Top
首页 > IT产品和服务 > 第一资讯 > 正文

身份云视角|企业破除信息孤岛“第三式”:权限关系管理

管理难 l 权限管理模型不统一、权限管理入口不统一,权限管理数据不统一 l 应用系统权限设计缺乏统一规范 因此,为了更好的解决集团权限安全问题,提升权限管理的效率,身份云(IDM)把打造一个集中化、自动化、可视化、标准化的统一权限管理平台作为核心目标。
发布时间:2018-12-18 19:36        来源:lnd.com.cn        作者:

在上篇美云IDM(身份云)视角中(《身份云视角|企业破除信息孤岛“第二式”:重新定义认证》),我们在企业破除信息孤岛“第二式”中得知密码太强太多不好记,太弱不安全的解决方案,本篇我们将进入企业破除信息孤岛“第三式”看——权限关系管理。

对企业来说在权限管理的现状里就存在着四大难点,分别是是开通难、查询难、回收难和管理难。

1.开通难

l IT权限涉及类别众多,流程入口多,权限描述、定义不清,用户申请难

l 权限未进行标准化,所有权限都必须打单申请

l 大部分权限需要手动开通,执行效率低下

2.查询难

l 用户权限没有统一的权限实体,很难掌握用户当前的权限情况,更难审计

l 外部合作伙伴权限管理,全依赖于业务系统对接人,并且很难定期审查,信息安全风险高

l 权限变更没有记录,无从审计

3.回收难

l 组织架构变更,用户权限无法及时变更调整,效率低效,信息安全风险高

l 员工离职,用户权限无法及时汇总回收,很容易漏回收权限,信息安全风险高

4.管理难

l 权限管理模型不统一、权限管理入口不统一,权限管理数据不统一

l 应用系统权限设计缺乏统一规范

因此,为了更好的解决集团权限安全问题,提升权限管理的效率,身份云(IDM)把打造一个集中化、自动化、可视化、标准化的统一权限管理平台作为核心目标。最终彻底实现权限管理的集中化、授权管理的自动化、组织用户权限的可视化和权限服务接入的标准化。

首先,我们要了解下什么是身份权限关系管理建设模型:

身份权限关系管理模型(Identity Authorization Management),是由权限管理模型+授权管理模型两大版块构成,它包含了用户、群组、组织岗位、业务角色、系统角色、系统/数据权限等元素。

其中权限管理模型有三项内容,包括:业务角色管理、系统角色管理和系统权限管理;而授权管理模型则有四项内容,包括:按群组授权、按组织授权、按岗位授权和按用户授权。总体而言,身份权限关系管理就是其中这两块模型里的你内容两两交错配对,分别形成12种配对方式。

在知道了身份权限关系管理建设模型后,其次我们要了解什么是系统权限级别建设模型,简单来说,按程度的递进关系,总共有4种建设模型:

1.无限制级

用户只要属于物产用户就可以访问到应用系统,比如MIP。

2.大门级权限

用户能否访问应用,通过用户是否具备某个角色或者群组来判断,也叫应用级别授权。

3.基础权限

将应用的核心权限,与用户相关的权限,即用户可申请的核心权限。

4.细粒度授权

控制应用系统的表单,菜单,按钮级别的授权。

这4种建设模型,按三阶段来划分的交叉迭代关系如下图:

虽然清楚了身份权限关系管理建设和系统权限级别建设模型,但是我们在实际的权限管理项目中,也会遇到不少的难点,具体就体现在:

1.需要将授权管理分类分级。例如无限制级授权、大门级别授权、核心基础授权和细粒度授权等。

2.应用接入多维积分选择项。例如:业务复杂度、运维规范度、集成便捷度、管理成熟度、信息完整度等多项选择。

3.需要各方协同配合。例如:项目团队里的HR、安全、IDM、流程、业务系统等进行整体配合。

企业权限管理从来就不是一蹴而就的,而是逐步持续改进的。从用户到群组、组织岗位、业务角色、系统角色、系统权限都环环相扣,所以并不是那么简单就能实现。针对于此,美云身份云(IDM)从身份管理出发,提供了以下几种解决方案:

1. 身份权限集中化

根据业务系统特征,分类分级逐步收拢权限数据流,实现身份权限的集中统一。

2.身份权限自动化

根据组织、岗位、群组、业务角色、IT角色等,自动开户、分配基础权限包,根据身份权限流程实现业务权限,系统权限的自动化赋予与回收。

3. 身份权限可视化

根据不同维度,不同业务、管理要求进行统计、报表分析,实现身份权限可视化

4. 身份权限可治理

根据身份权限大数据,周期性对比、审视、建模,实现身份权限的可理可治。

看完这个,是否对美云身份云(IDM)权限关系管理有了全新的认知呢?神奇的更多功能解锁,敬请期待我们的下篇内容。

专题访谈

合作站点
stat