平台级SAAS架构的基础：统一身份管理系统资源-CSDN文库

平台级SAAS架构的基础：统一身份管理系统

175 浏览量 2021-03-01 16:30:36 上传评论收藏 296KB PDF 举报

资源推荐

资源详情

资源评论

平台级平台级SAAS架构的基础：统一身份管理系统架构的基础：统一身份管理系统

业内在用户统一身份认证及授权管理领域，主要关注 4 个方面：集中账号管理（Account）、集中认证管理

（Authentication）、集中授权管理（Authorization）和集中审计管理（Audit），简称 4A 管理。后来发展了 IAM（Identity

and Access Management，即身份识别与访问管理）的相关技术，在云计算等领域应用广泛。整体来说，不管是 4A 还是

IAM 还是未来可能的其他技术方案，都可以归纳为『统一身份治理』的范畴。

一、统一身份管理系统（Unified Identity Management System）

统一身份管理系统（简称 UIMS）可以认是多租户软件架构的升级版，通常是整个平台帐号和权限管控的基础性系统，平台下

所有系统的账户管理、身份认证、用户授权、权限控制等行为都必须经由该系统处理，提供帐号密码管理、基本资料管理、角

色权限管理等功能。UIMS 基于『统一身份治理』的概念，可划分为两级账户体系、基础权限模块和基础信息模块三大模块。

其中两级账户体系将账户分为组织实体帐号和个人实体账户两大类，个人实体从属于组织实体，也可以不从属任何组织实体，

且个人实体可同时从属于多个组织实体；基础权限模块将各业务系统的资源权限进行统一管理和授权；基础信息模块用于描述

组织实体和个人实体的基本信息，如组织实体名称、地址、法人，个人实体姓名、电话号码、性别等基础信息。UIMS 提供统

一的 API 与各子系统连接。

从整个平台的角度来看，UIMS 除了提供上述功能和服务，还应该满足以下需求：

因此，从功能的角度可以将 UIMS 划分为以下模块：

一）功能

系统设置 System Configuration

系统标识管理 System Identifiers Management

服务账户管理 Service Accounts Management

账户实体管理 Account Entities Management

组织实体管理 Organization Entities Management

组织架构管理 Organization Management

个体账户管理 Individual Accounts Management

账户权限管理 Account Permissions Management

用户组管理 User Group Management

角色管理 User Roles Management

资源权限管理 Permission Resources Management

权限策略组管理 Permission Group Management

认证审核管理 Authentication Management

个人认证管理 Individual Authentication Management

组织认证管理 Organization Authentication Management

资质审核管理 Qualification Management

付费授权管理 Authorization Management

组织授权管理 Organization Authorization Management

二）页面

统一注册页面 Unified Signup Page

统一登录页面 Unified Signin Page

组织入驻页面 Organization Signup Page

个人实名认证页面 Individual Authentication Page

组织实名认证页面 Organization Authentication Page

三）API

鉴权相关的APIs

业务相关的APIs

其中组织绑定和解绑的功能，可以放到『组织实体管理』或『个体账户管理』的功能中。需要注意的是，组织绑定与解绑功

能，是否与业务系统关联，下文将进行阐述。

二、两级账户体系和基础权限模块

基于『统一身份治理』的理念，采用两级账户体系（UIMS 提供接口）实现多系统融合的平台级 SAAS。两级账户体系将账户

类别分为组织实体和个人实体两类（详见下文用户分类）。个人实体可以从属于组织实体（可以从属于多个组织实体），也可

以不从属。个人账户体系和组织账户体系在云平台内享有的权限是不一样的，虽然大部分功能和服务两个体系的实体均可独立

使用，互不干扰，但部分功能和服务有所不同。

1. 基本原则

平台级 SAAS 模式账户体系应遵循以下几个基本原则：

个人账户统一原则：个人账户一次注册，全平台通用，类似于全网通行证和 SSO，注册和登录都在 UIMS 进行。

业务权限独立原则：每个子系统的权限体系是独立管理的。『个人账户统一原则』明确了账户体系是统一的，但是对于每个子

系统而言，每个账户所能使用的功能和服务，所能查看的数据权限是独立维护的，比如 XXX 公司（组织）-研发T3组（用户

组）-张三（用户）-研发人员（角色），在 CRM 系统中，拥有的资源权限（详见下文），与其在 OA 系统中的所拥有的资源

权限肯定是不一致的。

组织实体隔离原则：不同的组织实体之间，是相互隔离，独立管理的。每个组织实体可以自行组织自己的组织体系、账户体系

和权限体系。不同的组织实体资源权限也是隔离的。

从属关系隔离原则：个体账户与组织实体的从属关系是基于单独的业务系统存在的，『个人账户统一原则』明确的仅是个人账

户的全网统一，但组织实体、从属关系并没有统一，并且是隔离的。比如在 CRM 系统中，张三（用户）从属于 XXXX 公司

（组织），但在 OA 系统中，张三（用户）默认是不从属于任何组织的，从属关系受到具体业务系统的影响。事实上，这个原

则是非强制的，具体取决于各自的业务逻辑和业务场景。如果要简化从属关系的管理，那么可以不遵循此原则，即个体账户与

组织实体的从属关系是全平台统一的，与业务系统无关，但这会为降低平台的灵活性和扩展性。灵活性和复杂度之间通常要做

一个取舍。

2. 权限原则

类似于 RBAC 原则，平台的权限体系采用 OS-RBA猀慰??鴑?H?????????C 的概念：

OS：O 代表 Organization 组织，S 代表 System 业务系统，即权限是受到组织实体和业务系统双重影响的。

RBAC：基于角色的访问控制。

OS-RBAC：组织实体-业务系统-用户-角色-权限标识。分为两种情况：一种是有从属组织的个人账户；另一种是无从属组织的

个人账户，后者无组织，但同样遵守 RBAC 的权限限定，且其权限标识体系允许组织为空。

资源标识：分为逻辑资源和实体资源。逻辑资源如菜单、页面、表单、按钮组、按钮、字段等功能型资源，或人员档案、考勤

记录、任务记录、位置数据、积分、电子钱包等数据资源；实体资源如椅子、凳子、电脑、车辆等实物资产，另外有时候部分

逻辑资源也可以归纳为实体资源，如电子照片、视频文件、音乐文件等。

条件标识：权限的约束条件，主要有可见组织架构范围限定、时间限定、区域限定等。例如某权限仅财务部可见，有效期至

11月2号，这里『财务部』属于可见组织架构范围限定，『至11月2号』则是时间限定。

剩余6页未读，继续阅读

评论收藏

内容反馈

weixin_38741195

粉丝: 2
资源: 970

平台级SAAS架构的基础：统一身份管理系统

统一身份认证系统

开源的SaaS解决方案

统一身份认证多租户版

基于LDAP实现多认证源的统一身份认证实

统一身份认证与单点登录系统解决方案

laravel-bookings：Rinvex Bookable是Laravel的通用资源预订系统，具有所需的工具，可以有效地运行类似SAAS的服务。 它是简单的架构，并带有强大的基础，可为您的业务提供可靠的平台

laravel-subscriptions：Rinvex Subscribable是适用于Laravel的灵活计划和订阅管理系统，具有所需的工具来高效运行类似SAAS的服务。 它是简单的架构，并带有强大的基础，可为您的业务提供可靠的平台

微软深入讲解：微软SaaS架构和战略，倾力协助移动打造ADC服务平台

SaaS+架构设计.doc

微软SaaS架构和战略

SaaS微软官方实例架构

软考-高级系统架构师真题.zip

统一用户及权限管理系统需求分析

微软统一身份管理和访问控制解决方案(IAM)和产品路线介绍

高级系统架构设计师09年到22年真题及答案

SaaS模式下的餐饮管理系统的分析与设计

剖析SalesForce的多租户架构（PAAS\SAAS\云计算)

SAAS企业级项目架构部署

SaaS平台概要设计

基于Saas的云计算工作流中间件与大型企业管理云开发实战 及Paas平台下多系统生成

Saas框架实例(.net)

云计算行业深度报告之一：寻找企业级SaaS优质资产.zip

2024最新版视频短剧SAAS系统全套源码 影视短剧小程序源码 支持接口采集，附带教程

最新资源

laravel-bookings：Rinvex Bookable是Laravel的通用资源预订系统，具有所需的工具，可以有效地运行类似SAAS的服务。它是简单的架构，并带有强大的基础，可为您的业务提供可靠的平台

laravel-subscriptions：Rinvex Subscribable是适用于Laravel的灵活计划和订阅管理系统，具有所需的工具来高效运行类似SAAS的服务。它是简单的架构，并带有强大的基础，可为您的业务提供可靠的平台

基于Saas的云计算工作流中间件与大型企业管理云开发实战及Paas平台下多系统生成

2024最新版视频短剧SAAS系统全套源码影视短剧小程序源码支持接口采集，附带教程