跳到主要内容

组织与 RBAC

组织管理

API7 企业版中的组织模块包括用户、角色、权限策略、许可证、审计、联系人和设置。

  • 用户:API7 企业版中的内置 Admin 用户可以管理组织内的用户,包括为用户分配角色和其他用户管理任务。
  • 角色:提供内置的 Super Admin 角色,并且可以添加或删除自定义角色。分配给用户的角色不能直接删除;只能删除未使用的角色。
  • 权限策略:一个名为 super-admin-permission-policy 的内置权限策略绑定到 Super Admin 角色。此策略授予对 API7 企业版中所有操作和资源的完全访问权限。该角色还可以与自定义角色关联。

内置角色和策略不可编辑,以确保核心系统的安全性。结合用户、角色和权限策略可实现细粒度的 权限管理,防止权限升级和潜在的安全漏洞。

  • 许可证:此模块显示重要信息,例如有效期、发布日期和许可的 CPU 核心数。
  • 审计:维护 API7 企业版中所有用户操作的详细记录。每个审计日志包含一系列属性,例如事件、时间、操作员、资源 ID、网关组 ID 和审计日志的详细信息。
  • 联系人:这可以与告警策略集成以配置 Webhook 和电子邮件告警触发器,增强网关的监控和响应能力。
  • 设置:它包括 API7 集成认证、SCIM 供应、登录选项和 SMTP 服务器设置的配置。这些功能允许 API7 企业版有效地管理用户和权限,确保系统安全性和稳定性。

RBAC (基于角色的访问控制)

RBAC(基于角色的访问控制)是一种访问管理方法,通过为用户分配角色来获得权限,从而实现灵活高效的访问控制。除了 RBAC 模型外,API7 企业版还引入了更灵活、更强大的 IAM(身份和访问管理)策略模型。它允许管理员定义特定策略,每个策略由一组规则组成,这些规则指定用户和角色可以访问的资源范围。

API7 企业版支持启用 SCIM(跨域身份管理系统)配置,允许从源身份提供商 (IdP) 同步用户和组信息到 API7 企业版。粘贴在 API7 仪表板上生成的 SCIM 令牌并将其保存在 IdP 系统中。配置 SCIM 后,在连接的身份提供商 (IdP) 系统中对用户进行的任何更新(如添加或删除用户)都会自动与 API7 企业版同步。这节省了用户跨多个系统管理用户的工作,简化了身份管理并增强了数据一致性。API7 企业版根据相关属性(例如头衔、职位、部门)自动为从 IdP 系统导入的用户分配角色。这些角色在用户登录时同步和刷新。

API7 企业版还支持 SSO(单点登录)角色映射。当管理员添加 SSO 登录选项时,可以创建相应的 SSO 角色映射规则。角色映射可能包含多个规则,这些规则共同决定用户的角色和访问权限。角色映射优先于手动角色分配。启用角色映射后,对用户角色的任何手动更改都将在用户下次登录时被覆盖。

API7 企业版的角色映射支持四种匹配方法:完全匹配、包含字符串、数组中完全匹配和数组中包含字符串。这允许内部角色和 IdP 角色之间的多对多映射。

例如,在创建 SSO 登录选项并为 Super Admin 内部角色设置角色映射时,可以将角色属性设置为 IdP 系统中的 Position。如果匹配方法设置为“完全匹配” (=),并且角色值设置为 Apps Engineer,则所有具有 Apps Engineer 职位的用户将被分配 Super Admin 角色。由于角色映射是动态应用的,如果 IdP 系统中 Apps Engineer 的职位更改为 Ops Engineer,则该用户在下次登录 API7 企业版时将失去 Super Admin 角色。

组织与 RBAC

关键功能

  • 提供灵活的 IAM 策略模型,支持基于用户、角色、资源和环境的细粒度权限配置。
  • 内置支持 SCIM 配置,实现主流 IdP 系统之间用户和组信息的自动同步。
  • 支持动态角色映射,允许根据灵活的规则配置动态调整用户角色。
  • 适用于多租户、多团队和多部门架构,确保租户之间的访问控制和数据隔离。
  • 与主要云平台(如 AWS、Azure 和 GCP)高度兼容,同时也支持本地部署的 IdP 系统。

用例

自动化用户管理

API7 企业版支持启用 SCIM 配置,结合组织和 RBAC 功能,实现用户信息的自动同步和管理。企业可以从现有 IdP 系统导入用户,并根据 IdP 系统中的用户属性(例如职位、部门或项目)自动分配角色。这种方法不仅提高了系统运行和管理效率,还增强了安全性。

在快速变化的业务环境中,角色和权限可能需要频繁调整。例如,当员工更换角色时,IdP 系统中的用户信息会更新。API7 企业版可以自动同步角色变更,减少手动复杂性并提高数据一致性。

多部门或多团队管理

通过组织的层级结构,企业可以为不同部门、子公司或项目团队创建独立的权限管理规则,确保权限互不干扰。例如,财务数据仅供财务团队访问,而开发团队可以访问和管理代码仓库。通过细粒度的权限管理,企业可以精确定义共享资源的访问规则,确保只有授权人员才能查看或修改特定资源。

RBAC 提供灵活的权限分配,使企业能够根据实际需求调整权限粒度。它允许跨部门协作而不损害数据安全。通过将权限绑定到特定角色,企业确保每位员工只能访问其职责范围内的信息,最大限度地降低未经授权访问或错误的风险。

实现细粒度权限访问

与传统的广泛权限分配相比,RBAC 赋予的细粒度控制更加灵活和安全。例如,通过定义“仅查看”和“管理员”等角色模板,权限根据用户角色进行细化,并能够跨其他操作维度进行扩展。这进一步加强了访问控制精度,确保了敏感数据的保护。

API7 企业版支持更复杂的访问规则,例如基于属性的映射、SSO 集成角色映射和基于条件的角色映射。这些使管理员能够在特定情况下进行灵活调整,满足复杂的企业权限管理需求,有效降低权限滥用和操作错误的风险。