飞网IAM关系图

1 介绍

此章节将帮助大家了解飞网IAM中团队、用户、群组、业务系统、系统权限(Scope)、身份资源、API资源之间的关系。

2 关系图

以下是对这些关系的概括性描述：
团队和用户：
用户可以属于一个或多个团队，虽然团队之间是相互独立的，但同一个用户可以在多个团队中存在。
群组和用户：
每个用户可以加入多个群组。群组负责将用户和角色连接起来，如果用户加入的群组带有角色信息，那么这个用户也将继承这个群组的角色信息。
群组、业务系统和角色：
每个业务系统中的角色是独立的，不同的角色在不同的业务系统中执行特定的功能。
一个群组可以包含不同业务系统的角色。这意味着一个群组可以跨越多个业务系统，并在每个系统中扮演不同的角色。（图中没有体现）
业务系统和系统权限：
每个业务系统可以选择多个系统权限（Scope）。这些系统权限决定了业务系统可以访问哪些资源或用户信息。 系统权限(Scope)、受众(audience)和API资源：
系统权限（Scope）通过关联受众（Audience）来定义其对API资源的访问权限，每个系统权限（Scope）可以包含多个受众（audience）。每个API资源可以包含多个受众（audience）。注意，该系统权限（Scope）无法包含有关身子资源的权限。
系统权限(Scope)、声明(Claims)和身份资源：
系统权限（Scope）可以包含多个特殊属性或通用属性，这些特殊属性和通用属性通过键名匹配的方式来关联用户的声明（Claims），从而定义业务系统对身份资源的访问权限。
每个属性都对应用户Claim中的一条身份资源（如姓名、电话等）。注意，该系统权限（Scope）无法包含有关API资源的权限。
灵活的访问控制策略 通过访问控制策略，可以灵活配置哪个用户、群组或角色可以在业务系统中执行哪些功能操作。访问控制策略可以精细化控制每个业务系统中的操作权限，确保只有授权的用户、群组或角色能够执行特定的操作。