精华内容
下载资源
问答
  • 上一篇文章技术干货 | 企业信息系统统一权限管理,我们对企业信息系统统一权限基于角色的权限模型(RBAC)进行了探讨,而这一篇文章,我们将继续沿着这条思路,给大家进一步的分享企业如何基于角色的权限访问控制...

    上一篇文章技术干货 | 企业信息系统统一权限管理,我们对企业信息系统统一权限及基于角色的权限模型(RBAC)进行了探讨,而这一篇文章,我们将继续沿着这条思路,给大家进一步的分享企业如何基于角色的权限访问控制模型(RBAC)来做统一权限管理

    基于角色的权限访问控制

    上一篇文章,我们提到企业为了解决权限管理复杂,以及系统权限设计的异构性等问题,通过在用户和权限之间设计了角色,构建起“用户-角色-权限”的授权模型,来增加权限管理的灵活度,实现用户的角色的身份可以随着场所的不同而发生改变的难题。

    3c76808e5d9071e22b75f8c31f813c40.png

    上次我们只是对基于角色的权限访问控制中的RBAC 0进行了探讨,在RBAC家族里还有RBAC 1、RBAC 2、RBAC 3其余三种控制模型。

    RBAC 1

    相对于RBAC 0模型,RBAC 1引入了角色分层的模型,增加了⼦⻆⾊,引⼊了继承概念,即⼦⻆⾊可以继承⽗⻆⾊的所有权限。

    e8000d7f1f3e45fc6bdb69906ab618d7.png

    例如:企业里的销售部⻔,有销售总监、销售经理、销售专员,销售专员可以查看自己的商机和客户;销售经理可以看自己的商机和客户,并可以看下辖销售专员的商机和客户;销售总监可以查看所有的商机和客户。简单点理解就是,销售经理的权限不能⼤于销售总监,销售专员的权限不能⼤于销售经理,这种情况,如果采⽤RBAC 0权限模型,极可能出现分配权限失误,最终出现经理拥有总监都没有的权限的情况。 

    ⽽RBAC 1模型就很好解决了这个问题,创建完总监⻆⾊并配置好权限后,经理⻆⾊的权限继承总监⻆⾊的权限,并且⽀持在总监权限上删减经理权限。 

    RBAC 2

    相对于RBAC 0模型,RBAC 2增加了对角色的限制条件,引入了SSD(静态职责分离)和DSD(动态职责分离)的概念。

    b391b09b465702deb29324c518c0d7e8.png

    静态职责分离(SSD)主要是应用于用户和角色之间的,主要是影响授权阶段对用户可授权的角色进行约束:

    1.⻆⾊互斥:同⼀⽤户不能被授予互斥关系的⻆⾊,这里的互斥⻆⾊是指权限互相制约的两个⻆⾊。例如:一个信息系统的管理员角色、安全员角色、审计员角色要相互独立,不能兼任;一个企业财务系统中,⼀个⽤户不能同时被指派给会计⻆⾊和审计员⻆⾊。

    2.基数约束:一个用户拥有的角色是有限的,一个角色拥有的许可是有限的,它指的是有多少⽤户能拥有这个⻆⾊。例如:一个企业往往只会有一个董事长,而系统中董事长这个角色就需要被基数约束,它的基数值为1,只能有1个用户被授予为董事长角色。

    3.先决条件约束:一个角色想要分配高级权限,那它必须要先得到低级权限。例如:一个用户要先有副总经理的权限,才能被授予总经理的权限。

    动态职责分离(DSD)主要是应用于会话和角色之间的,主要是影响使用阶段对用户进行约束,对用户所授权的角色进行限制。例如某个用户被授予集团副总经理和分公司总经理两个角色,我们在运行时只能激活一个角色,不能同时激活。

    RBAC 3

    RBAC 3被称为统⼀模型,它包含了RBAC 1和RBAC 2,利⽤传递性,也把RBAC 0包括在内,综合RBAC 0、RBAC 1和RBAC 2的所有特点。

    e588a4783443bb9be8886ab11fc712d4.png

    基于角色的统一权限实践

    当企业在进行基于角色的权限管理的时候,我们应该以哪种方式进行推进,应该按照哪种步骤进行呢?

    在经过了大量的基于角色的统一权限项目实践,我们在做基于角色的统一权限时,可以简单理解其本质是对企业整个信息化系统角色的统一,通过统一角色来实现统一权限管理。我们往往会按照以下步骤进行:

    b1e859726bbbc60f932b30e91daef5b3.png

    ① 业务组织架构梳理:对企业业务组织架构进行梳理,并在应用系统中进行还原,在应用系统中建立起对应的组织架构,最终实现应用系统的业务场景还原,建立起“岗位-角色”的对应关系。

    ② 角色运营体系建立:我们在对业务组织架构梳理的同时,还需要建立起角色的运营体系,我们需要明确的是角色的梳理、角色的确立不是一蹴而就的,而应该是循序渐进逐步完善的。企业在建立角色运营体系时,需要从整体上考虑,把信息部门、人事部门、业务部门等都纳入运营体系中,各司其职。

    ③ 标准角色梳理:对企业现有岗位职能进行抽象和拆分形成一套职能角色,职能范围颗粒度细于人事岗位,通过一人多角色解决岗位职责大于角色,用户兼职等问题。

    ④ 标准角色运营:当企业初步完成标准角色的梳理后,我们需要对标准角色进行持续的运营。在运营过程中,我们首先要明确工作职能场景所对应的角色修订规则,例如什么场景进行角色新增、什么场景进行角色修订等等;其次还要明确标准角色的运营流程,例如以周为单位,周一下发最新版角色信息,周一到周四收集角色修订意见并审核下发至各业务系统,周四到周日在业务系统中进行配置调整,周一又下发新一版角色信息,以此循环。

    ⑤ 员工角色信息自我完善:我们在进行标准角色的确立、修订过程中,员工的参与是不可缺失的,一方面员工可以通过自身的使用对标准角色信息提出修订意见;另一方面员工也可以根据自身的工作职责新增角色。后续,这里我们往往会和流程系统对接,员工自助提出角色新增申请,通过业务部门、信息部门审批完成后自动添加。

    ⑥ 角色系统权限表:当我们建立标准角色与岗位的对应关系后,我们会根据岗位在系统中的权限梳理出一张,“角色-系统权限”对应表,实现角色权限标准化梳理。

    ⑦ 业务系统改造:当我们前面的梳理工作完成,建立起角色系统权限表以后,我们就需要对业务系统进行改造以实现角色的统一,最终系统相关权限设置在“系统角色”上,“系统角色”直接关联“标准角色”,“标准角色”再关联到用户组、部门、岗位、人员,以实现企业基于角色的统一权限管理。

    总的来说,企业在构建统一权限管理时,难免会在系统业务上做一些差异化的业务考量,所以完全遵循RBAC模型是很难的。而RBAC对企业来说,是一种权限管理的模型,更多的是一种权限管理的思想,就思想而言,不是要你完全遵照,而是你在这个基础之上,融入企业的自身特点,赋予企业的业务之上,适用于企业业务即可。

    同时,从我们以往的实践经验来看,如果企业能够通过IAM平台进行统一权限管理,是一种比较容易落地的方式。整个企业通过IAM进行人员、标准角色的管理,并对下游应用系统进行统一供给,而下游应用系统只需要梳理系统角色与标准角色的对应关系即可,最终通过IAM平台和业务系统之间标准角色的传递实现企业全局化的统一权限管理

    fbe5bf3bec0b5626efeb14465ac01630.png往期精彩回顾技术干货 | 动态口令解读及其应用技术干货 | 浅谈政务数据交换服务平台基础架构 用户统一身份安全管理平台的构建技术干货 | 单点登录场景中的CAS协议和OAuth2.0协议对比技术干货 | 数据安全:如何提升企业运维安全技术干货 | 基于角色的菜单/按钮级的统一权限管理
    展开全文
  • 由于虚拟门户的软、硬件应用均为集中部署,全省用户访问同一套门户应用服务,这给虚拟门户如何进行安全的权限管理带来了挑战,大量用户的赋权和角色的管理工作将给管理员巨大的工作压力。为了解决这一难题,充分...

    0 引言

        随着国家电网SG186工程建设的深入,企业门户的建设也开始由省电力公司一级向地市供电公司一级延伸。根据国家电网门户典型设计,河南省电力公司采用了虚拟方式建设全省各地市门户。由于虚拟门户的软、硬件及应用均为集中部署,全省用户访问同一套门户应用服务,这给虚拟门户如何进行安全的权限管理带来了挑战,大量用户的赋权和角色的管理工作将给管理员巨大的工作压力。为了解决这一难题,充分利用SG186工程中的统一身份管理建设成果,将LDAP目录与WebLogic相结合,从而实现了小工作量,高灵活度的虚拟门户权限管理。

        通过对这一解决方案的探讨,希望在虚拟门户的权限管理解决方案上起到一点抛砖引玉的作用。

    1 虚拟门户用户权限控制的目标

        1.1 虚拟门户与实体门户

        在探讨虚拟门户的权限控制方式前,有必要对什么是虚拟门户、什么是实体门户做一对比说明。通俗的说,当只有一个单位使用门户系统时,这时这个单位独占了门户系统的所有软、硬件和应用资源,这时这个企业门户系统就称为实体门户系统。当有多个单位共享一套软、硬件和应用资源,通过技术手段使每个单位在逻辑上又拥有自主的应用管理权限时,这样的门户系统我们就称为虚拟门户系统。

        实体门户与虚拟门户的重要区别在于是否共享一套应用。如果仅仅是共享软、硬件资源,而应用是互相独立部署的,则不能称之为虚拟门户系统。

        就河南省电力公司来说,如果采用实体门户的方式来建设全省门户(仅包括省本部和18个地市公司)的话,就需要19套软、硬件平台及相应的应用部署。而采用虚拟门户,则仅需1套,在维护便利性及成本上有很明显的优势。

        实体门户在运维管理上较为复杂,每一个部署了实体门户的单位,均需要考虑可靠性,性能、数据安全、备份、部署等事务,这些分散在各个单位中的事务增加运维的成本的复杂性。而采用虚拟门户,则与数据安全及硬件相关的运维事务可进行集中、统一的管理,相比较来说,每一个部署虚拟门户的单位,仅需进行与自己相关的权限管理即可,与平台相关的运维管理则不需要关注,这将在整体上,大大降低运维成本和复杂性。虚拟门户系统虽然在整体上降低了运给成本,但运维事务的集中,也给如何保证统一管理下的权限管理独立性和访问互相隔离带来了挑战,而如何解决这个问题,就是本文要探讨的目标。

        1.2 虚拟门户的权限控制目标

        以河南省电力公司为例,全省共同有二级单位30多个,其中所属的地市供电公司就有18个。要在一个软,硬件平台上,实现对这些二级单位虚拟门户的应用,在权限上就必须要求在这一平台上能够实现以下管理目标:(1)各单位能够对自己的用户和组织进行独立管理,(2)能够进行角色的创建、删除、修改管理;(3)能够进行门户功能单位的访问权限管理;(4)各单位间的权限管理行为互不干扰,相互独立,(5)管理员权限能够分级代理,逐级授权。

        应用示例如图1所示。

    图1 虚拟门户权限控制的应用示例

    图1 虚拟门户权限控制的应用示例

    2 基于LDAP的WebLogic权限控制实现

        2.1 基于LDAP的用户及组管理

        (1)LDAP概述。LDAP目录是一种特殊的数据库系统,它专门针对读取、浏览和搜索操作进行了优化。目录一般用来包含描述性的、基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作所需要的复杂的事务管理或回滚策略,目录的更新一般都非常简单。这种目录可以存储包括个人信息,Web链接、JPEG图像等各种信息。LDAP是运行在TCP/IP之上的访问协议。LDAP目录中的信息是按照树型结构组织的,具体信息存储在条目(entry)的数据结构中。条目包含了多个属性,每个属性由一个类型和多个值构成。每个条目使用一个识别名(DN)标识,每个条目DN的各个元素称为相对识别名(RDN)。这个树型结构类似于文件系统,RDN相当于文件,DN相当于文件的绝对路径。在LDAP标准中定义了常用的对象类(object Class)及其相关的必需和可选的属性(attribute)。目前河南省电力公司已经建设了覆盖拿省的用户目录。

        (2)LDAP组及动态组概念。在LDAP中有两种表示集合的方法,分别是静态组及动态组。静态组也常简称为组,创建静态组的时候也同时确定了组成员。动态组则是创建一定的规则,让LDAP服务器根据规则,动态决定组的成员对象。静态组在使用过程中,如果不人为干预,则组内成员不会发生变化,这也决定了静态组不适合于在需要将大量人员放在一个集合时的操作,当需要把1000或10000人放在一个静态组中时,工作量是惊人的。而动态组是根据规则自动将符合规则的人员加入组内,因此动态组更适合在需要对大量人员建组时的操作。例如:部门A,部门B的所有人员需要创建在一个组内,这两个部门人员数量达到了500人, 由于每个人员都有一个所属部门的编号,因此只需将人员的所属部门编号作为动态组的规则,就可以将这两个部门的所有人员放在一个组内,以实现作为权限与资源分配的实体。

        由于动态组是根据规则自动决定成员对象,因此在性能上会比静态组更为消耗计算机资源,但随着服务器硬件水平的提高,目前一般的服务器都有4个CPU内核及4G的内存,硬盘转速普遍都在10000转/min,静态组对计算机资源消耗可不用考虑。

     

    2.2 WebLogic门户中间件的权限架构

        WebLogic Server提供全面的安全体系结构,其安全框架是依照J2EE安全规范定义的,包括用户级和组级访问控制列表(ACL)、基于密码的隐私权和用户验证、域、secure Sockets Layer(SSL)数字签名以及其他基于标准的安全措施。

        Oracle WebLogic Security Framework的一些主要功能包括:

        (1)身份验证:借助用户名与口令的组合或数字证书,确定用户的身份;(2)授权:规定应当提供给每个经过身份验证的用户的应用功能,服务和数据资源,(3)加密:确保内部数据的安全及秘密地进行通信和网络数据传输的安全;(4)审核:提供记录所有与安全性相关的活动的功能;(5)可插式安全性框架:支持与第三方安全性解决方案的集成,允许Oracle WebLogic Serve应用能够充分利用市场上“最好的”安全性解决方案所提供的全部功能,(6)用户和用户组:用户对应于应用程序中的一个账号,通常具有用户名和口令。用户组是多个用户组成的集合,通常把具有类似访问系统资源权限的一组用户定义到一个用户组中;(7)角色:角色是抽象的和逻辑意义上的用户组,由应用程序开发人员定义。资源的访问权限赋予角色,再通过角色把权限赋予用户;(8)单点登录:无须任何额外的编程,Oracle WebLogic Server应用就自动能够实现单点登录。在Oracle WebLogic Server应用的范围之内,用户不必重新进行身份验证;

        其中身份验证、授权,用户和用户组、角色功能与本文所探讨的权限管理相关。

        2.3 基于LDAP的WebLogic用户权限管理

        基于LDAP的WebLogic用户权限管理就是充分利用LDAP的静态组和动态组功能结合WebLogic的角色权限控制策略,实现对人员的分级权限控制。

        2.3.1 Webkogic权限策略

        “角色策略”由角色名和角色定义组成,使用。安全策略”将“委托管理”角色映射到门户资源上。将资源(门户功能)的访问权限限制于仅被授予了特定安全角色的那些用户。WebLogic首先使用身份验证流程测试候选用户。身份验证流程通常是登录流程,它要求候选用户提供用户名和密码。如果候选用户成功通过此质询,将授予该用户一组标识:其中一个标识是其用户名标识,其他标识是一组该用户具有其成员资格的组。用户的用户名标识和组标识称为用户的“委托人”,可将这些委托人视为一组凭据,用户在访问某些由授权流程所保护的资源时需要提供这些凭据。其次是授权,测试用户是否已被授予了访问受保护资源所需的角色,如果这些用户已被授予所需角色,则他们可以访问资源;否则,将被拒绝访问。如果用户的一个委托人已被授予了特定角色,则该用户也被授予了该角色。

        图2说明了WebLogic中组的与角色共同作用来实现功能权限控制的方式。

    图2 权限控制的方式

    图2 权限控制的方式

        从上述说明中,可以发现,组和角色在WebLogic权限控制起主要作用,角色用来决定权限的集合,组用来决定人员的集合,再通过角色与组的映射,将权限传递给用户,最终实现用户根据所分配权限来决定访问范围。

        2.3.2 WebLogic与LDAP组功能结合实现分级权限管理

        知道了角色及组在WebLogic门户中对权限控制是起主要作用,而LDAP对组的管理又非常灵活,因此将两者结合起来,既能发挥WebLogic强大的权限管理功能,也能发挥出LDAP的速度快,灵活性高,管理工作量小的优势。

        WebLogic在其服务器的安全领域的设置功能中提供了“身份验证提供程序”功能,这一功能预置了与LDAP、数据库等多种常见用户数据存储的访问接口,通过设置适应于LDAP的“身份验证提供程序”,能够将LDAP中的用户及组数据全部提取到WebLogic中,这样就可以在WebLogic中方便地使用LDAP中的用户和组来进行权限的管理。

        图3和图4是经过设置“身份验证提供程序”后,从WebLogic管理控制台看到的来自于LDAP中的用户及组信息。“ggnovelled”是身份验证提供程序的名字。

    图3 来自于LDAP的用户数据

    图3 来自于LDAP的用户数据

    图4 来自于LDAP的组数据

    图4 来自于LDAP的组数据

        通过将来自于LDAP中的组分配给相应的WebLogic的角色,就可实现特定组的用户只能访问特定的内容。

        例如:河南省电力公司有18个地市供电公司,则对应就有18个虚拟门户,如果要保证每个单位的用户只能访问本单位的虚拟门户。则需要将每个单位的全部用户放在一个组中,将此组与可访问本单位的WebLogic角色挂接。在不使用LDAP动态组的情况下,要将全部用户置人一个组中,工作量是巨大的,通常一个地市供电公司拥有近千人员,这有可能会耗费掉管理员一整天的时间,而使用LDAP动态组,则将此工作量降低为只需要几分钟的时间,这将大大降低管理员工作强度。

    3 结语

        在虚拟门户的权限管理上。如果完全依赖于WebLogic自身提供的能力。将会使管理工作变得十分巨大,特别是在地市供电公司众多的河南。而充分利用LDAP目录的优势,并与WebLogic结合,则有效的解决了这个问题。在面对问题时,只要充分了解各类软件或平台的优缺点,通过它们之间的互补,则很多问题都会迎刃而解。

    注:此文章是我转载的,因为很好,所以想分享给大家。--kevinboy

    转载于:https://www.cnblogs.com/kevin-boy/archive/2012/12/13/2816139.html

    展开全文
  • 以集团全面管控为中心,建立全集团的账户管理体系、认证管理体系、权限管控体系,通过用户规范化、信息标准化、服务个性化、管理数字化、运营平台化、经营一体化,实现集团运营协同能力,支撑数字管控能力。...

    1 背景说明

    目前大多数企业尤其是集团性企业已经构建了一定的信息化系统,但伴随信息系统越建越多,账户体系紊乱、用户不统一、体系不统一的弊端越来越明显。当前企业亟需解决全集团内部的“统一认证”、“统一账户”、“统一权限”、“统一审计”的4A管控。以集团全面管控为中心,建立全集团的账户管理体系、认证管理体系、权限管控体系,通过用户规范化、信息标准化、服务个性化、管理数字化、运营平台化、经营一体化,实现集团运营协同能力,支撑数字管控能力。

    本文是在集团统一管控过程中实现统一认证管理及统一密码初始化的服务说明,为后续项目及产品涵盖提供参考和借鉴。

    2 预期读者

    1. 数通畅联全体成员
    2. IT相关行业工作者

    3 总体说明

    统一认证管控实现支持以包含用户工号、手机、邮箱、用户ID(项目特色为汉语拼音用户)及密码(加密后)为传输传递后判断用户是否认证成功,并返回响应的结果信息。密码初始化实现可根据用户群组(GRP_TYPE)、指定用户方式为用户以短息、微信的方式发送用户初始化密码(密码为4位数字及4位字母组合而成的随机密码),满足用户初始化密码的安全管控。

    3.1 应用场景

    • 统一认证
    1. 在第三方业务系统调用用户登录校验时,通常应用与客户端、手机端等层面;
    2. 第三方业务系统不能支持Oauth认证或不能支持CAS认证改造时,满足客户需要统一认证时;
    3. 用户不想强行调整第三方系统认证协议,保留原系统认证界面后台服务由IDM统一提供时。
    • 密码初始化
    1. 用户批量初始化,发送用户初始化密码时;
    2. 用户新增在IDM中创建账号时;
    3. 管理员手动在IDM平台创建账号时。

    3.2 安全校验

    本次说明两类服务均为通过ESB快速开发,当前服务安全策略为指定IP地址可以访问,业务系统的服务器调用过程中需要将其服务器IP地址在平台下进行注册,绑定对应的应用系统,实现指定IP响应的安全权限校验。

    3.3 技术要点

    统一认证:Redis缓存的放入与取出;用户初始化登录校验Key值的返回;

    密码初始化:手机短信发送的方式;邮件参数的构建;

    4 服务说明

    下面分别针对统一身份认证接口及初始化密码服务进行说明,详细流程及参数如下:

    4.1 身份认证

    4.1.1 接口用途

    在业务系统认证的过程中,业务系统采用IDM统一身份管理平台用户中心进行统一认证,业务系统不存储密码信息,将用户的登录账号及密文的密码作为入参传入接口,根据接口返回值识别用户登录是否成功。实现支持以包含用户工号、手机、邮箱、用户ID(项目特色为汉语拼音用户)及密码(加密后)为传输传递后判断用户是否认证成功,并返回响应的结果信息。

    4.1.2 调用地址

    统一身份调用地址如下:

    http://18.0.16.210:9090/EaiSystFuse/services/IdmUserAuth?_wadl

    包含服务方法如下:

    4.1.3 服务说明

    服务整体流程如下:

    流程说明

    1. 获取redisHosts:获取在全局变量配置的redis地址,用于后续初始化redis;
    2. 缓存查询数据:在redis用获取用户的信息,传入的密码为明文密码以“12345678”进行加密的数据,redis中存储的为加密“12345678”的密码;
    3. Forker1:判断redis中是否存在,存在则返回成功,不存在则查询数据库;
    4. 查询数据:根据传递的入参查询数据库中是否存在该用户,传递的可以可能为工号、手机号及邮箱;
    5. 判断查询结果:判断查询结果是否存在,进行校验密码是否正确;
    6. Forker2:根据判断用户结果,失败直接返回fail;存在则放入redis中;
    7. set转array:将查询的出的Set信息转换为通用协议JsonArray;
    8. 构建返回array:构建接口返回值用户数据JsonArray;
    9. Forker3:判断是否第一次登录时间为空;
    10. 更新首次登陆时间:更新用户首次登录时间;
    11. Joiner3:合并节点
    12. 用户放入Redis中:用户放入redis中,key为IDM.Employee.UserCode+userCode,value为pwd,加密key为“12345678”;
    13. 构建返回参数:返回成功结果;
    14. 构建密码有误:密码错误返回构建信息;
    15. Joiner2:合并节点;
    16. Joiner1:合并节点;
    17. 返回值映射:映射返回值。

    4.1.4 调用方式

    调用方式:POST

    4.1.5 数据字典

    入参:

    出参:

    epmInfo说明

    4.1.6 调用样例

    入参:

    出参:

    4.2 初始化密码

    4.2.1 接口用途

    用户初始化密码统一初始化为随机流水码,包含4位数字及4为字母,共计8位,以邮箱的方式通知用户初始密码,用户首次登陆必须修改密码,进行二次登录。实现可根据用户群组(GRP_TYPE)、指定用户方式为用户以短息、微信的方式发送用户初始化密码(密码为4位数字及4位字母组合而成的随机密码),满足用户初始化密码的安全管控。

    4.2.2 调用地址

    密码初始化调用地址如下:

    http://18.0.16.206:9090/EaiSystFuse/services/GenerEmpInitPwd?_wadl

    包含服务方法如下:

    4.2.3 服务说明

    服务整体流程如下:

    1. 获取入参Json:获取接口传递参数;
    2. Json转Row:Json转换为Row,用户调用传递参数获取;
    3. 调用初始化密码流程:调用初始化密码生成流程;
    4. 映射结果集:返回结果集映射处理。

    调用服务说明:

    1. 提取用户code:提取用户入参中的用户code信息;
    2. Forker1:判断用户code是否为空,如果为空则走批量查询,如果不为空则为生成个人密码;
    3. 查询用户信息:查询指定用户信息;
    4. 查询批量用户信息:查询批量用户信息;
    5. Joiner1:合并节点;
    6. Index循环初始化:循环参数初始化;
    7. count初始化:循环count初始化;
    8. 构建随机密码:构建随机密码生成4为字母4为数字的随机密码;
    9. 获取入参Mail:获取入参mail参数,判断是否发送mail通知用户;
    10. 获取入参Tel:获取入参tel参数,判断是否发送手机短信通知用户初始化密码;
    11. Forker2:分支判断,如果mail为Y则邮件方式发送初始化密码,如果tel为Y则以手机短信发送用户密码;
    12. 邮件参数构建:邮件模板参数构建;
    13. 发送用户邮件密码:发送邮件给用户初始化密码;
    14. 短信参数封装:封装短信参数;
    15. 发送短信密码:发送短信密码;
    16. Joiner2:合并节点;
    17. 更新用户密码:更新用户初始化密码信息;
    18. Index++:Index递增
    19. 获取ErrorMsg:获取流程异常信息;
    20. 获取HasError:获取流程时候有异常参数;
    21. 拼接出参:拼接出参进行返回

    4.2.4 调用方式

    调用方式:POST

    4.2.5 数据字典

    入参:

    出参:

    4.2.6 调用样例

    入参:

    出参:

    5 心得总结

    5.1 全局考虑

    在设计、开发过程中多模拟演练,从全局角度出发,模拟实际场景中可能涉及到应用的情况,在设计过程中多面考虑,开发过程中进一步完善落地,在测试过程中模拟实际场景进行反复测试,避免在与第三方联调过程中出现问题进而造成扯皮的情况。内部设计、开发、测试过程中多思考、多想、多模拟尽可能的涵盖实际业务的全面场景。

    5.2 深度思考

    机械重复是无意义的忙碌,勤奋指的是头脑的努力而不是身体的疲劳,单纯依赖身体的忙碌最终成为的是“人手”而不是企业所需要的“人才”。只有通过深度思考,学会刨根问底才能够找到最恰当的办法解决问题。问题之所以产生就一定有产生的原因,很多问题都是隐藏在表面现象之后,在工作过程中想要解决问题必须要深度思考,透过现象直击本质,在解决问题过程中深思考、多摸索、勤总结、时归纳,掌握问题的本质保证后续需要尽管表现不同的问题也能透过表现在本质上解决问题。

    ​​​​​​​5.3 总结提升

    “博学之,审问之,慎思之,明辨之,笃行之”意思要是广博的学习,要对学问详细的询问,要慎重的思考,要明白的辨别,要切实的力行。总结问题的过程中多为自己疑问句,深度挖掘问题的本质,记录问题的解决方案后定期回顾。定期回顾是能力提升的重中之重,有积极的心态、清晰的思路、良好的沟通、快速学习的能力,但问题解决后不总结、不回顾会将前面付出的努力付之一炬。多总结,勤回顾,先固化,再优化,将问题变为知识点,由掌握知识点累计为知识面、知识链,有掌握知识到运用知识,由运用知识变成下意识。

    展开全文
  • 活动目录的权限设置包括:访问控制、用户权限及特权设置,它们定义了用户企业中可执行哪些操作。由于权限所涵盖的职责范围极其广泛,导致企业常常无法对权限进行有效把控。 如何发现权限异常? 权限企业内部、...

    活动目录的权限设置包括:访问控制、用户权限及特权设置,它们定义了用户在企业中可执行哪些操作。由于权限所涵盖的职责范围极其广泛,导致企业常常无法对权限进行有效把控。
    在这里插入图片描述

    如何发现权限异常?

    权限在企业内部、云环境、设备和应用中广泛分布。IT管理员使用不同的工具来查看和分配各种资源的权限,但是这些工具对权限的详细信息展现往往不太擅长。当然,不少IT管理员通过PowerShell或CMD等命令行工具进行查看,即便这样也很难满足企业的各种独特需求。而且这些工具缺乏统一的界面来授予或撤销权限,甚至无法获得企业中所有资源的所有权限的整体视图,这使得权限管理和安全性极为复杂。

    身份和安全权限的三角方法

    无论您是小型企业,还是用户遍布全球的大型企业,对于访问权限的管理都是至关重要的。有效的权限和访问控制管理可以防止未经授权的访问和公司敏感数据的泄漏,并且还可以帮助您更好地管理资源,尤其是当资源数量增加时。

    您可以通过权限来控制简单或复杂的任务,如:提供对文本文件的读写访问权限或授予管理特权用户角色或管理服务器的权限。一个看似不重要的允许权限,可能导致特权升级并造成严重破坏。

    因此,当您着手管理您的权限时,请问自己以下三个简单但至关重要的问题:

    用户是否有权访问所需的资源?[权限展示]

    是否有用于管理权限和访问的系统?[权限管理]

    是否有用于监视权限变更的安全软件?[权限监控]

    让我们介绍三角权限的原理,帮助您理解权限的重要性。

    1.发现权限

    首先需要了解的是权限的应用范围,以及在基础架构中的适用区域。

    IT基础架构的发展

    越来越多的企业正在采用云环境,其中一半的工作量会在企业的内部环境和云环境之间产生。

    如上图所示,企业中的各种角色和权限会在活动目录(AD)、Exchange或Lync等应用程序之间分配;也会在云部署环境(如Azure AD)和在云上运行的应用(如Office 365)上进行分配;当然还会包括数据存储设备,例如文件服务器,NAS设备等。

    需要改变的现状

    混合身份用户通常可以是本地AD上的安全组成员,可以在本地文件夹中存储信息,拥有Exchange邮箱,还可以是对Office应用程序提供访问权限的Azure AD安全组成员,这些应用包括OneDrive或Skype for business等。

    使用windows自带工具来查看权限有很多不足之处。这些工具的功能极为简单,并且使用它们既费时又繁琐。

    例如,假设您需要了解Windows文件服务器的嵌套文件夹结构的权限。本地执行此操作的唯一方法是手动检查每个文件和文件夹的“ 安全性”选项卡。

    但是,对于继承或显式权限的信息,使用windows自带工具会很复杂。

    ManageEngine AD360可以帮助您解码混合基础架构中的权限,帮助您快速定位问题并进行及时修复。

    存储数据和关键对象的权限:

    借助AD360强大的内置报告和自定义报告,您可以获得所有Windows文件服务器和关键安全对象的权限鸟瞰图。

    特权组和嵌套组报告:

    如果提供了对敏感资源的访问权限,或特权组的直接或间接(嵌套)成员身份可能会导致机密数据泄漏。AD360中基于组的报告可以帮助您确定内部资源(AD,Exchange等)甚至云(Azure,Office 365等)的组成员身份。

    特权和管理员角色(本地和云):

    管理员会将任务委派给受信任的用户,但常常不会或忘记撤销授予执行某项任务的权限,也不会记录向最终用户委派了哪些权限。AD360可以为您展示委派用户和权限的清单,还可以记录具有委派角色的用户所执行的活动。

    AD360提供基于权限的报告,基于资源的报告(例如,使用的许可证或消耗的存储)和基于法规合规性的报告(用于SOX,HIPAA,PCI-DSS等)的多种报告。使用这些报告,您可以更轻松地优化和确保资源的正确使用并满足合规要求。

    2.管理权限和访问

    第一步是发现并了解IT基础架构中的权限状态。如何通过一个有效的管理系统来管理权限,并修复易受攻击的权限。

    AD360提供一款集中式控制台,可以查看和管理跨混合基础架构(本地和云)的权限。

    内置强大的管理功能:

    获取特权组的详细成员资格信息,并执行批量管理操作,例如从组中删除不需要的用户或禁用帐户,使您能够发现问题及时修复。

    支持跨本地和云自动化执行管理任务:

    不再需要在多个工具之间切换,也不需要切换多个屏幕;AD360可以帮助您跨混合环境在单个控制台中执行任务。这是混合身份用户示例:

    设置基于时间的访问权限:

    管理员和技术支持人员通常向最终用户提供对资源的访问权限,例如授予对机密文件夹的访问权限或对读取共享文件的权限,但他们也常常忘记吊销这些权限。AD360可以允许您基于时间对权限进行设置,在指定的时间后自动吊销权限。

    3.监视权限变更

    监视权限和访问环境中发生更改的唯一方法是查看审核日志。

    对于跨AD和Azure AD环境来说,不同的文件服务器和其他应用程序生成的审核日志数量经常十分庞大,因此很难统一收集所有日志并手动梳理它们以发现可疑的操作或异常情况。

    AD360提供丰富的的报告,您可以立即利用它们来监视内部部署环境和云环境,配置警报并通知管理员有关变更事件,并及时实施对应方案。

    诸如为用户授予特权访问权限,或更改机密文件夹所有权之类的活动至关重要,必须时刻对其进行关注,甚至进行警告或阻止,这样才能确保任何更改均得到授权。

    大多数IT环境(无论是本地,云还是混合)的问题都在于缺乏集中化管理。由于没有统一的界面,因此很难进行查看和管理,更不能监视权限的变更和访问情况。

    AD360是一款集成的身份访问和IT管理解决方案,用于管理用户的角色权限,管理对资源的访问,加强安全性并确保合规性。您需要做的就是选择所需的模块,即可轻松获得对本地环境,云环境和混合环境的权限控制!

    展开全文
  • 随着云计算时代的来临,越来越多的企业已经将IT环境迁移到虚拟化环境中,那么企业如何来统一管理如此多的虚拟化主机与虚拟机,通过管理平台是否能实现不同主机组的不同权限管理、创建查看。 SCVMM2012(System ...
  • 是一套面向中大型企业多业务系统而设计,帮助本地云应用、SAAS等实现统一账号管理统一访问入口以及访问权限控制,帮助员工可以随时随地安全便捷访问业务系统,加速企业移动化转型。 统一账号管理 主要解决中...
  • 大型公司企业,往往部门庞杂,组织架构复杂,企业中全局地址簿要做到智能化安全统一管理权限划分清晰,更要求客户端用户的个人联系人地址薄管理整齐划一,操作界面美观,符合广大用户的使用习惯等要求。...
  • 后台管理统一.zip

    2020-11-09 15:58:18
    一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Spring Security、MyBatis、Jwt、Vue),内置模块如:部门管理、角色用户、菜单按钮授权、数据权限、系统参数、日志管理、代码生成等。...
  • 组织结构及权限模型设计

    千次阅读 2007-10-29 10:12:00
    组织结构模型及权限是应用系统的基础,管理系统用户、部门、用户组及其关系,并对系统权限进行设置,企业中存在各种应用系统需求,统一的组织结构及权限模型设计为企业应用系统提供统一用户及权限管理模式,...
  • 中异广告公司管理软件结合各类广告制作企业,为广告制作企业用户量身定做,功能实用、界面美观、操作简易,是您彻底改变传统管理模式的不二之选。 中异广告公司管理软件功能说明: 1. 统一业务订单管理,即时订单查询!...
  • 用于全面管理企业各类客户档案、客户销售、产品销售、财务情况和售后服务等信息的建立,规范客户、销售、产品、财政、售后资源库,并实现对客户资源、产品销售的动态跟踪管理及客户价值再挖掘,真正发挥客户、销售...
  • 系统的功能模块和模板风格可根据企业需要添加或更换,网站管理员输入系统口令后,可通过浏览器对企业站点远程管理及日常内容更新和维护。 开源,易用,模块化 miceCMS是一个开源、易用、简洁、高效的网站内容管理...
  • 唐网科技公司企业网站管理系统中英繁SQL版,企业公司网站系统SQL版,企业网站管理系统,企业网站源码,公司网站管理系统,公司企业网站自助建站管理系统源码.美观的前台,强大的网站后台管理功能,自助管理前台相关栏目....
  •  通过miceCMS企业网站管理系统,企业建站者可以轻松构建一个企业网站,让企业用户可以更加便捷的管理企业的站内新闻、视频、产品、下载、招聘等。  2年来,凭借觅策软件长期积累的丰富的Web开发数据库经验和勇于...
  • 可以很好的解决“客户管理、销售团队管理、服务管理、商务管理、流程执行力管理、知识管理、费用管理”等。 管家婆CRM企业版 ——“管人+管事”透明化执行的套路化工具! 帮助企业打造统一工作模式,构筑企业...
  • 网络上动辄几十万\上百万的项目管理系统不同,EPRO在价格上充分为中小型施工企业用户考虑,一般区区几万元就可以轻松实现项目的智能化管理。 6.完全兼容Excel,可以导入导出Excel,生成PDF文档 7.强大的报表功能,...
  • 解决问题安全治理需求,统一的账户体系、身份、权限及资源管理。业务系统相互访问,数据统一需求。系统架构资源成本优化需求,多账号下的带宽、流量、存储包等资源整合优化。企业或部门合并时云账号的合并。产品...
  • [新增]管理员权限管理模块 [新增]留言本动态交流 [新增]IP段、单个IP任意锁定 [修正]会员修改密码同步 [修正]IP段单个IP无法锁定 [修正]首页公告弹出无效 [新增]首页QQ在线客服 [修正]QQ客服显示配置 [修正...
  • 功能简介 管理功能特色: 快速全面易用:十分钟内可获得企业全部实时详细经营资料...3.用户管理 增加、修改操作员资料以各个的权限范围。 4.组织机构 职工部门资料管理,可在此查阅各部门各部门下各职员的基本资料。
  • 2、支持多级权限管理(服务团队/管理员/用户) 3、支持多级组织架构(用户) 4、支持多级服务台 5、支持多级流程/界面定制 6、支持用户自助服务 7、支持统一、分级共享的知识库 8、不同业务单元,可以有不同的...
  • 六、组策略(上网权限管理功能 1、可以为局域网所有主机建立统一的控制策略。 2、可以按照局域网主机的不同IP来分配不同的策略。 3、各个控制策略组里面的主机可以在各个不同的策略之间灵活转换。 七、时间管理 ...
  • PAGE PAGE 1 ERP系统软件实验 第8章 系统管理 业务概述 系统管理是用友ERP-U8管理软件为各个子系统提供的公共管理平台用于对整个系统的公共任务进行统一管理包括账套管理年度账管理用户及权限管理系统安全运行管理...
  • 实现个人用户企业用户的档案登记、档案维护、检测报告完成后,生成防伪二维码,便于查询真伪报告信息实时提醒并提供客户在线查看、下载功能,实现客户档案全生命周期的管理。 客户基本信息管理,按区域,类别等...
  • 3、开票员的权限管理控制   4、客户信息可以预存,和智能检索   5、可单张打印或者批量打印,也可以通过excel导入导出方式打印   6、只需输入小写金额,系统自动转换成大写金额;票据日期自动生成   7、...
  • 汇讯企业版即时通讯软件通过标准化接口集成企业已有的IT系统,保障企业统一、高效沟通的办公要求,为企业提供从企业内部高效沟通到垂直管理、从营销推广到客户服务,个性化集成企业内部信息化系统的一站式服务。...
  • java用户授权中心的实现

    千次阅读 2015-11-22 11:08:45
    简介:文章主要介绍企业多个应用系统的统一认证授权系统的实现,提供完整的用户身份认证以及权限管理,同一用户权限管理,实现所有业务子系统的单点登录登出。 1.采用框架 spring3.1.1 + springmvc + mybatis3.1.1 +...
  • Yuna-企业微后台系统

    2019-09-15 18:06:48
    考虑到公司业务系统较多,各业务系统后台各自开发维护用户及权限系统浪费开发资源,并且结合之前在公司做SSO的经验,决定开发一套基于Spring Session的统一管理后台来简化公司的业务系统 简介 Yuna是一套基于...

空空如也

空空如也

1 2 3 4 5 ... 13
收藏数 244
精华内容 97
关键字:

企业统一用户及权限管理