隨著云計(jì)算的發(fā)展，越來(lái)越多企業(yè)產(chǎn)品業(yè)務(wù)向軟件服務(wù)平臺(tái)轉(zhuǎn)型。其中系統(tǒng)的權(quán)限設(shè)計(jì)是十分關(guān)鍵和重要的部分，本文以O(shè)2O業(yè)務(wù)為例講解SaaS系統(tǒng)權(quán)限設(shè)計(jì)。

1、系統(tǒng)需求

平臺(tái)管理員只能管理租戶的賬號(hào)和相關(guān)信息，不能操作租戶的內(nèi)部業(yè)務(wù)。各租戶擁有自己的角色和權(quán)限，相互不能影響。不同租戶的數(shù)據(jù)、服務(wù)在物理上共享，而在邏輯上完全隔離，對(duì)于每個(gè)租戶來(lái)說(shuō)這個(gè)系統(tǒng)好像只為自己服務(wù)。為了確保系統(tǒng)數(shù)據(jù)的安全性，使用戶能放心地將商業(yè)數(shù)據(jù)放在系統(tǒng)上使用，SaaS系統(tǒng)的權(quán)限管理在系統(tǒng)設(shè)計(jì)中成為尤為重要的一環(huán)。

2、RBAC權(quán)限模型

訪問(wèn)控制是針對(duì)越權(quán)使用資源的防御措施，目的是為了限制訪問(wèn)主體(如用戶等) 對(duì)訪問(wèn)客體(如數(shù)據(jù)庫(kù)資源等)的訪問(wèn)權(quán)限。企業(yè)環(huán)境中的訪問(wèn)控制策略一般有三種: 自主訪問(wèn)控制(DAC)、強(qiáng)制訪問(wèn)控制(MAC)和基于角色的訪問(wèn)控制(RBAC)。其中，自主訪問(wèn)、強(qiáng)制訪問(wèn)的工作量大，不便于管理。基于角色的訪問(wèn)控制是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效方法。

基于角色的訪問(wèn)控制基本原理是在用戶和訪問(wèn)權(quán)限之間加入角色這一層，實(shí)現(xiàn)用戶和權(quán)限的分離，用戶只有通過(guò)激活角色才能獲得訪問(wèn)權(quán)限。通過(guò)角色對(duì)權(quán)限分組，大大簡(jiǎn)化了用戶權(quán)限分配表，間接地實(shí)現(xiàn)了對(duì)用戶的分組，提高了權(quán)限的分配效率。且加入角色層后，訪問(wèn)控制機(jī)制更接近真實(shí)世界中的職業(yè)分配，便于權(quán)限管理。

RBAC模型是典型的基于角色的訪問(wèn)控制模型，包括RBAC0、RBAC1、RBAC2和RBAC3四個(gè)不同層次的模型。其中RBAC0是基礎(chǔ)模型，定義了支持RBAC的最小需求，如用戶、角色、權(quán)限、會(huì)話等概念，RBAC0模型圖解如圖2-1所示。RBAC1加入了角色繼承關(guān)系，可以根據(jù)組織內(nèi)部權(quán)力和責(zé)任的結(jié)構(gòu)來(lái)構(gòu)造角色與角色之間的層次關(guān)系; RBAC2加入了各種用戶與角色之間、權(quán)限與角色之間以及角色與角色之間的約束關(guān)系，如角色互斥、角色最大成員數(shù)等。RBAC3是對(duì)RBAC1和RBAC2的集成，它不僅包括角色的層次關(guān)系，還包括約束關(guān)系。

在RBAC模型中，角色是系統(tǒng)根據(jù)管理中相對(duì)穩(wěn)定的職權(quán)和責(zé)任來(lái)劃分，每種角色可以完成一定的職能。用戶通過(guò)飾演不同的角色獲得角色所擁有的權(quán)限，一旦某個(gè)用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。通過(guò)將權(quán)限指定給角色而不是用戶，在權(quán)限分派上提供了極大的靈活性和極細(xì)的權(quán)限指定粒度。

圖2-1 RBAC0模型圖解

3、SaaS平臺(tái)用戶設(shè)計(jì)

一般SaaS平臺(tái)基本角色由平臺(tái)管理員、租戶用戶、租戶管理員、租戶其他角色組成。如圖2-2以O(shè)2O業(yè)務(wù)的企業(yè)架構(gòu)為例，圖解系統(tǒng)角色關(guān)系。

圖2-2 SaaS平臺(tái)用戶設(shè)計(jì)圖解

平臺(tái)管理員：負(fù)責(zé)平臺(tái)的日常維護(hù)和管理，包括用戶日志的管理、租戶賬號(hào)審核、租戶狀態(tài)管理、租戶費(fèi)用的管理，租戶權(quán)限的管理，要注意的是平臺(tái)管理員不能對(duì)租戶的具體業(yè)務(wù)進(jìn)行管理。如果租戶數(shù)量大，還可以對(duì)平臺(tái)管理員劃分角色，可以按地域劃分，比如西北地區(qū)、東北地區(qū)等，讓平臺(tái)管理員分別管理不同的租戶;也可以根據(jù)業(yè)務(wù)進(jìn)行劃分，比如租戶管理員，租費(fèi)管理員等。

租戶：指訪問(wèn)SaaS平臺(tái)的用戶企業(yè)，在SaaS平臺(tái)中各租戶之間信息是獨(dú)立的。租戶信息包括租戶的名稱、地址等租戶企業(yè)的相關(guān)信息，主要用來(lái)區(qū)別各租戶，并且由平臺(tái)管理員對(duì)租戶賬號(hào)狀態(tài)進(jìn)行管理。各租戶可根據(jù)需要自行選擇SaaS平臺(tái)功能模塊并依此付費(fèi)。

租戶管理員：為租戶角色分配權(quán)限和相關(guān)系統(tǒng)管理、維護(hù)。

租戶用戶：根據(jù)租戶管理員分配的權(quán)限以及自己的角色進(jìn)行相關(guān)的業(yè)務(wù)管理。各租戶用戶只能訪問(wèn)該租戶選擇的 SaaS 平臺(tái)的功能模塊。一個(gè)系統(tǒng)用戶如果有多個(gè)角色，則他只能看到當(dāng)前角色下的數(shù)據(jù)，通過(guò)角色切換，可以達(dá)到查看所屬其他角色下的數(shù)據(jù)信息。

租戶角色：根據(jù)業(yè)務(wù)功能分由租戶管理員進(jìn)行角色劃分，劃分好角色后，租戶管理員可以對(duì)相應(yīng)的角色進(jìn)行權(quán)限分配。角色有上下級(jí)關(guān)系，上級(jí)可以查看下級(jí)的數(shù)據(jù)，下級(jí)不能訪問(wèn)上級(jí)的數(shù)據(jù)，平級(jí)之間不能相互訪問(wèn)。角色上層可再加入分組層(如分部門或團(tuán)隊(duì)等)，不同組別的數(shù)據(jù)范圍不同，資源、操作可以共享也可以隔離。