账号体系:如何用同一套账号接入整个研发过程?

应用交付平台场景实践。

前言

“君子和而不同,小人同而不和。”-- 孔子

我们认为,对于任何一个有研发诉求的企业,账号体系都是需要尽早考虑、慎重对待,且不应该随意变更的。

问题类型

研发团队在设计账号体系和管理账号的时候经常会遇到各种问题,比如:

问题1:

业务在变化,组织也要随时调整,导致与之相应的账号权限也要频繁调整:

在企业业务高速发展的大背景下,为了适应业务变化,企业的组织架构经常会进行调整,研发人员也会在不同的业务中来回切换,甚至在不同的业务中会承担不同的角色。因此,设计账号体系的时候,需要考虑账号权限能灵活调整、即时生效,避免因为权限缺失阻碍研发活动,或是因为权限泛滥引起安全风险。

问题2:

研发活动中存在多种角色,一个账号也包含多个角色,账号与角色的对应关系不好维护:

现代研发体系下,一次需求交付涉及多个角色,比如产品经理、后端开发、前端开发、UED、测试、应用运维等,不同的角色有不同的关注视图和权限,而同一个账号又会承担多个角色,比如同时承担后端开发与应用运维的工作。因此,账号与角色的对应关系是多对多,且会随着业务变化的,如何有效维护,也是一个需要考虑的问题。

问题3:

不同的工具有各自的账号系统,需要分别对接,且经常需要维护以适应组织调整和员工变化:

为了保证业务的高效演进,企业需要购买和自研大量的工具和系统,为了让这些系统协同工作,需要进行账号体系的对接,并且保证组织的调整和人员的变化,能及时同步到这些系统上,避免数据不一致带来的协作问题。因此,企业的账号体系需要做到唯一来源,标准化接入。

我们推荐的企业账号体系应该满足如下几点要求:

  1. 企业的所有角色都有唯一的账号管理来源

  2. 企业的各个系统(包括研发系统与一般业务系统)的账号统一且互通

  3. 企业可以管理和维护自己的组织架构,并能根据组织架构在各个系统中管理权限

  4. 企业可以定义和管理研发活动中的各种角色,为每种角色定义权限

  5. 企业可以通过为账号配置角色来控制账号权限

  6. 企业的各类研发资产都能纳入权限管理,并能被角色管理

我们基于阿里云的产品,来具体看一下如何建立符合上述要求的企业账号体系。

以钉钉为中心的账号体系

对于没有过多历史包袱,或者已经在使用钉钉的企业,我们推荐以钉钉为中心的账号体系。

image

在这一账号体系下,企业所有成员(包括研发团队与业务团队)都在钉钉上建立和管理组织架构。研发成员通过钉钉认证登录系统,获取成员在系统中的角色信息,根据所属角色的权限进行研发活动。

因此,从实施的角度,企业基于钉钉建立研发账号体系包含4个步骤:

1.企业基于钉钉管理组织结构

第一步是注册钉钉并创建或关联已有企业,接下来在钉钉中管理企业的组织结构,包括人员和团队信息等,请参考钉钉企业通讯录管理,这里不作赘述。钉钉账号将成为企业成员的唯一认证来源,企业的各个系统都可以和钉钉打通,请参考钉钉应用接入指南完成企业各个系统的接入。

至此,对于研发团队来说,主要的两个诉求还都无法满足:

  1. 授权和管理云上的资源(如ECS、ACK等)

  2. 打通整个研发工具链

为了解决这两个问题,我们需要将钉钉与云效集成起来,通过集成,可以实现:

  1. 同步组织架构和成员到云效中

  2. 通过钉钉消息进行研发协作

  3. 集成钉钉文档到云效中

  4. 使用钉钉中的云效小程序

2.云效绑定企业钉钉

集成的第一步是云效企业的管理员需要将云效绑定企业钉钉,完成组织架构和成员同步。详细操作步骤可以查看企业绑定-完成组织架构和成员同步。这里把主要步骤说明一下。

  1. 企业钉钉管理员在钉钉中安装云效应用,选择正确的组织和使用范围(是全员还是某个团队)。

image

2.云效企业管理员在钉钉的云效应用中绑定钉钉企业和云效企业,管理员如果未绑定阿里云账号的话,需要先完成

3. 员工钉钉账号管理阿里云账号

操作再返回继续。管理员在钉钉云效应用中完成云效企业绑定,如下图。

image

3.员工钉钉账号关联阿里云账号(主账号、RAM账号)

阿里云有自己的账号体系,而这些账号又跟云上资源的操作权限相关,为了保证权限的有效隔离,云效要求员工使用钉钉账号认证前先绑定阿里云账号。

阿里云账号分为主账号和RAM账号,关于RAM可以查看什么是访问控制。如果不确定,对于企业员工,我们建议选择RAM账号。

image

完成绑定后,员工就可以通过钉钉扫码登录云效了。

4. 配置云效企业角色和角色权限

我们推荐按角色管理权限,将人与角色分开,为不同的角色定义不同的权限。

4.1,定义企业全局角色,默认企业角色分为:拥有者、管理员、成员和外部成员,可以按照自身特点添加和调整角色权限。

image

4.2,定义应用交付平台 AppStack的企业角色权限。所看到的企业角色都来自于企业全局角色,但是可以为其定义应用交付平台特有的全局权限,见下图。注意,这里的权限是针对于所有应用的。

image

4.3,定义应用交付平台 AppStack的应用角色权限,这些权限只针对某个具体应用。AppStack定义了5种应用角色:应用拥有者、应用负责人、开发、测试和运维,可以根据需要调整每种角色的权限。

image

4.4,为每个应用成员配置对应的角色。

image

总结

在现代组织中,业务相关的研发人员都有两个维度的角色:一是组织职能角色,一是业务角色。其中组织职能角色是相对稳定的,而业务角色是在不断变化的。我们推荐以钉钉为核心管理组织账号和组织架构,将云效与钉钉绑定,做到统一登录、统一管理。同时,定义不同的角色,并按照应用维度为不同的人员配置对应的角色,做到按应用维护角色、按角色管理权限

延伸内容

以现有内部账号系统为中心的账号体系:

很多企业,虽然独立的软件开发团队创建不久,但企业内部IT系统已经运作很长时间了,有自己的账号管理体系(如LDAP),或者因为网络安全等原因,权限认证必须在自有网络中完成。这种情况下,直接切换到钉钉这样的系统的成本比较高,而企业又希望与云上研发的工具和资源打通。对此,我们建议配合阿里云iDaaS一起使用,具体方案详见iDaaS的说明,本文不再赘述。

参考