筆者選用阿里的兩款產(chǎn)品應(yīng)用身份服務(wù)（IDaaS）和RAM訪問(wèn)控制服務(wù)進(jìn)行深入的體驗(yàn)分析，并從功能、結(jié)構(gòu)、交互等方面展開(kāi)。

1 概述

角色權(quán)限作為大型系統(tǒng)必不可少的功能，控制著業(yè)務(wù)中各個(gè)部門(mén)用戶(hù)的權(quán)限，引導(dǎo)著業(yè)務(wù)操作，本次競(jìng)品分析，選用阿里的兩款產(chǎn)品應(yīng)用身份服務(wù)（IDaaS）和RAM訪問(wèn)控制服務(wù)進(jìn)行深入的體驗(yàn)分析。

1.1 產(chǎn)品定位

1）應(yīng)用身份服務(wù)（IDaaS）

應(yīng)用身份服務(wù)（IDaaS）是一個(gè)集中式身份管理服務(wù)，為政企客戶(hù)提供統(tǒng)一的應(yīng)用門(mén)戶(hù)、用戶(hù)目錄、單點(diǎn)登錄、集中授權(quán)、以及行為審計(jì)等中臺(tái)服務(wù)。 IDaaS 支持 SAML、OIDC、CAS 等常見(jiàn)身份聯(lián)邦協(xié)議，也可以與釘釘通訊錄、AD、HR 系統(tǒng)等身份源打通，做到統(tǒng)一的身份權(quán)限管理和應(yīng)用訪問(wèn)控制。

2）RAM訪問(wèn)控制服務(wù)

RAM 能夠安全地集中管理對(duì)阿里云服務(wù)和資源的訪問(wèn)?？梢允褂?RAM 創(chuàng)建和管理用戶(hù)和組，并使用各種權(quán)限來(lái)允許或拒絕他們對(duì)云資源的訪問(wèn)。

1.2 目標(biāo)人群

1）應(yīng)用身份服務(wù)（IDaaS）

阿里云為企業(yè)用戶(hù)提供的一套集中式身份、權(quán)限、應(yīng)用管理服務(wù)，幫助客戶(hù)整合部署在本地或云端的內(nèi)部辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)及三方SaaS系統(tǒng)的所有身份，實(shí)現(xiàn)一個(gè)賬號(hào)打通所有應(yīng)用服務(wù)。

2）RAM訪問(wèn)控制服務(wù)

訪問(wèn)控制（RAM）是為阿里云用戶(hù)提供身份與資源訪問(wèn)權(quán)限的服務(wù)。

2 功能分析

2.1 產(chǎn)品功能概述

1）應(yīng)用身份服務(wù)（IDaaS）

2）RAM訪問(wèn)控制服務(wù)

2.2 核心功能點(diǎn)

作為阿里云的服務(wù)內(nèi)容，在產(chǎn)品功能上，除了沒(méi)有對(duì)組織架構(gòu)實(shí)現(xiàn)很好的支持外，用戶(hù)、角色和權(quán)限都有著良好的解決方案。

2.2.1 IDaaS

2.2.2 ARM

3 結(jié)構(gòu)分析

3.1 架構(gòu)分析

兩款產(chǎn)品都采用了RBAC的設(shè)計(jì)模式：

?IDaaS

說(shuō)明：用戶(hù)集合的支持，在服務(wù)的API中有支持。

RAM

3.2 權(quán)限系統(tǒng)分析

在系統(tǒng)層面，將權(quán)限分為三級(jí)：

• 一級(jí)：訪問(wèn)控制，用于訪問(wèn)不同的應(yīng)用系統(tǒng)。
• 二級(jí)：菜單權(quán)限、按鈕權(quán)限。
• 三級(jí)：數(shù)據(jù)權(quán)限，包括展示的數(shù)據(jù)信息，API接口數(shù)據(jù)字段。

（1）IDaaS 權(quán)限

（2）ARM權(quán)限

權(quán)限策略（Policy）相當(dāng)于傳統(tǒng)的教科書(shū)式角色，它用于描述一組權(quán)限集。

RAM 支持兩種類(lèi)型的權(quán)限策略：由阿里云管理的系統(tǒng)策略和由客戶(hù)管理的自定義策略。

• 系統(tǒng)策略，統(tǒng)一由阿里云創(chuàng)建，您只能使用而不能修改，系統(tǒng)策略的版本更新由阿里云維護(hù)；
• 自定義策略，您可以自主創(chuàng)建、更新和刪除，自定義策略的版本更新由您自己維護(hù)。

RAM 角色不同于傳統(tǒng)的教科書(shū)式角色。RAM 角色頒發(fā)短時(shí)有效的訪問(wèn)令牌（STS 令牌），使其成為一種更安全的授予訪問(wèn)權(quán)限的方法。

4 交互分析

4.1?IDaaS 交互

4.1.1 應(yīng)用系統(tǒng)管理

說(shuō)明：

• 支持不同的應(yīng)用系統(tǒng)接入權(quán)限管理服務(wù)。
• 支持維護(hù)應(yīng)用系統(tǒng)的權(quán)限、角色等。

4.1.2 權(quán)限管理

說(shuō)明：

• 需要定義和維護(hù)不同的權(quán)限，支持菜單、按鈕、數(shù)據(jù)、API等權(quán)限，定義為資源。
• 支持批量的維護(hù)資源。

4.1.3 角色管理

說(shuō)明：

• 支持角色信息的新建、編輯、維護(hù)。
• 支持角色關(guān)聯(lián)權(quán)限。
• 支持角色授權(quán)（關(guān)聯(lián)）到個(gè)人賬戶(hù)。

4.1.4 授權(quán)管理

按賬戶(hù)授權(quán)：

• 為賬戶(hù)單獨(dú)選擇權(quán)限授權(quán)：勾選權(quán)限為賬戶(hù)配置不同的權(quán)限；
• 為賬戶(hù)關(guān)聯(lián)角色授權(quán)：賬戶(hù)關(guān)聯(lián)角色，賬戶(hù)即可繼承角色的所有權(quán)限；

可以查看賬戶(hù)的所有權(quán)限，包括單獨(dú)配置的，和從角色中繼承的權(quán)限。

按角色授權(quán)：

• 配置角色所擁有的各項(xiàng)權(quán)限；
• 角色關(guān)聯(lián)到賬戶(hù)；

可以查看每個(gè)角色所擁有的權(quán)限，同時(shí)可以查看哪些賬戶(hù)關(guān)聯(lián)繼承了角色。

4.2 ARM 交互

4.2.1 用戶(hù)組管理

• 通過(guò)用戶(hù)組對(duì)職責(zé)相同的RAM用戶(hù)進(jìn)行分類(lèi)并授權(quán)，可以更加高效地管理用戶(hù)及其權(quán)限。
• 對(duì)一個(gè)用戶(hù)組進(jìn)行授權(quán)后，用戶(hù)組內(nèi)的所有用戶(hù)會(huì)自動(dòng)繼承該用戶(hù)組的權(quán)限。
• 如果一個(gè)用戶(hù)被加入到多個(gè)用戶(hù)組，那么該用戶(hù)將會(huì)繼承多個(gè)用戶(hù)組的權(quán)限。

4.2.2 用戶(hù)管理

RAM 用戶(hù)是一個(gè)身份實(shí)體，它通常代表您的組織中需要訪問(wèn)云資源的人員或應(yīng)用程序。

創(chuàng)建用戶(hù)，并為用戶(hù)設(shè)置密碼以及認(rèn)證方式。

添加用戶(hù)到用戶(hù)組或者管理角色，完成對(duì)用戶(hù)的授權(quán)。

4.2.3 角色管理

RAM 角色不同于傳統(tǒng)的教科書(shū)式角色（其含義是指一組權(quán)限集）。RAM 角色頒發(fā)短時(shí)有效的訪問(wèn)令牌（STS 令牌），使其成為一種更安全的授予訪問(wèn)權(quán)限的方法。

4.2.4 權(quán)限策略管理

權(quán)限策略（Policy）相當(dāng)于傳統(tǒng)的教科書(shū)式角色，它用于描述一組權(quán)限集。

RAM 支持兩種類(lèi)型的權(quán)限策略：由阿里云管理的系統(tǒng)策略和由客戶(hù)管理的自定義策略。

• 系統(tǒng)策略，統(tǒng)一由阿里云創(chuàng)建，您只能使用而不能修改，系統(tǒng)策略的版本更新由阿里云維護(hù)；
• 自定義策略，您可以自主創(chuàng)建、更新和刪除，自定義策略的版本更新由您自己維護(hù)。

4.2.5 授權(quán)管理

授權(quán)管理支持為用戶(hù)、用戶(hù)組、ARM角色授權(quán)，權(quán)限以權(quán)限策略為單位授權(quán)。

5 競(jìng)品問(wèn)題

（1）兩款產(chǎn)品在用戶(hù)（賬戶(hù)）層面管理較為簡(jiǎn)單，由于IDaaS面向企業(yè)的應(yīng)用，ARM面向C端個(gè)人用戶(hù)，均沒(méi)有引入組織的概念管理多用戶(hù)關(guān)系。

（2）ARM由于產(chǎn)品服務(wù)的場(chǎng)景不同，引入了ARM角色和權(quán)限策略概念，在權(quán)限管理上更加靈活，但同時(shí)也帶來(lái)了更復(fù)雜的管理難度。

6 總結(jié)

角色權(quán)限通用的設(shè)計(jì)模式：

本文由 @檸檬燒仙草~ 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)作者許可，禁止轉(zhuǎn)載。

題圖來(lái)自Unsplash，基于CC0協(xié)議