身份云视角|企业破除信息孤岛“第三式”:权限关系管理
-
2018-12-21
美云智数
在上篇美云IDM(身份云)视角中身份云视角|企业破除信息孤岛“第二式”:重新定义认证,我们在企业破除信息孤岛“第二式”中得知密码太强太多不好记,太弱不安全的解决方案,本篇我们将进入企业破除信息孤岛“第三式”看——权限关系管理。
对企业来说,在权限管理的现状里就存在着四大难点,分别是是开通难、查询难、回收难和管理难。
开通难
IT权限涉及类别众多,流程入口多,权限描述、定义不清,用户申请难;
权限未进行标准化,所有权限都必须打单申请;
大部分权限需要手动开通,执行效率低下。
查询难
用户权限没有统一的权限实体,很难掌握用户当前的权限情况,更难审计;
外部合作伙伴权限管理,全依赖于业务系统对接人,并且很难定期审查,信息安全风险高;
权限变更没有记录,无从审计。
回收难
组织架构变更,用户权限无法及时变更调整,效率低效,信息安全风险高;
员工离职,用户权限无法及时汇总回收,很容易漏回收权限,信息安全风险高。
管理难
权限管理模型不统一、权限管理入口不统一,权限管理数据不统一;
应用系统权限设计缺乏统一规范。
因此,为了更好的解决集团权限安全问题,提升权限管理的效率,美云身份云(IDM)把打造一个集中化、自动化、可视化、标准化的统一权限管理平台作为核心目标,最终彻底实现权限管理的集中化、授权管理的自动化、组织用户权限的可视化和权限服务接入的标准化。
首先,我们要了解下什么是身份权限关系管理建设模型:
身份权限关系管理模型(Identity Authorization Management),是由权限管理模型+授权管理模型两大版块构成,它包含了用户、群组、组织岗位、业务角色、系统角色、系统/数据权限等元素。
其中权限管理模型有三项内容,包括:业务角色管理、系统角色管理和系统权限管理;而授权管理模型则有四项内容,包括:按群组授权、按组织授权、按岗位授权和按用户授权。总体而言,身份权限关系管理就是其中这两块模型里的内容两两交错配对,分别形成12种配对方式。
在知道了身份权限关系管理建设模型后,其次我们要了解什么是系统权限级别建设模型,简单来说,按程度的递进关系,总共有4种建设模型:
无限制级
用户只要属于物产用户,就可以访问到应用系统,比如MIP。
大门级权限
用户能否访问应用,通过用户是否具备某个角色或者群组来判断,也叫应用级别授权。
基础权限
将应用的核心权限,与用户相关的权限,即用户可申请的核心权限。
细粒度授权
控制应用系统的表单、菜单、按钮级别的授权。
这4种建设模型,按三阶段来划分的交叉迭代关系如下图:
虽然清楚了身份权限关系管理建设和系统权限级别建设模型,但是我们在实际的权限管理项目中,也会遇到不少的难点,具体就体现在:
- 需要将授权管理分类分级。例如无限制级授权、大门级别授权、核心基础授权和细粒度授权等。
- 应用接入多维积分选择项。例如业务复杂度、运维规范度、集成便捷度、管理成熟度、信息完整度等多项选择。
- 需要各方协同配合。例如项目团队里的HR、安全、IDM、流程、业务系统等,进行整体配合。
-
本文作者:Meicloud美云智数
责任编辑:签约快讯
本文来源:牛透社
-
分享到:
声明:本文由入驻牛透社的作者撰写,观点仅代表作者本人,绝不代表牛透社赞同其观点或证实其描述。