概览
IGA(Identity Governance & Administration,身份治理与管理)平台
跳板机 / 堡垒机(Jump Server / Bastion Host)
相关开源项目
可以参考一下老马开源的项目:
敏感词核心库: https://github.com/houbb/sensitive-word
敏感词控台:https://github.com/houbb/sensitive-word-admin
日志脱敏:https://github.com/houbb/sensitive
加密工具:https://github.com/houbb/encryption-local
一、平台定位
核心目标
- 身份全生命周期管理:从用户入职、变更到离职全流程管理。
- 访问权限治理:定期审计、风险识别、最小权限建议。
- 合规与审计闭环:满足 SOX、ISO、SOC、GDPR 等法规要求。
- 自动化身份流程:自动化审批、角色分配、权限回收。
在企业 IAM 架构中的位置
IAM 平台
├── UMS(用户管理)
├── Passport / SSO(统一认证)
├── Permission(权限管理)
├── App-Manage(应用管理)
├── Audit(审计中心)
└── IGA(身份治理与管理)-
上游依赖:
- UMS 提供用户及组织信息
- Passport 提供认证事件
- Permission 提供权限状态
-
下游提供:
- 审计中心用于合规报告
- IAM 系统用于身份和访问控制决策
二、核心功能模块
IGA 平台
├── 用户生命周期管理
├── 角色管理与 RBAC
├── 权限认证与访问请求
├── 身份与访问审计
├── 风险与合规分析
├── 自动化工作流
└── 报表与可视化用户生命周期管理
- 入职:用户信息同步、初始角色与权限分配
- 变更:部门调动、职位变更、权限调整
- 离职/离岗:自动回收所有权限、注销账号
- 支持多租户与多域身份管理
角色管理与 RBAC
- 企业角色库:定义标准角色、业务角色、临时角色
- 角色继承与组合:支持父子角色、复合角色
- 动态角色映射:根据属性或组织结构动态分配角色
权限认证与访问请求
- 自助申请:用户可申请访问权限
- 审批流程:多级审批、条件审批、自动审批
- 访问策略:按时间、项目、组织、数据维度控制权限
身份与访问审计
- 用户身份变更日志
- 权限分配/撤销记录
- 临时角色/权限使用记录
- 支持与 Audit 平台联动,实现全链路审计
风险与合规分析
-
风险识别:
- 超权限账号、权限冗余
- 访问权限冲突(Segregation of Duties, SoD)
-
定期审计:
- 角色审计、权限审计、用户访问审计
-
最小权限分析:优化权限配置,降低安全风险
自动化工作流
- 身份申请、审批、权限分配、权限回收全流程自动化
- 支持与 HR 系统、业务系统 API 集成
- 可自定义审批策略与触发条件
报表与可视化
- 用户身份状态、权限覆盖情况、风险事件统计
- SoD 冲突可视化
- 权限回收与合规报告生成
三、核心技术能力
| 能力 | 说明 |
|---|---|
| 用户生命周期管理 | 入职/变更/离职全流程管理 |
| 角色与权限治理 | RBAC/动态角色/最小权限策略 |
| 自动化审批与工作流 | 自助申请、多级审批、权限自动分配回收 |
| 风险与合规分析 | SoD 冲突、权限冗余、异常访问检测 |
| 集成能力 | HR 系统、业务应用、IAM 系统 API 集成 |
| 报表与可视化 | 用户身份、角色/权限覆盖、合规审计报表 |
| 审计闭环 | 全链路日志可追溯,支持 Audit 集成 |
四、企业级架构设计
IGA Platform
├── 用户生命周期管理
├── 角色管理与权限库
├── 访问请求与审批工作流
├── 风险评估与合规分析
├── 自动化身份流程
├── 报表与可视化
└── 审计接口与数据集成