美云智数：企业数字化转型 “新基建”之精细权限服务中

企业数字化转型正在从在线化、信息化时代，加速进入到数字化2.0时代。在数字化1.0时代，基于业务的点或者线的需求，进而研发相应的软件、系统，其目标是提升业务的效率，这个阶段数据只是信息系统的副产品;数字化2.0时代，从全局考虑数据资产，基于场景对业务流程不断进行切片细化，实现用数据模拟、优化、重构，真正的实现推动整个商业模式的变革。

企业权限管理面临的“三座大山”

细粒度的业务数字化需要细粒度的权限管理中台，以用户为中心，实现全景业务权限的集中化、自动化、标准化、可视化、智能化，从而安全、高效推动企业数字化2.0转型。数字化2.0时代对企业统一身份管理，特别是身份管理的最后一公里，权限管理提出了更高要求，没有权限中台企业将面临开通难、查询难、回收难和管理难等问题。

在数字化2.0时代，即细粒度业务数字化时代，这些难处将产生严重的效率低、体验差、风险大、成本高的痛点，甚至越数字化越危险，最后导致企业数字化灾难。经过众多权限管理的实战，我们发现企业权限管理难题面临三个重要挑战：人力资源、业务、信息安全本身。

HR

人力资源定义的行政组织和岗位，与业务上使用的业务组织和岗位存在矛盾，为权限管理带来天然的挑战。

业务

业务为了方便，希望权限最大化，与信息安全秉持的权限最小化原则产生矛盾，两者的割裂加大权限管理难度。

安全

各业务系统日积月累形成的授权孤岛，导致业务角色和岗位难以统一，权限管理面临巨大的挑战。

这三座“大山”导致绝大部分企业耗费大量的人力维护管理权限，并承受业务用户的抱怨、大量成本的浪费、相关数据泄露等安全问题的焦虑。

员工从入职、调岗、兼岗到离职的全生命周期，时刻都离不开权限场景。权限的申请、审批、授予、有效期提醒、续期、委托和复制等，全需操心动脑、用心记住。更麻烦的是，一个权限往往涉及很多人，这种低效的流程用户体验，与现在互联网时代以用户为中心的理念完全相悖。

美云智数身份云团队针对企业痛点，经过各行业龙头企业最佳业务实践检验，制定了安全、可靠的智能权限管理中台产品与解决方案，实现基于权限管理的数据中台、业务中台、AI中台，针对不同角色的用户提供个性化入口，全景加速企业数字权限管理、治理与智能运营的能力。

智能身份权限中台

身份权限关系管理模型(Identity Authorization Management)，是由权限管理模型和授权管理模型两大版块构成，包含用户、群组、组织岗位、业务角色、系统角色、系统/数据权限等元素。

其中权限管理模型包含4项内容：业务角色管理、系统角色管理、系统权限管理和数据权限管理;授权管理模型则有5项内容：按群组授权、按组织授权、按岗位授权、按用户授权和按终端授权。而身份权限关系管理就是这两块模型里的内容两两交错配对，分别形成20种配对方式。

权限管理整体并非一蹴而就，从用户到群组、组织岗位、业务角色、系统角色、系统权限都环环相扣。基于此，美云智数身份云从权限数据出发，提供以下解决方案：

身份权限集中化

根据业务系统特征，分类、分级逐步收拢权限数据流，实现身份权限的集中统一。

身份权限自动化

根据组织、岗位、群组、业务角色、IT角色等，自动开户、分配基础权限包，根据身份权限流程实现业务权限，系统权限的自动化赋予与回收。

身份权限可视化

根据不同维度，不同业务管理要求进行统计、报表分析，实现身份权限可视化。

身份权限可治理

根据身份权限大数据，周期性对比、审视、建模，实现身份权限的可理可治。基于连续权限业务流水数据，构建企业自适应AI权限智能算法，实现权限智能治理。

强大的权限中台，需要丰富的权限模型适配能力、仿真能力以及组织能力。在众多权限模型中，结合多年实践总结，美云智数身份云选用了RBAC显式方式身份权限管理技术，一站式助力企业实现身份权限管理。

RBAC：最“硬核”的身份管理技术模型

RBAC显式方式(Resource-Based Access Control)是基于什么是受保护的， 而不是谁可能有能力做什么。看似简单的区别，但后者对系统开发及部署有着深刻的影响：

更少的代码重构

我们是基于系统的功能(系统的资源及对资源的操作)来进行权限控制，而相应来说，系统的功能需求一旦确定下来后，一段时间内对它的改动相应还是比较少的。只是当系统的功能需求改变时，才会涉及到权限代码的改变。

更直观

保护资源对象、控制对资源对象的操作(对象及对象的行为)，这样的权限控制方式更符合人们的思想习惯。正因为符合这种直观的思维方式，面向对象的编辑思想及REST通信模型变得非常成功。

更有弹性

代码中没有写死哪些用户、组或角色可对资源进行什么操作，可支持任何安全模型的设计。例如，可以将操作(权限)直接分配给用户 ，或者他们可以被分配到一个角色，然后再将角色与用户关联，或者将多个角色关联到组(group)上等，完全可以根据应用的特点定制权限模型。

外部安全策略管理

由于源代码只反映资源和行为，而不是用户、组和角色，这样资源/行为与用户、组、角色的关联，可通过外部模块、专用工具或管理控制台来完成。这意味着在权限需求变化时，开发人员不需花时间来修改代码，业务分析师甚至最终用户可通过相应的管理工具修改权限策略配置。

可在运行环境做修改

因为基于资源的权限控制代码并不依赖于行为的主体(如组、角色、用色)，客户并没有将行为主体的字符名词写入代码，故客户可在程序运行时，通过修改主体等这些能对资源进行操作的这类方式，通过配置的方式即可应对权限变动需求，不需要像隐式的RBAC那样重构代码。

去年，美云智数身份云团队与美的、万科、OPPO、中航国际、天虹商场等相关权限管理负责人共同举办了“企业权限服务管理私享会”，形成并发布了企业权限服务管理模型1.0，包含业务模型、技术模型和方案模型。

经过半年来的深度研发和实践，如今企业权限服务管理模型2.0正式推出，身份大数据及机器学习等能力得到改善，企业落地权限服务管理中台的速度和质量大幅提升。