文章图片
随着企业数字化转型的发展,基于网络的应用不断扩展延伸,各类新的系统和工具不断被引入,多应用系统并存给企业 IT 运维管理和信息安全带来了新的挑战。
对于企业管理来说,【授权】能够明确组织成员之间的关系,使职责和边界更加清晰,方便公司管理。同时,【授权】能保障数据安全、防控风险,不同权限准许不同操作,可防止用户人为破坏、数据泄漏、误操作等事故的发生;【授权】还能够提高决策效率,优秀的授权和权限管理使系统更易操作,使员工的工作效率得到提升。
01
我们所知的市场中
【授权】主要有以下三个方式:
- 在通用领域内,授权是领导者通过为员工和下属提供更多的自主权,以达到组织目标的过程。
- 在计算机领域内,授权是由信息系统指定批准机构授予某实体处理、存储或传送信息的权力。
- 而在身份认证领域内,授权是指当客户端经过身份认证后,能够有限的访问服务端资源的一种机制。
通过系统,将用户账号、密码、角色权限等信息都在集中平台上管理。实现用户登录一次系统,就可以根据自己的权限访问企业其他各个应用系统。
02 基于 OAuth 2.0 框架的授权模式 OAuth2 框架是一种安全、轻量、标准的授权体系,用于帮助资源方、调用方、资源所有者之间的完成授权流程。
curl --request POST \
--url https://${YOUR_AUTHING_DOMAIN}/oidc/token \
--header 'accept: application/json' \
--header 'cache-control: no-cache' \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials&scope=customScope&client_id=CLIENT_ID&client_secret=CLIENT_SECRET'
Authing 会根据调用方请求的资源和上下文环境,动态的决定颁发具备哪些权限的 AccessToken。
{
"access_token": "...",
"token_type": "Bearer",
"expires_in": 3599,
"scope": "user",
"scope_rejected": "xxx yyy"
}
【Authing|Authing 实践 | 授权管理使企业用户登录更容易】当授权流程中涉及到需要资源所有者参与授权时,可以使用 OAuth2.0 框架中的授权码模式。
https://${YOUR_AUTHING_DOMAIN}/oidc/auth?client_id={你的应用 ID}&scope=openid book:read book:delete&redirect_uri={你的业务回调地址}&state={随机字符串}&response_type=code
当一切检验通过,就可以安全地返回资源。
03 使用权限 API 除了使用 OIDC 的 client_credentials 模式,还可以使用通用的权限 API,通过权限 API 创建角色、给角色授权角色、判断用户是否具备某个权限等。
权限管理一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。目前被大家广泛采用的两种权限模型为:
- 基于角色的访问控制(RBAC)
- 基于属性的访问控制(ABAC)
- 拥有许多用户的大型组织中;
- 需要深入的特定访问控制功能;
- 投资远距离的模型;
- 需要确保隐私和安全合规;
- 中小型企业;
- 访问控制策略广泛;
- 外部用户较少,并且你的组织角色得到了明确定义;
需求挑战:
涉及中国区数万多员工岗位周期各状态下的身份授权管理,IT 运维人员面临极大的挑战,包括人员账户管理批量开通和回收滞后,访问存在一定的安全风险,没有进行统一的授权管理。
解决方案:
Authing 为此快消企业构建身份治理体系, 提供统一权限入口、统一权限模型和授权,对所有员工的访问权限、访问行为进行集中管控,提供审计日志的存储和记录,解决当前员工权限问题,减少因人员身份管理不规范带来的信息安全风险、隐私风险及经营风险。
Authing 自动化账号生命周期管理代替企业当前手动式账号管理,批量管理员工入离职、授权应用和角色、停用、归档、删除、组织架构调整等工作。建立单一身份源,将身份同步中的属性信息至统一目录,向外输出唯一标准数据,便于 IT 管理。
Authing 一直致力于通过低代码的方式降低开发门槛,提高开发效率,让身份管理更简单更智能。Authing 已经助力数百家企业,实现统一身份的访问授权管理能力,成为提高用户转化率和实现业务增长的标配工具。
Authing 已服务全球七个国家的数万开发者和企业,包括招商银行、意大利裕信银行、中国石油、国家电网、日本丰田、大众汽车、博世集团、德高集团、高等教育出版社等不同行业客户。遵从不同国家和行业的安全与合规要求,实现可视化安全审计,加密传输与存储、自定义密码强度、自适应多因素认证等丰富的安全策略。
文章图片
关于 Authing Authing 是国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务。Authing 被科技部认定为「2020 国家高新技术企业」,被中国信息通信研究院评选为「国内身份管理与访问控制领域创新企业」,并被录入《2019 网络安全产业白皮书》。Authing 已为中国石油、国家电网、招商银行、日本丰田、德高集团等国内外优秀企业打造了卓越的开发方式、高效的办公流程和安全的 IT 管理体系。
推荐阅读
- 产品功能|微软关闭基本身份验证,对企业与员工有什么影响()
- 基础|HCIP--路由策略实验
- 虚拟化|vSphere6.7创建Windows Server 2008虚拟机及磁盘扩容
- 虚拟化|vSphere6.7创建Windows Server 2016虚拟机及磁盘扩容
- 龙智邀您共赴GOPS全球运维大会,探索大规模、敏捷、高质量、定制化的软件研发与运营之路——ITSM篇
- 开源资讯|Linus(我终于在 M2 芯片的 MacBook 上发布了 Linux 最新版本!)
- 网络编程|TCP/IP网络编程(8) 基于Linux的多进程服务器
- 网络|开源linux_对技术的热爱导致Linux和开源
- 阿里云ACE改革后需要考什么(现在考试难不难?)