随着云计算的发展,越来越多企业产品业务向软件服务平台转型。其中系统的权限设计是十分关键和重要的部分,本文以O2O业务为例讲解SaaS系统权限设计。

SaaS系统用户权限设计21、系统需求

平台管理员只能管理租户的账号和相关信息,不能操作租户的内部业务。各租户拥有自己的角色和权限,相互不能影响。不同租户的数据、服务在物理上共享,而在逻辑上完全隔离,对于每个租户来说这个系统好像只为自己服务。为了确保系统数据的安全性,使用户能放心地将商业数据放在系统上使用,SaaS系统的权限管理在系统设计中成为尤为重要的一环。

2、RBAC权限模型

访问控制是针对越权使用资源的防御措施,目的是为了限制访问主体(如用户等) 对访问客体(如数据库资源等)的访问权限。企业环境中的访问控制策略一般有三种: 自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。其中,自主访问、强制访问的工作量大,不便于管理。基于角色的访问控制是目前公认的解决大型企业的统一资源访问控制的有效方法。

基于角色的访问控制基本原理是在用户和访问权限之间加入角色这一层,实现用户和权限的分离,用户只有通过激活角色才能获得访问权限。通过角色对权限分组,大大简化了用户权限分配表,间接地实现了对用户的分组,提高了权限的分配效率。且加入角色层后,访问控制机制更接近真实世界中的职业分配,便于权限管理。

RBAC模型是典型的基于角色的访问控制模型,包括RBAC0、RBAC1、RBAC2和RBAC3四个不同层次的模型。其中RBAC0是基础模型,定义了支持RBAC的最小需求,如用户、角色、权限、会话等概念,RBAC0模型图解如图2-1所示。RBAC1加入了角色继承关系,可以根据组织内部权力和责任的结构来构造角色与角色之间的层次关系; RBAC2加入了各种用户与角色之间、权限与角色之间以及角色与角色之间的约束关系,如角色互斥、角色最大成员数等。RBAC3是对RBAC1和RBAC2的集成,它不仅包括角色的层次关系,还包括约束关系。

在RBAC模型中,角色是系统根据管理中相对稳定的职权和责任来划分,每种角色可以完成一定的职能。用户通过饰演不同的角色获得角色所拥有的权限,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。通过将权限指定给角色而不是用户,在权限分派上提供了极大的灵活性和极细的权限指定粒度。

SaaS系统用户权限设计3

图2-1 RBAC0模型图解

3、SaaS平台用户设计

一般SaaS平台基本角色由平台管理员、租户用户、租户管理员、租户其他角色组成。如图2-2以O2O业务的企业架构为例,图解系统角色关系。

SaaS系统用户权限设计3

图2-2 SaaS平台用户设计图解

平台管理员:负责平台的日常维护和管理,包括用户日志的管理、租户账号审核、租户状态管理、租户费用的管理,租户权限的管理,要注意的是平台管理员不能对租户的具体业务进行管理。如果租户数量大,还可以对平台管理员划分角色,可以按地域划分,比如西北地区、东北地区等,让平台管理员分别管理不同的租户;也可以根据业务进行划分,比如租户管理员,租费管理员等。

租户:指访问SaaS平台的用户企业,在SaaS平台中各租户之间信息是独立的。租户信息包括租户的名称、地址等租户企业的相关信息,主要用来区别各租户,并且由平台管理员对租户账号状态进行管理。各租户可根据需要自行选择SaaS平台功能模块并依此付费。

租户管理员:为租户角色分配权限和相关系统管理、维护。

租户用户:根据租户管理员分配的权限以及自己的角色进行相关的业务管理。各租户用户只能访问该租户选择的 SaaS 平台的功能模块。一个系统用户如果有多个角色,则他只能看到当前角色下的数据,通过角色切换,可以达到查看所属其他角色下的数据信息。

租户角色:根据业务功能分由租户管理员进行角色划分,划分好角色后,租户管理员可以对相应的角色进行权限分配。角色有上下级关系,上级可以查看下级的数据,下级不能访问上级的数据,平级之间不能相互访问。角色上层可再加入分组层(如分部门或团队等),不同组别的数据范围不同,资源、操作可以共享也可以隔离。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-01-04 09:58:00
云资讯 2018全球云计算开源大会正式启动
开源的历史可以追溯到20世纪60年代,在几十年的发展进程中,开源经历了从小到大,从无到有,从非主流到主流的过程。时至今日,开源已成为最具活力、最具开放精神、最被推崇 <详情>
2018-01-04 09:25:16
机房建设 小即是美:微型数据中心或许才是云计算的未来
如今,很多数据中心运营商和用户正在竭尽全力地让他们的数据中心规模变得更大。当然,密度更大,效率更高,性能也更高,但从根本上说,这是一个更大规模的旅程。 <详情>
2018-01-03 17:42:47
云资讯 出海印度 云计算厂商需要了解哪些政策?
印度目前云计算处于发展初级阶段,发展速度很快。根据Gardner的预测,印度2017年云计算的收入将达到10.81亿美元,相比2016年增长27%. <详情>
2018-01-03 10:33:00
云资讯 什么是多重云?云计算的下一步
你可能会认为“多重云”和“混合云”是一会儿事,但实际上在云计算的演变过程中,它们处在非常不同的阶段。 <详情>
2018-01-03 09:38:01
云资讯 亚马逊AWS预算邮件闹乌龙,预测数字大的惊人!
2018年1月1日,亚马逊向AWS用户发送了一系列的预测警告邮件,邮件正文里显示了目前用户的使用情况以及预测以后使用情况的数据。需要提及的是,在该错误的预测邮件中,未来 <详情>
总投资90亿元的中国移动厦门数据中心,一期电源工程项目候选人公示
2018-10-18 17:39:56
微型数据中心,是趋势?还是鸡肋?
2018-10-18 15:41:04
华云数据中标上药控股私有云千万级项目
2018-10-18 15:35:33
中国电信中层人事“大地震” 多名二级干部将进行调整
2018-10-18 15:30:48
央视海外 CDN 采购:腾讯云、网宿科技、金山云入围,价格分别为 509万元、460万元、981万元
2018-10-18 15:23:00
斯柯达计划将HPC计算量提升至15千兆次 扩建其数据中心
2018-10-18 15:12:00
北京通管局公布45家不合格电信设备生产企业 微软、小米上榜
2018-10-18 15:04:07
阿里云宣布新一轮降价:部分产品降90%
2018-10-18 14:53:59
赵丽颖婚讯导致微博崩溃,说明云计算在国内发展依然任重道远
2018-10-18 14:34:40
中国移动流量稳步增长,约11.4万台的大规模基站用综合机柜集采开启
2018-10-18 14:22:22
云南移动NB-IoT网络质量管理项目,诺基亚入围但只能三选一
2018-10-18 14:05:40
三大运营商展示“5G速度”:16个网络视频同时播放不卡顿
2018-10-18 13:54:44
维谛技术为深圳机场航站楼高效运营提供保障
2018-10-18 13:36:48
现场直播|光迅科技数据与接入产品业务部市场经理张玓:下一代光互联技术及其在开放数据中心的应用
2018-10-18 13:27:08
现场直播|Mellanox资深系统工程师于若信:面向未来数据的网络技术
2018-10-18 13:12:04