关于企业内多系统的权限整合
2014-11-01 22:45
253 查看
http://www.cnblogs.com/vnii/archive/2011/11/22/2253000.html
http://jef.iteye.com/blog/311659 http://www.docin.com/p-435078906.html http://www.chinaunicom.com.cn/upload/1262076307201.pdf http://blog.sina.com.cn/s/blog_737b503601013esb.html
整理自我在火花网上给网友的回答。
问:
在企业信息化越来越重视的今天,不同企业在不同的阶段,分别使用了很多的系统,诸如ERP、PDM、OA、MES、CRM等,不同的软件不管是B/S还是C/S架构,有一个步骤是不能省略的,那就是每次在使用他们之前必须输入用户名和密码。然而不同的系统对用户名和密码的要求不尽然相同,就算一致,也得在各大系统中重新录入用户名和权限。
答:
体系点看IT系统的权限管理,需要先理清一些基本概念:权限管理体系主要涉及三类对象:
权限主体:人(用户账号密码)
权限客体:管理对象(可执行的操作即操作权限、可访问的信息即数据权限)
由这两者组合而成的“角色权限”(为了运维便利)
理论上来讲,基于这三类对象可以延伸一套全生命周期的统一权限管理系统,但若没有统一的业界技术规范,要实现高度一致的统一权限管理系统,对IT人来说基本是个梦想。原因在于各供应商开发的系统架构和遵循的规范各不一样,整合代价太高(需要不同程度的重构)。
现实点考虑,要想让企业内的各种管理系统现实统一的权限管理,可以分层考虑解决方案,从易到难:
1、实现对权限主体的统一管理:即用户身份统一管理(UIM)。通常通过架设统一的LDAP目录,将各套系统的用户信息统一存储并提供服务(用户注册、密码更改、注销、账号密码认证等)。一般只要是成熟的IT系统,都会支持LDAP认证模式,因此此方案难度最低,业界也有一些成熟产品可以做到,它的核心是接管了用户管理,包括用户认证服务;
2、实现最粗粒度的对权限客体的统一管理:即统一系统接入管理(UAM)。UAM架构在UIM的基础上,通常通过架设统一的应用系统管理框架,可以针对每个用户对各套系统进行统一授权。但这只是最粗粒度的权限——系统接入级权限管理,即用户可以受控的访问各套系统,但进入这些系统后有哪些具体操作权限和数据权限,则非统一关系管理系统所能决定。一般做到这点,会顺带轻松解决SSO的问题,让用户可以无需重复输入账号密码一次登录多套系统,并且可以控制每个用户能否登录具体哪些系统。他的核心是接管了用户门户入口。
3、实现操作权限和数据权限级别的统一管理:即统一系统权限管理。这是细粒度的统一权限管理,IT部门可以在一个集中界面上进行细到每套系统的内部权限管理,组合权限角色,进行各种权限管理和统一查询审计等。但这需要各套系统遵循同样的权限架构遵循同一规范,做到系统内的各种操作权限、数据权限和角色权限模型一致,用整合的思路来做,难。但可以换个思路:如统一采用某个厂家的“应用级中间件”,按我一个好友CIO的话,叫“以前建设一套套新系统,现在是在平台上建设一个个新模块”,这样这些“新系统”就可以共享同一套底层权限机制,实现统一管理。它的核心是企业内的系统只有一个或两个公共技术平台(我个人也确实认为未来企业只需要ERP和EKP两套管理系统,一套支撑业务,一套支撑管理)。
按这几年接触的大中型企业,约莫50%做到了第一层,5%做到第二层,0%做到第三层,另外有40%只做了不同程度的SSO,但无法实现统一的系统接入控制。
以上纯属个人见解,要做到第三层,需要整个软件行业有开放合作的心态和强力的行业组织,这明显任重而道远。
http://jef.iteye.com/blog/311659 http://www.docin.com/p-435078906.html http://www.chinaunicom.com.cn/upload/1262076307201.pdf http://blog.sina.com.cn/s/blog_737b503601013esb.html
整理自我在火花网上给网友的回答。
问:
在企业信息化越来越重视的今天,不同企业在不同的阶段,分别使用了很多的系统,诸如ERP、PDM、OA、MES、CRM等,不同的软件不管是B/S还是C/S架构,有一个步骤是不能省略的,那就是每次在使用他们之前必须输入用户名和密码。然而不同的系统对用户名和密码的要求不尽然相同,就算一致,也得在各大系统中重新录入用户名和权限。
答:
体系点看IT系统的权限管理,需要先理清一些基本概念:权限管理体系主要涉及三类对象:
权限主体:人(用户账号密码)
权限客体:管理对象(可执行的操作即操作权限、可访问的信息即数据权限)
由这两者组合而成的“角色权限”(为了运维便利)
理论上来讲,基于这三类对象可以延伸一套全生命周期的统一权限管理系统,但若没有统一的业界技术规范,要实现高度一致的统一权限管理系统,对IT人来说基本是个梦想。原因在于各供应商开发的系统架构和遵循的规范各不一样,整合代价太高(需要不同程度的重构)。
现实点考虑,要想让企业内的各种管理系统现实统一的权限管理,可以分层考虑解决方案,从易到难:
1、实现对权限主体的统一管理:即用户身份统一管理(UIM)。通常通过架设统一的LDAP目录,将各套系统的用户信息统一存储并提供服务(用户注册、密码更改、注销、账号密码认证等)。一般只要是成熟的IT系统,都会支持LDAP认证模式,因此此方案难度最低,业界也有一些成熟产品可以做到,它的核心是接管了用户管理,包括用户认证服务;
2、实现最粗粒度的对权限客体的统一管理:即统一系统接入管理(UAM)。UAM架构在UIM的基础上,通常通过架设统一的应用系统管理框架,可以针对每个用户对各套系统进行统一授权。但这只是最粗粒度的权限——系统接入级权限管理,即用户可以受控的访问各套系统,但进入这些系统后有哪些具体操作权限和数据权限,则非统一关系管理系统所能决定。一般做到这点,会顺带轻松解决SSO的问题,让用户可以无需重复输入账号密码一次登录多套系统,并且可以控制每个用户能否登录具体哪些系统。他的核心是接管了用户门户入口。
3、实现操作权限和数据权限级别的统一管理:即统一系统权限管理。这是细粒度的统一权限管理,IT部门可以在一个集中界面上进行细到每套系统的内部权限管理,组合权限角色,进行各种权限管理和统一查询审计等。但这需要各套系统遵循同样的权限架构遵循同一规范,做到系统内的各种操作权限、数据权限和角色权限模型一致,用整合的思路来做,难。但可以换个思路:如统一采用某个厂家的“应用级中间件”,按我一个好友CIO的话,叫“以前建设一套套新系统,现在是在平台上建设一个个新模块”,这样这些“新系统”就可以共享同一套底层权限机制,实现统一管理。它的核心是企业内的系统只有一个或两个公共技术平台(我个人也确实认为未来企业只需要ERP和EKP两套管理系统,一套支撑业务,一套支撑管理)。
按这几年接触的大中型企业,约莫50%做到了第一层,5%做到第二层,0%做到第三层,另外有40%只做了不同程度的SSO,但无法实现统一的系统接入控制。
以上纯属个人见解,要做到第三层,需要整个软件行业有开放合作的心态和强力的行业组织,这明显任重而道远。
相关文章推荐
- JavaWeb企业实训 简易股市自选查询分析系统(六)使用Shiro控制登录等权限管理与Spring项目整合
- 关于VSS系统权限设置
- 关于权限管理的系统的构思
- 关于Linux系统中用户权限问题
- OA系统关于部门权限的测试方法
- 1Z0-007题库的一个错误,关于truncate table需要的系统权限
- 关于权限系统的设计
- 企业邮件系统搭建-关于不能往yahoo,sina,hotmail地址发邮件的问题二
- 关于安监系统内部OA、安全生产行政执法系统与安全生产行政许可审批的整合应用思考
- 关于运行VBS文件提示“没有在该机执行windows脚本宿主的权限。请与系统管理员联系。”错误的解决方法
- 转发关于2010年度计算机信息系统集成企业资质换证工作安排的通知
- 关于权限管理的系统的构思
- 关于系统权限的通用设计
- 关于系统权限的通用设计
- 关于系统中权限和角色设计的问题
- 关于权限管理的系统的构思
- 关于ubuntu系统启动时显示.dmrc权限不正确的问题的解决
- 关于权限系统设计的问与答
- 关于修船企业ERP系统的设计思想
- 企业邮件系统搭建-关于不能往yahoo,sina,hotmail地址发邮件的问题一