身份云视角|企业破除信息孤岛“第三式”:权限关系管理

在上篇美云IDM(身份云)视角中身份云视角|企业破除信息孤岛“第二式”:重新定义认证,我们在企业破除信息孤岛“第二式”中得知密码太强太多不好记,太弱不安全的解决方案,本篇我们将进入企业破除信息孤岛“第三式”看——权限关系管理。 对企业来说,在权限管理的现状里就存在着四大难点,分别是是开通难、查询难、回收难和管理难。 开通难 IT权限涉及类别众多,流程入口多,权限描述、定义不清,用户申请难; 权限未进行标准化,所有权限都必须打单申请; 大部分权限需要手动开通,执行效率低下。 查询难 用户权限没有统一的权限实体,很难掌握用户当前的权限情况,更难审计; 外部合作伙伴权限管理,全依赖于业务系统对接人,并且很难定期审查,信息安全风险高; 权限变更没有记录,无从审计。 回收难 组织架构变更,用户权限无法及时变更调整,效率低效,信息安全风险高; 员工离职,用户权限无法及时汇总回收,很容易漏回收权限,信息安全风险高。 管理难 权限管理模型不统一、权限管理入口不统一,权限管理数据不统一; 应用系统权限设计缺乏统一规范。 因此,为了更好的解决集团权限安全问题,提升权限管理的效率,美云身份云(IDM)把打造一个集中化、自动化、可视化、标准化的统一权限管理平台作为核心目标,最终彻底实现权限管理的集中化、授权管理的自动化、组织用户权限的可视化和权限服务接入的标准化。 首先,我们要了解下什么是身份权限关系管理建设模型: 身份权限关系管理模型(Identity Authorization Management),是由权限管理模型+授权管理模型两大版块构成,它包含了用户、群组、组织岗位、业务角色、系统角色、系统/数据权限等元素。 其中权限管理模型有三项内容,包括:业务角色管理、系统角色管理和系统权限管理;而授权管理模型则有四项内容,包括:按群组授权、按组织授权、按岗位授权和按用户授权。总体而言,身份权限关系管理就是其中这两块模型里的内容两两交错配对,分别形成12种配对方式。 在知道了身份权限关系管理建设模型后,其次我们要了解什么是系统权限级别建设模型,简单来说,按程度的递进关系,总共有4种建设模型: 无限制级 用户只要属于物产用户,就可以访问到应用系统,比如MIP 大门级权限 用户能否访问应用,通过用户是否具备某个角色或者群组来判断,也叫应用级别授权。 基础权限 将应用的核心权限,与用户相关的权限,即用户可申请的核心权限。 细粒度授权 控制应用系统的表单、菜单、按钮级别的授权。 4种建设模型,按三阶段来划分的交叉迭代关系如下图: 虽然清楚了身份权限关系管理建设和系统权限级别建设模型,但是我们在实际的权限管理项目中,也会遇到不少的难点,具体就体现在:
  • 需要将授权管理分类分级。例如无限制级授权、大门级别授权、核心基础授权和细粒度授权等。
  • 应用接入多维积分选择项。例如业务复杂度、运维规范度、集成便捷度、管理成熟度、信息完整度等多项选择。
  • 需要各方协同配合。例如项目团队里的HR、安全、IDM、流程、业务系统等,进行整体配合。
 企业权限管理从来就不是一蹴而就的,而是逐步持续改进的。从用户到群组、组织岗位、业务角色、系统角色、系统权限都环环相扣,所以并不是那么简单就能实现。针对于此,美云身份云(IDM)从身份管理出发,提供了以下几种解决方案: 身份权限集中化 根据业务系统特征,分类分级逐步收拢权限数据流,实现身份权限的集中统一。 身份权限自动化 根据组织、岗位、群组、业务角色、IT角色等,自动开户、分配基础权限包,根据身份权限流程实现业务权限,系统权限的自动化赋予与回收。 身份权限可视化 根据不同维度,不同业务、管理要求进行统计、报表分析,实现身份权限可视化。 身份权限可治理 根据身份权限大数据,周期性对比、审视、建模,实现身份权限的可理可治。 看完这个,是否对美云身份云(IDM)权限关系管理有了全新的认知呢?神奇的更多功能解锁,敬请期待我们的下篇内容。
    本文作者:Meicloud美云智数 责任编辑:签约快讯 本文来源:牛透社
声明:本文由入驻牛透社的作者撰写,观点仅代表作者本人,绝不代表牛透社赞同其观点或证实其描述。
  • 美云智数
    美云智数
    企业认证
    企业认证
  • 116篇

    文章总数

    74.75万

    文章总浏览数

意见反馈
返回顶部