SP :指第三方业务系统

IDaaS :身份应用服务

本文主要介绍如何使用 IDaaS 权限系统,实现第三方业务系统与 IDaaS 的权限对接,从而实现权限的集中管理。如想了解更多 IDaaS 权限知识,请参考权限系统介绍

场景描述

我们简单构建一个与 IDaaS 对接的第三方业务系统 (OA 工作平台),其 OA 系统菜单如下所示。

准备工作

在 IDaaS 中新建 OA 权限系统

1)点击 【授权】-【权限系统】。

2)点击 【新增系统】起名,保存。

1、定义资源

无论是某个功能、菜单、按钮的查看权、使用权,还是某些特定数据的访问权限,都属于一种资源(Resource)。资源支持嵌套树形结构。管理员在这里可以新增、导入、删除、编辑资源,也可以为某资源关联到角色使用。

我们需要在 IDaaS 上定义 OA 系统的资源,构建权限树

资源创建方式在IDaaS中有2种:

创建好的权限树如下图所示

2、定义角色

在 IDaaS 中定义(创建)角色方式有 3 中

在这里我们可以定义 3 个角色作为示例

1)普通用户,拥有【通讯录】【工作台】【行政办公】【项目管理】等基本权限

2)系统管理员,拥有【系统管理】权限

3)HR 部门管理员,【机构人员管理】权限

当然,我们也可以灵活去分配各类角色以满足需求,如部门管理员,分级管理员等

此外,我们在机构人员管理中也定义按钮资源,同样也可作为权限分配

在通讯录中,我们定义了董事长,总经理等数据,也可对数据进行权限分配

3、资源关联角色

当角色创建完成后,就需要对角色进行授权了,我们将步骤 2 中定义好的角色按需要进行权限关联即可,从而建立资源-角色对应关系。

我们支持角色资源授权方式有 3 种:

详细的角色分配操作,请参考 授权管理

4、角色关联账户

角色权限关联好后,对账号进行关联。

给每个人关联上相应的角色信息

我们支持角色账号授权方式有3种:

详细的角色分配操作,请参考 授权管理

到这里我们的授权环节就全部完成了。

5、登录及获取权限

当我们完成以上4个步骤之后,这是我们就可以使用一个账号来进行效果验证了。

比如:我们使用张三登录 IDaaS 。可以看见张三的首页有 OA 业务系统,点击图标进行单点登录。(这里我们默认 OA 系统已经和 IDaaS 实现 JWT 协议的单点登录,详细对接,请参考: JWT 模板使用指南)这时候 IDaaS 会向 OA 系统发起单点登录请求,OA 系统通过解析,获取到张三账号信息。

这时,我们就需要来查询张三的权限了

通过调用 IDaaS 权限系统 API 接口(获取权限系统指定用户的角色和权限)来获取张三这个角色对应拥有的权限资源信息

6、SP 前端展示

当OA系统获取完成张三的权限信息后,按权限情况展示张三所拥有的菜单即可。这里会涉及 OA 系统的研发工作。具体前端展现方式按实际情况即可。通常会有两种方式:

1)无权限的功能菜单不展示

2)所有功能菜单展示,但未授权的菜单不可使用,点击提示“无权访问”等之类提示信息。

7、鉴权

鉴权就是指,当用户访问某项功能时,判断是该用户否有其权限。

IDaaS 提供关于的相应 API 接口来服务于 SP 进行鉴权。我们可以使用用户的角色或是账户名称来进行鉴权。

例如,张三在登录到 OA 系统后,当他每次点击 OA 的功能菜单时,OA 系统使用通过之前定义好的菜单(权限 ID )向 IDaaS 询问是否有其权限,并将结果告知给 OA 系统。

详细的鉴权 API 请参考 ,权限系统API接口

如果您想了解更多 IDaaS 权限系统内容,请联系我们