SaaS システムのユーザー権限設計の説明

SaaS システムのユーザー権限設計の説明

クラウドコンピューティングの発展に伴い、ますます多くの企業の製品ビジネスがソフトウェア サービス プラットフォームへと移行しています。その中でも、システムの権限設計は非常に重要かつ重大な部分です。この記事では、O2Oビジネスを例に、SaaSシステムの権限設計について説明します。

1. システム要件

プラットフォーム管理者はテナントのアカウントと関連情報の管理のみ可能であり、テナントの内部業務を操作することはできません。各テナントには独自の役割と権限があり、互いに影響を与えることはできません。異なるテナントのデータとサービスは物理的には共有されますが、論理的には完全に分離されます。各テナントにとって、システムはそのテナント自身にのみ役立つようです。システムデータのセキュリティを確保し、ユーザーが商用データを安全にシステム上に配置できるようにするためには、SaaS システムの権限管理がシステム設計において特に重要な部分になります。

2. RBAC 権限モデル

アクセス制御は、リソースの不正使用に対する防御手段です。アクセス主体(ユーザーなど)のアクセスオブジェクト(データベースリソースなど)へのアクセス権を制限することを目的としています。一般的に、エンタープライズ環境には、任意アクセス制御 (DAC)、強制アクセス制御 (MAC)、およびロールベース アクセス制御 (RBAC) の 3 種類のアクセス制御戦略があります。中でも、自発的なアクセスと強制的なアクセスは作業負荷が大きく、管理が容易ではありません。ロールベースのアクセス制御は現在、大企業における統合リソースアクセス制御の問題を解決する効果的な方法として認識されています。

ロールベースのアクセス制御の基本原則は、ユーザーとアクセス権の間にロールのレイヤーを追加して、ユーザーと権限を分離することです。ユーザーは、ロールをアクティブ化することによってのみアクセス権を取得できます。権限を役割別にグループ化することで、ユーザー権限割り当てテーブルが大幅に簡素化され、間接的にユーザーのグループ化が実現され、権限割り当ての効率が向上します。ロールレイヤーを追加すると、アクセス制御メカニズムが現実世界の職業割り当てに近づき、権限管理が容易になります。

RBAC モデルは、RBAC0、RBAC1、RBAC2、RBAC3 の 4 つの異なるレベルのモデルを含む、典型的なロールベースのアクセス制御モデルです。 RBAC0 は基本モデルであり、ユーザー、ロール、権限、セッションなどの概念など、RBAC をサポートするための最小要件を定義します。 RBAC0 モデル図を図 2-1 に示します。 RBAC1 はロール継承関係を追加し、組織内の権力と責任の構造に基づいてロール間の階層関係を構築できます。 RBAC2 は、ロールの相互排他性やロール メンバーの最大数など、ユーザーとロール間、権限とロール間、ロール間のさまざまな制約関係を追加します。 RBAC3 は RBAC1 と RBAC2 を統合したものです。役割の階層関係だけでなく、制約関係も含まれます。

RBAC モデルでは、管理における比較的安定した権限と責任に基づいてシステムによって役割が分割され、それぞれの役割が特定の機能を実行できます。ユーザーは、さまざまなロールを実行することによって、ロールの権限を取得します。ユーザーがロールのメンバーになると、そのロールの機能を実行できるようになります。ユーザーではなくロールに権限を割り当てることで、優れた柔軟性ときめ細かい権限割り当てが実現します。


図2-1 RBAC0モデル図

3. SaaSプラットフォームのユーザー設計

一般的に、SaaS プラットフォームの基本的な役割は、プラットフォーム管理者、テナント ユーザー、テナント管理者、およびその他のテナント役割で構成されます。図 2-2 に示すように、O2O ビジネスのエンタープライズ アーキテクチャを例として、システムの役割関係を説明します。


図2-2 SaaSプラットフォームユーザー設計図

プラットフォーム管理者:ユーザー ログ管理、テナント アカウントのレビュー、テナント ステータス管理、テナント料金管理、テナント権限管理など、プラットフォームの日常的な保守と管理を担当します。プラットフォーム管理者はテナントの具体的な業務を管理できないことにご注意ください。テナント数が多い場合は、プラットフォーム管理者も役割を分割できます。北西部地域、北東部地域などの地域ごとに分割できるため、プラットフォーム管理者はそれぞれ異なるテナントを管理できます。入居者管理者、賃料管理者など業務別に分けることも可能です。

テナント: SaaS プラットフォームにアクセスするユーザー企業を指します。 SaaS プラットフォーム内のテナント間の情報は独立しています。テナント情報には、テナントの名前、住所、テナントの会社のその他の関連情報が含まれます。主にテナントを区別するために使用され、プラットフォーム管理者がテナントのアカウントステータスを管理します。各テナントは、ニーズに応じて SaaS プラットフォーム機能モジュールを選択し、それに応じて料金を支払うことができます。

テナント管理者:テナント ロールに権限を割り当て、関連するシステムを管理および保守します。

テナント ユーザー:テナント管理者によって割り当てられた権限と自身の役割に基づいて、関連するビジネス管理を実行します。各テナント ユーザーは、テナントによって選択された SaaS プラットフォームの機能モジュールにのみアクセスできます。システム ユーザーが複数のロールを持っている場合、現在の役割のデータのみを表示できます。役割を切り替えることで、他の役割のデータ情報を表示できます。

テナントの役割:テナント管理者は、ビジネス機能に応じて役割を分割します。役割が分割された後、テナント管理者は対応する役割に権限を割り当てることができます。役割には上司と部下の関係があります。上司は部下のデータを閲覧できますが、部下は上司のデータにアクセスできません。同じレベルのユーザーは互いのデータにアクセスできません。役割レイヤーは、さらにグループ化レイヤー(部門やチームなど)に分割できます。グループごとにデータ スコープが異なり、リソースと操作を共有したり分離したりできます。

<<:  CERNETとShengbang Securityは戦略的協力関係を結び、大学はより効率的で便利なWebセキュリティガバナンスSaaSサービスを体験できるようになりました。

>>:  クラウド在庫管理を使用してオンデマンドのセルフサービスリスクを軽減する

推薦する

草の根ウェブマスターがSEO成長ストーリーを共有

インターネットの現在の発展により、SEO は最もホットな話題となっています。SEO 技術について話す...

外部リンクが存在する理由についての簡単な説明

SEO 最適化は、一般的にオンサイト最適化とオフサイト最適化の 2 つの部分に分けられます。オンサイ...

ファーウェイクラウドウランチャブデータセンターが国家新データセンターリストに選出

工業情報化部は3月28日、新データセンターの建設と応用を加速し、経済社会の各分野のデジタル変革をより...

WeChatが広告アカウントを大規模に禁止

@公文祥は17日、テンセントWeChatが広告を掲載していたWeChatの公開アカウントを大量に禁止...

IBMのストライキ事件はレノボの「残り物を食べる」戦略を浮き彫りにした

今年1月23日、私は「レノボの『残り物を食べる』戦略の簡単な解釈」と題する記事を発表し、レノボがIB...

OpenStack Newton がリリース、EasyStack コアコード貢献が中国で第 1 位に

今週、OpenStack は 14 番目のバージョンである Newton を正式にリリースしました。...

SEOを学ぶための最も基本的な知識をいくつか教えます

SEO は長年にわたって発展してきました。検索エンジンのアルゴリズムが継続的に改善されるにつれて、多...

疑似 SaaS ビジネス モデルがなぜこれほど普及しているのでしょうか?

中国でソフトウェアビジネスを始めるのはなぜ難しいのでしょうか?なぜ米国には評価の高い SaaS ソフ...

クラウド コンピューティング サービスの利点、欠点、種類

クラウド コンピューティングは、現代のビジネスに柔軟性、効率性、拡張性、セキュリティ、コラボレーショ...

エンタープライズ Web サイトの最適化の焦点は何ですか?

インターネット企業で働く SEO 担当者のほとんどは、企業のウェブサイト最適化からキャリアをスタート...

異常なスパイダーページクロールに対処するためのウェブサイトの最適化

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますインクルー...

Tuniu.com: インターネットのチャンスをつかみ、観光サービスを再構築し、インターネットリソースの利点を最大限に活用する

中国国家統計局が2013年2月に発表した2012年の統計公告によると、2012年の中国国内観光客数は...

専門家の視点: エッジ コンピューティングの課題を克服するには?

エッジへの移行には、未成熟なエコシステムからリスク管理まで、さまざまな課題が伴います。これら 4 つ...

素晴らしいウェブサイトを作るには?ユーザーのニーズを満たすことが最優先

周知のとおり、Baiduの「6.22」と「6.28」事件の後、多くのウェブサイトがダウングレードまた...

QVODサーバーの閉鎖と警察によるQvodの捜査に耐えられるでしょうか?

4月17日にQVODサーバーを閉鎖するというニュース(QVOD技術を使用した海賊版や下品なコンテンツ...