SP :指第三方业务系统
IDaaS :身份应用服务
本文主要介绍如何使用 IDaaS 权限系统,实现第三方业务系统与 IDaaS 的权限对接,从而实现权限的集中管理。如想了解更多 IDaaS 权限知识,请参考权限系统介绍
场景描述
我们简单构建一个与 IDaaS 对接的第三方业务系统 (OA 工作平台),其 OA 系统菜单如下所示。
准备工作
在 IDaaS 中新建 OA 权限系统
1)点击 【授权】-【权限系统】。
2)点击 【新增系统】起名,保存。
1、定义资源
无论是某个功能、菜单、按钮的查看权、使用权,还是某些特定数据的访问权限,都属于一种资源(Resource)。资源支持嵌套树形结构。管理员在这里可以新增、导入、删除、编辑资源,也可以为某资源关联到角色使用。
我们需要在 IDaaS 上定义 OA 系统的资源,构建权限树
资源创建方式在IDaaS中有2种:
- 手动创建,详细操作请参考 新增权限资源
- 表格批量导入,详细操作请参考 导入权限资源
- 第三方接口调用,权限系统API接口清单
创建好的权限树如下图所示
2、定义角色
在 IDaaS 中定义(创建)角色方式有 3 中
- 手动创建,详细操作请参考 新增角色
- 表格批量导入,导入角色
- 第三方接口调用,权限系统API接口清单
在这里我们可以定义 3 个角色作为示例
1)普通用户,拥有【通讯录】【工作台】【行政办公】【项目管理】等基本权限
2)系统管理员,拥有【系统管理】权限
3)HR 部门管理员,【机构人员管理】权限
当然,我们也可以灵活去分配各类角色以满足需求,如部门管理员,分级管理员等
此外,我们在机构人员管理中也定义按钮资源,同样也可作为权限分配
在通讯录中,我们定义了董事长,总经理等数据,也可对数据进行权限分配
3、资源关联角色
当角色创建完成后,就需要对角色进行授权了,我们将步骤 2 中定义好的角色按需要进行权限关联即可,从而建立资源-角色对应关系。
我们支持角色资源授权方式有 3 种:
- 手动创建,详细操作请参考, 按角色授权权限资源
- 第三方接口调用,权限系统API接口清单
详细的角色分配操作,请参考 授权管理
4、角色关联账户
角色权限关联好后,对账号进行关联。
给每个人关联上相应的角色信息
我们支持角色账号授权方式有3种:
- 手动创建,详细操作请参考角色管理 按角色授权账户
- 表格批量导入,详细操作请参考 导入角色成员
- 第三方接口调用,权限系统API接口清单
详细的角色分配操作,请参考 授权管理
到这里我们的授权环节就全部完成了。
5、登录及获取权限
当我们完成以上4个步骤之后,这是我们就可以使用一个账号来进行效果验证了。
比如:我们使用张三登录 IDaaS 。可以看见张三的首页有 OA 业务系统,点击图标进行单点登录。(这里我们默认 OA 系统已经和 IDaaS 实现 JWT 协议的单点登录,详细对接,请参考: JWT 模板使用指南)这时候 IDaaS 会向 OA 系统发起单点登录请求,OA 系统通过解析,获取到张三账号信息。
这时,我们就需要来查询张三的权限了
通过调用 IDaaS 权限系统 API 接口(获取权限系统指定用户的角色和权限)来获取张三这个角色对应拥有的权限资源信息
6、SP 前端展示
当OA系统获取完成张三的权限信息后,按权限情况展示张三所拥有的菜单即可。这里会涉及 OA 系统的研发工作。具体前端展现方式按实际情况即可。通常会有两种方式:
1)无权限的功能菜单不展示
2)所有功能菜单展示,但未授权的菜单不可使用,点击提示“无权访问”等之类提示信息。
7、鉴权
鉴权就是指,当用户访问某项功能时,判断是该用户否有其权限。
IDaaS 提供关于的相应 API 接口来服务于 SP 进行鉴权。我们可以使用用户的角色或是账户名称来进行鉴权。
例如,张三在登录到 OA 系统后,当他每次点击 OA 的功能菜单时,OA 系统使用通过之前定义好的菜单(权限 ID )向 IDaaS 询问是否有其权限,并将结果告知给 OA 系统。
详细的鉴权 API 请参考 ,权限系统API接口
如果您想了解更多 IDaaS 权限系统内容,请联系我们
在文档使用中是否遇到以下问题
更多建议
匿名提交