建立帳號（無 IdP 流程）

何時用這份文件 Argus 剛部署、或公司還沒接 IdP；workspace admin 需要為團隊成員建立可用帳號。

前置條件

• 你的角色 = workspaceAdmin
• 已讀過 認證模式，了解 login_id 與 email 的差別

步驟

1. 規劃命名

建帳號前先想清楚 login_id 命名規則：

規則	適合	例
firstname.lastname	員工流動低、容易辨識	alice.chen
<emp_id>	員工 ID 穩定可追溯	e0042
<corp_email_prefix>	與公司 email 一致	alice

一旦建好就不可改（會破壞 audit log 指向）。先決定，不要邊建邊改。

允許字元：[a-z0-9._@-]，最長 256。

2. 進入 Members 頁

Settings → Members → Add Member。

3. 填表

欄位	必填	建議
login_id	✅	依步驟 1 命名規則
email	❌	仍建議補（通知、密碼重設）
password	✅	用密碼產生器；不要重複用模板密碼
role	✅	預設 workspaceMember；DBA 額外給 workspaceDBA
expires_at	❌	契約工 / 短期協力建議設過期日

按 Create。

4. 安全分發

把 login_id + 初始密碼 透過安全管道給對方：

管道	安全？	備註
1Password / Bitwarden 共享項目	✅	首選
公司內部加密 IM（個對個）	✅	次選
紙條（手交）	✅	適合 day-1 admin / 緊急情境
Email	❌	明文留痕
一般 IM 群組 / 頻道	❌	同上
程式碼 / config 檔	❌❌	違反 R3

5. 通知對方

告訴對方：

1. Argus 網址（external_url）
2. 他的 login_id
3. 暫時密碼（透過步驟 4 安全管道）
4. 首次登入會被強制改密碼
5. 建議啟用 TOTP MFA

可以給對方這個範本 onboarding 訊息：

歡迎使用 Argus（資料庫變更平台）。

1. 進入 https://argus.corp.example
2. 登入：
   - Login ID: <你的 login_id>
   - 密碼：見 1Password 分享項目 "Argus / <你>"
3. 系統會要你立刻改密碼（最短 12 字，含大小寫+數字+符號）
4. 改完後到 Profile 啟用 TOTP（強烈建議）
5. 找你的 lead 為你加入 project

驗證

對方完成首次登入後，到 Settings → Members 看：

• last_login 應該有值
• pending_first_login 應該變 false
• mfa_enabled 期待是 true（若已啟用）

audit log 應該有：

• bb.user.create（你建他）
• bb.auth.login（他登入）
• bb.auth.password.change（強制改密碼）
• bb.auth.mfa.enable（若啟用）

批次建帳號（>10 個）

Settings → Members → Import CSV：

login_id,email,role,expires_at
alice.chen,alice@corp.com,workspaceDBA,
bob.li,bob@corp.com,workspaceMember,
contractor-001,,workspaceMember,2026-08-31T00:00:00Z

匯入後 Argus 為每筆產生隨機初始密碼，匯出 output.csv 含初始密碼，供 admin 一次性安全分發。

⚠️ output.csv 含明文密碼，用完立刻刪，不要進版控、不要長存。

常見錯誤

症狀	原因	排除方式
login_id 已存在	已被使用過（含 deactivated 帳號）	換命名；不要重用 login_id
email 已存在	email 已綁其他帳號	確認是不是同一人；要新建 → 用不同 email 或留空
對方說登不進去	暫時密碼貼錯 / 已過 24h	admin reset password
對方說沒收到 email	沒設 SMTP（EMAIL setting）	經其他管道告知

之後

• 為他指派 project：Projects → <p> → Members → Add
• 給他額外權限：指派角色與權限
• 接上 IdP 後遷移：認證模式 — 接企業 IdP

相關

• 認證模式
• 指派角色與權限
• IAM Binding