技術(shù)干貨 | 企業(yè)信息系統(tǒng)統(tǒng)一權(quán)限管理

隨著企業(yè)信息化進(jìn)程，企業(yè)信息化系統(tǒng)越建越多，實(shí)際管理中，系統(tǒng)不僅僅是要對用戶賬號、密碼的管理，還需要對不同級別的用戶對不同資源的訪問具有不同的操作權(quán)限進(jìn)行管理，如何實(shí)現(xiàn)企業(yè)的信息系統(tǒng)權(quán)限精細(xì)化、高效的管理成為了困擾企業(yè)信息系統(tǒng)管理人員的難題。

特別是在多套系統(tǒng)中，對應(yīng)的權(quán)限管理往往只能滿足自身系統(tǒng)的管理需要，無論是在數(shù)據(jù)庫設(shè)計(jì)、權(quán)限訪問和權(quán)限管理機(jī)制方式上各個(gè)系統(tǒng)都可能不同，這時(shí)候我們?nèi)粘Ｐ枰S護(hù)中也就存在如下的問題：

1. 維護(hù)多套系統(tǒng)，用戶管理、組織機(jī)制等數(shù)據(jù)重復(fù)維護(hù)，效率低下；

2. 數(shù)據(jù)的完整性、一致性很難得到保障；

3. 權(quán)限系統(tǒng)設(shè)計(jì)不同，概念理解不同，系統(tǒng)之間集成難度大。

基于角色的權(quán)限訪問控制

基于不斷實(shí)踐之后，形成了一個(gè)比較成熟的權(quán)限管理模型，即基于角色的權(quán)限訪問控制（Role-Based Access Control）。

什么是基于角色的權(quán)限訪問控制模型？

簡單點(diǎn)講就是用戶通過角色與權(quán)限進(jìn)行關(guān)聯(lián)。一個(gè)用戶可以有若干角色，每一個(gè)角色也可以有若干權(quán)限。這樣，就構(gòu)造成“用戶-角色-權(quán)限”的授權(quán)模型。而在這種模型中，用戶與角色之間，角色與權(quán)限之間，往往是多對多的關(guān)系。通過的基于角色的訪問控制 (RBAC) 功能，您可以分配用戶、角色和權(quán)限，以控制有權(quán)訪問您的用戶及其可以執(zhí)行的操作?；赗BAC，系統(tǒng)將一個(gè)用戶（或一組用戶）映射到定義的角色（一組命名權(quán)限）。角色具有關(guān)聯(lián)的權(quán)限，能夠執(zhí)行某些操作，權(quán)限不直接分配給用戶，用戶通過為其分配的角色獲取權(quán)限。

角色又是什么呢？

角色可以理解為一定數(shù)量的權(quán)限的集合，或者是權(quán)限的載體。簡單一點(diǎn)說就是，我們通過給角色授權(quán)，然后將附有權(quán)利的角色施加到某個(gè)用戶身上，這樣用戶就可以實(shí)施相應(yīng)的權(quán)利了。

通過中間角色的身份，使權(quán)限管理更加靈活：角色的權(quán)利可以靈活改變，用戶的角色的身份可以隨著場所的不同而發(fā)生改變等。這樣這套基于角色的權(quán)限訪問控制就幾乎可以運(yùn)用到所有的權(quán)限管理的模塊上了。

例如：一個(gè)系統(tǒng)中，“超級管理員”、“系統(tǒng)審計(jì)員”都是角色?！跋到y(tǒng)審計(jì)員”可查看系統(tǒng)的審計(jì)日志等，而“超級管理員”則擁有更多更全面的功能，這些是權(quán)限。要給某個(gè)用戶授予這些權(quán)限，不需要直接將權(quán)限授予用戶，可將“系統(tǒng)審計(jì)員”或“超級管理員”這個(gè)角色賦予該用戶即可。

大量實(shí)踐證明，基于角色的權(quán)限訪問控制模型的權(quán)限管理模式具有以下優(yōu)勢：

1. 角色、權(quán)限之間的變化比角色、用戶關(guān)系之間的變化相對要慢很多，這可以降低授權(quán)管理的復(fù)雜性和管理開銷；

2. 基于角色的權(quán)限訪問控制能夠靈活地支持應(yīng)用系統(tǒng)的安全策略，并對應(yīng)用系統(tǒng)的變化也有很大的彈性；

3. 在實(shí)際操作上，權(quán)限分配也比較直觀、容易理解、便于使用，從而降低缺乏經(jīng)驗(yàn)的用戶造成事故的可能性；

4. 復(fù)用性強(qiáng)。

統(tǒng)一權(quán)限管理

企業(yè)在進(jìn)行IAM平臺建設(shè)時(shí)，往往都會提到企業(yè)信息系統(tǒng)的統(tǒng)一權(quán)限管理。那如何基于IAM平臺實(shí)現(xiàn)企業(yè)基于角色的權(quán)限訪問控制模型的統(tǒng)一權(quán)限管理呢？

在整個(gè)企業(yè)權(quán)限體系里可以簡單的看作以下4個(gè)等級：

在IAM項(xiàng)目建設(shè)過程中，往往需要對企業(yè)從全局的角度梳理所有角色。由IAM平臺控制角色大門級授權(quán)，由各業(yè)務(wù)系統(tǒng)本身實(shí)現(xiàn)其核心授權(quán)或細(xì)粒度授權(quán)，再通過IAM平臺和業(yè)務(wù)系統(tǒng)之間角色的傳遞實(shí)現(xiàn)企業(yè)全局化的基于角色的權(quán)限訪問控制模型的統(tǒng)一權(quán)限管理。

企業(yè)基于角色的權(quán)限訪問控制模型的統(tǒng)一權(quán)限管理說起來容易，但往往在實(shí)施過程中困難重重，特別是業(yè)務(wù)部門對此往往反應(yīng)激烈。

我們還是本著“統(tǒng)籌規(guī)劃”、“分步實(shí)施”的原則，以下幾點(diǎn)是我們根據(jù)以往大量的項(xiàng)目經(jīng)驗(yàn)總結(jié)的建議，希望對您有所幫助：

1.“統(tǒng)籌規(guī)劃”，在統(tǒng)一權(quán)限管理規(guī)劃時(shí)，信息部門需要和業(yè)務(wù)部門進(jìn)行統(tǒng)籌規(guī)劃，雙方達(dá)成共識，企業(yè)統(tǒng)一權(quán)限管理做到哪個(gè)層級、分幾期進(jìn)行等等？避免后期在實(shí)施過程中產(chǎn)生分歧影響統(tǒng)一權(quán)限管理的整體效果和進(jìn)展。

2. “互通有無”，在統(tǒng)一權(quán)限管理實(shí)施時(shí)，業(yè)務(wù)部門也要參與到日常的項(xiàng)目進(jìn)展匯報(bào)、溝通中來，清晰了解實(shí)施情況及進(jìn)展，“多溝通，早準(zhǔn)備”，化解項(xiàng)目中溝通不暢造成的風(fēng)險(xiǎn)。

3. “逐一擊破”，在統(tǒng)一權(quán)限管理實(shí)施時(shí)，我們要針對每一個(gè)業(yè)務(wù)系統(tǒng)制定實(shí)施方案，提前預(yù)見可能發(fā)生的風(fēng)險(xiǎn)，在實(shí)施過程中一個(gè)系統(tǒng)一個(gè)系統(tǒng)的逐一實(shí)施，最大限度降低風(fēng)險(xiǎn)，提升整體實(shí)施效果。