IDM统一权限功能修改心得

Posted 2022-01-01 数通畅联

IDM身份管理系统是为解决企业内部多系统间用户信息不一致而开发的，主要定位于解决企业在5A功能上的需求，即：Account账号管理、Authentication认证管理、Authorization授权管理、Audit审计管理、App Control应用管控5个方面的实际需求，进而规范用户身份信息，保证系统安全，提高工作效率。

统一权限是对各个业务系统的功能资源进行管控，权限资源授权体系包括组织、标准角色、实际角色、用户。目前可以通过标准角色管理用户、组织关联标准角色后会生成实际角色。但是目前缺少一个场景就是跨组织分配用户，所以需要进一步完善统一权限模块的功能，现将本次开发中的学习经验和心得体会总结如下。 

1.整体介绍 

IDM身份管理平台满足对企业信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计要求，能够实现各业务系统的统一登录和集中访问，实现用户身份和权限的统一认证、授权管理，为企业不同业务系统提供统一的用户管理和认证服务。 

1.1功能架构 

IDM主要对组织、角色、人员进行管理，并对其所有的状态进行记录，如：初始化、审批中、已启用、已禁用等，账户统一管理可以实现从HR系统中获取组织用户数据，也可直接在IDM系统中录入数据，用户信息中的部分属性信息根据同步策略由HR系统或其它指定系统同步更新到用户目录，其它用户信息可在应用系统中各自进行维护，通过IDM统一用户信息后，发送到各个业务系统。 

1.2系统架构 

IDM主要是实现统一认证、授权、审计管理，提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力。

消除企业系统间的信息孤岛，为各系统提供统一身份认证、用户身份管理服务，逐步实现系统身份系统的整合，构建面向用户的认证和授权服务，使业务操作更流畅。为简化IT运维提供强大的技术手段和标准，实现账户数据自动化同步操作，同时制定合规的安全服务规范，构建统一的、支撑企业级的认证授权安全服务基础设施。 

1.3实现思路 

1.“应用配置”模块添加两个策略： 

（1）标准角色直接关联用户：控制“标准角色”模块关联人员标签页面是否显示。 

（2）实际角色跨组织关联用户：控制该系统的实际角色是否可以跨组织关联用户。 

2.“标准角色”模块改为左侧树形菜单右侧列表的形式，并添加关联组织的功能。 

3.“授权管理”模块添加排除组织和排除人员的功能，可以排除标准角色和实际角色关联的组织或人员信息。 

4.新增通过人员查询权限信息的接口，出参给出对应的人员信息、关联角色信息、关联的组织信息和权限资源信息。 

2.功能说明 

统一权限功能主要分为三个模块，分别为：角色管理、权限资源和授权管理，下面主要介绍一下各个模块的功能。 

2.1角色管理 

1.标准角色： 

主要对各个应用系统的标准角色信息进行管理，页面左侧为标准角色树形菜单，右侧包含标准角色明细页面和关联用户信息列表，通过切换应用系统可以查看不同应用系统下的标准角色信息，支持接口导入和excel导入功能。 

（1）列表页面： 

（2）明细页面： 

2.实际角色： 

主要对各个应用系统的实际角色信息进行管理，建立组织与标准角色之间的关联关系，页面左侧为组织树形菜单，右侧为所选组织下实际角色信息列表。通过切换应用系统可以查看不同应用系统下的实际角色信息。 

（1）列表页面： 

（2）明细页面： 

2.2权限资源 

1.功能资源： 

功能资源页面左侧为各个应用系统所对应的功能菜单，通过切换应用系统来控制左侧的功能树菜单，右侧包含“基本信息”和“控制器列表”两个标签，基本信息显示所选树节点的功能明细信息，控制器列表显示与所选树节点关联的控制器和相关操作信息。 

2.数据资源： 

数据资源主要对各个应用系统下的通用枚举类数据进行管理，页面左侧为数据分组树形菜单（可编辑），右侧为该分组下的数据列表信息，可以通过切换应用系统来显示不同应用系统下的数据信息。 

3.接口资源： 

接口资源主要是对各个应用系统下的接口信息进行管理，页面左侧为接口分组树形菜单（可编辑），右侧为该分组下的接口列表信息，可以通过切换应用系统来显示不同应用系统下的接口信息。 

2.3授权管理 

授权管理模块主要为各个应用系统的不同权限资源建立和标准角色、实际角色、人员、组织的关联关系。授权管理模块分为功能菜单、数据资源、API接口三个标签，分别为这三个权限资源赋予权限。 

3.开发过程 

本次开发需要扩展“应用配置”模块功能，添加配置业务系统组织的功能，统一权限模块根据应用系统的配置来获取对应的组织人员信息；还需要新增根据人员查询权限信息的接口。下面主要介绍一下在开发过程中需要修改、完善的功能。 

3.1应用配置 

1.添加“是否统一组织”策略，如果选否会让用户配置获取组织和组织人员关联信息的接口。 

2.新增“标准角色直接关联用户”策略，用来控制标准角色是否关联用户。 

3.新增“实际角色跨组织管理用户”策略，用来控制实际角色是否可以跨组织关联用户信息。 

3.2统一权限 

统一权限模块中的组织人员信息，改为通过应用系统配置来获取对应的业务组织或行政组织信息。 

3.3新增接口 

新增通过人员查询权限信息的接口，出参给出对应的人员信息、关联角色信息、关联的组织信息和权限资源信息。 

1.接口地址： 

http://localhost:3030/idm/openapi/DataProvide/rest/record/user-auth 

2.接口入参： 

3.出参样例： 

  

4.心得总结 

在本次开发过程中，自己的技术能力还有对IDM产品的理解能力都得到了很大的提升，并且有了很多感悟，现将我在本次工作中的收获，总结如下。 

4.1能力提升 

在本次开发过程中，无论在代码还是意识形态方面我都学到了很多，比如在开发过程中要考虑全面，不是实现功能就行，要考虑多方面的因素，如：页面美观、产品性能等因素，同时还要考虑代码的质量，只有这样开发出的功能才能满足客户需求。 

4.2开发心得 

不论在什么时候，权限都是一个很重要的事情，因为无论对于个人还是企业来说安全都是重中之重，所以权限管理是一个很重要的功能。本次开发的统一权限功能可以对各个应用系统的权限资源在IDM中进行统一管理、授权，使用户在查看数据时更加便捷。 

4.3产品理解 

IDM统一身份管理平台主要是实现5A功能，即Account账号管理、Authentication认证管理、Authorization授权管理、Audit审计管理、App Control应用管控。提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力。 

本次开发涉及的统一权限功能，完善了IDM在权限管理方面的功能，从而解决企业当前权限管理面临的开通难、查询难、回收难和管理难问题，加速企业权限管理建设，降低权限管理的维护成本。