SP :指第三方业务系统
IDaaS :身份应用服务
本文主要介绍如何使用 IDaaS 权限系统,实现第三方业务系统与 IDaaS 的权限对接,从而实现权限的集中管理。如想了解更多 IDaaS 权限知识,请参考权限系统介绍
场景描述
我们简单构建一个与 IDaaS 对接的第三方业务系统 (OA 工作平台),其 OA 系统菜单如下所示。
准备工作
在 IDaaS 中新建 OA 权限系统
1)点击 【授权】-【权限系统】。
2)点击 【新增系统】起名,保存。
1、定义资源
无论是某个功能、菜单、按钮的查看权、使用权,还是某些特定数据的访问权限,都属于一种资源(Resource)。资源支持嵌套树形结构。管理员在这里可以新增、导入、删除、编辑资源,也可以为某资源关联到角色使用。
我们需要在 IDaaS 上定义 OA 系统的资源,构建权限树
资源创建方式在IDaaS中有2种:
- 手动创建,详细操作请参考 新增权限资源
- 表格批量导入,详细操作请参考 导入权限资源
- 第三方接口调用,权限系统API接口清单
创建好的权限树如下图所示
2、定义角色
在 IDaaS 中定义(创建)角色方式有 3 中
- 手动创建,详细操作请参考 新增角色
- 表格批量导入,导入角色
- 第三方接口调用,权限系统API接口清单
在这里我们可以定义 3 个角色作为示例
1)普通用户,拥有【通讯录】【工作台】【行政办公】【项目管理】等基本权限
2)系统管理员,拥有【系统管理】权限
3)HR 部门管理员,【机构人员管理】权限
当然,我们也可以灵活去分配各类角色以满足需求,如部门管理员,分级管理员等
此外,我们在机构人员管理中也定义按钮资源,同样也可作为权限分配
在通讯录中,我们定义了董事长,总经理等数据,也可对数据进行权限分配
3、资源关联角色
当角色创建完成后,就需要对角色进行授权了,我们将步骤 2 中定义好的角色按需要进行权限关联即可,从而建立资源-角色对应关系。
我们支持角色资源授权方式有 3 种:
- 手动创建,详细操作请参考, 按角色授权权限资源
- 第三方接口调用,权限系统API接口清单
详细的角色分配操作,请参考 授权管理
4、角色关联账户
角色权限关联好后,对账号进行关联。
给每个人关联上相应的角色信息
我们支持角色账号授权方式有3种:
- 手动创建,详细操作请参考角色管理 按角色授权账户
- 表格批量导入,详细操作请参考 导入角色成员
- 第三方接口调用,权限系统API接口清单
详细的角色分配操作,请参考 授权管理
到这里我们的授权环节就全部完成了。
5、登录及获取权限
当我们完成以上4个步骤之后,这是我们就可以使用一个账号来进行效果验证了。
比如:我们使用张三登录 IDaaS 。可以看见张三的首页有 OA 业务系统,点击图标进行单点登录。(这里我们默认 OA 系统已经和 IDaaS 实现 JWT 协议的单点登录,详细对接,请参考: JWT 模板使用指南)这时候 IDaaS 会向 OA 系统发起单点登录请求,OA 系统通过解析,获取到张三账号信息。
这时,我们就需要来查询张三的权限了
通过调用 IDaaS 权限系统 API 接口(获取权限系统指定用户的角色和权限)来获取张三这个角色对应拥有的权限资源信息
6、SP 前端展示
当OA系统获取完成张三的权限信息后,按权限情况展示张三所拥有的菜单即可。这里会涉及 OA 系统的研发工作。具体前端展现方式按实际情况即可。通常会有两种方式:
1)无权限的功能菜单不展示
2)所有功能菜单展示,但未授权的菜单不可使用,点击提示“无权访问”等之类提示信息。
7、鉴权
鉴权就是指,当用户访问某项功能时,判断是该用户否有其权限。
IDaaS 提供关于的相应 API 接口来服务于 SP 进行鉴权。我们可以使用用户的角色或是账户名称来进行鉴权。
例如,张三在登录到 OA 系统后,当他每次点击 OA 的功能菜单时,OA 系统使用通过之前定义好的菜单(权限 ID )向 IDaaS 询问是否有其权限,并将结果告知给 OA 系统。
详细的鉴权 API 请参考 ,权限系统API接口
如果您想了解更多 IDaaS 权限系统内容,请联系我们