概览
IGA(Identity Governance & Administration,身份治理与管理)平台
跳板机 / 堡垒机(Jump Server / Bastion Host)
相关开源项目
可以参考一下老马开源的项目:
敏感词核心库: https://github.com/houbb/sensitive-word
敏感词控台:https://github.com/houbb/sensitive-word-admin
日志脱敏:https://github.com/houbb/sensitive
加密工具:https://github.com/houbb/encryption-local
一、平台定位
核心目标
-
统一权限管理:对用户、角色、组织、资源进行集中授权管理。
-
支持多种访问控制模型:
- RBAC(基于角色)
- ABAC(基于属性)
- 资源动作粒度控制
-
高性能授权决策:支持在线、高并发的实时权限校验。
-
权限可视化与审计:支持权限分析、风险预警和合规审计。
在企业体系中的位置
IAM 平台
├── UMS(用户管理系统)
├── Passport / SSO(统一认证平台)
├── Permission(权限管理)
├── App-Manage(应用管理)
└── Audit(审计与合规)- Permission 平台依赖 UMS 提供用户/组织信息
- 与 Passport/SSO 配合进行认证后的授权决策
- 提供给 应用系统 / 服务 / API 网关 权限判断能力
二、核心功能模块
Permission 平台
├── 资源管理
├── 动作管理
├── 角色管理
├── 用户/组织授权
├── 策略引擎
├── 权限校验接口(PEP)
├── 权限审计与报表
└── 访问策略分析资源管理
-
定义企业级资源模型:
- 系统资源、应用模块、接口、数据表、文件对象等
-
支持资源分层、命名规范、版本化
-
维护资源生命周期与状态
动作管理
-
对资源的操作动作建模:
- 增删改查(CRUD)
- 特殊操作(审批、发布、导出)
-
与资源绑定形成 资源动作矩阵
-
支持权限粒度到最小操作级别
角色管理
- 支持企业角色创建、继承、分层
- 角色与资源动作的授权关联
- 支持动态角色与业务角色绑定
- 可与组织结构动态映射权限
用户 / 组织授权
- 用户直接授权
- 组织继承授权
- 支持按部门、项目、业务域等维度批量授权
- 支持多租户或多域权限隔离
策略引擎(Policy Engine)
-
权限计算与决策(PEP / PDP)
-
支持 RBAC / ABAC / Attribute-based 规则
-
支持条件表达式:
- 时间段限制
- IP / 地域限制
- 业务属性(数据范围 / 部门 / 项目)
权限校验接口(PEP)
-
提供 API / SDK 给业务系统调用:
- 在线授权校验
- 批量权限查询
- 数据级权限过滤
-
支持高并发访问与缓存优化
权限审计与报表
- 权限变更日志
- 用户/角色/组织权限审计
- 异常访问预警
- 权限风险分析(冗余、冲突、越权)
访问策略分析
- 可视化权限矩阵
- 权限覆盖率分析
- 潜在权限冲突与最小权限建议
三、核心技术能力
| 能力 | 说明 |
|---|---|
| 资源动作建模 | 企业资源与操作动作矩阵化、粒度可控 |
| 高性能决策 | 在线权限校验低延迟 (<5ms),支持百万级用户 |
| 多模型支持 | RBAC / ABAC / 自定义策略引擎 |
| 数据级权限 | 支持 SQL / API / UI 数据级访问控制 |
| 可视化管理 | 权限矩阵、继承关系、异常分析图表 |
| 审计与合规 | 权限变更、访问日志、风险分析 |
| 可扩展性 | 支持多租户、跨业务域、策略扩展 |
四、企业级架构设计
Permission Platform
├── 资源与动作管理
├── 角色与用户授权
├── 策略引擎 (PDP)
├── 权限校验接口 (PEP)
├── 权限缓存 / 高性能存储
├── 审计与报表
└── 可视化管理界面