99热免费,女高潮大叫喷水流白浆,精品老肥婆88AV,美女后入视频,日韩h

隨著系統(tǒng)用戶角色的增多，這個(gè)時(shí)候，權(quán)限管理系統(tǒng)就應(yīng)運(yùn)而生了，結(jié)合權(quán)限管理系統(tǒng)，企業(yè)可以讓用戶只能訪問(wèn)自己被授權(quán)的資源。那么企業(yè)怎么基于RBAC基本模型和業(yè)務(wù)形態(tài)，搭建合適自身的權(quán)限管理模型呢？一起來(lái)看看作者的解讀。

(相關(guān)資料圖)

隨著企業(yè)的發(fā)展，就會(huì)出現(xiàn)不同權(quán)限和不同的崗位的員工，針對(duì)不同權(quán)限或者工作職責(zé)的員工就會(huì)產(chǎn)生不同的權(quán)限；系統(tǒng)也是一樣的，隨著一個(gè)系統(tǒng)用戶或者角色的增多，針對(duì)不同用戶和角色的權(quán)限控制就會(huì)應(yīng)運(yùn)而生。

什么是權(quán)限管理？了解什么是權(quán)限管理前，我們得先明白什么是資源？

我們通常在設(shè)計(jì)或者使用系統(tǒng)時(shí)會(huì)聽(tīng)到“菜單”“按鈕”“查看”等。沒(méi)錯(cuò)，資源可以理解為一個(gè)“菜單”、一個(gè)“按鈕”、一個(gè)“查看”，只要你理解的可控制可操作可查看的一個(gè)東西，那么他就可以稱之為一個(gè)“資源”。

那么我們?cè)賮?lái)看什么是權(quán)限管理，權(quán)限管理就是根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或者安全策略，用戶可以訪問(wèn)而且只能訪問(wèn)自己被授權(quán)的資源。

說(shuō)白了，就是配置用戶能夠點(diǎn)開(kāi)的菜單、能夠操作的按鈕、能夠查看的數(shù)據(jù)，能夠操作的數(shù)據(jù)。

權(quán)限管理作為一個(gè)系統(tǒng)必不可少的功能，在20世紀(jì)90年代就有大量的專家進(jìn)行了深入研究，其中以美國(guó)George Mason大學(xué)信息安全技術(shù)實(shí)驗(yàn)室（LIST）提出的RBAC96模型最具有系統(tǒng)性，得到普遍的公認(rèn)。

主要以“最小特權(quán)原則”“責(zé)任分離原則”和“數(shù)據(jù)抽象原則”三個(gè)安全原則創(chuàng)建出了RBAC96模型（包含RBAC0、RBAC1、RBAC2、RBAC3四個(gè)概念模型）。

RBAC模型中包括用戶、角色、許可權(quán)三個(gè)基本數(shù)據(jù)元素，這三個(gè)元素也是組成權(quán)限控制最基礎(chǔ)的東西。有了這三個(gè)元素，我們就能夠搭建起一套簡(jiǎn)單的權(quán)限管理模塊。

上文我們已經(jīng)提到RBAC96有4種模型，分別是RBAC0、RBAC1、RBAC2、RBAC3，隨著0~3的遞進(jìn)，對(duì)用戶權(quán)限的管理也越來(lái)越細(xì)致和精確以及復(fù)雜。

1）RBAC0

通過(guò)將權(quán)限賦予角色，再將角色賦予用戶的形式。將權(quán)限分配給用戶，其中用戶和角色，以及角色和權(quán)限都是多對(duì)多的關(guān)系，這就實(shí)現(xiàn)了身兼多職用戶的權(quán)限開(kāi)放和管理。

2）RBAC1

RBAC1就是建立在RBAC0之上，只是在角色中多增加了繼承的概念。實(shí)際業(yè)務(wù)上看就是主管也擁有下屬的功能權(quán)限。主要實(shí)現(xiàn)了權(quán)限的繼承。

3）RBAC2

針對(duì)多個(gè)角色的用戶，根據(jù)不同的使用場(chǎng)景控制角色的激活。舉個(gè)例子。

4）RBAC3

RBAC3就是整合0~2的統(tǒng)一模型，既包含角色控制權(quán)限的功能，也有繼承和各種規(guī)則的限制。

針對(duì)不同的業(yè)務(wù)或者領(lǐng)域，會(huì)依據(jù)特殊情況而對(duì)權(quán)限管理進(jìn)行調(diào)整。例如，在設(shè)計(jì)履約類或者財(cái)務(wù)類的數(shù)據(jù)為主領(lǐng)域的系統(tǒng)時(shí)，我們就要將結(jié)合功能權(quán)限和數(shù)據(jù)權(quán)限做一套復(fù)雜的結(jié)合型權(quán)限模塊。再比如像系統(tǒng)需要根據(jù)不同屬性（IP地址、職級(jí)、時(shí)間等）來(lái)對(duì)進(jìn)行權(quán)限控制。

當(dāng)一家公司系統(tǒng)多了以后，出于能夠統(tǒng)一管理以及方便管理的目的，就會(huì)建立一個(gè)管理系統(tǒng)IAM（身份與訪問(wèn)管理），因?yàn)楣静粏螁我紤]單個(gè)系統(tǒng)的權(quán)限管理，也要考慮多系統(tǒng)的權(quán)限管理，甚至多租戶的權(quán)限管理。

其中最常見(jiàn)的問(wèn)題就是因?yàn)闃I(yè)務(wù)管理和行政管理上的差異而導(dǎo)致的多系統(tǒng)組織和中臺(tái)組織有沖突的時(shí)候，這個(gè)問(wèn)題要分三種情況來(lái)看。

各系統(tǒng)組織需要共用，這種類型的系統(tǒng)也是比較常見(jiàn)的，場(chǎng)景更多因?yàn)橛脩舫貎?nèi)的用戶為企業(yè)員工（包含HRM、CRM等內(nèi)部管理系統(tǒng)），此時(shí)組織和行政組織是一致的。各系統(tǒng)之間沒(méi)有因?yàn)閺?fù)雜的業(yè)務(wù)形態(tài)衍生出來(lái)與行政組織不一致的組織，只需要根據(jù)公司的管理方式考慮權(quán)限是收攏在管理系統(tǒng)控制還是分散在各個(gè)系統(tǒng)進(jìn)行管理。

各系統(tǒng)有自我的組織，但是各系統(tǒng)的權(quán)限授權(quán)是統(tǒng)一管理，那么數(shù)據(jù)權(quán)限在這個(gè)時(shí)候就出現(xiàn)了業(yè)務(wù)組織和行政組織沖突的情況。

針對(duì)這種情況，一般會(huì)采用行政組織和業(yè)務(wù)組織剝離的方式，即用戶的組織關(guān)系使用行政組織管理，業(yè)務(wù)的組織關(guān)系獨(dú)立設(shè)立，再將用戶和業(yè)務(wù)組織掛鉤，業(yè)務(wù)組織和行政組織進(jìn)行關(guān)聯(lián)，從而實(shí)現(xiàn)用戶在不同系統(tǒng)權(quán)限控制和組織數(shù)據(jù)權(quán)限控制。通過(guò)這樣的方式方法來(lái)解決組織出現(xiàn)不一致的問(wèn)題。

不同企業(yè)會(huì)有不一樣的權(quán)限管理需求，我們需要基于RBAC基本的模型再結(jié)合業(yè)務(wù)形態(tài)搭建合適自身的權(quán)限管理模型。

本文由 @L.Hwang 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)許可，禁止轉(zhuǎn)載

題圖來(lái)自 Unsplash，基于 CC0 協(xié)議

該文觀點(diǎn)僅代表作者本人，人人都是產(chǎn)品經(jīng)理平臺(tái)僅提供信息存儲(chǔ)空間服務(wù)。