技术干货 | 企业信息系统统一权限管理

随着企业信息化进程，企业信息化系统越建越多，实际管理中，系统不仅仅是要对用户账号、密码的管理，还需要对不同级别的用户对不同资源的访问具有不同的操作权限进行管理，如何实现企业的信息系统权限精细化、高效的管理成为了困扰企业信息系统管理人员的难题。

特别是在多套系统中，对应的权限管理往往只能满足自身系统的管理需要，无论是在数据库设计、权限访问和权限管理机制方式上各个系统都可能不同，这时候我们日常需要维护中也就存在如下的问题：

1. 维护多套系统，用户管理、组织机制等数据重复维护，效率低下；

2. 数据的完整性、一致性很难得到保障；

3. 权限系统设计不同，概念理解不同，系统之间集成难度大。

基于角色的权限访问控制

基于不断实践之后，形成了一个比较成熟的权限管理模型，即基于角色的权限访问控制（Role-Based Access Control）。

什么是基于角色的权限访问控制模型？

简单点讲就是用户通过角色与权限进行关联。一个用户可以有若干角色，每一个角色也可以有若干权限。这样，就构造成“用户-角色-权限”的授权模型。而在这种模型中，用户与角色之间，角色与权限之间，往往是多对多的关系。通过的基于角色的访问控制 (RBAC) 功能，您可以分配用户、角色和权限，以控制有权访问您的用户及其可以执行的操作。基于RBAC，系统将一个用户（或一组用户）映射到定义的角色（一组命名权限）。角色具有关联的权限，能够执行某些操作，权限不直接分配给用户，用户通过为其分配的角色获取权限。

角色又是什么呢？

角色可以理解为一定数量的权限的集合，或者是权限的载体。简单一点说就是，我们通过给角色授权，然后将附有权利的角色施加到某个用户身上，这样用户就可以实施相应的权利了。

通过中间角色的身份，使权限管理更加灵活：角色的权利可以灵活改变，用户的角色的身份可以随着场所的不同而发生改变等。这样这套基于角色的权限访问控制就几乎可以运用到所有的权限管理的模块上了。

例如：一个系统中，“超级管理员”、“系统审计员”都是角色。“系统审计员”可查看系统的审计日志等，而“超级管理员”则拥有更多更全面的功能，这些是权限。要给某个用户授予这些权限，不需要直接将权限授予用户，可将“系统审计员”或“超级管理员”这个角色赋予该用户即可。

大量实践证明，基于角色的权限访问控制模型的权限管理模式具有以下优势：

1. 角色、权限之间的变化比角色、用户关系之间的变化相对要慢很多，这可以降低授权管理的复杂性和管理开销；

2. 基于角色的权限访问控制能够灵活地支持应用系统的安全策略，并对应用系统的变化也有很大的弹性；

3. 在实际操作上，权限分配也比较直观、容易理解、便于使用，从而降低缺乏经验的用户造成事故的可能性；

4. 复用性强。

统一权限管理

企业在进行IAM平台建设时，往往都会提到企业信息系统的统一权限管理。那如何基于IAM平台实现企业基于角色的权限访问控制模型的统一权限管理呢？

在整个企业权限体系里可以简单的看作以下4个等级：

在IAM项目建设过程中，往往需要对企业从全局的角度梳理所有角色。由IAM平台控制角色大门级授权，由各业务系统本身实现其核心授权或细粒度授权，再通过IAM平台和业务系统之间角色的传递实现企业全局化的基于角色的权限访问控制模型的统一权限管理。

企业基于角色的权限访问控制模型的统一权限管理说起来容易，但往往在实施过程中困难重重，特别是业务部门对此往往反应激烈。

我们还是本着“统筹规划”、“分步实施”的原则，以下几点是我们根据以往大量的项目经验总结的建议，希望对您有所帮助：

1.“统筹规划”，在统一权限管理规划时，信息部门需要和业务部门进行统筹规划，双方达成共识，企业统一权限管理做到哪个层级、分几期进行等等？避免后期在实施过程中产生分歧影响统一权限管理的整体效果和进展。

2. “互通有无”，在统一权限管理实施时，业务部门也要参与到日常的项目进展汇报、沟通中来，清晰了解实施情况及进展，“多沟通，早准备”，化解项目中沟通不畅造成的风险。

3. “逐一击破”，在统一权限管理实施时，我们要针对每一个业务系统制定实施方案，提前预见可能发生的风险，在实施过程中一个系统一个系统的逐一实施，最大限度降低风险，提升整体实施效果。