功能定位：为什么需要分级管理员

在 SafeW 的零信任架构里，“安全域”被定义为一组共享同一密钥策略、审计通道与可见边界的资产集合。当团队规模跨过50 人、3 条业务线的门槛后，再把超级管理员权限压在 1～2 人肩上，审批流就会迅速变成瓶颈，合规审计也会亮起红灯。分级管理员把“谁能看”“谁能改”拆成两层：域所有者（Domain Owner）继续握有“生死大权”，分级管理员（Delegated Admin）只能在指定子域内操作用户、密钥与策略，且默认看不到其他子域的任何数据，既减负又合规。

v5.3.0 起，SafeW 把“分级授权”从企业版下放到团队版≥50 席位，并同步推出“影子管理员检测”。现在配置分级管理员，不但能缩短审批链，还能顺手把“僵尸超管”从审计报告里请出去，一举两得。

前置条件与版本提示

1. 客户端需升级至截至当前的最新版本（≥v5.3.0），否则看不到“分级授权”开关。
2. 只有域所有者或被显式授予“分级授权管理”权限的账户才能进入配置页；普通管理员无法越权。
3. 若你启用过“合规锁”（Compliance Lock），任何新增分级管理员都会触发二次 MFA，请提前确认手机或硬件密钥在手。

核心概念速览

安全域（Security Domain）

SafeW 里最高层级的隔离单元，默认自动生成 Root Domain。你可以按地区、项目或合规等级再划分子域（Sub-Domain），例如 CN-SH、EU-DE。子域之间数据隔离，策略独立，天然适合多业务线并行。

分级管理员（Delegated Admin）

被绑定到特定子域+特定角色模板的账户。其令牌 Scope 仅在该子域内有效，跨域调用 API 会直接 403，真正做到“权限不出域”。

可见范围（Visibility Scope）

与“权限”分离的独立维度。即使某分级管理员拥有“写策略”权限，只要可见范围未包含目标资源组，UI 与 API 都会隐藏对应条目，防止“看得到改不了”或“改得到却看不到”的歧义。

操作路径：三步完成分级授权

桌面端（Windows/macOS/Linux）

打开 SafeW → 左侧导航团队面板 → 顶部选择安全域。
在子域卡片右上角点击「…」→添加分级管理员。
弹窗内先选账户（支持输入邮箱或 UID），再选角色模板（默认提供“只读审计”“密钥管理”“用户管理”三种，也可调用自定义模板），最后勾选可见范围（可一次性选多个资源组）。

点击保存后，系统会立即向被授权人推送一次性激活链接，有效期 24 h；若对方未在时限内接受，需重新发起。

移动端（iOS/Android）

由于屏幕限制，SafeW 移动端把“分级授权”收在团队面板 → 安全域 → 子域详情 → 管理员页签。路径比桌面端深一层，但字段完全一致。经验性观察：在 iPad 横屏下可直接拖拽资源组到可见范围，比桌面端点选更快。

常见分支与回退方案

分支 1：需要“跨子域只读”审计

默认模板禁止跨域。此时可克隆“只读审计”模板，在范围例外里手动添加另一个子域的“审计日志”资源组，并关闭“写”动作。保存后系统会提示“将生成跨域读取记录”，该记录不可删除，满足 ISO 21434 对审计轨迹的要求。

分支 2：激活后想回收权限

域所有者随时可在同一入口点击回收，对方客户端会在5 分钟内强制登出并收到“权限已收回”通知。若该分级管理员当时正在编辑策略，未保存的变更会被丢弃，SafeW 会自动生成一条“强制回滚”审计事件。

验证与观测方法

1. 让被授权账户登录后，进入团队面板 → 安全域，应只能看到被授权的子域卡片，其他子域呈灰度提示“无可见权限”。
2. 调用 REST API：GET /v1/domains，返回 JSON 中 visible_domains 数组长度应与授权一致。
3. 在审计日志里过滤事件类型=DELEGATED_GRANT，可追踪谁在何时授予了哪些范围，满足外部审计抽查。

性能与副作用

经验性观察：当单域内资源组超过200 个、分级管理员超过30 人时，控制台首次加载会多出约1.2 s的 ACL 展开耗时；可通过开启“缓存可见性哈希”开关（Settings → Labs）把耗时降到亚秒级，但缓存刷新最长延迟 90 s，对刚授权就立即验证的场景不适用。

不适用场景清单

团队总人数 <10，且不存在外部合规审计——直接给 2 名联合创始人“超级管理员”更简单。
需要临时把外部顾问拉进所有子域——频繁调整可见范围会产生大量不可删除的审计事件，建议改用“限时访客”功能。
仍在使用 v5.2.x 或更早版本——分级授权接口在老版本不存在，升级前请做好全量备份。

与第三方机器人的协同

SafeW 官方并未提供“分级管理员”专用的开源机器人，但社区有第三方审计推送机器人（GitHub 公开源码，名称以 safew-audit-notifier 为例）。该机器人需要读取/v1/audit接口，因此务必只为它创建“只读审计”模板，并把可见范围限定在单个子域，防止跨域数据泄露。机器人所用 Access Token 建议设置为90 天滚动过期，并在 SafeW 的“影子管理员检测”里把该 Service Principal 加入豁免名单，避免被误判。

故障排查速查表

现象	最可能原因	验证动作	处置
被授权人看不到任何子域	可见范围为空	查看授权详情页“可见资源组”计数	编辑授权，至少勾选一个资源组
激活链接 404	链接超过 24 h	检查邮件发送时间	域所有者重新发起邀请
回收权限后仍能调用 API	令牌缓存 5 分钟	观察时间点是否在 5 分钟内	等待自动失效或重启客户端

最佳实践 10 条

先画“子域-资源组”矩阵，再动手授权，避免事后补洞。
给分级管理员起“角色+范围”双描述名称，如“SH-密钥只读”，方便审计快速识别。
每季度运行“影子管理员检测”，把长期未登录的账户自动降级。
对外部顾问使用“限时授权”，到期前 24 h 自动邮件提醒。
不要把“域所有者”角色授予自动化脚本，脚本只需最小写权限。
跨域读取场景必须书面记录业务理由，审计时会优先抽查。
在 CI/CD 里调用 SafeW API 时，把 Access Token 放入专用密钥库，而非 config 文件。
若子域间网络隔离（ZT-IAT），请确保分级管理员所在终端能解析目标子域的隧道域名。
开启“缓存可见性哈希”后，任何授权变更最多延迟 90 s 同步，别急着重复点保存。
培训新人时，用“演示子域”做沙箱，避免误操作生产密钥。

FAQ（结构化数据）

个人免费版能用分级管理员吗？

不能。该功能需团队版≥50 席位，个人版无“安全域”入口。

可见范围能否动态基于标签？

截至当前版本，可见范围只能绑定“资源组”或“子域”，尚不支持动态标签，需要手动维护。

误删了分级管理员，能恢复吗？

删除动作不可逆，但可在审计日志查看其授权范围快照，手动重新创建即可。

最多能建多少分级管理员？

官方未设硬上限，经验性观察：单域超过 100 人后控制台加载耗时明显，建议按地域或项目拆域。

可以对自己授权吗？

域所有者不能把自己降为分级管理员；需先转移所有权，再对新所有者操作。

收尾：下一步行动

如果你已满足≥50 席位，先在生产环境外新建一个“演示子域”，按本文步骤把一位同事设为“只读审计”分级管理员，验证可见范围与 API 返回是否一致；确认无误后，再批量导入正式子域。授权完成记得打开“影子管理员检测”，把结果接入 Slack 或飞书，确保权限变更实时同步给合规团队。如此，SafeW 安全域的分级管理员就算真正落地，既能让一线主管快速响应，也能让审计老师点头。