在现代企业中，数据已经成为最重要的资产之一。

有数据显示，全球大约有一半的组织在过去的一年中经历了至少一次成功的网络攻击事件，其中，39% 的攻击事件是由内部人员造成的。为了保护企业的数据和信息资产，许多政府和行业规范要求企业必须实施权限管理措施。证监会第 152 号文中要求证券基金经营机构应当建立对信息系统权限的定期检查与核对机制，我国《信息安全技术-网络安全等级保护基本要求》中也明确指出身份与访问控制、安全审计工均作为网络安全保护的重要测评单元。

目前，在金融、医药研发、先进制造等行业客户出于数据资产安全及合规的需求，对统一的细粒度权限管理的诉求日益增长。Authing 基于行业客户的痛点及先进实践，与行业客户共同探索企业级云原生权限治理平台的最佳实践。

01 企业如何进行统一权限治理？

权限治理是围绕着企业核心资产所实施的一系列综合性的管理过程。对员工信息、业务系统、核心数据等进行访问权限、数据权限、功能权限等方面的管控，以加强信息安全、提高管理效率、优化资源配置。

企业规模、业务类型和组织结构的不同对权限治理的要求也有所不同，但企业在各个阶段进行权限管理有其共同性，在实施权限治理方案时都会面临相似的挑战。

• 权限统一管理难：企业员工的身份信息分散在不同应用系统中，以及不同业务场景下对不同角色的不同权限难以精准分配。这导致企业统一权限管理困难，也增加了因权限泄露和不当操作带来的安全风险。
• 权限生命周期管理难：在员工的入转调离全生命周期过程中，涉及权限的创建、增加、修改、禁用、删除等操作，需要IT部门逐个系统修改操作。例如：员工离职后，企业需要及时地收回其访问权限，但如何确保权限的及时回收，避免权限滥用和泄漏成为困扰多个企业的问题。
• 实现多维度权限控制难。企业需要在多个维度上控制权限，包括用户、角色、组织、应用程序、数据等。如何在不同维度上有效地控制权限，并实现细粒度的权限管理。
• 处理权限重叠问题难。在不同系统、服务和数据中，可能存在相同或类似的权限，如何处理权限之间的交集和冲突是一个难题。
• 技术集成困难。不同的应用程序和系统可能使用不同的身份认证和和授权机制，如何将这些机制集成到一个统一的权限治理框架中，是一个技术挑战。

02 Authing 统一权限治理解决方案

2.1 整体架构

2.2 Authing 权限中台优势

• 降低 80% 研发周期

以鉴权为例，在使用 Authing 前，开发者需要数十行代码才能生成，且需要多次查询数据库实现。

// 查询用户关联的角色列表
List<Subject> subjectList = client.getSubjectList(namespace, user);
// 查询对应角色关联的策略列表
List<Policy> policyList = client.getPolicyList(subjectList);
// 查询对应策略关联的资源列表List<Resource> resourceList = client.getResourceList(policyList);
// 查询对应资源所有的操作列表
List<Action> actionList = client.getActionList(resourceList);
// 过滤被拒绝的操作
List<Action> allowActionList = client.filterDenyAction(actionList);

if(user.role == "ADMIN"     
   ||     
   (user.geo == "CHINA"         
      && resourceList.contains(resource)         
      && allowActionList.contains(action)    
   )){
// 鉴权通过 
}

使用 Authing 后，两行代码搞定！

if(client.checkPermission(namespace, user, resource, action)){
// 鉴权通过
 }

• 降低 80% 数据泄露风险

避免企业出现研发人员删库跑路、离职人员依然保有关键系统权限问题，加强对企业核心资源控制力度，保护企业核心数据与资源资产安全。

• 提高 70% 审计效率

强化企业资源统一审计力度，促进企业精细化管理，帮助企业高效分析整个业务系统的用户行为与数据信息，提前识别潜在风险，降低企业内外部恶意攻击风险。

2.3 Authing 权限中台产品速览

• 细分资源类型：数据资源分为字符串（适用路径指代）、数组资源（适用数据集合）、树结构资源（适用菜单），更细粒度管控权限、更贴合业务场景。

• 策略化授权：授权更加清晰，将数据权限和资源权限灵活组合，提高资源管理效率。

• 权限视图：高效审计提高复杂场景授权效率，便于权限治理。

2.4 典型场景

• API 统一鉴权

当企业使用多个应用程序时，需要共享某些资源，例如用户信息、订单数据等。企业可以使用 API 统一鉴权来确保每个服务和应用程序都能够访问它们所需的资源。

例如，当用户访问订单管理功能时，订单微服务将向 API 统一鉴权服务发送一个包含访问令牌的请求。API 统一鉴权服务将验证访问令牌的有效性，并检查该用户是否具有访问订单管理的权限。如果验证通过，则订单微服务将返回用户的订单信息。如果验证不通过，则订单微服务将返回一个错误消息，表示该用户无权访问该资源。

• 功能菜单权限管理

企业的一些业务软件系统中常常会有多个功能菜单，如用户管理、订单管理、库存管理等。这些菜单需要根据用户的角色或权限进行控制，以确保每个用户只能访问其具有权限的功能菜单。

例如某企业的 ERP 系统需要对菜单进行权限管理。系统中有三种角色：管理员、销售员和采购员，管理员可以访问所有菜单，销售员只能访问销售相关的菜单，采购员只能访问采购相关的菜单。企业可以在功能菜单权限管理系统中定义这些角色，当用户登录系统时，系统会验证该用户的角色，并根据其角色来确定其可以访问的菜单。

• 数据权限管理

数据权限管理是指企业在数据访问控制方面对用户进行细粒度的控制，以确保每个用户只能访问其具有权限的数据。例如某企业员工的个人信息和薪资记录，需要对这些数据进行权限管理，以确保敏感数据只能被授权的用户访问，HR 部门可以访问所有员工的数据，而普通员工只能访问自己的数据。数据权限管理功能可以根据员工的部门、岗位、职级等信息，将员工分为不同的权限组，并控制每个权限组可以访问的数据范围。

当用户访问员工数据时，系统会验证该用户的身份和权限，并根据其权限来确定其可以访问的数据范围。如果用户尝试访问其没有权限的数据，系统将拒绝该请求，并返回一个错误消息，告诉用户他们没有权限访问该数据。

03 客户案例：某国有证券资管公司

某国有证券资管公司拥有十几万员工，业务遍布全国数百个分部。集团总部和分部又有不同的业务结构，从股东、监事、董事再到高级管理层、实际业务部门，每个大部门下属众多小部门，权限管理错综复杂，出现了系统数据割裂、权限管理流程复杂、审计工作量巨大等问题。

主要有以下三个痛点：

• 员工入转调离生命周期与业务系统权限流程割裂，每个业务系统需要单独维护权限体系，账号到期无法进行统一回收，无法满足合规性且存在数据泄露隐患。
• 现有业务体系下权限定义、分配流程复杂且重复，所有业务系统均要对相同的资管产品进行权限分配和开通。
• 权限数据采样、提取、抽查工作量巨大，缺少统一、直观的可视化权限审计平台。

在考察了国内外众多身份认证企业后，该公司选择了 Authing。Authing 基于事件驱动的云原生身份自动化管理平台，为该公司统一身份管理权限治理提供了解决方案：

• 输出身份业务最佳实践

深入业务场景调研身份、权限相关建设问题，并输出建设和管理规范。

• 打通上下游业务体系

Authing 打通资管公司的上游统一账号体系，通过统一权限网关集成业务系统，实现权限集中化的下放、分配和回收，一出配置，全局生效。

• 建立可视化审计平台

基于 Authing 安全审计和可视化能力，实现对于员工、管理员的细颗粒度审计合规需求，保证事后追踪和溯源。按照角色、用户、组织等多维度进行权限审阅。

• 身份自动化工作流

通过工作流画布灵活编排内外部身份管理业务流和数据流，依赖底层的元数据引擎和事件引擎，打造身份管理全生命周期可视化编排体验。

在使用 Authing 后，有效保证了该资管公司权限管理合规性与安全性，避免因员工入转调离权限管理混乱造成的数据泄漏风险。同时，降低了研发开发周期与成本，提高了企业运营效率。

添加官方微信 预约 Authing 权限治理专家进行沟通

Authing 是国内唯一以开发者为中心的全场景身份云产品，为企业和开发者提供高安全、高性能、高生产力的用户认证和访问管理服务。

Authing 目前已经服务包括可口可乐、招商银行、三星集团、复星集团、元气森林在内的 40000+ 企业和开发者。