多年以后，面對(duì)IAM后臺(tái)，運(yùn)維小李將會(huì)想起師父帶他去見(jiàn)識(shí)權(quán)限管理的那個(gè)遙遠(yuǎn)的下午。當(dāng)時(shí)，公司是個(gè)二十多個(gè)員工的小企業(yè)，一個(gè)個(gè)業(yè)務(wù)應(yīng)用都有獨(dú)立后臺(tái)，管理簡(jiǎn)單，每個(gè)應(yīng)用一個(gè)訪問(wèn)控制列表，列表里寫(xiě)明了員工的賬號(hào)和權(quán)限，像圖書(shū)館的借書(shū)記錄。 后來(lái)，公司的員工越來(lái)越多，業(yè)務(wù)應(yīng)用越來(lái)越多。小李開(kāi)始創(chuàng)建用戶組，給員工分配角色，權(quán)限管理工作量越來(lái)越大。再后來(lái)，小李了解到有種權(quán)限管理模型叫ABAC，又開(kāi)始研究如何給應(yīng)用配置訪問(wèn)控制，工作量進(jìn)一步攀升。小李有些迷茫，模型越來(lái)越先進(jìn)，但權(quán)限管理卻越來(lái)越復(fù)雜，到底怎么搞才能讓權(quán)限管理又精細(xì)又準(zhǔn)確、又便利又安全？

三大權(quán)限管理模型怎么選？

想弄清小李遇到的難題，先要厘清權(quán)限管理的目的。權(quán)限管理，是為了讓用戶可以訪問(wèn)而且只能訪問(wèn)自己被授權(quán)的資源，不能多也不能少。這個(gè)目的需要借助各種權(quán)限管理模型來(lái)實(shí)現(xiàn)。ACL（訪問(wèn)控制列表）是率先登場(chǎng)的權(quán)限管理模型。它的概念很簡(jiǎn)單，每一個(gè)需要被訪問(wèn)控制機(jī)制保護(hù)的資源對(duì)象（稱為客體）都維持一個(gè)獨(dú)立的關(guān)聯(lián)映射表，其中記錄了對(duì)該客體進(jìn)行訪問(wèn)的實(shí)體（稱為主體）被授予訪問(wèn)客體的權(quán)限，以及允許對(duì)客體執(zhí)行哪些操作。當(dāng)主體試圖訪問(wèn)客體時(shí)，系統(tǒng)會(huì)檢查映射表，確定是否允許訪問(wèn)。

以圖書(shū)館為例，ACL相當(dāng)于在每本書(shū)上都附了一張借閱許可清單，列出了每一個(gè)有權(quán)限借書(shū)的人，以及他們可以借閱的時(shí)間。這種方式簡(jiǎn)單實(shí)用，卻存在兩大問(wèn)題，一是每次訪問(wèn)時(shí)都必須檢查客體的ACL，會(huì)耗費(fèi)一定資源；二來(lái)大用戶量、多業(yè)務(wù)應(yīng)用的環(huán)境下，ACL的添加、刪除和更改比較復(fù)雜，容易出現(xiàn)錯(cuò)誤。RBAC（基于角色的訪問(wèn)控制）是比ACL更新的權(quán)限管理模型。它采用了可分配給主體具有特定權(quán)限集的預(yù)定義角色，訪問(wèn)權(quán)限由為個(gè)體分配角色的人提前定義，最終由客體屬主在確定角色權(quán)限時(shí)明確。在處理訪問(wèn)請(qǐng)求時(shí)，系統(tǒng)會(huì)評(píng)估主體的角色以及角色對(duì)應(yīng)的權(quán)限，生成訪問(wèn)控制策略。

還是以圖書(shū)館為例，RBAC相當(dāng)于給每一個(gè)借書(shū)人分配了“學(xué)生”、“老師”、“某課題組成員”等不同的角色，“學(xué)生”可以借10本書(shū)，“老師”可以借20本書(shū)，“某課題組成員”可以借閱與課題有關(guān)的所有書(shū)籍。在企業(yè)內(nèi)部，角色可以以級(jí)別、部門(mén)、項(xiàng)目等維度定義，一個(gè)員工可以有多個(gè)角色。相比ACL，RBAC能夠借助中間件實(shí)現(xiàn)對(duì)多個(gè)系統(tǒng)和資源訪問(wèn)權(quán)限的集中管理，簡(jiǎn)化了權(quán)限管理流程，使得權(quán)限管理更規(guī)范、更便捷。 RBAC相比ACL更適應(yīng)多用戶、多應(yīng)用、多資源的大型組織，但它的授權(quán)粒度只到角色組，難以對(duì)具體的個(gè)體實(shí)施細(xì)粒度的訪問(wèn)控制。為了彌補(bǔ)這個(gè)缺陷，ABAC模型（基于屬性的訪問(wèn)控制）應(yīng)運(yùn)而生。與RBAC不同，其訪問(wèn)控制決策不再以單一的角色為依據(jù)，而是基于一組與請(qǐng)求者、環(huán)境和/或資源本身相關(guān)的特征或?qū)傩?。在ABAC模型中，系統(tǒng)將權(quán)限直接分配給訪問(wèn)主體。當(dāng)主體請(qǐng)求訪問(wèn)后，ABAC引擎通過(guò)檢查與訪問(wèn)請(qǐng)求相關(guān)的各種屬性值，基于預(yù)設(shè)的訪問(wèn)控制策略，確定允許或拒絕訪問(wèn)。

如果應(yīng)用了ABAC，圖書(shū)館的借閱管理將更加精細(xì)、靈活，比如“老師”平時(shí)可以同時(shí)借20本書(shū)，寒暑假只能借10本，“學(xué)生”在假期不能借書(shū)，“某課題組成員”如果假期留校仍可無(wú)限量借書(shū)，離校則不能借書(shū)。在ABAC模型中，企業(yè)可以基于時(shí)間、地點(diǎn)、IP、設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、風(fēng)險(xiǎn)級(jí)別等屬性制定不同的訪問(wèn)控制策略，實(shí)現(xiàn)細(xì)粒度的權(quán)限管理和動(dòng)態(tài)訪問(wèn)控制，幾乎能滿足所有類型的需求，是真正的“高級(jí)貨”。

芯盾時(shí)代IAM，三種模型按需選擇

面對(duì)三種權(quán)限管理模型，很多企業(yè)會(huì)陷入選擇困難癥，因?yàn)槊恳环N模型都有各自的優(yōu)缺點(diǎn)，都難以解決企業(yè)所有的權(quán)限管理問(wèn)題。對(duì)此，芯盾時(shí)代的IAM產(chǎn)品經(jīng)理表示，小孩子才做選擇題，成年人當(dāng)然全都要。芯盾時(shí)代用戶身份與訪問(wèn)管理平臺(tái)（IAM）把三種授權(quán)模型全部安排上，企業(yè)可以基于自身人員規(guī)模、業(yè)務(wù)規(guī)模，資源的重要程度、訪問(wèn)場(chǎng)景匹配適合的權(quán)限管理模型：

1.針對(duì)只對(duì)特殊用戶開(kāi)放的特殊資源，采用ACL模型管理訪問(wèn)權(quán)限，人工管理訪問(wèn)權(quán)限，權(quán)限具體到人，實(shí)現(xiàn)對(duì)特殊應(yīng)用、特殊用戶的精準(zhǔn)權(quán)限管理； 2.針對(duì)重要程度一般、訪問(wèn)場(chǎng)景簡(jiǎn)單、訪問(wèn)人數(shù)多的資源，采用RBAC模型，以角色區(qū)分訪問(wèn)權(quán)限，實(shí)現(xiàn)應(yīng)用的自動(dòng)化授權(quán)，簡(jiǎn)化權(quán)限管理工作的同時(shí)保證安全性； 3.針對(duì)重要程度高、訪問(wèn)場(chǎng)景復(fù)雜的資源，采用ABAC模型，全面、精準(zhǔn)的定義、維護(hù)各種屬性，靈活的設(shè)置訪問(wèn)控制策略，進(jìn)行細(xì)粒度的訪問(wèn)權(quán)限管理和動(dòng)態(tài)訪問(wèn)控制，在提升資源安全性的同時(shí)保證訪問(wèn)的便利性。

借助芯盾時(shí)代IAM，企業(yè)能夠一站式的建立完善的權(quán)限管理體系，分類、分級(jí)管理資源訪問(wèn)的權(quán)限管理，并通過(guò)用戶自動(dòng)授權(quán)、自助申請(qǐng)權(quán)限簡(jiǎn)化權(quán)限管理流程，形成完整的自動(dòng)化授權(quán)與賬號(hào)管理體系，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的統(tǒng)一權(quán)限管理。 統(tǒng)一的權(quán)限管理只是芯盾時(shí)代IAM四大核心功能之一，它與其它三大功能一起，為企業(yè)構(gòu)建規(guī)范的統(tǒng)一身份管理平臺(tái)：

1.統(tǒng)一身份管理：芯盾時(shí)代IAM能夠整合企業(yè)零散的組織用戶數(shù)據(jù)，為用戶生成唯一可信的數(shù)字身份標(biāo)識(shí)，實(shí)現(xiàn)用戶用戶、權(quán)限、應(yīng)用賬號(hào)自動(dòng)化流轉(zhuǎn)機(jī)制，建立身份安全基線，為各種權(quán)限管理模型的實(shí)現(xiàn)提供可信的身份信息；2.統(tǒng)一身份認(rèn)證：芯盾時(shí)代IAM依托移動(dòng)安全核心技術(shù)，將認(rèn)證能力拓展到設(shè)備層面，提供應(yīng)用統(tǒng)一門(mén)戶、單點(diǎn)登錄、免密認(rèn)證能力，支持傳統(tǒng)認(rèn)證、移動(dòng)認(rèn)證、社交認(rèn)證、生物認(rèn)證、證書(shū)認(rèn)證等技術(shù)，在ABAC授權(quán)模式下提供多種二次認(rèn)證方式，保證訪問(wèn)控制策略的有效性和便捷性；3.統(tǒng)一審計(jì)管理：芯盾時(shí)代IAM利用零信任模型、流式計(jì)算技術(shù)、規(guī)則引擎技術(shù)，實(shí)現(xiàn)對(duì)管理員操作行為、用戶登錄認(rèn)證行為、用戶應(yīng)用訪問(wèn)行為的風(fēng)險(xiǎn)審計(jì)與動(dòng)態(tài)訪問(wèn)控制功能。 有了芯盾時(shí)代IAM，老板再也不用擔(dān)心公司的訪問(wèn)權(quán)限管理，企業(yè)業(yè)務(wù)更加安全、員工操作更加便利、運(yùn)維工作更加簡(jiǎn)單。

審核編輯 ：李倩