请教有关权限管理系统 - 第2页 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

一般来说，不同部门的人员会操作不同的信息，但是如果有交叉的时候，应该确立一个主管部门来专门处理
例如 客户信息，可能各个部门都会使用到，但只由一个部门进行维护，其他部门只有查询的权限
wilderwein 发表于 2012-4-12 09:09

相对于直接为员工分配所有权限，将其添加到一个已经分配好合适权限的角色应该不算麻烦吧？问题应该是如何 ...
当前管理的难度不在于往角色里增减用户，而是如何管理这些角色，如果实现比较细粒度的权限管理，就会不得已而设置很多针对特定功能的角色，而更复杂的是，角色里面往往又包含子角色，这就给查询某个员工可以访问的最终功能，或者某个功能可以访问的所有用户的分析造成了麻烦，除非软件直接就有这样功能，否则人工计算很容易漏掉。
这里面的原因就是存在某些角色是“非自然的”（如与岗位没有关系），而目前的软件采用的权限管理模式下，完全使用“自然”的角色无法实现要求的细粒度管理。而细粒度权限管理又是银行必须的功能。
当然满足你所希望的功能还有一个障碍： 各个子系统有自己的权限管理体系及登录认证体系，如何统一管理
现在想想，你所设想的方式很有意思，就是在外面再盖一个系统，专门做权限管理及登录认证。 SSO的方式貌似没法解决，因为他仅仅是将自己的身份信息与各个系统特定身份进行捆绑而已，也就是说，它仅实现了认证部分，没有参与各系统的具体权限计算。
如果单独做一个系统，我想了想可以考虑的思路有三个途径：
1） 单独的系统需要有能力与各独立系统的角色体系相关联，这样各子系统的角色仅仅与功能挂钩，（就像AD中的本地组），由外部的权限系统根据需要，增减自己的角色（就像AD中的全局组）放到对应的“本地组”中，进行控制。
2） 借助ESB，使用企业总线系统的流程体系，在需要时直接访问对应子系统的特定功能，这样权限就完全有ESB控制。
3）提取各个子系统的权限管理信息，将其导入到集中的权限分析系统中，按照各系统的权限管理方式进行分析，计算出实际用户所具有的功能及功能可访问的用户（可能是你目前设想的具体实现方式）。这类似于建立一个“访问控制列表”，需要建立功能清单及用户清单。
   从这三种途径看，应该都得自己开发，因为每个系统的权限体系都是不同的， 第三种方式开发量最小，只需要建立一个统一的分析平台，再针对各个子系统设计权限元素的提取方式即可。但他不具有控制能力。
老胡这方面不是很了解，也许很幼稚，说点自己的理解，求指正：
1）权限管理，最好做成统一，和认证体系做在一起，不仅仅是一个权限管理本身
2）具体权限管理方面，要注意组织级、角色级，支持不同的组织架构或者组织架构的变化的调整需要，最好做成配置方式的，减少刚性限制。
3）权限要在多个业务系统、组织级等不同的管理维度上横向打通，而不是不同的系统，不同的ID，不同的权限控制方案，这的确是一个很大的棋
4）权限设计上应该有B角或者backup，防止形成流程上的单点和集中，造成处置的困难
抛砖引玉，欢迎批判
蓝屏老妖 发表于 2012-4-12 11:43

当然满足你所希望的功能还有一个障碍： 各个子系统有自己的权限管理体系及登录认证体系，如何统一管理
现在 ...
谢谢老妖 第三种途径确实是目前考虑的方案 初步目标是建立一个类似于ACL的表
家住海淀 发表于 2012-4-12 16:43

老胡这方面不是很了解，也许很幼稚，说点自己的理解，求指正：
1）权限管理，最好做成统一，和认证体系做在 ...
老胡过谦了哈哈，小弟才是才疏学浅，您说的都很有道理
SSO已经定了，即将部署，将来会和权限管理统一的，因为本来SSO也有对终端访问系统的控制，两者应该集中。第三点正是领导的意思，棋局很大，不知结果如何。第四点确实是个问题，多谢提醒。