飞网IAM关系图
1 介绍
此章节将帮助大家了解飞网IAM中团队、用户、群组、业务系统、系统权限(Scope)、身份资源、API资源之间的关系。
2 关系图
以下是对这些关系的概括性描述:
团队和用户:
用户可以属于一个或多个团队,虽然团队之间是相互独立的,但同一个用户可以在多个团队中存在。
群组和用户:
每个用户可以加入多个群组。群组负责将用户和角色连接起来,如果用户加入的群组带有角色信息,那么这个用户也将继承这个群组的角色信息。
群组、业务系统和角色:
每个业务系统中的角色是独立的,不同的角色在不同的业务系统中执行特定的功能。
一个群组可以包含不同业务系统的角色。这意味着一个群组可以跨越多个业务系统,并在每个系统中扮演不同的角色。(图中没有体现)
业务系统和系统权限:
每个业务系统可以选择多个系统权限(Scope)。这些系统权限决定了业务系统可以访问哪些资源或用户信息。 系统权限(Scope)、受众(audience)和API资源:
系统权限(Scope)通过关联受众(Audience)来定义其对API资源的访问权限,每个系统权限(Scope)可以包含多个受众(audience)。每个API资源可以包含多个受众(audience)。注意,该系统权限(Scope)无法包含有关身子资源的权限。
系统权限(Scope)、声明(Claims)和身份资源:
系统权限(Scope)可以包含多个特殊属性或通用属性,这些特殊属性和通用属性通过键名匹配的方式来关联用户的声明(Claims),从而定义业务系统对身份资源的访问权限。
每个属性都对应用户Claim中的一条身份资源(如姓名、电话等)。注意,该系统权限(Scope)无法包含有关API资源的权限。
灵活的访问控制策略 通过访问控制策略,可以灵活配置哪个用户、群组或角色可以在业务系统中执行哪些功能操作。访问控制策略可以精细化控制每个业务系统中的操作权限,确保只有授权的用户、群组或角色能够执行特定的操作。