最佳实践｜探索 Authing 企业级云原生权限治理平台

在现代企业中，数据已经成为最重要的资产之一。

有数据显示，全球大约有一半的组织在过去的一年中经历了至少一次成功的网络攻击事件，其中，39% 的攻击事件是由内部人员造成的。为了保护企业的数据和信息资产，许多政府和行业规范要求企业必须实施权限管理措施。证监会第 152 号文中要求证券基金经营机构应当建立对信息系统权限的定期检查与核对机制，我国《信息安全技术-网络安全等级保护基本要求》中也明确指出身份与访问控制、安全审计工均作为网络安全保护的重要测评单元。

目前，在金融、医药研发、先进制造等行业客户出于数据资产安全及合规的需求，对统一的细粒度权限管理的诉求日益增长。Authing 基于行业客户的痛点及先进实践，与行业客户共同探索企业级云原生权限治理平台的最佳实践。

01 企业如何进行统一权限治理？

权限治理是围绕着企业核心资产所实施的一系列综合性的管理过程。对员工信息、业务系统、核心数据等进行访问权限、数据权限、功能权限等方面的管控，以加强信息安全、提高管理效率、优化资源配置。

企业规模、业务类型和组织结构的不同对权限治理的要求也有所不同，但企业在各个阶段进行权限管理有其共同性，在实施权限治理方案时都会面临相似的挑战。

权限统一管理难：企业员工的身份信息分散在不同应用系统中，以及不同业务场景下对不同角色的不同权限难以精准分配。这导致企业统一权限管理困难，也增加了因权限泄露和不当操作带来的安全风险。
权限生命周期管理难：在员工的入转调离全生命周期过程中，涉及权限的创建、增加、修改、禁用、删除等操作，需要IT部门逐个系统修改操作。例如：员工离职后，企业需要及时地收回其访问权限，但如何确保权限的及时回收，避免权限滥用和泄漏成为困扰多个企业的问题。
实现多维度权限控制难。企业需要在多个维度上控制权限，包括用户、角色、组织、应用程序、数据等。如何在不同维度上有效地控制权限，并实现细粒度的权限管理。
处理权限重叠问题难。在不同系统、服务和数据中，可能存在相同或类似的权限，如何处理权限之间的交集和冲突是一个难题。
技术集成困难。不同的应用程序和系统可能使用不同的身份认证和和授权机制，如何将这些机制集成到一个统一的权限治理框架中，是一个技术挑战。

02 Authing 统一权限治理解决方案

2.1 整体架构

2.2 Authing 权限中台优势

降低 80% 研发周期

以鉴权为例，在使用 Authing 前，开发者需要数十行代码才能生成，且需要多次查询数据库实现。

// 查询用户关联的角色列表
List<Subject> subjectList = client.getSubjectList(namespace, user);
// 查询对应角色关联的策略列表
List<Policy> policyList = client.getPolicyList(subjectList);
// 查询对应策略关联的资源列表List<Resource> resourceList = client.getResourceList(policyList);
// 查询对应资源所有的操作列表
List<Action> actionList = client.getActionList(resourceList);
// 过滤被拒绝的操作
List<Action> allowActionList = client.filterDenyAction(actionList);if(user.role == "ADMIN"     ||     (user.geo == "CHINA"         && resourceList.contains(resource)         && allowActionList.contains(action)    )){
// 鉴权通过 
}

使用 Authing 后，两行代码搞定！

if(client.checkPermission(namespace, user, resource, action)){
// 鉴权通过}

降低 80% 数据泄露风险

避免企业出现研发人员删库跑路、离职人员依然保有关键系统权限问题，加强对企业核心资源控制力度，保护企业核心数据与资源资产安全。

提高 70% 审计效率

强化企业资源统一审计力度，促进企业精细化管理，帮助企业高效分析整个业务系统的用户行为与数据信息，提前识别潜在风险，降低企业内外部恶意攻击风险。

2.3 Authing 权限中台产品速览

细分资源类型：数据资源分为字符串（适用路径指代）、数组资源（适用数据集合）、树结构资源（适用菜单），更细粒度管控权限、更贴合业务场景。

策略化授权：授权更加清晰，将数据权限和资源权限灵活组合，提高资源管理效率。

权限视图：高效审计提高复杂场景授权效率，便于权限治理。

2.4 典型场景

API 统一鉴权

当企业使用多个应用程序时，需要共享某些资源，例如用户信息、订单数据等。企业可以使用 API 统一鉴权来确保每个服务和应用程序都能够访问它们所需的资源。

例如，当用户访问订单管理功能时，订单微服务将向 API 统一鉴权服务发送一个包含访问令牌的请求。API 统一鉴权服务将验证访问令牌的有效性，并检查该用户是否具有访问订单管理的权限。如果验证通过，则订单微服务将返回用户的订单信息。如果验证不通过，则订单微服务将返回一个错误消息，表示该用户无权访问该资源。

功能菜单权限管理

企业的一些业务软件系统中常常会有多个功能菜单，如用户管理、订单管理、库存管理等。这些菜单需要根据用户的角色或权限进行控制，以确保每个用户只能访问其具有权限的功能菜单。

例如某企业的 ERP 系统需要对菜单进行权限管理。系统中有三种角色：管理员、销售员和采购员，管理员可以访问所有菜单，销售员只能访问销售相关的菜单，采购员只能访问采购相关的菜单。企业可以在功能菜单权限管理系统中定义这些角色，当用户登录系统时，系统会验证该用户的角色，并根据其角色来确定其可以访问的菜单。

数据权限管理

数据权限管理是指企业在数据访问控制方面对用户进行细粒度的控制，以确保每个用户只能访问其具有权限的数据。例如某企业员工的个人信息和薪资记录，需要对这些数据进行权限管理，以确保敏感数据只能被授权的用户访问，HR 部门可以访问所有员工的数据，而普通员工只能访问自己的数据。数据权限管理功能可以根据员工的部门、岗位、职级等信息，将员工分为不同的权限组，并控制每个权限组可以访问的数据范围。

当用户访问员工数据时，系统会验证该用户的身份和权限，并根据其权限来确定其可以访问的数据范围。如果用户尝试访问其没有权限的数据，系统将拒绝该请求，并返回一个错误消息，告诉用户他们没有权限访问该数据。