Jira权限管理之问题安全方案

Posted 2023-05-06

参考技术A 前面说了全局方案和项目方案，项目权限主要是设置项目的管理者、浏览者、创建、编辑、删除、被分配问题权限以及备注、时间追踪、投票、关注等权限。而针对问题的安全设置的目的是项目中的问题允许哪些人看到，这个是通过设置问题的安全方案来实现的。

一、添加问题安全方案

路径：系统管理界面，问题-问题安全方案

点击“安全级别”，进入安全级别的添加和删除。 一个方案下可以添加多个安全级别，比如产品可见，测试可见（是不是可以用这种方法控制不同类型的issue查看权限。 比如需求、bug建两个安全级别，这样就可以把权限分开？）

二、将用户/组/项目角色添加到问题安全级别

添加用户组/项目角色等到问题安全方案，这里为了测试，把该方案授权给项目角色PO。那么报告人创建问题时，选择这个安全级别，则只有这个安全级别设置的用户/用户组/角色可以看到这个问题。

以下几个选择的意义。（用户自定义域值和组自定义字段值）

三、将项目问题关联到安全方案

进入项目，问题安全级别，选择一个方案，按下面步骤进行设置。

四、将“设置安全级别”的权限设置给“报告人”

最后，要在“项目权限”的设置中，给问题报告人设置安全级别的权限。即报告人在创建问题时能够选择安全级别，路径：项目权限方案-问题权限

五、创建问题时选择安全级别

报告人创建问题时，可以选择安全级别，选择后该问题只能指定用户/群组或角色看到。

SAP云解决方案和企业本地部署（On-Premise）混合架构下的安全认证权限管理

SAP提供了用户认证、权限管理和单点登录等安全相关的解决方案。但是随着云平台的兴起，企业已经部署的安全解决方案如何与云平台的安全解决方案集成呢？这是摆在我们面前的一个问题，而且是一个至关重要、需要认真思考的问题。

本文将探讨SAP提供的本地部署和云平台的安全解决方案产品集：SAP Single Sign-On, SAP Cloud Platform Identity Authentication, SAP Identity Management, 和SAP Cloud Platform Identity Provisioning。

首先我们将介绍用户身份验证解决方案

SAP Single Sign-On

SAP Cloud Platform Identity Authentication

前者为企业本地部署（On-Premise）的用户身份验证产品，后者为SAP云平台提供的身份验证产品。

SAP Single Sign-On

用户身份验证简单的讲就是用户名和密码验证登录功能。企业内部可以通过AD（Active Directory）登录操作系统进入局域网，然后通过本地存储的客户端证书完成身份验证。

SAP在企业本地部署（On-Premise）系统架构下提供了SAP Single Sign-On产品，现在最新版本是2016年7月发布的3.0版本，它可以提供单点登录功能，支持包括SAP GUI，SAP GUI for HTML和基于Fiori的用户界面。SAP Single Sign-On提供多种安全标准，比如SAML，Kerberos协议和X.509安全证书。虽然SAP Single Sign-On是本地部署产品，但是也可以提供云应用单点登录功能，通过SAML交互完成云应用的身份验证，但是需要和云产品SAP Cloud Platform Identity Authentication配合使用，后文有详细介绍。

SAP Cloud Platform Identity Authentication

 

在2014年SAP推出运行在SAP云平台的服务SAP Cloud Platform Identity Authentication，它提供简单、安全基于云的单点登录功能，为SAP和非SAP的云应用提供多种设备的安全认证功能。支持SAML，OAuth和Kerberos等协议。

 

那么对两种身份验证产品如何选择呢？

 

SAP Single Sign-On是企业本地部署架构的理想身份验证、单点登录解决方案。SAP Cloud Platform Identity Authentication是企业对于云应用身份验证和单点登录的解决方案。

 

应用场景

企业现有的SAP ERP系统已经部署好用户身份验证、权限管理，单点登录解决方案，现在企业本地部署的系统需要扩展一部分应用到云平台，组成混合式系统架构，用户身份验证、权限管理和单点登录的功能需要重新设计，来满足云平台应用的身份验证、权限管理和单点登录功能。

系统蓝图设计如下：

 

在本地部署环境里， Kerberos/SPNEGO 是主流的单点登录技术，也比较容易安装和部署。当使用Kerberos时，集团的终端用户只需要登录微软的Windows系统的域，即可获得进入系统的权限而无需输入用户名密码。但是当公司扩展系统蓝图到云端之后，会如何呢？基于云端的应用支持SAML 而非Kerberos，因为云端的应用是在企业局域网之外，而且不仅给企业内部用户使用，也可提供外部客户的使用权限。所以SAP云平台同时为内部员工和外部客户提供单点登录功能，在企业局域网内部的用户还可以登录系统既可以进入应用程序。那么如何实现企业内部员工登录局域网系统既可以进入系统呢？SAP的解决方案是集成两种单点登录场景。 SAP云平台身份验证服务接受Kerberos/SPNEGO的权限认证，这意味你需要配置SAP云平台接受Kerberos令牌作为身份验证来确保企业局域网的用户获得SAP云平台创建的SAML断言，实现局域网和与平台的无缝对接。

从终端用户的角度来看，这是最完美的解决方案，他们无需手动输入身份信息，只要登录企业的局域网系统，即可进入部署到云端的应用程序。但是这不意味着云端的应用程序只可让企业内部用户访问，如果云平台的身份验证服务没有接收到Kerberos 令牌，它会弹出输入用户名密码的页面，企业客户可以通过手动输入用户名密码来实现单点登录。重要的一点是：对于应用程序来说无需做任何修改，无论是通过企业内部用户的Kerberos 认证，还是手动输入用户信息的认证，应用程序都将受到SAML断言来确保程序安全。

 

身份管理解决方案

已经登录的用户，还需要管理用户的身份和权限。对于系统蓝图范围比较广的组织，而且用户数据来源比较多的场景下，用户身份、权限和角色管理就更加至关重要。如果每个系统单独管理身份和权限，既繁琐又易出错。组织为了减少风险，需要集中管理系统架构下的用户身份的整个生命周期。 SAP提供了两种集中身份管理产品，SAP Identity Management用于实施在本地部署的系统解决方案中，SAP Cloud Platform Identity Provisioning service实施在SAP云平台上。

 

对于本地部署和云平台混合场景下的身份管理解决方案

下图就是混合集成模式下身份管理解决方案架构图，在本地部署系统中安装SAP Identity Management（IDM）,然后在云端使用SAP Cloud Platform Identity Provisioning服务来管理用户身份和权限。

 

以下是SAP云解决方案和企业本地部署（On-Premise）混合架构下的安全认证权限管理所涉及的所有产品，部署的环境和连接到的环境信息。

 

如果您感兴趣SAP最新技术：Fiori, S/4HANA, SAP Cloud Platform 请关注公众号：Fiori