|
整理自我在火花網(wǎng)上給網(wǎng)友的回答���。
問:
在企業(yè)信息化越來越重視的今天,不同企業(yè)在不同的階段��,分別使用了很多的系統(tǒng)�,諸如ERP、PDM����、OA、MES�����、CRM等,不同的軟件不管是B/S還是C/S架構(gòu)��,有一個步驟是不能省略的����,那就是每次在使用他們之前必須輸入用戶名和密碼。然而不同的系統(tǒng)對用戶名和密碼的要求不盡然相同���,就算一致���,也得在各大系統(tǒng)中重新錄入用戶名和權(quán)限。
答:
體系點看IT系統(tǒng)的權(quán)限管理���,需要先理清一些基本概念:權(quán)限管理體系主要涉及三類對象:
-
權(quán)限主體:人(用戶賬號密碼)
-
權(quán)限客體:管理對象(可執(zhí)行的操作即操作權(quán)限�、可訪問的信息即數(shù)據(jù)權(quán)限)
-
由這兩者組合而成的“角色權(quán)限”(為了運維便利)
理論上來講�����,基于這三類對象可以延伸一套全生命周期的統(tǒng)一權(quán)限管理系統(tǒng)���,但若沒有統(tǒng)一的業(yè)界技術(shù)規(guī)范�,要實現(xiàn)高度一致的統(tǒng)一權(quán)限管理系統(tǒng)���,對IT人來說基本是個夢想��。原因在于各供應(yīng)商開發(fā)的系統(tǒng)架構(gòu)和遵循的規(guī)范各不一樣�����,整合代價太高(需要不同程度的重構(gòu))�����。
現(xiàn)實點考慮�����,要想讓企業(yè)內(nèi)的各種管理系統(tǒng)現(xiàn)實統(tǒng)一的權(quán)限管理����,可以分層考慮解決方案�����,從易到難:
1���、實現(xiàn)對權(quán)限主體的統(tǒng)一管理:即用戶身份統(tǒng)一管理(UIM)��。通常通過架設(shè)統(tǒng)一的LDAP目錄���,將各套系統(tǒng)的用戶信息統(tǒng)一存儲并提供服務(wù)(用戶注冊��、密碼更改�、注銷���、賬號密碼認證等)����。一般只要是成熟的IT系統(tǒng)����,都會支持LDAP認證模式,因此此方案難度最低�����,業(yè)界也有一些成熟產(chǎn)品可以做到�,它的核心是接管了用戶管理,包括用戶認證服務(wù)�;
2、實現(xiàn)最粗粒度的對權(quán)限客體的統(tǒng)一管理:即統(tǒng)一系統(tǒng)接入管理(UAM)。UAM架構(gòu)在UIM的基礎(chǔ)上����,通常通過架設(shè)統(tǒng)一的應(yīng)用系統(tǒng)管理框架,可以針對每個用戶對各套系統(tǒng)進行統(tǒng)一授權(quán)��。但這只是最粗粒度的權(quán)限——系統(tǒng)接入級權(quán)限管理�����,即用戶可以受控的訪問各套系統(tǒng)�����,但進入這些系統(tǒng)后有哪些具體操作權(quán)限和數(shù)據(jù)權(quán)限���,則非統(tǒng)一關(guān)系管理系統(tǒng)所能決定。一般做到這點�����,會順帶輕松解決SSO的問題��,讓用戶可以無需重復(fù)輸入賬號密碼一次登錄多套系統(tǒng)����,并且可以控制每個用戶能否登錄具體哪些系統(tǒng)���。他的核心是接管了用戶門戶入口。
3�����、實現(xiàn)操作權(quán)限和數(shù)據(jù)權(quán)限級別的統(tǒng)一管理:即統(tǒng)一系統(tǒng)權(quán)限管理����。這是細粒度的統(tǒng)一權(quán)限管理,IT部門可以在一個集中界面上進行細到每套系統(tǒng)的內(nèi)部權(quán)限管理����,組合權(quán)限角色,進行各種權(quán)限管理和統(tǒng)一查詢審計等����。但這需要各套系統(tǒng)遵循同樣的權(quán)限架構(gòu)遵循同一規(guī)范,做到系統(tǒng)內(nèi)的各種操作權(quán)限���、數(shù)據(jù)權(quán)限和角色權(quán)限模型一致��,用整合的思路來做�,難。但可以換個思路:如統(tǒng)一采用某個廠家的“應(yīng)用級中間件”�����,按我一個好友CIO的話���,叫“以前建設(shè)一套套新系統(tǒng)����,現(xiàn)在是在平臺上建設(shè)一個個新模塊”���,這樣這些“新系統(tǒng)”就可以共享同一套底層權(quán)限機制,實現(xiàn)統(tǒng)一管理����。它的核心是企業(yè)內(nèi)的系統(tǒng)只有一個或兩個公共技術(shù)平臺(我個人也確實認為未來企業(yè)只需要ERP和EKP兩套管理系統(tǒng),一套支撐業(yè)務(wù)�����,一套支撐管理)�����。
按這幾年接觸的大中型企業(yè),約莫50%做到了第一層�,5%做到第二層,0%做到第三層�,另外有40%只做了不同程度的SSO,但無法實現(xiàn)統(tǒng)一的系統(tǒng)接入控制����。
以上純屬個人見解,要做到第三層���,需要整個軟件行業(yè)有開放合作的心態(tài)和強力的行業(yè)組織��,這明顯任重而道遠����。
|
