IdSaaS 权限分配 Skill（idsaas）

本 Skill 说明如何通过仓库内 Python 脚本（idsaas-cli/scripts/）调用 IdSaaS 权限相关接口。

流程与安全（必读）

1. 先确认当前操作者信息 在调用角色分配、标签分配等接口前，应先运行 **current_user_info.py** 查询当前密钥对应的用户信息，确认操作者身份后再继续；该接口信息在各环境通用，不依赖用户选择环境。
2. 再确认环境 在调用角色分配、标签分配等接口前，应运行 **fetch_navigation_domains.py，根据返回的 g_env_link 与用户确认要使用哪一个环境；除非用户在提问时已明确说明环境，否则不要猜测。
   它返回的各环境、各区域的入口 url，用于推导后续业务脚本的 **--base-url；脚本只需要传域名，公共 HTTP 层会自动补 /idsaas。 current_user_info.py 与 fetch_navigation_domains.py 可先后任意执行，但在真正分配权限前都应完成确认。
3. **--base-url（IdSaaS 域名）** 不要求用户事先配置环境变量。 在用户选定环境后(可能是中文或域名地址)，由助手根据 g_env_link 里所选条目的 url 推导出 IdSaaS 域名，再作为各业务脚本的 --base-url 传入； （重要） 若要给多个环境下的同一人分配权限，必须在每个环境分别拉取/搜索角色与项目信息；不同环境的 roleId、项目 id 等可能不同，不可复用另一环境的 id。
4. 超级管理员 若用户拥有 「权限管理系统-超级管理员」 角色，则理论上可为他人分配范围更大的权限；务必谨慎操作，并在对话中明确风险提示。
5. 403 / 503 与权限 若接口返回 403，表示当前密钥对应用户没有相应操作权限，需要找相关业务管理员加权限，或没配置好访问密钥；若返回 503（或其它异常且服务端提示无权限），也应按权限不足排查。此时应请用户联系管理员 方健炜、李宴儒 咨询开通或代操作。