UMS sso-03-聊一聊如何实现内网权限 sso 系统?

项目

前后端合一:

privilege-admin 权限管理

前后端分离：

ums-server

ums-server-h5

内网-内部系统

我们将不同的用户系统拆分开。

让内部的用户系统尽可能的简单，可以作为一切系统的基石。

简单的系统，适用性也更强。

为什么从 ums 开始？

人，作为万物的尺度。

人的关系，作为公司的基石。

拓展系统

ums 统一用户

sso 统一登录

passport 统一权限

cmdb 统一资源

审批流：便于留痕+追溯==》标准化 统一审批

统一事件？

chat

侧重于 sso

对于企业内部使用的 SSO（Single Sign-On）系统，其核心能力应涵盖以下几个关键领域：

1. 统一身份认证

• 集中认证中心：提供一个中心化的认证服务，支持多种身份认证方式（如用户名密码、OTP、二次认证等）。
• 多协议支持：支持常见的认证协议，如 SAML 2.0、OAuth 2.0、OpenID Connect，确保与不同应用的兼容性。

2. 身份管理

• 用户注册与管理：支持用户信息的创建、更新、删除等基本管理功能。
• 用户权限分配：基于角色或用户属性分配不同应用的访问权限。
• 身份同步：能够与公司目录（如 LDAP、Active Directory）同步用户身份信息。

3. 多因素认证（MFA）

• 二次认证支持：提供额外的身份验证手段，如短信验证码、TOTP（时间一次性密码）、生物识别等。
• 自适应认证：根据风险等级动态要求额外的认证方式（如登录地点、设备、时间等）。

4. 会话管理

• 单一会话管理：一旦用户在一个应用中登录，SSO系统应允许用户访问其他受保护应用而不需再次登录。
• 会话超时与注销：支持自动注销，确保会话在一定时间后自动失效，或在用户主动注销时清除所有相关会话。

5. 访问控制与权限管理

• 细粒度授权：在SSO系统中整合细粒度的权限管理，确保不同角色/用户访问不同资源时有严格的权限控制。
• 基于角色的访问控制（RBAC）：根据用户角色分配不同的应用权限和访问范围。

6. 单点注销（SSO Logout）

• 全局注销：用户在任何一个应用注销时，所有关联的应用也应同步注销，确保安全。
• 跨应用注销协议：如 SAML 的 Single Logout（SLO）协议，确保跨多个应用的注销流程能够一致执行。

通过这些核心能力，SSO系统不仅能为员工提供简化的认证体验，还能提升系统的安全性、合规性和可管理性。

内部用户的基本信息，会有哪些属性？

内部用户的基本信息通常包括以下属性，这些属性有助于管理、识别和维护员工数据。

具体的属性取决于企业的业务需求和系统设计，但以下是一些常见和关键的属性：

1. 个人信息

• 姓名（Full Name）：员工的全名，通常用于识别和沟通。
• 性别（Gender）：员工的性别信息。
• 出生日期（Date of Birth）：员工的出生日期，用于年龄、福利等管理。
• 身份证号（ID Number/Identity Card Number）：唯一的身份证明号码（如中国的身份证号或其他国家的政府颁发的ID号）。
• 联系电话（Phone Number）：员工的联系方式，用于紧急联系。
• 电子邮件地址（Email Address）：员工的企业邮件地址，通常作为登录名和联系信息。
• 照片（Profile Picture）：员工的个人头像，便于识别。

2. 工作相关信息

• 员工编号（Employee ID）：每个员工的唯一标识符，用于系统内部识别。
• 岗位名称（Job Title）：员工的职位或职务名称。
• 部门名称（Department）：员工所属的部门名称。
• 直属上级（Manager/Supervisor）：员工的直接上级或管理者。
• 入职日期（Joining Date）：员工加入公司或部门的日期。
• 工作地点（Work Location）：员工所在的办公地点，可能是一个固定的办公室地址或远程工作等。
• 工龄（Years of Service）：员工在公司工作的年限，通常与晋升、奖励等关联。

部门、团队和职位 三者之间的联系是什么样的？

部门、团队和职位在组织结构中相互联系，共同构成了企业的运作框架。它们之间的关系可以这样理解：

1. 部门与职位：
   • 包含关系：部门由多个职位组成。每个部门都有一系列的职位，这些职位定义了该部门需要完成的工作内容和职责。
   • 管理关系：职位通常向部门管理层汇报。部门经理或主管负责监督和管理下属职位的工作，确保部门目标的实现。
   • 支持关系：各个职位的工作是为了支持部门的职能和目标。职位的设计和工作内容通常与部门的职能紧密相关。
2. 部门与团队：
   • 组建关系：团队通常是根据部门的需要组建的。部门经理可能会根据工作需求，组建特定的团队来完成某些项目或任务。
   • 协作关系：团队成员可能来自同一个部门的不同职位，他们需要协作以实现团队目标。团队的工作成果通常有助于实现部门的长期目标。
   • 临时与长期：与部门相比，团队可能是临时性的，专注于特定的项目或任务。而部门是长期存在的，负责持续的职能管理。
3. 团队与职位：
   • 组成关系：团队由多个职位的员工组成。这些员工可能是来自同一个部门，也可能是跨部门合作。
   • 协作关系：团队中的每个职位都有特定的角色和职责，他们需要相互协作，共同完成团队的目标和任务。
   • 灵活性：团队中的职位可能会根据项目需求进行调整。团队解散后，成员可能会回到原来的部门或加入新的团队。
4. 共同目标：
   • 无论是部门、团队还是职位，它们都围绕着组织的整体目标和战略进行工作。部门的职能目标、团队的项目目标以及职位的个人目标都应该与组织的整体目标保持一致。
5. 沟通与协调：
   • 部门、团队和职位之间需要有效的沟通和协调机制，以确保信息流通、资源分配和工作协调。部门经理通常负责协调团队和职位的工作，以支持部门和组织的目标。
6. 动态发展：
   • 随着组织的发展和市场的变化，部门的结构、团队的组成和职位的职责都可能发生变化。因此，组织需要灵活地调整这些组成部分，以适应外部环境和内部需求的变化。

总的来说，部门、团队和职位是组织结构中相互依赖、相互支持的组成部分。

它们共同确保了组织能够高效运作，实现其战略目标。

参考资料

• 项目
• 内网-内部系统
• 为什么从 ums 开始？
  • 拓展系统
• chat
  • 侧重于 sso
    • 1. 统一身份认证
    • 2. 身份管理
    • 3. 多因素认证（MFA）
    • 4. 会话管理
    • 5. 访问控制与权限管理
    • 6. 单点注销（SSO Logout）
  • 内部用户的基本信息，会有哪些属性？
    • 1. 个人信息
    • 2. 工作相关信息
  • 部门、团队和职位 三者之间的联系是什么样的？
• 参考资料