在SaaS（软件即服务）平台中,企业账号的管理是非常重要的。本文将从统一身份管理系统(UIMS)的角度,对企业账号的注册、认证以及模型设置等关键环节进行分析和阐述。UIMS可以看作是多租户架构的升级版,是整个平台账号和权限管控的基础性系统,涵盖了集中账号管理、集中认证管理、集中授权管理和集中审计管理等关键功能。

一、概述

统一身份管理系统(UIMS)主要关注4个方面,即4A管理:

1. 集中账号管理(Account)

2. 集中认证管理(Authentication)

3. 集中授权管理(Authorization)

4. 集中审计管理(Audit)

UIMS基于"统一身份治理"的概念,可划分为两级账户体系、基础权限模块和基础信息模块三大模块。两级账户体系将账户分为组织实体账号和个人实体账户,个人实体可从属于多个组织实体。基础权限模块负责各业务系统资源权限的统一管理和授权,基础信息模块描述组织和个人实体的基本信息。UIMS提供统一的API与各子系统连接。

二、两级账户体系和基础权限模块

基于"统一身份治理"理念,UIMS采用两级账户体系,分为组织实体和个人实体两类。个人实体可从属于一个或多个组织实体,也可不从属任何组织。两类账户体系在权限和功能上有所不同,但相互独立,不会相互干扰。

1. 原则

UIMS遵循以下几个基本原则:

个人账户统一原则:个人账户一次注册,全平台通用

• 业务权限独立原则:每个子系统的权限体系是独立管理的

• 组织实体隔离原则:不同组织实体之间是相互隔离、独立管理的

• 从属关系隔离原则:个人账户与组织实体的从属关系与具体业务系统相关

2. 权限模型

UIMS采用OS-RBAC权限模型,即组织实体-业务系统-用户-角色-权限标识。权限标识与资源标识(逻辑资源和实体资源)、条件标识(如可见组织架构范围、时间限定等)关联。每个权限标识都与具体的业务系统关联。

此外,UIMS还引入了权限策略组的概念,为简化权限配置提供便利。策略组可以横跨业务系统进行平台级的资源权限绑定。

3. 实体类型

UIMS涉及的实体类型包括:

组织实体(未认证/已认证)

• 个人实体(未认证/已认证,未从属/从属单个/从属多个组织)

• 组织管理员

4. 用户分类

UIMS将用户分为以下几类:

组织管理员

• 组织成员(从属单个组织)

• 组织成员(从属多个组织)

• 独立个人用户(未从属组织)

三、基础信息模块

UIMS的基础信息模块主要针对个人实体和组织实体,包括企业工商信息、通用信息等。为满足信息结构的灵活性和扩展性,UIMS采用EAV(Entity-Attribute-Value)数据模型或采用松散型数据结构的数据库方案(如MongoDB)。

四、其他功能模块

UIMS还提供以下功能模块:

1. 软件授权:针对用户账户和组织账户进行灵活的付费授权管理

2. 组织入驻:提供组织实体注册登记的流程

3. 实名认证:包括个人账户和组织账户的实名认证

4. 资质审核:实名认证过程中的人工核查,以及对实体提交的额外资质的审核

5. 组织绑定/解绑:个人账户与组织实体的从属关系管理

6. 账户注销:个人账户和组织账户的注销

7. 私有化部署:对特定客户提供私有化部署方案

总的来说,UIMS需要定义和处理好各类实体及其关系,提供鉴权API和业务API,并实现统一注册、统一登录、软件授权等功能,满足SaaS平台的账号管理需求。