成熟企业级技术平台 MVE-010-IGA（Identity Governance & Administration，身份治理与管理）平台

概览

UMS 平台

PASSPORT 平台

SSO 平台

PERMISSION 平台

应用管理

审计中心

IGA（Identity Governance & Administration，身份治理与管理）平台

跳板机 / 堡垒机（Jump Server / Bastion Host）

相关开源项目

可以参考一下老马开源的项目：

敏感词核心库: https://github.com/houbb/sensitive-word

敏感词控台：https://github.com/houbb/sensitive-word-admin

日志脱敏：https://github.com/houbb/sensitive

加密工具：https://github.com/houbb/encryption-local

chat

一、平台定位

1️⃣ 核心目标

• 身份全生命周期管理：从用户入职、变更到离职全流程管理。
• 访问权限治理：定期审计、风险识别、最小权限建议。
• 合规与审计闭环：满足 SOX、ISO、SOC、GDPR 等法规要求。
• 自动化身份流程：自动化审批、角色分配、权限回收。

2️⃣ 在企业 IAM 架构中的位置

IAM 平台
├── UMS（用户管理）
├── Passport / SSO（统一认证）
├── Permission（权限管理）
├── App-Manage（应用管理）
├── Audit（审计中心）
└── IGA（身份治理与管理）

• 上游依赖：

  • UMS 提供用户及组织信息
  • Passport 提供认证事件
  • Permission 提供权限状态

• 下游提供：

  • 审计中心用于合规报告
  • IAM 系统用于身份和访问控制决策

---

二、核心功能模块

IGA 平台
├── 用户生命周期管理
├── 角色管理与 RBAC
├── 权限认证与访问请求
├── 身份与访问审计
├── 风险与合规分析
├── 自动化工作流
└── 报表与可视化

1️⃣ 用户生命周期管理

• 入职：用户信息同步、初始角色与权限分配
• 变更：部门调动、职位变更、权限调整
• 离职/离岗：自动回收所有权限、注销账号
• 支持多租户与多域身份管理

2️⃣ 角色管理与 RBAC

• 企业角色库：定义标准角色、业务角色、临时角色
• 角色继承与组合：支持父子角色、复合角色
• 动态角色映射：根据属性或组织结构动态分配角色

3️⃣ 权限认证与访问请求

• 自助申请：用户可申请访问权限
• 审批流程：多级审批、条件审批、自动审批
• 访问策略：按时间、项目、组织、数据维度控制权限

4️⃣ 身份与访问审计

• 用户身份变更日志
• 权限分配/撤销记录
• 临时角色/权限使用记录
• 支持与 Audit 平台联动，实现全链路审计

5️⃣ 风险与合规分析

• 风险识别：

  • 超权限账号、权限冗余
  • 访问权限冲突（Segregation of Duties, SoD）

• 定期审计：

  • 角色审计、权限审计、用户访问审计

• 最小权限分析：优化权限配置，降低安全风险

6️⃣ 自动化工作流

• 身份申请、审批、权限分配、权限回收全流程自动化
• 支持与 HR 系统、业务系统 API 集成
• 可自定义审批策略与触发条件

7️⃣ 报表与可视化

• 用户身份状态、权限覆盖情况、风险事件统计
• SoD 冲突可视化
• 权限回收与合规报告生成

---

三、核心技术能力

能力	说明
用户生命周期管理	入职/变更/离职全流程管理
角色与权限治理	RBAC/动态角色/最小权限策略
自动化审批与工作流	自助申请、多级审批、权限自动分配回收
风险与合规分析	SoD 冲突、权限冗余、异常访问检测
集成能力	HR 系统、业务应用、IAM 系统 API 集成
报表与可视化	用户身份、角色/权限覆盖、合规审计报表
审计闭环	全链路日志可追溯，支持 Audit 集成

---

四、企业级架构设计

1️⃣ 逻辑架构

IGA Platform
├── 用户生命周期管理
├── 角色管理与权限库
├── 访问请求与审批工作流
├── 风险评估与合规分析
├── 自动化身份流程
├── 报表与可视化
└── 审计接口与数据集成

2️⃣ 核心数据模型示例

• iga_user：用户信息表
• iga_role：角色信息表
• iga_role_assignment：角色分配表
• iga_permission_request：访问权限申请表
• iga_permission_audit：权限审批与变更记录
• iga_risk_event：权限冲突或异常事件表
• iga_compliance_report：合规审计报表表

---

五、典型功能场景

场景	描述
入职自动分配权限	用户入职后自动分配角色与应用权限
离职自动回收权限	用户离职或调岗后自动撤销权限
权限申请与审批	用户自助申请权限，审批自动流转
SoD 冲突检测	分析权限组合冲突并提示风险
权限冗余优化	定期审计权限使用，建议最小权限配置
合规报表生成	自动生成用户访问、权限、风险合规报表

---

六、建设价值

1. 身份治理闭环：管理整个用户身份生命周期
2. 权限合规与风险控制：检测超权限、权限冲突、冗余
3. 自动化与高效运维：权限申请、审批、回收自动化
4. 审计与合规支持：满足 SOX / ISO / SOC / GDPR 等法规要求
5. 可视化决策支持：权限覆盖、风险与访问分析清晰可视

---

七、成熟度分级

等级	特征
L1	手工身份和权限管理，缺乏审计
L2	角色与权限集中管理，部分自动化审批
L3	用户生命周期自动化，权限申请与审批流程完善
L4	风险与合规分析闭环，SoD 冲突检测
L5	智能身份治理，权限最小化建议，自动化报表生成

• 概览
• 相关开源项目
• chat
  • 一、平台定位
    • 1️⃣ 核心目标
    • 2️⃣ 在企业 IAM 架构中的位置
  • 二、核心功能模块
    • 1️⃣ 用户生命周期管理
    • 2️⃣ 角色管理与 RBAC
    • 3️⃣ 权限认证与访问请求
    • 4️⃣ 身份与访问审计
    • 5️⃣ 风险与合规分析
    • 6️⃣ 自动化工作流
    • 7️⃣ 报表与可视化
  • 三、核心技术能力
  • 四、企业级架构设计
    • 1️⃣ 逻辑架构
    • 2️⃣ 核心数据模型示例
  • 五、典型功能场景
  • 六、建设价值
  • 七、成熟度分级