一、概述

统一身份管理系统(简称UIMS)紧张关注4个方面,简称4A管理:

集中账号管理(Account)集中认证管理(Authentication)集中授权管理(Authorization)集中审计管理(Audit)

可以认为是多租户架构的升级版,常日是全体平台帐号和权限管控的根本性系统,平台下所有系统的账户管理、身份认证、用户授权、权限掌握等行为都必须经由该系统处理,供应帐号密码管理、基本资料管理、角色权限管理等功能。

LoginrolesphppdoSaaS平台下企业账号的注册及认证和模子设置 NoSQL

UIMS 基于『统一身份管理』的观点,可划分为两级账户体系、根本权限模块和根本信息模块三大模块。

个中两级账户体系将账户分为组织实体帐号和个人实体账户两大类,个人实体从属于组织实体,也可以不从属任何组织实体,且个人实体可同时从属于多个组织实体;根本权限模块将各业务系统的资源权限进行统一管理和授权;根本信息模块用于描述组织实体和个人实体的基本信息,如组织实体名称、地址、法人,个人实体姓名、电话号码、性别等根本信息。
UIMS 供应统一的 API 与各子系统连接。

从全体平台的角度来看,UIMS 除了供应上述功能和做事,还该当知足以下需求:

因此,从功能的角度可以将UIMS 划分为以下模块:

1. 功能

1. 系统设置System Configuration

2. 系统标识管理System Identifiers Management

3. 做事账户管理Service Accounts Management

4. 账户实体管理Account Entities Management

5. 组织实体管理Organization Entities Management

6. 组织架构管理Organization Management

7. 个体账户管理Individual Accounts Management

8. 账户权限管理Account Permissions Management

9. 用户组管理User Group Management

10. 角色管理User Roles Management

11. 资源权限管理Permission Resources Management

12. 权限策略组管理Permission Group Management

13. 认证审核管理Authentication Management

14. 个人认证管理Individual Authentication Management

15. 组织认证管理Organization Authentication Management

16. 资质审核管理Qualification Management

17. 付费授权管理Authorization Management

18. 组织授权管理Organization Authorization Management

2. 页面

1. 统一注书页面Unified Signup Page

2. 统一登录页面Unified Signin Page

3. 组织入驻页面Organization Signup Page

4. 个人实名认证页面Individual Authentication Page

5. 组织实名认证页面Organization Authentication Page

3. API

1. 鉴权干系的API

2. 业务干系的API

个中组织绑定和解绑的功能,可以放到『组织实体管理』或『个体账户管理』的功能中。
须要把稳的是,组织绑定与解绑功能,是否与业务系统关联,下文将进行阐述。

二、两级账户体系和根本权限模块

基于『统一身份管理』的理念,采取两级账户体系(UIMS 供应接口)实现多系统领悟的平台级 SAAS。
两级账户体系将账户种别分为组织实体和个人实体两类(详见下文用户分类)。

个人实体可以从属于组织实体(可以从属于多个组织实体),也可以不从属。
个人账户体系和组织账户体系在云平台内享有的权限是不一样的,虽然大部分功能和做事两个体系的实体均可独立利用,互不滋扰,但部分功能和做事有所不同。

1. 原则

1)基本原则

平台级SAAS 模式账户体系应遵照以下几个基本原则:

①个人账户统一原则

个人账户一次注册,全平台通用,类似于全网通畅证和SSO,注册和登录都在 UIMS 进行。

②业务权限独立原则

每个子系统的权限体系是独立管理的。
『个人账户统一原则』明确了账户体系是统一的,但是对付每个子系统而言,每个账户所能利用的功能和做事,所能查看的数据权限是独立掩护的,比如XXX 公司(组织)—研发T3组(组织架构)—张三(个人)—研发职员(角色),在 CRM 系统中,拥有的资源权限(详见下文),与其在 OA 系统中的所拥有的资源权限肯定是不一致的。

③组织实体隔离原则

不同的组织实体之间,是相互隔离,独立管理的。
每个组织实体可以自行组织自己的组织架构、账户体系和权限体系。
不同的组织实体资源权限也是隔离的。

④从属关系隔离原则

个体账户与组织实体的从属关系是基于单独的业务系统存在的,『个人账户统一原则』明确的仅是个人账户的全网统一,但组织实体、从属关系并没有统一,并且是隔离的。
比如在CRM 系统中,张三(用户)从属于 XXXX 公司(组织),但在 OA 系统中,张三(用户)默认是不从属于任何组织的,从属关系受到详细业务系统的影响。

事实上,这个原则是非逼迫的,详细取决于各自的业务逻辑和业务场景。
如果要简化从属关系的管理,那么可以不遵照此原则,即个体账户与组织实体的从属关系是全平台统一的,与业务系统无关,但这会为降落平台的灵巧性和扩展性。
灵巧性和繁芜度之间常日要做一个取舍。

2)权限原则

类似于 RBAC 原则,平台的权限体系采取 OS-RBAC 的观点:

1. OS:O 代表 Organization 组织,S 代表 System 业务系统,即权限是受到组织实体和业务系统双重影响的。

2. RBAC:基于角色的访问掌握。

3. OS-RBAC:组织实体-业务系统-用户-角色-权限标识。
分为两种情形:一种是有从属组织的个人账户;另一种是无从属组织的个人账户,后者无组织,但同样遵守 RBAC 的权限限定,且其权限标识体系许可组织为空。

4. 资源标识:分为逻辑资源和实体资源。
逻辑资源包括功能资源和数据资源,如菜单、页面、表单、按钮组、按钮、字段等功能型资源,或人员档案、考勤记录、任务记录、位置数据、积分、电子钱包等数据资源;实体资源如椅子、凳子、电脑、车辆等实物资产,其余有时候部分逻辑资源也可以归纳为实体资源,如电子照片、视频文件、音乐文件等。

5. 条件标识:权限的约束条件,紧张有可见组织架构范围限定、韶光限定、区域限定等。
例如某权限仅财务部可见,有效期至11月2号,这里『财务部』属于可见组织架构范围限定,『至11月2号』则是韶光限定。

6. 权限标识:用于标识账户实体在指定的条件下拥有访问某项功能、查看某些数据的权限。
资源标识和条件标识与权限标识关联,权限标识与角色关联,角色与用户关联。
例如张三(用户)-研发职员(角色)-拥有『研发部』所有职员档案的增上改查权限。

7. 业务系统标识符:受『业务权限独立原则』的约束,与传统的资源权限有所不同的是,所有权限标识都与详细的业务系统关联,例如企业CRM系统便是一个业务系统,详细的权限标识与业务系统有直接的关系,例如菜单、表单、页面、按钮、图片等资源。

8. 权限策略组:权限策略组是在OS-RBAC 根本上设置的,为简化权限配置的一种赞助手段,在实际运用中可以不创建策略组。
策略组分为平台级策略组和业务系统级别的策略组,两种策略组的浸染域仅限于相同组织实体内部,但对付无从属组织的个人账户除外。
策略组与角色类似,可以将资源权限绑定到策略组中,但不同之处是,平台级策略组可以横跨业务系统进行平台级的资源权限绑定。
由于账户体系超过多个子系统,在遵照『业务权限独立原则』的限定下,每个子系统都须要做一套权限配置,操作上较为繁琐,因此充分利用策略组可以大大简化权限配置事情。
平台可以内置多套常用的策略组,终端用户可以直接选用策略组,也可以基于某个策略组为根本,进行修正。
值得把稳的是,策略组的浸染域仅限于相同组织实体内部,即策略组可以横跨业务系统,但不能同时浸染于多个组织实体。

9. 权限交集:与RBAC2 的静态职责分离-角色互斥原则相反,平台采取多角色权限并集的设计。

表1RBAC模型

『权限标识』示例:在企业CRM系统[1]中,在2019年3月5号以前[2],对百度科技[3],研发中央[4],在广东区域[5]的所有人事档案[6]拥有只读权限[7]。

[1]业务系统标识;

[2]条件标识:韶光限定;

[3]组织实体标识;

[4]条件标识:可见组织架构范围限定;

[5]条件标识:区域范围限定;

[6]资源标识;

[7]权限类型。

2. 从属关系

为大略起见,我们将不遵守『从属关系隔离原则』,即用户实体与组织实体的从属关系与业务系统无关。
系统涉及的实体类型有:

1.业务系统(系统标识)

2.做事账户(客户端)

3.个人账户实体

4.组织账户实体

5.组织架构

6.用户组(非必选项)

7.角色实体

8.权限实体

9.资源实体

10.限定条件实体

11.权限策略组(非必选项)

1)与组织实体强关联的实体

基于『组织实体隔离原则』,这类实体类型不能分开组织实体独立存在。

由于组织架构不能分开组织实体单独存在,因此当用户实体绑定组织架构时,该用户实体必须从属于该组织架构所从属的组织实体。
同理可知以下从属关系屈服同样的约束——即每对关系的两个实体工具必须属于相同的组织实体:

2)与业务系统强关联的实体

基于『业务系统隔离原则』,这类实体类型不能分开业务系统独立存在。

3. 实体类型

基于以上各项原则,实体类型又分为以下几种情形:

1)组织实体(未认证)

在组织实体的模式下,可以按照组织的管理哀求,独立设置一套组织架构、账户和数据权限体系,比如设置下属企业、分公司、部门、岗位职务、角色权限,组织实体缺省分配一个管理员帐户,拥有全部权限,由管理员初始化配置信息。

2)组织实体(已认证)

拥有未认证组织实体的所有权利,但已认证的实体常日拥有更多的配额更少的功能限定,此外有些特定的业务功能和业务流程,必须是实名认证的实体才能利用,比如支付和交易。

3)个人实体(未认证)

在个人实体的模式下,享受的权利由详细的业务系统决定,原则上个人实体作为独立的账户类型,该当享有基本的功能权限和数据权限,如个人中央的各项功能等。

4)个人实体(已认证)

与组织实体(已认证)类似。

5)个人实体(未从属于组织)

未从属组织的个人实体账户,与上述个人实体类型同等。

6)个人实体(从属单个组织)

从属单个组织的个人实体账户,除了具备个人实体账户的原来权利外,还受到组织权限的约束,原来个人实体不享受的权利,可能现在可以享受,原来享受的权利,可能现在不可以享受了。

7)个人实体(从属多个组织)

当个人实体账户从属于多个组织时,除了个人账户原来拥有的权利外,所从属的组织所带来的权利须遵照『组织实体隔离原则』,且受到『从属关系隔离原则』的约束,详细的权利配置由各个业务系统独立管理。

这里有两种情形:一是在用户登录时,必须选择所属的组织机构,类似于LOL 游戏,在登录时须选择所属的区域和做事器;二是在用户登录后,可以选择组织实体,类似于阿里云或华为云的区域选择,在用户未选择所属组织时,应该按照未从属于组织的个人实体账户对待。

8)组织管理员

组织管理员拥有该组织内部的全部资源权限,例如可以创建个人账户,在个人未完成首次登录前,可以删除(开除),修正,在个人完成登录后,则权限移交给了个人;删除(开除)时,只是个人分开组织,个人不再拥有组织员工的权限,在组织内的个人事情经历仍旧保留,组织打消离职员工,则这些在职经历将不为企业可管理,但个人自己可见,不可变更。

4. 用户分类

表2用户分类

5. 组织分类

表3组织分类

三、根本信息模块

根本信息,紧张针对个人实体和组织实体,如企业工商信息、通用信息等要知足灵巧扩展的需求,实体的类型种类繁多,随着业务场景的变革,信息构造的变革也可能比较频繁。
在技能上建议采取以下两种办法应对:

1. EAV 数据模型

EAV 即 Entity(实体)-Attribute(属性)-Value(值)数据模型,将传统的 ORM 映射模型——即实体属性与数据库表字段逐一对应的模型,变换为实体属性与数据表的行记录逐一对应的模型。
EAV 模型大大增加了数据映射和干系业务逻辑的繁芜程度,但是具备高度的灵巧性,能够知足随时变革的信息构造,知足动态变更的实体构造、知足字段级权限掌握、知足字段级数据版本历史等功能。

2. 采取疏松型数据构造的数据库方案

个中的代表便是MongoDB:一个介于关系数据库和非关系数据库之间的分布式文件存储数据库产品,在 CAP 理论中属于 CP 范畴,支持疏松数据构造,支持繁芜的稠浊数据类型,支持 JSON 和文档存储。
采取此方案的上风比较明显,除了能够知足 EAV 模型所具备的大部分功能外,还大大简化了技能繁芜度,支持分布式支配,推举采取此方案。

3. 信息分类

平台的信息紧张分为根本信息和业务信息两大类。
根本信息分为个人实体信息和组织实体信息,紧张描述实体的基本信息、通用信息,与业务干系性不大,例如姓名、性别、身份证号码、手机号码、企业通用信息、企业工商信息等。
业务信息由各业务系统自行管理和掩护,UIMS 不涉及。

所有与信息网络、储存、处理及数据安全有关的书面政策,应该出具《隐私政策》并进行声明。
部分组织信息由于可在网上公开查到,且是法定必须公布的信息,因此可以默认公开。

四、其他功能模块1. 软件授权

基于两级账户体系,建立云平台付费授权机制,针对用户账户和组织账户进行独立授权。
根据产品的商业策略,可实行灵巧的付费模式:

时效限定:年付、季付、月付,不同时效用度不同。
功能限定:授权不同的功能,用度不同。
数量限定:最大组织数量限定、最大用户数量限定,不同的数量用度不同。

2. 组织入驻

UIMS 应供应一个组织实体注册登记的流程,许可组织主动提交基本信息,开户入驻平台。
此外,应供应在管理后台手工录入组织开户的功能。

3. 实名认证

分为个人账户实名认证和组织账户实名认证,只管即便通过技能手段自动实行实名认证的审核过程,减少乃至取消人工干预。
UIMS 应供应实名认证的功能和流程。

4. 资质审核

资质审核分为两部分:一是部分实体实名认证过程中的人工核查;二是对实体提交的额外资质进行技能或人工审核。

5. 组织绑定

基于『从属关系隔离原则』,个人账户应在详细的业务系统中绑定组织账户,绑定过程分为两种类型:一是由组织管理员手工创建的从属个人账户,另一个是个人账户申请加入某个组织。
业务系统该当供应此功能和流程。
例如,个人注册帐号后,可主动登记绑定组织,对已注册登记的组织则要该组织管理员审核,未在系统中注册登记的组织,则始终处于待审核状态。

6. 组织解绑

许可个人账户解除与组织之间的从属关系。
解绑分为两种情形:一是个人账户主动解除关系,二是组织管理员解绑、开除或打消雇员(个人账户)。

个中第一种个人解绑的,应该由组织进行审核批准,个人申请解除绑定关系,组织进行审核,但是是否须要审核,应交由详细的业务系统自行决定。

7. 间接雇佣(从属)关系

雇佣(从属)关系分为直接雇佣与间接雇佣关系。
例如保安员在某保安公司入职(直接雇佣),在某物业作保安(间接雇佣)。
考虑两种办法标识间接雇佣关系。

8. 增加做事单位(项目点、物业社区)的实体观点

利用组织内部的组织机构体系,将间接雇佣单位作为当前组织的分支机构进行处理。

9. 账户注销

分为个人账户的注销和组织账户的注销。
UIMS 应供应相应的页面完成账户注销的操作。

10. 私有化支配

原则上谢绝私有化支配,但对付特定的客户,考虑私有化支配。
私有化支配须考虑版本升级问题,在软件架构设计时,只管即便遵照业务系统和技能系统分离的原则,并抽离公共模块,最大限度为私有支配的版本供应升级做事。

五、总结

总体来说,统一身份管理系统要做的事情有这么几件:

1. 定义实体

2. 业务系统实体

3. 做事账户实体(客户端)

4. 组织实体

5. 组织架构

6. 个人实体

7. 角色实体

8. 权限标识

9. 资源标识

10. 条件标识

11. 处理上述各实体之间的关系,并供应数据构造

12. 供应鉴权API和业务 API

13. 供应其他功能:统一注册功能(页面和流程)、统一登录功能、软件授权、组织入驻、组织绑定/解绑、资质审查。

本文由@刘同学 原创发布于大家都是产品经理,未经容许,禁止转载

题图来自Unsplash,基于CC0协议

该文不雅观点仅代表作者本人,大家都是产品经理平台仅供应信息存储空间做事。