概览
IGA(Identity Governance & Administration,身份治理与管理)平台
跳板机 / 堡垒机(Jump Server / Bastion Host)
相关开源项目
可以参考一下老马开源的项目:
敏感词核心库: https://github.com/houbb/sensitive-word
敏感词控台:https://github.com/houbb/sensitive-word-admin
日志脱敏:https://github.com/houbb/sensitive
加密工具:https://github.com/houbb/encryption-local
一、平台定位
核心目标
- 统一应用管理:提供企业内部及外部应用统一注册、分类、生命周期管理。
- 接入 IAM 权限体系:对接 UMS / Passport / Permission,实现统一认证与授权。
- 应用安全与合规:统一管理应用密钥、凭证、访问策略。
- 服务发现与集成:支撑开发者快速接入企业平台服务与 API。
在企业体系中的位置
企业应用体系
├── App-Manage(应用管理平台)
│ ├── 注册应用
│ ├── 生命周期管理
│ └── 权限与密钥管理
├── UMS(用户管理)
├── Passport / SSO(统一认证)
├── Permission(权限管理)
└── Audit(审计与合规)- App-Manage 是 应用接入和管理入口,其他 IAM 系统依赖它进行应用身份认证与权限关联。
二、核心功能模块
App 管理平台
├── 应用注册与目录
├── 应用生命周期管理
├── 应用认证与密钥管理
├── 权限与访问策略绑定
├── 开发者服务接入
├── 监控与报表
└── 审计与合规应用注册与目录
- 提供企业内部应用、第三方应用统一注册入口
- 分类管理:系统类型(内部系统、SaaS、移动端、Web)
- 应用信息管理:应用名称、ID、版本、负责人、组织归属
- 支持多租户或多业务域注册
应用生命周期管理
-
生命周期状态:
- 草稿 / 测试 / 发布 / 下线
-
发布审批流:
- 审核负责人、合规审批、发布控制
-
版本管理:
- 应用版本、API 版本、配置版本统一管理
-
下线流程:
- 权限回收、依赖检查、日志归档
应用认证与密钥管理
-
API Key / Client Secret 管理
-
OAuth2 / OIDC 客户端注册与管理
-
HSM / KMS 集成:
- 加密密钥管理,保证凭证安全
-
自动化密钥轮换策略
权限与访问策略绑定
- 对接 UMS / Permission / Passport
- 应用 → 角色 → 权限 → 用户 的访问控制链路
- 支持不同环境(测试 / 生产)权限隔离
- 支持灰度发布与限流策略
开发者服务接入
-
提供 SDK / API 统一接入入口
-
应用服务注册:
- API 服务、消息队列、数据库、微服务模块
-
支持 Mock / 测试环境快速接入
监控与报表
-
应用接入情况统计:
- 已注册应用数量、活跃度、版本分布
-
安全与认证监控:
- API 调用量、认证成功率、异常请求统计
-
性能与可用性监控:
- API 延迟、依赖服务可用性
审计与合规
- 应用注册/修改/下线日志
- 密钥/凭证变更审计
- 权限授权操作审计
- 提供合规报表支持 ISO / SOC / GDPR
三、核心技术能力
| 能力 | 说明 |
|---|---|
| 应用统一接入 | 注册、认证、权限绑定集中管理 |
| 生命周期管理 | 发布、版本、下线、灰度全流程管理 |
| 安全密钥管理 | API Key / OAuth2 Secret / HSM / KMS 集成 |
| 权限链路 | 对接 UMS / Permission / Passport,实现统一访问控制 |
| 多环境隔离 | 测试/预发/生产环境权限与配置隔离 |
| 开发者友好 | SDK/API 接入、自动化注册、快速 Mock 支持 |
| 监控和审计 | 接入统计、安全监控、权限审计报表 |
四、企业级架构设计
App-Manage Platform
├── 应用注册与目录服务
├── 生命周期管理服务
├── 认证与密钥管理服务
├── 权限绑定服务
├── 开发者接入与 SDK/API 服务
├── 监控与告警服务
└── 审计与合规服务