企業(yè)數(shù)字化轉(zhuǎn)型正在從在線化、信息化時(shí)代，加速進(jìn)入到數(shù)字化2.0時(shí)代。在數(shù)字化1.0時(shí)代，基于業(yè)務(wù)的點(diǎn)或者線的需求，進(jìn)而研發(fā)相應(yīng)的軟件、系統(tǒng)，其目標(biāo)是提升業(yè)務(wù)的效率，這個(gè)階段數(shù)據(jù)只是信息系統(tǒng)的副產(chǎn)品;數(shù)字化2.0時(shí)代，從全局考慮數(shù)據(jù)資產(chǎn)，基于場(chǎng)景對(duì)業(yè)務(wù)流程不斷進(jìn)行切片細(xì)化，實(shí)現(xiàn)用數(shù)據(jù)模擬、優(yōu)化、重構(gòu)，真正的實(shí)現(xiàn)推動(dòng)整個(gè)商業(yè)模式的變革。

企業(yè)權(quán)限管理面臨的“三座大山”

細(xì)粒度的業(yè)務(wù)數(shù)字化需要細(xì)粒度的權(quán)限管理中臺(tái)，以用戶為中心，實(shí)現(xiàn)全景業(yè)務(wù)權(quán)限的集中化、自動(dòng)化、標(biāo)準(zhǔn)化、可視化、智能化，從而安全、高效推動(dòng)企業(yè)數(shù)字化2.0轉(zhuǎn)型。數(shù)字化2.0時(shí)代對(duì)企業(yè)統(tǒng)一身份管理，特別是身份管理的最后一公里，權(quán)限管理提出了更高要求，沒(méi)有權(quán)限中臺(tái)企業(yè)將面臨開(kāi)通難、查詢難、回收難和管理難等問(wèn)題。

在數(shù)字化2.0時(shí)代，即細(xì)粒度業(yè)務(wù)數(shù)字化時(shí)代，這些難處將產(chǎn)生嚴(yán)重的效率低、體驗(yàn)差、風(fēng)險(xiǎn)大、成本高的痛點(diǎn)，甚至越數(shù)字化越危險(xiǎn)，最后導(dǎo)致企業(yè)數(shù)字化災(zāi)難。經(jīng)過(guò)眾多權(quán)限管理的實(shí)戰(zhàn)，我們發(fā)現(xiàn)企業(yè)權(quán)限管理難題面臨三個(gè)重要挑戰(zhàn)：人力資源、業(yè)務(wù)、信息安全本身。

HR

人力資源定義的行政組織和崗位，與業(yè)務(wù)上使用的業(yè)務(wù)組織和崗位存在矛盾，為權(quán)限管理帶來(lái)天然的挑戰(zhàn)。

業(yè)務(wù)

業(yè)務(wù)為了方便，希望權(quán)限最大化，與信息安全秉持的權(quán)限最小化原則產(chǎn)生矛盾，兩者的割裂加大權(quán)限管理難度。

安全

各業(yè)務(wù)系統(tǒng)日積月累形成的授權(quán)孤島，導(dǎo)致業(yè)務(wù)角色和崗位難以統(tǒng)一，權(quán)限管理面臨巨大的挑戰(zhàn)。

這三座“大山”導(dǎo)致絕大部分企業(yè)耗費(fèi)大量的人力維護(hù)管理權(quán)限，并承受業(yè)務(wù)用戶的抱怨、大量成本的浪費(fèi)、相關(guān)數(shù)據(jù)泄露等安全問(wèn)題的焦慮。

員工從入職、調(diào)崗、兼崗到離職的全生命周期，時(shí)刻都離不開(kāi)權(quán)限場(chǎng)景。權(quán)限的申請(qǐng)、審批、授予、有效期提醒、續(xù)期、委托和復(fù)制等，全需操心動(dòng)腦、用心記住。更麻煩的是，一個(gè)權(quán)限往往涉及很多人，這種低效的流程用戶體驗(yàn)，與現(xiàn)在互聯(lián)網(wǎng)時(shí)代以用戶為中心的理念完全相悖。

美云智數(shù)身份云團(tuán)隊(duì)針對(duì)企業(yè)痛點(diǎn)，經(jīng)過(guò)各行業(yè)龍頭企業(yè)最佳業(yè)務(wù)實(shí)踐檢驗(yàn)，制定了安全、可靠的智能權(quán)限管理中臺(tái)產(chǎn)品與解決方案，實(shí)現(xiàn)基于權(quán)限管理的數(shù)據(jù)中臺(tái)、業(yè)務(wù)中臺(tái)、AI中臺(tái)，針對(duì)不同角色的用戶提供個(gè)性化入口，全景加速企業(yè)數(shù)字權(quán)限管理、治理與智能運(yùn)營(yíng)的能力。

智能身份權(quán)限中臺(tái)

身份權(quán)限關(guān)系管理模型(Identity Authorization Management)，是由權(quán)限管理模型和授權(quán)管理模型兩大版塊構(gòu)成，包含用戶、群組、組織崗位、業(yè)務(wù)角色、系統(tǒng)角色、系統(tǒng)/數(shù)據(jù)權(quán)限等元素。

其中權(quán)限管理模型包含4項(xiàng)內(nèi)容：業(yè)務(wù)角色管理、系統(tǒng)角色管理、系統(tǒng)權(quán)限管理和數(shù)據(jù)權(quán)限管理;授權(quán)管理模型則有5項(xiàng)內(nèi)容：按群組授權(quán)、按組織授權(quán)、按崗位授權(quán)、按用戶授權(quán)和按終端授權(quán)。而身份權(quán)限關(guān)系管理就是這兩塊模型里的內(nèi)容兩兩交錯(cuò)配對(duì)，分別形成20種配對(duì)方式。

權(quán)限管理整體并非一蹴而就，從用戶到群組、組織崗位、業(yè)務(wù)角色、系統(tǒng)角色、系統(tǒng)權(quán)限都環(huán)環(huán)相扣?；诖耍涝浦菙?shù)身份云從權(quán)限數(shù)據(jù)出發(fā)，提供以下解決方案：

身份權(quán)限集中化

根據(jù)業(yè)務(wù)系統(tǒng)特征，分類、分級(jí)逐步收攏權(quán)限數(shù)據(jù)流，實(shí)現(xiàn)身份權(quán)限的集中統(tǒng)一。

身份權(quán)限自動(dòng)化

根據(jù)組織、崗位、群組、業(yè)務(wù)角色、IT角色等，自動(dòng)開(kāi)戶、分配基礎(chǔ)權(quán)限包，根據(jù)身份權(quán)限流程實(shí)現(xiàn)業(yè)務(wù)權(quán)限，系統(tǒng)權(quán)限的自動(dòng)化賦予與回收。

身份權(quán)限可視化

根據(jù)不同維度，不同業(yè)務(wù)管理要求進(jìn)行統(tǒng)計(jì)、報(bào)表分析，實(shí)現(xiàn)身份權(quán)限可視化。

身份權(quán)限可治理

根據(jù)身份權(quán)限大數(shù)據(jù)，周期性對(duì)比、審視、建模，實(shí)現(xiàn)身份權(quán)限的可理可治。基于連續(xù)權(quán)限業(yè)務(wù)流水?dāng)?shù)據(jù)，構(gòu)建企業(yè)自適應(yīng)AI權(quán)限智能算法，實(shí)現(xiàn)權(quán)限智能治理。

強(qiáng)大的權(quán)限中臺(tái)，需要豐富的權(quán)限模型適配能力、仿真能力以及組織能力。在眾多權(quán)限模型中，結(jié)合多年實(shí)踐總結(jié)，美云智數(shù)身份云選用了RBAC顯式方式身份權(quán)限管理技術(shù)，一站式助力企業(yè)實(shí)現(xiàn)身份權(quán)限管理。

RBAC：最“硬核”的身份管理技術(shù)模型

RBAC顯式方式(Resource-Based Access Control)是基于什么是受保護(hù)的， 而不是誰(shuí)可能有能力做什么。看似簡(jiǎn)單的區(qū)別，但后者對(duì)系統(tǒng)開(kāi)發(fā)及部署有著深刻的影響：

更少的代碼重構(gòu)

我們是基于系統(tǒng)的功能(系統(tǒng)的資源及對(duì)資源的操作)來(lái)進(jìn)行權(quán)限控制，而相應(yīng)來(lái)說(shuō)，系統(tǒng)的功能需求一旦確定下來(lái)后，一段時(shí)間內(nèi)對(duì)它的改動(dòng)相應(yīng)還是比較少的。只是當(dāng)系統(tǒng)的功能需求改變時(shí)，才會(huì)涉及到權(quán)限代碼的改變。

更直觀

保護(hù)資源對(duì)象、控制對(duì)資源對(duì)象的操作(對(duì)象及對(duì)象的行為)，這樣的權(quán)限控制方式更符合人們的思想習(xí)慣。正因?yàn)榉线@種直觀的思維方式，面向?qū)ο蟮木庉嬎枷爰癛EST通信模型變得非常成功。

更有彈性

代碼中沒(méi)有寫(xiě)死哪些用戶、組或角色可對(duì)資源進(jìn)行什么操作，可支持任何安全模型的設(shè)計(jì)。例如，可以將操作(權(quán)限)直接分配給用戶 ，或者他們可以被分配到一個(gè)角色，然后再將角色與用戶關(guān)聯(lián)，或者將多個(gè)角色關(guān)聯(lián)到組(group)上等，完全可以根據(jù)應(yīng)用的特點(diǎn)定制權(quán)限模型。

外部安全策略管理

由于源代碼只反映資源和行為，而不是用戶、組和角色，這樣資源/行為與用戶、組、角色的關(guān)聯(lián)，可通過(guò)外部模塊、專用工具或管理控制臺(tái)來(lái)完成。這意味著在權(quán)限需求變化時(shí)，開(kāi)發(fā)人員不需花時(shí)間來(lái)修改代碼，業(yè)務(wù)分析師甚至最終用戶可通過(guò)相應(yīng)的管理工具修改權(quán)限策略配置。

可在運(yùn)行環(huán)境做修改

因?yàn)榛谫Y源的權(quán)限控制代碼并不依賴于行為的主體(如組、角色、用色)，客戶并沒(méi)有將行為主體的字符名詞寫(xiě)入代碼，故客戶可在程序運(yùn)行時(shí)，通過(guò)修改主體等這些能對(duì)資源進(jìn)行操作的這類方式，通過(guò)配置的方式即可應(yīng)對(duì)權(quán)限變動(dòng)需求，不需要像隱式的RBAC那樣重構(gòu)代碼。

去年，美云智數(shù)身份云團(tuán)隊(duì)與美的、萬(wàn)科、OPPO、中航國(guó)際、天虹商場(chǎng)等相關(guān)權(quán)限管理負(fù)責(zé)人共同舉辦了“企業(yè)權(quán)限服務(wù)管理私享會(huì)”，形成并發(fā)布了企業(yè)權(quán)限服務(wù)管理模型1.0，包含業(yè)務(wù)模型、技術(shù)模型和方案模型。

經(jīng)過(guò)半年來(lái)的深度研發(fā)和實(shí)踐，如今企業(yè)權(quán)限服務(wù)管理模型2.0正式推出，身份大數(shù)據(jù)及機(jī)器學(xué)習(xí)等能力得到改善，企業(yè)落地權(quán)限服務(wù)管理中臺(tái)的速度和質(zhì)量大幅提升。