管理后台操作指南
PicoAide 管理后台完整操作手册 — 13 个功能模块的详细使用说明
管理后台是 PicoAide 的核心管理界面,超管通过 /admin/* 页面完成所有运维操作。本文档按功能模块逐一说明。
管理后台概览
登录超管账号后自动进入管理后台。左侧边栏包含以下导航项:
| 菜单 | 路由 | 说明 |
|---|---|---|
| 仪表盘 | /admin/dashboard | 系统概览:用户统计和技能数量 |
| 超管账户 | /admin/superadmins | 管理超管账户(创建/删除/重置密码) |
| 用户管理 | /admin/users | 用户列表、创建、批量导入和删除 |
| 用户组管理 | /admin/groups | 用户组 CRUD、组成员管理、技能绑定 |
| 通讯渠道 | /admin/channels | 渠道启用/禁用策略配置 |
| 模型配置 | /admin/models | AI 模型参数配置和连接测试 |
| 技能管理 | /admin/skills | 技能源管理、安装、部署和默认技能 |
| 认证配置 | /admin/auth | LDAP/OIDC 配置、认证模式切换、白名单 |
| 团队空间 | /admin/teamspace | 共享文件夹 CRUD 和组可见范围管理 |
| 修改密码 | /admin/password | 超管修改自己的登录密码 |
| MCP 服务 | /admin/mcpservers | 第三方 MCP 服务器管理和授权 |
| HTTPS 证书 | /admin/tls | TLS 证书状态查看、上传和清除 |
| 系统设置 | /admin/settings | 全局配置 JSON 编辑和技能安装策略 |
用户管理
用户列表
用户列表页面显示所有用户及其信息。列表包含:
- 用户名、角色(超管/普通用户)
- 认证来源(local/ldap/oidc),用不同颜色标签标识
- 所属用户组(展开显示全部组名)
- 支持分页显示和用户名关键词搜索
创建用户
在本地认证模式下,超管可以手动创建用户:
- 点击「创建用户」按钮
- 输入用户名(遵循
^[a-zA-Z0-9]([a-zA-Z0-9._-]*[a-zA-Z0-9])?$格式,最长 64 字符) - 系统自动生成随机密码并展示
- 创建成功后自动初始化用户工作目录
在统一认证模式下(LDAP/OIDC),用户由认证源自动同步,不允许手动创建。
批量导入
支持批量导入用户:
- 点击「批量导入」按钮
- 在输入框中输入用户名,每行一个或逗号分隔
- 系统创建异步任务处理导入
- 导入完成后显示每个用户的创建结果和生成的密码
删除用户
删除用户时系统会:
- 停止并清理沙箱容器
- 将用户工作目录移动到
archive/<username>-<timestamp>/ - 删除数据库中的用户记录
删除后数据不会立即丢失,归档目录中的数据可以手动恢复。
超管账户管理
超管账户管理页面可以:
- 查看超管列表:列出所有已注册的超管理员
- 创建超管:输入用户名,系统自动生成随机密码
- 删除超管:系统至少保留一个超管账户
- 重置密码:为指定超管生成新密码
超管始终在本地存储,不依赖任何外部认证源。
用户组管理
用户组结构
用户组支持树形结构,可以建立父子关系。例如:
所有员工
├── 研发部
│ ├── 前端组
│ └── 后端组
├── 市场部
└── 运维部
创建和删除组
- 创建组:指定组名和可选的父组(从下拉树选择)
- 删除组:删除组时其成员关系和共享文件夹关联也会清除
组成员管理
选择目标组后可查看和管理组成员:
- 查看成员:显示直接成员和通过父组继承的成员
- 添加成员:从用户列表中选择,支持搜索过滤
- 移除成员:从组中移除用户(支持批量暂存变更后统一保存)
技能绑定
将技能绑定到组后,组内所有现有成员会立即获得该技能,后续加入的成员也会自动部署。
- 绑定技能:选择组和技能,立即部署到所有组成员
- 解绑技能:只删除绑定关系,不会自动删除已部署到用户工作区的技能目录
LDAP 组同步
在 LDAP 认证模式下,可以在认证配置页面手动触发组同步,LDAP 中的组和成员关系会自动同步到 PicoAide。
通讯渠道
渠道策略管理界面列出所有可用的通讯渠道及其全局状态:
- 查看渠道定义(如
web_search、image_gen等) - 切换全局允许/禁止状态
- 用户的个人设置会与全局策略合并(用户只能在全局允许的范围内启用渠道)
模型配置
在模型配置页面可以:
- 选择 AI 模型提供商(支持 10 个主流提供商)
- 配置模型参数(模型 ID、Base URL、API Key 等)
- 测试连接验证配置是否正确
- 保存配置后自动应用到用户沙箱
技能管理
技能管理是后台最复杂的模块,包含以下功能:
技能源管理
支持三种技能来源:
| 来源 | 管理方式 | 说明 |
|---|---|---|
| Git 仓库 | 添加/pull/删除 | 团队 Git 仓库管理,支持私有仓库凭据 |
| 注册中心 | 浏览/搜索/安装 | 从 SkillHub 等注册中心搜索安装技能 |
| ZIP 上传 | 通过 API | 单次部署,需手动调用 API |
技能仓库管理
添加 Git 仓库(三步向导):
- 第一步:输入仓库信息(名称、Git 地址、分支/tag、凭据)
- 第二步:系统自动 clone 并验证 SKILL.md
- 第三步:完成,仓库出现在列表中
仓库维护:
- 拉取更新:从 Git 仓库拉取最新代码,更新已安装的技能
- 删除仓库:删除仓库并解绑所有相关技能
注册中心浏览:
通过搜索框查找技能,点击「安装」按钮将技能安装到 skill/ 目录。
部署技能
技能安装后需要部署到用户才能生效:
- 部署到用户:选择技能和单个用户
- 部署到组:选择技能和用户组,批量部署到所有组成员
- 按组绑定(推荐):将技能绑定到组后自动部署到所有成员,新成员自动获得
批量部署向导
支持四步部署向导:
- 选择要部署的技能
- 选择目标用户(支持搜索过滤)
- 执行部署(显示进度条)
- 部署完成(显示结果统计)
默认技能
可以设置默认技能开关——开启后,新创建的用户会自动获得该技能。
认证配置
认证配置页面是认证源管理的核心界面。
Provider 动态渲染
系统自动从 /api/admin/auth/providers 获取已注册的认证源列表,并根据每个 Provider 定义的字段模板动态渲染配置表单。当新增认证源时,页面自动适配,无需修改前端代码。
LDAP 配置
填写 LDAP 参数后可以进行连接测试:
- 测试连接:验证 Bind 是否成功
- 用户搜索测试:输入用户名预览搜索结果
- 组查询测试:预览组和成员关系
用户同步
- 同步用户:手动触发目录同步(含过期用户清理)
- 同步组:手动触发组同步
白名单管理
支持两种更新模式:
- 整体替换:用逗号分隔的用户列表替换整个白名单
- 增量更新:单独添加或移除用户
认证模式切换
选择新的认证模式时会有确认弹窗,提示会清除所有普通用户数据。确认后系统执行切换和数据清理。
团队空间
团队空间是共享文件夹功能,适合存放团队共用的配置、模板和数据。
文件夹管理
- 创建:输入名称、描述,设置公开/私有,选择可见组
- 编辑:修改名称、描述和公开属性
- 删除:归档共享目录
组可见范围
使用标签选择器(Tag Selector)设置哪些用户组可以访问文件夹:
- 下拉搜索,支持键盘导航
- 已选组以标签形式展示,可逐个移除
挂载管理
- 测试挂载:检查指定用户的文件夹在沙箱中的挂载状态
- 一键挂载:将文件夹挂载到所有关联用户的沙箱中
MCP 服务
第三方 MCP 服务器管理页面。
服务器管理
- 创建:选择传输协议(stdio/HTTP/SSE),输入命令和参数或 URL 和请求头
- 编辑:修改服务器配置
- 删除:移除服务器
授权管理
通过 Grants 机制控制哪些用户可以使用 MCP 服务器:
- 添加授权:选择授权类型(user/group)和授权值
- 移除授权:删除指定授权记录
工具查看
点击工具数量可以查看该 MCP 服务器提供的所有工具列表。
HTTPS 证书管理
在「HTTPS 证书」页面可以:
- 查看状态:当前证书是否已配置、是否过期
- 上传证书:输入 PEM 格式的证书和私钥
- 清除证书:关闭 HTTPS,仅使用 HTTP
上传成功后自动生效,无需重启服务。
系统设置
系统设置页面是全局配置的 JSON 编辑入口:
- 通过
data-path属性自动绑定配置字段到表单控件 - 支持 toggle 开关、文本输入和选择框
- 一键保存并自动检测配置变更
技能安装策略
设置普通用户是否允许自主安装和卸载技能。
密码修改
超管可以在此修改自己的登录密码,需要输入旧密码和新密码。