应用权限审查

权限审查

# 概述

应用权限审查旨在对应用系统的权限管理及授权进行检查，帮助您发现不合规情况，助您实现权限合规管理。
例如，通过应用权限审查可以检测权限过大账号、有敏感权限账号、相似角色、静默功能权限等等。
另外当系统开启任职管理时，系统可做岗权分析，识别同岗不同权情况。

# 审查能力清单

如下为IDaaS平台当前支持的所有审查能力：

序号	分类	审查项	审查项说明	价值分析
1	应用账号	无权限的账号	未被授权任何应用侧权限（包括角色/功能权限）的账号	1. 识别无效账号：当前系统需要权限才可访问，但是账号创建后很长时间内都无权限，建议清理此类账号 2. 识别待授权账号：账号刚刚创建还未分配权限
2	应用账号	有敏感权限的账号	被授权了敏感权限（包括敏感角色、敏感功能权限）的账号，包括基于角色被分配了敏感功能权限的账号	核查敏感权限的分配是否合理，如果存在不合理的情况建议立即更正对应账号的授权
3	应用账号	角色过多的账号	被授权了过多角色的账号：授予的角色数量占总角色数量的占比超过指定比例（比例可配）	核查权限分配是否遵循最小化原则，如果某账号被授权了很多的角色，建议对该账号被授权的角色进行逐个检查，只保留必须的
4	应用账号	功能权限过大的账号	被授权了过多功能权限（包括按角色分配的功能权限）的账号：授予的功能权限数量占总功能权限数量的占比超过指定比例（比例可配）	核查权限分配是否遵循最小化原则，如果某账号被授权了很多的功能权限，建议对该账号被授权的功能权限进行逐个检查，只保留必须的
5	应用角色	无权限的角色	未分配功能权限的角色	1. 识别无效角色：角色创建后很长时间内都无权限，建议清理此类角色 2. 识别待分配权限的角色：角色刚刚创建还未分配权限
6	应用角色	无授权账号的角色	未授权给任何账号的角色	识别无效角色：角色创建后很长时间内都没有授权给任何账号，建议清理此类角色
7	应用角色	常用角色	授权账号较多的角色	识别哪些角色被授权较多
8	应用角色	相似角色	分配的功能权限大多相同的角色：功能权限相似度超过指定比例（比例可配）	1. 识别是否存在冗余角色，如果两个角色分配的功能权限几乎一致，建议考虑取消其中一个 2. 识别角色的功能权限分配是否存在不合理，如果两个角色分配的功能权限大致相同，但是角色本身的设定是合理的，建议分别查看2个角色分配的功能权限，核查是否存在多余的
9	应用角色	有敏感权限的角色	分配了敏感功能权限的角色	核查敏感权限的分配是否合理，如果存在不合理的情况建议立即更正对应角色的功能权限
10	应用角色	功能权限过大的角色	被授权了过多功能权限的角色：授予的功能权限数量占总功能权限数量的占比超过指定比例（比例可配）	核查权限分配是否遵循最小化原则，如果某角色被授权了很多的功能权限，建议对该角色被授权的功能权限进行逐个检查，只保留必须的
11	功能权限	静默功能权限	未被使用的功能权限，即未被授权给账号也未被分配给角色的功能权限	识别无效功能权限：功能权限创建后很长时间内都未被使用，建议清理此类功能权限
12	功能权限	常用功能权限	授权账号较多的功能权限，包括按角色授权给账号的功能权限	识别哪些功能权限被授权较多
13	岗权分析	同岗不同权	针对同岗位下的用户账号权限进行分析，如果账号被授予的权限存在不同，则该岗位的用户存在同岗不同权的情况（暂不对一人多岗的用户进行分析）	1、如果用户的权限分配都没问题，那么可能是岗位划分不够精细，建议增设岗位 2、如果岗位划分合理，那么可能是某些用户的权限分配不合理，建议检查调整
14	岗权分析	同岗同权	针对同岗位下的用户账号权限进行分析，如果账号被授予的权限都相同，则为同岗同权（暂不对一人多岗的用户进行分析，另外如果一个岗位下只有一个用户账号不算做同岗同权）	可以作为岗权关系的参考

# 前置条件

在使用权限审查功能前，您需要将应用的权限数据及账号的授权同步到IDaaS平台的应用中。你需要完成如下事项：
1、从资源-应用菜单进入需要审查的应用，打开应用模型界面，按照应用的情况配置应用模型（包含授权管理模型）。如需指导请联系我们。联系方式 (opens new window)。
2、导入或手动管理应用权限数据（包括应用角色、功能权限、角色功能权限关系）。
3、导入账号权限关系或手动管理用户权限（基于用户授权、基于角色授权）。