SaaS应用的账号模型设计分析和思考

简介: ## 背景  当前IDaaS EIAM和内部业务方沟通交流的时候,经常遇到的两个问题是:1. IDaaS EIAM怎么支持的多租户场景,怎么做租户切换?2. 有不有接口,提供一个用户的账号ID(手机号、邮箱等),返回可以登录的租户列表?  这个时候,我们的回答都是不能做租户切换,没有这样的接口,因为IDaaS EIAM是纯粹的B2E模型,以企业的视

背景

  当前IDaaS EIAM和内部业务方沟通交流的时候,经常遇到的两个问题是:

  1. IDaaS EIAM怎么支持的多租户场景,怎么做租户切换?
  2. 有不有接口,提供一个用户的账号ID(手机号、邮箱等),返回可以登录的租户列表?

  这个时候,我们的回答都是不能做租户切换,没有这样的接口,因为IDaaS EIAM是纯粹的B2E模型,以企业的视角来做账号的生命周期管理,跨租户之间不存在数据共享。这个回答比较空洞和抽象,在下文中我以常见的几个SaaS应用的账号模型,来尝试说明下不同SaaS应用的身份模型设计。

相关术语

术语 解释
SaaS Software as a Service,软件即服务,是一种基于订阅模式通过互联网提供软件应用的模式。
IAM Identity and Access Management,是一种管理用户身份和访问权限的技术。
IdP Identity Provider,身份提供方。
SSO Single Sign On,单点登录,用一个账号就可以登录多个应用。
SCIM System for Cross-domain Identity Management。SCIM的中文翻译是“跨域身份管理系统”,它是一种开放标准协议,简化了云应用和服务中用户身份和访问控制的管理。

常见SaaS应用账号模型

标准钉钉

  如图所示,在标准钉钉中,一个账号首先是钉钉的用户,然后这个账号可以加入到多个钉钉企业中,关联到多个在职员工身份,这个时候用户和企业属于同一级的角色。

图片名称

  用户登录时,通过账密(手机验证码等)完成登录后,会默认跳转到一个主企业,然后用户可以在钉钉App的左上角选择其它企业进行切换,这个时候企业就是钉钉的租户概念。也就是这个场景中,钉钉默认提供了一个账号ID关联的企业列表接口,钉钉App基于这个接口来实现左上角切换企业的能力。

  这个模型存在什么问题呢?员工账号关联的数据资产所有权不清晰。因为账号首先是钉钉的用户,随后才是企业的在职员工,员工离职以后,仅仅删除的是企业和员工的在职关系,所以这个时候员工离职以后也可以查看聊天记录,存在信息泄露的风险。其它缺点如企业不能限制员工的登录策略(密码有效期限,密码复杂度策略等)等等,均是由于员工账号资产不全部归属于企业,导致离职时候的数据分割不完整。

专属钉钉

  鉴于标准钉钉存在的问题,钉钉从而推出了专属钉钉方案:区别于标准钉钉中的账号首先是钉钉的用户,然后才是企业的在职员工,专属钉钉中的钉钉账号完全归属于企业,是因为员工当前在职于这个企业,所以才能登录这个钉钉账号,员工离职后,账号就会被删除掉,这个就是纯粹的B2E模型。

图片名称

  专属钉钉的员工账号的来源于管理员手动在后台添加,或者通过API同步到钉钉中,员工账号资产完全归属于企业,企业管理员可以在后台进行重置员工登录密码和修改关联的手机号码等操作。员工登录时,也可以指定对应的SSO配置,要求员工登录走企业自己的IAM,使用企业的域账号 + 密码来完成登录。其员工的登录界面如下图所示,必须先输入企业组织代码(租户识别),才能识别当前员工的登录方式:

图片名称

  在专属钉钉模型中,员工账号是不存在切换租户的说法,必须先找到租户,才能找到这个员工账号(当前专属钉钉的账号也可以加入到其它企业,实际上也可以做切换,但是专属钉钉的账号仍然归属专属企业,登录时必须先输入组织代码,然后通过专属企业的认证方式来完成登录,相当于专属钉钉和标准钉钉做了功能互通)。

阿里云RAM(主子账号)

  与专属钉钉类似,阿里云RAM也是一个B2E模型,企业管理员可以注册一个阿里云主账号,然后为每个企业员工手动创建一个RAM子账号,员工可以通过专属登录页:https://signin.aliyun.com/xxx0476.onaliyun.com/login.htm 来完成登录认证,这个时候租户的识别是以用户名的域名(xxx0476.onaliyun.com)来进行:

图片名称

  在这个模型中,RAM子账号所有权完全归属于企业,对应账号的生命周期管理由企业管理员来操作,企业还可以对员工的登录策略做个性化定义以及配置企业的IdP SSO,以此来满足企业的安全管控诉求:


  在这个基础上,RAM还为子账号增加了钉钉扫码登录的认证方式,同一个钉钉账号可以绑定多个RAM子账号,即钉钉扫码后可以选择要登录的RAM子账号,并且多个RAM子账号可以归属到不同的主账号:

图片名称


  这个场景中,B2E的顶层模型并未打破,只是每个RAM子账号可以绑定一个钉钉账号,而一个钉钉账号可以被多个RAM子账号绑定,并且RAM支持根据钉钉账号反查绑定的RAM子账号。

IDaaS EIAM

  IDaaS EIAM也是一个B2E模型,不过不同于专属钉钉和RAM,IDaaS EIAM作为阿里云的云产品,不需要关心管理员(主账号)账号的初始化,对应的工作已经在RAM中完成。所有的RAM子账号都可以是IDaaS EIAM的管理员,只要具备EIAM Full Access的权限就可以代为操作归属于RAM主账号的IDaaS EIAM资源。
  IDaaS EIAM管理员可以在阿里云控制台手动创建企业员工账号,也可以配置IdP后,从IdP中同步员工账号到EIAM中,此时员工账号的生命周期由管理员在阿里云控制台或者IdP中维护。同理,管理员也可以个性化配置员工的登录策略,以符合企业的安全管控诉求。IDaaS EIAM的租户识别则是直接以域名作为租户的标识信息,后续会在此基础上可以提供自定义域名、自定义登录页的企业个性化配置能力,帮助企业更好完成员工统一管理。



图片名称

企业SaaS应用的账号模型可以怎么做

  企业SaaS应用从部署形态来看,可以分成两种服务模式,一种是部署在企业自己的计算资源中,典型的有JumpServer,可以称为企业自运维应用;一种是在线的SaaS应用,在线服务,开箱即用的模型,如各个云厂商(阿里云也是一个SaaS应用,只不过这个SaaS应用又可以创建出来IaaS资源)、Salesforce。
  企业自运维应用一个典型特点是,不存在多租模型设计,但是从账号模型上来讲,也是一个B2E模型,其中管理员身份(主账号)的初始化工作可以借由邮箱或者线下渠道来完成,这种应用提供的能力专注于员工账号(子账号)的生命周期管理,一般会提供简单的账密登录和IdP SSO登录选项。这种模式的应用不属于我们今天的讨论范围。
  前文提到的4种典型SaaS应用都属于在线SaaS应用,可以看到的一个特点是,这些SaaS应用都会存在两个实体角色:管理员(主账号)和员工账号(子账号)。需要着重说明的是,管理员(主账号)可以非常明确地认为是SaaS应用的个人客户,只有管理员先成为SaaS应用的个人客户,然后才能基于这个身份去创建归属于管理员所属企业的逻辑租户,而员工账号(子账号)是在企业租户下的一个子资源或者特殊实体,而这个特殊实体会和企业下的真实员工一一对应。
  总结来看,如果我们今天创业要构建一个SaaS应用,我们会面临如下几个问题抉择:

  1. 企业的管理员(主账号)身份怎么初始化?
  2. 员工账号(子账号)的资产所有权归属于谁,是员工,还是企业?
  3. 员工账号(子账号)的数据从哪来?或者说,通过什么样的方式快速导入企业的员工账号到应用中?

Q1:企业的管理员(主账号)身份怎么初始化?

  在这个问题下,我们可以简化理解成一个To C应用的构建问题,可以通过微信、钉钉、支付宝等社交方式来完成管理员身份的初始化。

Q2:员工账号(子账号)的资产所有权归属于谁,是员工,还是企业?

  除了标准钉钉外,本文中其它的三个应用都是以企业视角来看待员工账号,这个账号资产完全归属于企业,因此企业可以个性化定义自己需要的安全管控策略。而在标准钉钉中,员工账号同时依托于个人钉钉账号和企业在职身份,当员工离职后,会存在数据资产分割不清晰的问题。
从个人视角来看,所有的企业SaaS应用都应该从企业视角来看待员工账号,也就是员工账号的资产所有权一定是归属到企业,这样子才能符合企业的安全管控策略。

Q3:员工账号(子账号)的数据从哪来?

  除了个别应用外,如HR应用,其它的应用都会面临的一个问题是,企业维护员工人事数据只会在一个地方(HR应用)中维护,我们不能,也不应该让企业IT管理员在一个新员工入职后去多个地方录入该员工信息,即企业员工信息应该一处修改,处处生效。因此作为SaaS应用提供方,我们需要从企业已有的IdP中同步员工身份数据到应用中,此时可选的方式有如下几种:

  1. 针对已知的权威身份数据源,我们可以主动去适配,如钉钉、AD/LDAP和IDaaS EIAM,通过调用对应身份源的接口来获取员工身份数据;
  2. 针对未知场景,可以在企业IdP SSO时做懒加载,或者实现SCIM协议,以SCIM Server身份来接受企业IdP的SCIM账户数据同步;

总结

  本文从日常业务交流中遇到的两个问题(租户切换和查询用户归属的租户列表)为出发点,针对常见的SaaS应用账号模型进行了一个分析,尝试解答清楚为什么IDaaS EIAM不支持员工账号的租户切换和查询员工账号的归属的租户列表。在此基础上,从个人视角针对企业SaaS应用的账号模型设计做了一个分析,希望能够对大家创建SaaS应用有一个帮助。

目录
相关文章
|
7月前
|
消息中间件 缓存 运维
云his系统源码 SaaS应用 功能易扩 统一对外接口管理
运营运维 系统运维、综合监管、系统运营
105 1
|
存储 中间件 开发工具
云计算的三个主要服务模型:IaaS、PaaS 和 SaaS
云计算的三个主要服务模型:IaaS、PaaS 和 SaaS
10827 0
|
1月前
|
人工智能 API 网络安全
使用SaaS化的Aurora应用快速搭建私人ChatGPT助手
Aurora是一个带UI且免费的GPT私人聊天助手,可切换GPT-3.5,4,4o等常用版本。用户可通过部署Aurora,快速打造自己专属的AI助手。阿里云计算巢已将Aurora打包为SaaS应用,您无需下载代码或安装复杂依赖,也无需连接国外VPN,仅需填写5个参数并等待5分钟,即可通过国内网络快速搭建私人聊天助手,非常适合非技术人员。部署前需确保已开通阿里云账号且余额充足。
|
7月前
|
存储 运维 持续交付
探索云计算的不同服务模型:IaaS、PaaS、SaaS
【5月更文挑战第23天】本文探讨了云计算的三大服务模型:IaaS、PaaS和SaaS。IaaS提供基础设施租赁,允许用户按需付费,聚焦业务创新而非设备维护。PaaS在IaaS基础上提供开发、测试和部署环境,简化应用管理,支持弹性扩展。SaaS则为用户提供可通过互联网访问的软件应用,实现多租户共享,提升工作灵活性。这三种模型满足了不同用户从基础设施到软件服务的多元化需求。
|
3月前
|
存储 监控 安全
SaaS业务架构:业务能力分析
【9月更文挑战第20天】在数字化时代,软件即服务(SaaS)模式逐渐成为企业软件解决方案的首选。SaaS 业务架构设计对于提供高效、可靠的服务至关重要。其核心业务能力包括:用户管理(注册登录、角色权限)、数据管理(存储备份、安全共享)、业务流程管理(设计定制、工作流自动化)、应用集成(第三方应用、移动应用)及客户服务(支持培训、反馈改进)。通过优化这些能力,可为企业提供更高效、可靠的 SaaS 服务。
71 11
|
2月前
|
存储 前端开发 数据库
一文搞懂SaaS应用架构:应用服务、应用结构、应用交互设计
【10月更文挑战第21天】本文介绍了 SaaS 应用服务的多租户服务、安全服务和更新与维护服务,以及 SaaS 应用的前后端结构和交互设计。多租户服务涉及数据隔离和资源分配;安全服务包括身份认证与授权及数据安全;更新与维护服务涵盖版本管理和技术支持。前端结构关注用户界面设计和前端技术选型;后端结构则涉及微服务架构和数据库管理。交互设计强调租户与应用的交互和应用内部模块间的交互。
207 0
|
7月前
|
消息中间件 运维 前端开发
java云his系统源码 B/S版+saas智慧医院云his系统源码 二甲医院应用多年 运行稳定
Java云HIS系统,SaaS模式,适用于二甲医院,稳定运行多年。包括B/S版电子病历,支持四级标准,具有自主知识产权。系统涵盖挂号、收费、病历、药物管理、统计报表、综合维护及运营运维功能。前端使用Angular+Nginx,后端基于Java+Spring系列,数据库为MySQL+MyCat,缓存Redis+J2Cache,集成RabbitMQ、XxlJob等。电子病历系统支持在线创建、管理和打印,采用SpringBoot、Mybatis-Plus等技术,提供一体化解决方案。系统优势在于模板化、配置化设计,便于使用和扩展。
86 1
java云his系统源码 B/S版+saas智慧医院云his系统源码  二甲医院应用多年 运行稳定
|
7月前
|
监控 数据可视化 安全
SaaS智慧工地云平台源码 视频监控、机械设备、环境监测、劳务分析、进度管理
自动监测塔机和施工升降机的运行情况,且在有危险源时及时发出报警和输出控制信号,并可全程记录特种设备的运行数据,将数据传输至云平台,为相应操作人员的管理提供数据支持。
120 1
|
存储 弹性计算 云计算
深入理解云计算:探索IaaS、PaaS和SaaS服务模型
云计算作为当代信息技术领域的关键驱动力,通过提供弹性计算资源和灵活的服务模型,极大地改变了企业和个人的计算方式。本文深入探讨了云计算的基础概念,着重介绍了三种主要的云计算服务模型:IaaS、PaaS和SaaS。
849 0
|
7月前
|
人工智能 监控 数据可视化
SaaS模式java智慧工地源码 AI视频智能分析解决工地安监需求 有演示
智慧工地系统充分利用计算机技术、互联网、物联网、云计算、大数据等新一代信息技术,以PC端,移动端,平板端三位一体的管控方式为企业现场工程管理提供了先进的技术手段。让劳务、设备、物料、安全、环境、能源、资料、计划、质量、视频监控等十大管理环节变得智慧可控。为建设集团、施工企业、政府监管部门等提供一站式工地现场管理信息化解决方案,是一种崭新的工程现场一体化管理模式。
96 2