组织
用一个 OPL 数据空间 实例服务多个团队、业务单元或客户,而不必把每个功能都变成所有人共用的全局空间。
组织是现代 OPL 数据空间 部署中的租户边界。每个用户在正常使用产品时都属于一个归属组织,而全局管理员只有在明确标记为全局的管理界面中,才能跨越组织边界操作。
组织会改变什么
组织影响的远不止用户目录:
| 界面或能力 | 变化内容 |
|---|---|
| 用户管理 | 用户、组织管理员与用户组成员关系默认都变成组织作用域 |
| 共享 | 私有共享与组织内公开共享都停留在组织边界,除非资源被明确标记为平台公开 |
| 管理作用域 | 全局管理员可以在混合作用域管理页面中,在 Global 与具体组织之间切换 |
| 运行时设置 | 许多 provider、检索、图像、音频与功能开关设置都可以按组织覆写 |
| 运维流程 | 注册路由、迁移、文件归属和向量检索隔离都需要组织感知处理 |
核心概念
归属组织
每个用户都且仅有一个归属组织,全局管理员也不例外。
- 个人聊天、笔记、Prompt、模型和其他日常用户资源,默认都属于归属组织,除非资源被显式定义为平台全局。
- 切换管理作用域并不会让全局管理员自动成为所有组织的成员。
落地组织
开放注册、OAuth 注册和 SCIM 下发都需要一个目标组织。
- 旧部署升级时,通常会为了兼容性先引导到一个默认组织。
- 随后可以通过部署设置,把新用户路由到指定的落地组织。
- 如果落地组织缺失或被停用,账号创建应该清晰失败,而不是产生没有组织的用户。
组织管理员
组织管理员 不等于 全局管理员。
- 他们只能在自己的组织内部管理用户和设置
- 他们的能力可以由全局管理员决定是否委派或固定
- 他们不能把别人提升为全局管理员,也不能管理平台全局作用域
平台全局 与 平台公开
这两个概念解决的是不同问题:
- 平台全局资源:由全局管理员在平台作用域下有意维护的资源
- 平台公开共享:一种只读共享授权,让组织自有资源可以跨组织可见
继续阅读
- 管理作用域矩阵 解释各类管理页面里的 Global 到底意味着什么。
- 资源边界 解释私有、组织公开、平台公开与平台全局之间的区别。
- 共享 OPL 数据空间 说明共享部署的上线与 onboarding 模式。
运维提示
如果你正在把一个历史上的单工作区部署升级为组织模式,请把它同时看作一个产品功能和一个运维项目。在大规模启用多组织之前,先检查注册路由、管理员对作用域的预期、向量数据库维护方案,以及文件存储迁移路径。