数字化时代企业的现代化建设日益重要,身份权限管理系统的数字化变革已经成为企业数字化转型的核心要素之一,同时也对身份权限管理的“最后一公里”提出了更高的要求。管理员作为关键人员,往往掌握整个企业的数据核心访问权限,需要赋予不同用户不同权限,以适应企业内部不同组织和部门的需求。然而,由于企业通常存在着不同的组织结构,不同的业务领域。为了满足企业内部复杂的组织架构设计需求,企业需要实现“统一管理,分级授权”的权限管理模式,满足企业内部不同角色的需求,提高了整体管理的透明度和可操作性。
01.企业权限管理面临问题
组织架构庞大
企业内基于自身业务架构和管理需求独立建设数字化体系,同时各自独立维护各类数字化应用系统以及管理复杂的身份体系。管理员面临着身份权限管理系统本身所带来的管理和维护工作的巨大挑战。过去企业内部权限管理的复杂性和多样性导致管理层无法清晰了解每个员工的具体权限。而权限管理本身不是孤立的,而是和角色、职位、业务、系统等有机结合在一起的,形成立体式、交叉式的管理。如果理解片面,往往会造成权限失控,业务失衡,风险暴露。
管理断层
由于大部分权限系统都是 IT 人员开发,大家普遍认为权限管理应该 IT 管理员负责。但实际上 IT 人员对于业务并不了解,对于权限管理并没有准确的判断能力,尤其是在公司内部没有明确的审核流程的情况下,很容易出现“来者必开”的情况,导致企业权限“错关漏关,只开不关”的情况也频繁出现,很多用户离职后还持有相关权限的例子并不少见,数据泄漏,造成公司严重损失。
无法标签化管理
当安全信息和管控策略分散在企业内部的各个系统时,是无法进行标签分类管理的。权限必须集中化后才能方便审查、审核,并根据实际需求及时调整、关闭不必要的项目类别。但是各部门围绕自身核心业务线搭建和实施相应的数字化系统,在内部形成以各个业务线为单位的烟囱式数字化结构,原有的权限系统仅根据系统内外区分管理员权限,无法根据业务架构相关的权限策略分配。
02.流畅体验从流程开始,权限设置如你所“想”
基于管理员角色权限管理
新增的角色权限控制功能,允许帐号在不同的企业中拥有不同的角色,继而通过角色,拥有不同的访问菜单和按钮的权限。这意味着,管理员可以根据部门管理人员的职责分配相应的权限,实现更细粒度的权限管理,从而减少敏感信息被误操作或泄露的风险,提升系统的安全性。
基于用户职能属性赋予管理员角色
管理员需要根据不同的部门职责授予相应的管理权限,然而企业内系统架构复杂,人员庞多,甚至部门职责重叠,导致管理员难以对人员权限进行判断。新增的管理员权限以用户身份进行画像,基于用户属性个性化设置管理员,对具体的数据资源范围进行更细粒度的分权管理。将权限管理工作分级授权下放到业务负责人和团队,实现业务自治管理,明晰责任归属,让权限管理充分促进业务健康安全发展,保证企业管理人员能够清晰明了的掌握员工的权限开通情况,让企业每个部门、每个成员的权限访问都有理可依、有序可循。
基于管理员用户之旅
企业很难寄希望于构建一条一劳永逸的用户旅程,权限管理需要根据业务场景的变化而变化。新版管理员不仅不局限于超级管理员的权限分配与管理,还支持协作管理员将自己拥有的权限继续授权,达到层层下放的授权效果,实现灵活又严谨的权限管理能力。从全局考虑数据资产,基于场景对业务流程不断进行切片细化,用数据优化、重构,推动整个商业模式,实现细粒度的权限管理,以用户为中心,实现全场景业务权限的集中化、可视化、个性化。
03.打造更适配、更细粒度的管理员权限
Authing 提供「管理员权限」,让权限管理回归到业务本身。根据员工职责来赋予员工不同的角色权限。系统将各类权限聚合起来组成「角色」,给后台管理员(员工)赋予不同的角色,就可以控制其在系统中可接触的空间范围,确保他们「权责分明」、「不越界」。
Authing 的系统管理员角色内置了三种,分别是:超级管理员(通常指用户池创建人,主体唯一)、应用管理员、以及系统组织机构管理员。
- 超级管理员拥有 Authing 控制台的全部权限,其他系统管理员角色拥有部分权限。
- 超级管理员可以创建自定义管理员角色,比如“组织结构管理员”、“审计日志管理员”等等。同一个角色中的管理员,拥有的权限相同。
- 超级管理员角色为系统预设,无需自行创建,可直接添加成员为超级管理员。
超级管理员
选择/创建合适的管理员角色
通过设置平台权限管理新增自定义权限角色,增加不同权限功能的角色设置,如:管理员、运营、行政、财务等。企业管理者通过配置平台权限角色,让不同权限角色人员可以管理不同部分。如此,当环境发生变化,面对新的业务机会,或者组织机构发生较大变动时,原有业务流程能够真正做到随需而动,管理者可以更改权限设置或是移除用户,大大提升了工作流在审批工作中的效率与效果。
创建资源策略
根据各部门业务进行相关策略分配,确保用户在有效的限制内访问被授权的资源,同时管理员能够依据系统安全规则和策略,控制不同用户对应资源的合理访问。群组内的不同人员和组织明白各自的工作范围,专注于自身工作任务,降低工作风险概率。
将策略授权给管理员角色
将上述策略与角色对应,把权限赋予角色,角色叠加到用户上,从而间接把权限赋予用户。设置好策略之后,将这个资源策略跟角色关联起来,就可以限制该角色能看到的数据范围了,通过设置角色的权限来灵活地控制每一个用户的权限,满足特殊化场景需求。
将角色赋予给用户等主体
角色可以多个叠加,比如张三负责北京地区的费用报销,又负责上海地区的费用报销,就可以把“北京地区报销负责人”和“上海地区报销负责人”两个角色都赋予张三。但是职位上张三是一个“报销专员”,并没有身兼多职。通过利用角色叠加,企业可以更好地适应不同岗位和地区的需求,实现权限的差异化配置,提高组织运营的灵活性。
协作管理员用户旅程
将管理权限下放,支持超级管理员将管理员权限菜单授权给协作管理员。在这个过程中,协作管理员拥有独立的权限模块,可以灵活地将自己拥有的菜单、资源范围以及操作权限授权给其他管理员。协作管理员用户旅程的机制实现了权限的下放和分级管理,有效地分担了超级管理员的工作负担。协作管理员在管理权限方面拥有一定的自主权,能够根据具体需求和业务情况进行灵活的权限分配,提高了管理的效率,也增强了团队内部的协作与沟通,使得权限管理更加灵活和适应变化。
身份管理是企业数字化转型中必须面对的问题,也是企业信息安全建设的重要基石。权限管理则是目前企业身份安全“木桶”中的一大短板,是目前企业亟需攻克的难题。权限管理也将从“幕后”走到“台前”,与业务深度融合,用 Authing 可编排身份权限治理平台代替原有的传统身份管理,让企业的业务流程更加高效,安全防护更加完善。