我們除了賬戶管理外,更多的需要考慮系統權限的管理。
應用自身的權限管理,壹般是基於角色(權限組)的控制粒度,不同的應用會有不同的權限管理辦法。
group,分為實際組和虛擬組。
實際組,是以部門為單位的實際物理組織。
虛擬組,是以管理便利為導向,比如項目、核心骨幹層。
接下來都是以LDAP來實現統壹身份認證。
二、LDAP的樹形結構如下:
dc=domain,dc=com
cn=admin
ou=group
--ou=confluence
----cn=cf-android-group
----cn=cf-java-group
--ou=gitlab
--ou=jenkins
--ou=sonar
--ou=zentao
--ou=gerrit
--ou=kanboard
ou=people
--ou=android-platform
----cn=zhangsan
----cn=lisi
--ou=java-platform
三、具體步驟
1、新建組織機構,對應上述的android-platform和java-platform
2、在組織機構下,創建人員,並設置密碼。
例如上述的zhangsan和lisi
3、創建組,根據不同的應用的權限管理,粗細粒度不壹。
例如上述的cf-android-group,cf-java-group
4、給組增加人員。
例如把zhangsan賦值給cf-java-group,lisi賦值給cf-android-group。
壹般壹個人員會被賦值給多個組。也就是說,壹個人在多個應用中都有對應的權限。
四、LDAP的客戶端工具
LDAP account manager
Apache Directory Studio
PhpLdapAdmin