bk-iam-saas
bk-iam-saas copied to clipboard
TencentBlueKing
BK-IAM is a centralized permission management service provided by The Tencent BlueKing; based on ABAC
当前用户组添加组织时,默认时包含子级组织下所有用户,用户希望可以只对当前层级组织授权。
### 机制 勾选了过滤后,只有当点开具体组织时才会去动态过滤掉无权限的组织/用户(当然也可以一次性过滤)
`A -> B -> C` - 需要同时申请 A/B/C 三个系统的权限 - 目前的协议, 只支持申请一个系统的权限(无权限链式依赖, 只能透一级) - 目前的申请单, 只支持一个系统 -------- 需求: 多个系统链式调用, 补齐所有无权限的申请数据, 然后一次性提交, 批量申请
目标: 尽可能降低用户的接入成本 ## 第一期: 体验良好的页面接入 > 重要, 当前版本bug需要尽快修复 - [ ] 前端: 需要确保现有的功能正常 - [ ] 前端: 校验增强, 提交前就能提示到(格式/长度/中英文) - 优化整体表单的校验体验 - [ ] 前端: 需要增加一些业务上的校验(产品给到) - 实例视图两个节点不能选相同的资源类型; 一种资源类型不能在一条链路上出现两次 -...
场景: - 调试期间清理无用系统 - 系统下线后的数据清理 ----- - 删除某个接入系统的所有数据 - 删除系统的权限数据(不清理权限模型)
## 实现方式 ### 1. 沿用之前的search接口 - 先查询所有满足关键字的部门与用户 - 再匹配角色的subjects scope筛选出满足范围的数据 问题: 查询满足关键字的部门与用户时的数据大小不可控 ### 2. 通过subjects的范围来反推满足关键字的数据 - 查询scope范围内的所有的子孙部门id - 查询所有部门下的所有user_id - 再通过关键字筛选出满足的数据 问题: 第2步的时候, 很多部门的所有用户数量会非常大 ### 3. 建议从产品上考虑其它方式 - 用户先选择范围内指定的一个部门, 然后关键字搜索部门内满足的数据
目前产品上用户组自定义和模板权限的更新都是直接覆盖的,不是对比出新增和删除的资源实例,而提供的OpenAPI确实新增和删除资源实例的权限 这样会导致:API新增授权可能不生效 比如: 用户在页面上更新权限,看到A/B/C,然后删了C,同时加上E, 在未提交保持的情况下而OpenAPI授权了D资源实例权限后,这时再提交后权限会变成A/B/E, 也就是通过OpenAPI授权的D权限不生效 解决方案:页面上提交的数据包含修改前和修改后的数据,由后台进行对比出新增和删除的资源实例,然后再变更权限
### 核心场景描述 不同身份的用户,进入到平台时,会基于其身份授予不同范围菜单访问权限以及页面的操作权限。 例如审计人员只能看到各个saas的审计日志,对saas的其他功能页面没有访问权限。 ### 痛点、动机 当前很多金融行业的客户都有审计人员的介入,需要查看平台下的各种操作和记录是否合规等等,于此同时也要求管理员和使用者要严格区分开。因此提出了三员分立的概念。 ### 需求 需求约束:身份互斥,用户只能属于以下一种身份,例如用户A不能既是管理员,又是审计员。 审计员:只能查看平台中所有saas的审计日志,无其他页面的访问权限和功能操作权限 管理员:与先有管理员权限一致,用于对用户授权权限。不同在于管理员用户 操作员:即现在平台中的普通用户,能被管理员授予平台中产品的任何访问、操作权限
关联issue: https://github.com/TencentBlueKing/bk-iam-saas/issues/574 https://github.com/TencentBlueKing/bk-iam-saas/issues/851 解决审计信息save慢的问题 => 寻找更好的方式, 比如[异步](https://docs.djangoproject.com/en/4.0/topics/async/) 等等方式
Metadata
Owner
Metadata
BK-IAM is a centralized permission management service provided by The Tencent BlueKing; based on ABAC