统一身份管理中的权限管理设计

关注嘉为科技，获取运维新知

 

权限集中管理是统一身份管理关注的主要内容之一，因为企业应用建设的自身历程不一样，权限设计与实现也必然存在差别，针对集中权限管理的设计和实现带来了不小的挑战，本文根据多年的实践经验，就统一身份管理的集中权限管理的设计与实现给予设计建议。

 

一   问题背景

 

随着信息技术和网络技术的迅猛发展，企业内部的应用系统愈来愈多，为此，为减小用户访问的麻烦，提高访问的便利性和体验，众多企业采用了统一身份管理的方案来解决该问题。

 

就企业的统一身份管理，业界提出了相应的标准，即4A标准，分别是集中账号（account）管理、集中认证(authentication)管理、集中权限(authorization)管理、集中审计(audit)管理 。

 

然而众多企业在实施过程当中仅作到集中帐号管理、集中认证管理、集中审计管理。

 

究其缘由，一是集中权限管理对应用系统各方的改造工做量较大、成本高，二是因为各应用系统的权限设计模型不尽相同，在集中权限管理的设计上有必定的难度。

 

针对统一身份管理中的集中权限管理的需求与现状，总结咱们多年统一身份管理项目实施的经验，咱们梳理了一种复合的权限模型，以知足不一样层次的权限集中管理须要。

 

二   权限管理需求的三种模式

 

首先，咱们看一下在统一身份管理过程当中的权限管理需求，通过梳理，咱们认为权限管理能够分为3个层级需求，其分别以下：

 

一、帐号级权限管理需求

帐号管理是统一身份管理的基础与核心。帐号级权限管理是帐号管理的一部分，其需求的定位即为为用户提供应用的帐号，经过控制用户的应用帐号，从而控制用户对于某一应用的权限。

 

该种需求对权限管理的粒度较粗，但改造的成本最低，改造工做能够在应用系统与统一身份管理平台的帐号对接中同步完成，不涉及额外单独的改形成本；

 

但该种方式须要应用管理员配合进行用户的受权，如需作到功能和数据细粒度的受权，用户权限管理的维护成本较高。

 

二、角色级权限管理需求

角色级的权限管理是指采用基于角色的权限管理，统一身份管理平台与应用系统共用一套或多套角色。

 

应用系统就各角色预设细粒度的功能与数据权限，统一身份管理平台经过对帐号应用系统角色的管控，从而实现对用户在应用系统中权限的控制。

 

三、功能按钮与数据维度级的权限管理需求

功能按钮与数据维度级的权限管理，则是须要在统一身份管理平台能够直接配置每个帐号在每个应用中的细粒度权限。

 

其能够监督便利性与控制粒度要求，整个过程当中无需应用管理员参与，但对应用系统的配合改造要求较大。

 

三  权限管理设计

 

不一样的权限管理需求模式，适用于不一样的业务场景和应用系统。

因为应用系建设自身历程发展的缘由，在企业的集中权限管理过程当中，每每是多种模式并存，由应用系统是否能够改造和可改造的深度肯定。

所以，针对权限集中管理的设计，咱们构想方案以下：

 

一、  帐号级权限管理

帐号级权限管理经过用户帐号生命周期管理同步实现，经过控制用户应用系统中帐号的开通、启动、停用等从而实现对用户访问应用系统权限的控制，实现“大门级”的权限管控。

 

二、  角色级及细粒度功能权限级

针对角色级和细粒度功能权限级的控制，能够统一考虑，在统一身份管理平台上构建基于RBAC模型的权限管理功能，将各应用的数据权限、功能权限注册到统一身份管理平台，并经过角色进行权限集的管理，而用户则分配到角色，其总体的模型图示以下：

 

 

但对于不一样权限管理层次的应用，应用的改造深度不一样，对于角色同步的改造，较为简单，只需在用户同步的时候增长角色同步。

但对于功能粒度级的改造，则须要针对鉴权模型进行调整，其实现逻辑可设计以下：

 

 

经过细粒度的权限控制，不只能够实现权限的集中控制，还可实现企业级的权限审计，有效下降企业应用越权使用风险。

 

企业统一身份的建设过程当中，究竟采用何种粒度的权限集中管理，要根据企业的应用的改造难度、应用数量以及应用的业务价值等方面综合评估，针对不一样的应用，可根据实际须要采用不一样粒度的管理方式，逐步推动集中权限管控。