統一身份管理中的權限管理設計

關注嘉爲科技，獲取運維新知

 

權限集中管理是統一身份管理關注的主要內容之一，因爲企業應用建設的自身歷程不一樣，權限設計與實現也必然存在差別，針對集中權限管理的設計和實現帶來了不小的挑戰，本文根據多年的實踐經驗，就統一身份管理的集中權限管理的設計與實現給予設計建議。

 

一   問題背景

 

隨着信息技術和網絡技術的迅猛發展，企業內部的應用系統愈來愈多，爲此，爲減小用戶訪問的麻煩，提高訪問的便利性和體驗，衆多企業採用了統一身份管理的方案來解決該問題。

 

就企業的統一身份管理，業界提出了相應的標準，即4A標準，分別是集中賬號（account）管理、集中認證(authentication)管理、集中權限(authorization)管理、集中審計(audit)管理 。

 

然而衆多企業在實施過程當中僅作到集中帳號管理、集中認證管理、集中審計管理。

 

究其緣由，一是集中權限管理對應用系統各方的改造工做量較大、成本高，二是因爲各應用系統的權限設計模型不盡相同，在集中權限管理的設計上有必定的難度。

 

針對統一身份管理中的集中權限管理的需求與現狀，總結咱們多年統一身份管理項目實施的經驗，咱們梳理了一種複合的權限模型，以知足不一樣層次的權限集中管理須要。

 

二   權限管理需求的三種模式

 

首先，咱們看一下在統一身份管理過程當中的權限管理需求，通過梳理，咱們認爲權限管理能夠分爲3個層級需求，其分別以下：

 

一、帳號級權限管理需求

帳號管理是統一身份管理的基礎與核心。帳號級權限管理是帳號管理的一部分，其需求的定位即爲爲用戶提供應用的帳號，經過控制用戶的應用帳號，從而控制用戶對於某一應用的權限。

 

該種需求對權限管理的粒度較粗，但改造的成本最低，改造工做能夠在應用系統與統一身份管理平臺的帳號對接中同步完成，不涉及額外單獨的改形成本；

 

但該種方式須要應用管理員配合進行用戶的受權，如需作到功能和數據細粒度的受權，用戶權限管理的維護成本較高。

 

二、角色級權限管理需求

角色級的權限管理是指採用基於角色的權限管理，統一身份管理平臺與應用系統共用一套或多套角色。

 

應用系統就各角色預設細粒度的功能與數據權限，統一身份管理平臺經過對帳號應用系統角色的管控，從而實現對用戶在應用系統中權限的控制。

 

三、功能按鈕與數據維度級的權限管理需求

功能按鈕與數據維度級的權限管理，則是須要在統一身份管理平臺能夠直接配置每個帳號在每個應用中的細粒度權限。

 

其能夠監督便利性與控制粒度要求，整個過程當中無需應用管理員參與，但對應用系統的配合改造要求較大。

 

三  權限管理設計

 

不一樣的權限管理需求模式，適用於不一樣的業務場景和應用系統。

因爲應用系建設自身歷程發展的緣由，在企業的集中權限管理過程當中，每每是多種模式並存，由應用系統是否能夠改造和可改造的深度肯定。

所以，針對權限集中管理的設計，咱們構想方案以下：

 

一、  帳號級權限管理

帳號級權限管理經過用戶帳號生命週期管理同步實現，經過控制用戶應用系統中帳號的開通、啓動、停用等從而實現對用戶訪問應用系統權限的控制，實現「大門級」的權限管控。

 

二、  角色級及細粒度功能權限級

針對角色級和細粒度功能權限級的控制，能夠統一考慮，在統一身份管理平臺上構建基於RBAC模型的權限管理功能，將各應用的數據權限、功能權限註冊到統一身份管理平臺，並經過角色進行權限集的管理，而用戶則分配到角色，其總體的模型圖示以下：

 

 

但對於不一樣權限管理層次的應用，應用的改造深度不一樣，對於角色同步的改造，較爲簡單，只需在用戶同步的時候增長角色同步。

但對於功能粒度級的改造，則須要針對鑑權模型進行調整，其實現邏輯可設計以下：

 

 

經過細粒度的權限控制，不只能夠實現權限的集中控制，還可實現企業級的權限審計，有效下降企業應用越權使用風險。

 

企業統一身份的建設過程當中，究竟採用何種粒度的權限集中管理，要根據企業的應用的改造難度、應用數量以及應用的業務價值等方面綜合評估，針對不一樣的應用，可根據實際須要採用不一樣粒度的管理方式，逐步推動集中權限管控。