、应用凭证client_id及client_secret获取token只在开发用户中有效，不具备跨租户访问数据的能力
• 在访问API前添加https://gateway.cn1.mindsphere-in.cn地址，如https://gateway.cn1.mindsphere-in.cn/api/iottimeseries/v3/timeseries 或https://gateway.cn1.mindsphere-in.cn/api/datasource-supplab/V1/getAccessTokenValue
• GET/POST/DELETE/PUT 都需要在header中带有user token。
• 具有应用凭证的app发布审核时要选相应的应用凭证选项
• 如果设置环境变量的设置在上传时需要将在开发环境中设置的应用凭证信息去掉

             在operator环境中应用凭证信息需要注意以下两点：

• 应用凭证信息在operator注册完成时自动生成并设置环境变量中。
• 当app授予终端用户时如果同意授予，应用凭证信息生成token基本跨租户访问资源的能力

      3. 用户资源管理

 用户在购买并登陆MindSphere账号后，可以看见一个叫“User Transparency Service”的软件

此软件您可以查看您当前购买的tenant资源，如果您的资源超过一定的用量，比如90%用量，您会收到MindSphere 给您的资源用量提醒，如您需要更多的资源可以通过“upgrade”软件进行资源升级，如在“upgrade”软件里没有找到对应的升级产品，您也可以联系您的销售来进行购买。

 

 

 

 

客户一般购买MindSphere账号后，最常使用的资源有，创建/删除IoT数据模型，或者subtenant登资源的管理操作。以下我们对这些资源做个简单的介绍：

   3.1 asset 介绍      

       用户无论是通过阿里云上购买还是从销售人员处获取到是IoT类型用户还是operator或是developer用户类型，都离不开asset manager应用，首先从设备上来数据就存储于asset manager 中创建的asset中，MindSphere平台中提供服务API都是为数据服务的，由此可以看出asset manager在MindSphere中作用是不言而喻的，我们可以把asset manager理解是MindSphere平台中数据库管理工具，主要是用来创建存储IoT数据的数据库，但是基于西门子对工业行业深耕和对行业的理解，开发出对IoT数据存储的asset manager又区别普通商用数据库和实时数据；

        在asset manager中创建 aspect、asset type、asset、asset agent的创建方式也有区域普通数据库但也有相似之处，比如创建aspect时候有点类似在商用数据库中创建表，而asset type对于aspect的引用，asset对于asset type引用，asset agent与asset之间数据映射其他类型数据所不具备的。

关于asset manager更多介绍可以参考链接https://documentation.mindsphere.io/resources/html/asset-manager/zh-CN/index.html中文档，关于asset manager中的aspect、asset type、asset、asset agent介绍和API的介绍可以参考链接中内容：https://developer.mindsphere.io/zh/apis/advanced-assetmanagement/api-assetmanagement-overview.html

3.2 asset创建    

 在asset manager中asset是基于asset type创建的，在创建asset时得先选择asset type创建，而asset type创建又基于aspect创建，创建一个新asset顺序是如下：

• 创建aspect
• 创建asset type，asset type基于aspect创建
• 创建asset， asset 基于asset type创建，也可以基于现有的asset type创建

更多详细信息可以参考https://documentation.mindsphere.io/resources/html/asset-manager/zh-CN/index.html文档中

 

3.3asset 删除

     在asset manager中，asset既然能被正常创建，就能正常删除，但是有时也可能会意外不能被删除的时候，因为在MindSphere中也有来自其他app对asset manager操作，比如MindConnect IoT Extension 对asset的操作有映射的功能。

 在asset manager中删除asset时应该注意以下几点，要不然会删除不了：

• 被删除的asset共享给其他租户时，应该先解除共享，再进行删除
• 在子租户中删除asset时，子租户没有权限删除主租户给子租户创建的asset
• 低权限用户删除高权限用户删除的asset时，需要高权限用户进行删除。
• 在MindConnect IoT Extension创建代理已上线手动映射到asset manager 中的asset，无法直接进行删除，删除先登录到MindConnect IoT Extension中解除映射，代理下线，才能进行删除操作

如果通过以上几种情况都无法删除asset，请创建工单联系支持人员。

 

在asset manager中删除aspect时得按以下先后顺序进行删除：

•  先删除asset
•  删除asset type
•  删除aspect

          在asset manager中删除asset agent时得按以下先后顺序进行删除：

• 在页面列表中下方点击进行代理配置
• 点击右上角设置进行代理
• 点击下线使代理下线
• 删除代理

3.4 subtenant 创建与删除

客户可以使用”Setting”软件对subtenant以及subtenant账号进行管理，如下图:

在您创建好subtenant 后，您可以在”Asset manager”软件中查看您创建好的subtenant, 针对subtenant创建的asset会被收集在对应subtenant下。

您在删除subtenant的时候，也需要先在“Setting”软件下删除subtenant后，才能在“Asset Manager” 软件下删除对应的subtenant.