请教有关权限管理系统 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

小弟单位情况是这样的：系统众多，且用户权限由各系统分散管理，考虑到如果一个员工拥有多个系统的用户，就有可能获得原本不
具有的权限，而缺乏统一的权限管理也不便于监控和审计。小弟想请教一下大家，目前国内银行在统一权限/身份管理这方面是如何
做的，是否是部署了SSO或者PKI然后只集中控制用户对各系统的访问权限（并不深入到系统内具体权限）？有无横向跨系统的用户权
限管理？是否有这样的产品：与各系统脱机，不需要实际控制系统权限，包含可定义修改的规则库，员工用户的权限增删改时检查是
否违反规则库，能够对员工在各系统用户及权限有一个整体的报表以便审计。恳请大家不吝赐教，先谢谢大家了！
权限在各个应用系统都是以角色和岗位的形式体现的。
集中管理用户的角色和岗位是可能也是必要的。
我所在的项目中有集中的系统来统一管理全行机构和用户
蓝屏老妖 发表于 2012-4-11 15:04

我的博客中有篇文章可以参考一下。
权限管理编程的几种设计方式
谢谢您的回复 不过我们现在是想采购现有的符合功能预期的产品 或者借鉴下国内银行的做法

一般软件都是有角色（岗位）和用户构成，即使有SSO集成管理，身份认证部分也是相同的设计，涉及到复杂的权限管理（比如信贷部除特批的实习员工外都可访问某项功能），只能单独建立角色的方式来进行，这时就需要注意新增一个信贷部正式员工时，必须手工的将其加入到新建角色中，因此比较麻烦，
如果我想立即停止信贷部小张的访问权时，可能其在不同的角色都有该项功能的访问权，这样就必须将其所有有该功能访问权的角色手工摘除。（很麻烦吧，还不安全呢）。
当然如果实现我博客所说的功能，这种操作的不方便以及安全隐患都没有问题，直接设置为：
1.信贷部员工角色允许，2.实习员工角色拒绝即可，对特批员工在上面加允许，对强制拒绝的员工直接设拒绝即可。系统会根据设置的优先级顺序自动判断出实际的权限的。

不过很可惜的是，目前主流软件没有任何是这样实现的。所以你也不必费心找现成的软件了。
按楼主的描述感觉是需要一个审核系统，这个系统登记多个系统的权限规则，然后用户申请时进行判断
但是在实际中，个人感觉只要保证 输入、复核、授权 权限的分离应该就可以了
kinghq 发表于 2012-4-11 15:37

非银行的经验教训是：业务层基本保持不变；管理层适度集中；领导层集成为先。
谢谢版主

蓝屏老妖 发表于 2012-4-11 18:05

一般软件都是有角色（岗位）和用户构成，即使有SSO集成管理，身份认证部分也是相同的设计，涉及到复杂的权限 ...
相对于直接为员工分配所有权限，将其添加到一个已经分配好合适权限的角色应该不算麻烦吧？问题应该是如何保证角色分配权限的粒度是否适当，太细就没有达到简化操作的目的，太粗则影响安全性，同时针对特定员工的权限控制可能也有问题，这是我理解的，可能很多地方不对，还请指正

benc_gz 发表于 2012-4-11 18:22

按楼主的描述感觉是需要一个审核系统，这个系统登记多个系统的权限规则，然后用户申请时进行判断
但是在 ...
是的 是一个不直接控制，用于分析审核的系统。
您说的分离其实就是职责分离吧，英文好像叫separation of duties,因为我们实际岗位比较多，需要考虑的因素还有比如涉及客户信息的相关权限等，最终的权限规则需要各部门按职责分离、最小权限等原则结合工作需要梳理得出。