賬號
用户目錄
需求:登錄系統需要用户名,密碼,用户組,當人多,系統多的時候往往會記不住,而且系統越多,人越容易使用類似 123456 Abc123這類弱密碼,也會間接增加系統被攻擊的風險。統一管理用户名,密碼就顯得格外重要。
類型 | 適用場景 | 實現方式 | |
|---|---|---|---|
| 1 | 內置賬號 |
| 使用 Confluence,或各產品自己的內含用户 |
| 2 | Jira 統一管理 |
| 使用 Jira 內置用户目錄 |
| 3 | Atlassian 原廠 | 使用多款 Atlassian 產品 | Atlassian Crowd / Access |
| 4 | 外部目錄 |
| 使用開源/商業產品,如 openLDAP,微軟 AD; |
統一登錄
需求:一處登錄,處處複用,免得重複錄入用户名和密碼,節省員工切換系統所用時間。
產品:業內知名企業級產品:OKTA,Onelogin,Safenet Trusted Access,Microsoft Azure Directory,AWS Identity and Access Management (IAM)
常見問題
商業還是開源?
如何在開源和商業產品之間做取捨,一直以來是個多方討論話題,沒有特別非黑即白的答案;
對於企業最重要的穩定,安全和帶SLA的技術支持,一定是商業產品才有,生態豐富,技術最前沿 開源社區更活躍。 相對來説,企業會寧願犧牲一點新功能,更青睞於商業產品,你不可能指望一堆剛下班的技術極客,用愛發電馬上修復你提上去的 bug hotfix 請求。
比如在CI/CD 領域Jenkins 免費版,本身功能非常強大,甚至超過很多商業產品。但真的大規模使用時,還是購買jenkins 企業支持或招個運維專家。
LDAP 和 微軟 AD 前者免費,後者收費,但前者的操作交互,接口不如後者友好。
CAS 和 OKTA,開源和商業的 SSO ,功能來説不會差太多,但一般金融公司就不會傾向在生產環境中用開源產品,更青睞成熟商業產品; 如果是互聯網公司,內部有專門開發團隊做內部系統開發維護,出於更高靈活性,就會選擇 CAS 。
系統多了,權限怎麼管?
想要有一套 ALL IN ONE 的權限系統技術上是可行的,自動開賬號,但成本和效率上是不現實的,分散於各種地方的角色和權限又是各類隱患的多。
根據公司實際需求,找管控和成本找個平衡點。關鍵節點設審批,角色賦權放在用户目錄,角色對應權限放在各類系統,定期審核各類角色的權限以及關鍵角色對應的人。