公司里有一个从业多年的老系统管理员,他的邮件前面说到,可以用分组来实现的话绝不针对单个用户授权。我不能赞同得更多。
用户管理看起来是已经简单的事情,不过当你有超多不同的权限需要管理时,你真的需要考虑进行分组,
大致需要做到一下几点:
一, 你必须只有一个可靠的数据来源,比如说LDAP (你不可能让已经离职的员工继续访问公司内部数据吧, 假如你有很多套数据管理系统,你有如何保重把相关人的账号都删除掉呢)
二, 对员工进行分组。 这里需要做到的就是各种集成问题,比如可以把LDAP的分组继续数据同步到别的系统里边(包括用户以及分组)
三, 然后结合RBAC (Role Based Access Control)进行授权。比较好的做法是通过版本控制下的配置文件进行组的授权,通过持续集成的工具来监控发布这些组相关的授权。
同时你需要考虑组的权限的力度,分的太细的话其实也不是很方便管理,个人认为稍微粗一点比较好。