基于RBAC的统一权限管理平台设计研究
2016-05-14胡美慧冯磊王楷
胡美慧 冯磊 王楷
摘 要:目前,国内信息化程度较高的行业开始研究并实施了统一权限管理系统,权限管理系统的实用性、易用性、稳定性和安全性受到了越来越多的关注。本文提出一种基于RBAC模型的改进权限模型。通过建设的统一权限管理平台,从而能够更加灵活、迅速的实现身份权限管理需求,提升公司身份权限管控水平,降低身份安全控制风险。
关键词:系统架构;集成方式;RBAC模型;统一权限
DOI:10.16640/j.cnki.37-1222/t.2016.04.197
0 引言
随着应用系统集成的深入一级SG-UAP平台的推广以及集中部署、新建应用系统的建设,对权限服务的功能需求、性能需求和业务系统的权限集成粒度要求越来越高,特别是数据权限的控制管理方面,以及如何进一步提高组件化水平,促进软件资产重用,实现软件资产利益的最大化,对完善权限模型和权限管控能力方面提出了更高的要求。
1 统一权限模式基本架构
2 单系统权限管理模式
单系统权限管理模式中,各业务系统独立运维,由于权限模型差异无法实现统一的权限管理一直,造成业务系统权限分配差异大、运维分散;且无统一遵循的管理方法,信息部门很难审查各系统权限是否分配合理,权限使用是否安全合规,因此很难统计权限分配情况。
3 改进的统一权限管理模式
改进的统一权限管理模式,通过建立统一权限平台,完成与各业务系统集成,实现用户身份、权限集中存储与管理,提升企业信息化服务支撑的能力,促进信息运维化统一化,同时通过掌握业务系统的建设使用情况、分析业务需求与建设的合理性,帮助企业管理人员迅速了解企业的权限分布情况,加强了业务系统功能使用审计与权限分配审查。明确信息部分与业务部门在权限管理方面的职责,分层管理,对权限分配工作分解到各单位、部门,实现分层分级授权,进而提升管理规范和效率。通过应用组建化接入,为业务系统融合及统一展现提供支撑。
4 基于SG-UAP开发系统的权限管理模式
基于SG-UAP的新建业务系统无需再单独开发组织、账号、权限管理功能模块,缩短了业务系统开发周期,节约信息化建设投资。以服务模式集成,可以对人员身份信息、组织、权限的集中存储,通过统一权限平台进行认证、鉴权,可强制系统执行统一制定的规范,强化信息化管控力度,加强安全控制,促进权限合规。
5 基于RBAC改进的权限模型
统一权限管理平台对企业业务应用系统的权限进行统一管理并提供集中的功能展示。目前它包括基准组织体系管理、业务组织体系管理、业务角色管理、业务系统功能管理、权限管理功能及权限集成等相关接口服务。统一权限管理系统权限模型如图2所示:
该模型是以标准的权限模型(Role-Based Access Control)为基础,并结合身份授权体系进行设计的,其中,业务角色、业务组织角色用户分配资源(功能、权限对象);角色分组是根据业务需要将角色进行归类。一个业务系统的业务角色,是指要完成该业务系统的业务需要几种角色来完成。业务角色属于业务系统,它与业务组织没有关系。业务组织角色是具体关联业务角色、业务组织机构、和人的对象,它会继承与之对应的业务角色上的功能权限,同时它也位于某个业务组织下,并且要在业务角色上分配人员。角色体系的作用主要是集中控制角色权限分配方案,为统一工作流实现流程的通用化定义实现支撑。该模型在RBAC的基础上,增加了身份授权体系,满足职责分离的要求,达到了权限的最少访问等优点。
6 结束语
本文针对统一权限系统从系统架构、技术支撑、与业务系统集成方式进行了介绍和分析,并提出了一种基于RBAC的改进权限模型。通过建设统一权限管理平台,加强企业权限的集中、统一、精益和高效的管理,进一步提升对企业内组织、人员、账号、权限的管控能力,加强了对资源的共享。
作者简介:胡美慧(1990-),女,新疆阿勒泰人,硕士,主要从事:门户、目录及统一权限系统。