|
整理自我在火花网上给网友的回答。
问:
在企业信息化越来越重视的今天,不同企业在不同的阶段,分别使用了很多的系统,诸如ERP、PDM、OA、MES、CRM等,不同的软件不管是B/S还是C/S架构,有一个步骤是不能省略的,那就是每次在使用他们之前必须输入用户名和密码。然而不同的系统对用户名和密码的要求不尽然相同,就算一致,也得在各大系统中重新录入用户名和权限。
答:
体系点看IT系统的权限管理,需要先理清一些基本概念:权限管理体系主要涉及三类对象:
现实点考虑,要想让企业内的各种管理系统现实统一的权限管理,可以分层考虑解决方案,从易到难:
1、实现对权限主体的统一管理:即用户身份统一管理(UIM)。通常通过架设统一的LDAP目录,将各套系统的用户信息统一存储并提供服务(用户注册、密码更改、注销、账号密码认证等)。一般只要是成熟的IT系统,都会支持LDAP认证模式,因此此方案难度最低,业界也有一些成熟产品可以做到,它的核心是接管了用户管理,包括用户认证服务;
2、实现最粗粒度的对权限客体的统一管理:即统一系统接入管理(UAM)。UAM架构在UIM的基础上,通常通过架设统一的应用系统管理框架,可以针对每个用户对各套系统进行统一授权。但这只是最粗粒度的权限——系统接入级权限管理,即用户可以受控的访问各套系统,但进入这些系统后有哪些具体操作权限和数据权限,则非统一关系管理系统所能决定。一般做到这点,会顺带轻松解决SSO的问题,让用户可以无需重复输入账号密码一次登录多套系统,并且可以控制每个用户能否登录具体哪些系统。他的核心是接管了用户门户入口。
3、实现操作权限和数据权限级别的统一管理:即统一系统权限管理。这是细粒度的统一权限管理,IT部门可以在一个集中界面上进行细到每套系统的内部权限管理,组合权限角色,进行各种权限管理和统一查询审计等。但这需要各套系统遵循同样的权限架构遵循同一规范,做到系统内的各种操作权限、数据权限和角色权限模型一致,用整合的思路来做,难。但可以换个思路:如统一采用某个厂家的“应用级中间件”,按我一个好友CIO的话,叫“以前建设一套套新系统,现在是在平台上建设一个个新模块”,这样这些“新系统”就可以共享同一套底层权限机制,实现统一管理。它的核心是企业内的系统只有一个或两个公共技术平台(我个人也确实认为未来企业只需要ERP和EKP两套管理系统,一套支撑业务,一套支撑管理)。
按这几年接触的大中型企业,约莫50%做到了第一层,5%做到第二层,0%做到第三层,另外有40%只做了不同程度的SSO,但无法实现统一的系统接入控制。
以上纯属个人见解,要做到第三层,需要整个软件行业有开放合作的心态和强力的行业组织,这明显任重而道远。
|
|
|
来自: ThinkTank_引擎 > 《单点登录-授权登录》
