选择授权模型
# 授权模型简介
目前被大家广泛采用的两种权限模型为:基于角色的授权(RBAC)和直接授权(ACL)。
- 基于角色授权RBAC
RBAC为基于角色授权,角色可看作为多种权限的集合,通过给用户关联角色(Role)授权其相关权限,这种授权方式相比直接授予用户权限要更加简单、高效。 可以授予给用户一个或多个角色,每个角色具有一个或多个权限,用户从授予的角色里面继承角色所关联的权限。
- 直接授权ACL
ACL为直接授权,直接授予用户某些权限,该授权模式可以做到更细粒度的授权。
# 如何选择授权模型
给用户授予角色的授权方式更简单高效,如果您的企业对员工的职责有明确的划分,建议您基于员工职责定义角色,采用基于角色授权的方式给用户授权。
给用户直接授予权限可以将权限控制得更细,更精确的控制每个用户能够访问的资源。
系统也支持您同时使用两种授权模型,高效、精确地控制用户权限。
# 图形化配置授权模型
IDaaS采用图形化的方式展示应用系统中各个对象之间的关系,并且在图形化界面中提供基础配置操作,让您可以直观便捷地完成应用系统的基础配置。
在资源-应用页面选择您需要配置的应用,点击后进入应用信息页面,在基本信息模块点击应用模型后方的配置操作进入应用模型配置界面。
授权模型初始状态如下:
以下介绍如何在IDaaS开启授权模型,将按照使用场景进行介绍。
# 配置RBAC授权模型(角色不关联权限)
点击应用账号与应用角色/应用组之间的开关
选择应用角色/应用组的显示名称
该模型同时兼容AD中的组,为了便于识别,您可以选择以应用角色或应用组的名称来进行显示。
开启后如下图所示,应用角色取消置灰显示,可点击模型配置查看角色相关的属性,可点击基于角色授权进行应用角色的管理
# 配置RBAC授权模型(角色关联权限)
在配置RBAC授权模型(角色不关联权限)模型的基础上继续开启应用角色与功能权限/数据权限之间的开关 功能权限和数据权限可按需开启一个或全开启。
开启后如下图所示,功能权限和数据权限取消置灰显示,可点击模型配置查看功能权限或数据权限的属性,可点击管理进行功能权限或数据权限的管理
# 配置ACL授权模型
开启应用账号与功能权限或数据权限之间的开关
开启后如下图所示,功能权限和数据权限取消置灰显示,可点击模型配置查看功能权限或数据权限的属性,可点击管理进行功能权限或数据权限的管理
授权模型开启后,接下来请按照资源管理、角色管理、授权管理的指导开始使用吧。