郑昀 基于朱传志的设计文档 最后更新于2014/11/13
关键词:LDAP、认证、权限分配、IdCenter、
本文档适用人员:研发
曾经一个IT内部系统配一套帐号体系和授权
线上生产环境里,技术人员需要登录许多内部系统,如:
- memcached/redis/mongodb 的管控系统
- 譬如我得有个把线上某个 memcached 的某个业务端口下某个/某些键值清空的 Web 界面吧;
- 譬如我得有个查出某个缓存键值并选择用哪一个Java Class反序列化的功能吧;
- jobcenter/notifyserver/推荐评测 的控制台
- dubbo 的服务治理控制台
- 持久化配置中心 的控制台
- CobarManager 控制台
- ……
每个IT系统都是不同人开发的,如果每个人都设计自己的用户体系和RBAC权限体系,第一重复制造轮子浪费体力,第二大家需要记住无数系统入口和帐号密码,第三每当有离职时还得记得逐一禁用账户。
所以在 JobCenter/NotifyServer/Diamond/Dubbo 等陆续上线后,孟珂和传志于2013年又开始运作起内部统一认证系统。
IdCenter 要干什么?
目标是建立一个内部各个管理系统能统一使用的用户认证和权限管理中心,以提高各个内部系统的安全性,并统一和简化内部系统的权限开发工作。具体包括:
- 进行内部管理系统的统一用户认证和各种权限管理;
- 兼容现有的各个内部管理系统;
- 记录部分系统访问日志。
用户来自于哪里?是 IdCenter 自己创建出来的?不。是运维在 UNIX/Linux 环境下通过 OpenLDAP 配好 LDAP 服务,IdCenter 根据 LDAP 协议同步用户过来。这样有几个好处:
- 开启用户、禁用/删除用户只需要在一个集中的地方做;
- 不仅仅研发的内部管理系统可以用,运维 DevOps 的内部管理系统也可以用这套用户体系;
- 不需要重复制造轮子。
注意不是自动同步,而是手动同步,如下图所示:
图0 同步LDAP数据
系统分为两部分:
- 认证中心:
- 用户登录和密码修改
- 控制界面,可以对用户和权限进行设置
- 接收过滤客户端的权限验证请求,并作出判断
- 过滤客户端(filter):
- 安装在各个内部管理系统中
- 过滤用户的访问请求
- 向认证中心发起用户和权限认证请求
- 根据认证中心回复阻拦或放行用户访问请求
业务流大致如下:
图1 授权方式
由于内部系统可能是 Java/PHP/dotNET/Python 等开发语言,所以要求权限检查接口具有跨语言跨平台性,于是朱传志的权限检验接口统一提供为 HTTP+Json 格式调用。
为了保证校验效率,IdCenter 使用内存缓存以提高权限验证时间,它缓存下面两项内容:
- 用户->组List
- URL->组List
它使用常用驻留和设置过期方式,校验会在两个组List之间进行比对 。
IdCenter 怎么控制权限?
由于不愿意在权限控制时涉及各个管理系统的业务逻辑,所以朱传志约定权限是针对 URL(或者说是 URI) 的,如下图2所示,首先我们会录入要管辖的管理系统的 URL。
图2 录入各种URL
然后我们要设定用户组,如下图3所示:
图3 设置分组
点击“设置URL”按钮,我们为这个分组设定它都可以对哪些 URL 有权限访问:
图4 为分组设置URL
还可以为分组设置该用户组都包含哪些用户:
图5 为分组设置用户
IdCenter 的记录访问日志功能
我们终于可以在一个集中的地方看到内部各个管理系统的登录日志了,嘿呀:
图6 登录日志
我们还可以按用户来查看他于什么时间使用了哪些权限(也就是访问了哪些登记在册的 URL):
图7 权限日志
好了,最后我们看一下完整的 IdCenter 首页吧:
图8 首页
这就是 IdCenter,一个为了不重复制造轮子而制造出来的解决方案。
-over-
相关推荐
中小企业Call Center 解决方案
云计算产品及解决方案 12 H3C 数据中心SDN解决方案 13 网络菁英培训 vBRAS 片区SE培训-云解决方案 片区招投标培训-技术部 行业二部解决方案培训(办SE) 春季广域网虚拟化解决方案培训 FY16移动IT解决方案...
center system 模具管理系统解决方案
这些组件一般包括:前端通讯子系统、呼叫分配子系统、计算机电话连接子系统、自动语音应答子系统、人工座席子系统、客户数据库子系统、业务前置机子系统、Internet服务子系统、呼叫中心管理子系统、以及 全程实时...
System Center DPM云灾备解决方案.docx
数据中心基础网络解决方案 数据中心基础网络解决方案 数据中心(Data Center,DC)是数据大集中而形成的集成IT应用环境,是各种IT应用业务的提供中心,是数据计算、网络传输、存储的中心。数据中心实现了IT基础设施...
Avaya Interaction Center 7.1交互中心解决方案
目录: 网盘文件,永久连接 U-Center dbman及智动运维平台 U-Center ICCBSMUEM告警答疑(上) U-Center ICCBSMUEM告警答疑(下) U-Center 性能及CMDB U-Center 设备配置管理及BSM ...统一运维U-Center解决方案
Avaya保险行业Call Center解决方案,非常详细的技术方案。
宅急送系统方案问题 系统实施方案 呼叫中心(Call Center)的建立 企业组织结构图
英立讯汽车行业呼叫中心运用先进CTI技术,使用户可以通过电话或传真的方式与企业客户服务中心进行通讯,在语音提示下(IVR)完成各类通讯操作,不仅可获得语音咨询、传真资料、E-mail等多功能传输,同时系统还具有...
联想ThinkCloud Center云计算平台解决方案.pptx
Microsoft System Center解决方案助您更高效的优化数据中心
xx银行虚拟桌面架构解决方案 目 录 1. VMWARE虚拟架构简介及解决方案综述 1 1.1. VMWARE虚拟架构简介 1 1.2. VMWARE解决方案综述 2 1.2.1. VMware服务器整合解决方案 2 1.2.2. VMware商业连续性解决方案 5 1.2.3. ...
联想ThinkCloud+Center云计算管理平台解决方案
联想Thinkcloud Center Foundation云管理平台解决方案.pptx
智慧城市数字孪生IOC(Intelligent Operation Center,智能运营中心)系统解决方案是一个全面、集成化的方案,旨在通过数字孪生技术,实现城市各维度数据的实时收集、处理、分析和可视化,以支持城市的高效、智能...
内容大纲 VSIP虚拟化系统概述 VSIP虚拟化系统功能 VSIP虚拟化系统性能 VSIP虚拟化系统安全性 VSIP虚拟化系统兼容性 VSIP成功客户应用案例 关于盛思睿 VSIP服务器虚拟化解决方案全文共35页,当前为第2页。...
H3 C SecPath A2000运维审计系统mp4 ISM&CMDB运维管理服务方案培训mp4 统一运维 U-Center解决方案mp4 智能运维云产品介绍mp4