对于游戏行业,通常涉及到多个子公司、工作室在共同用云。会使用多个账号承载游戏业务或信息系统。因此会涉及到不同子公司员工、不同项目人员的访问。由于业务特性,组织和人员的变动比较频繁,也需要对不同职能,身份设定合理的访问权限。
某游戏客户,开发人员分为企业内部员工和第三方游戏开发工作室,其中:
企业内部员工使用飞书或其他IDaaS系统(比如AD);
第三方游戏开发工作室各有独立的账号体系。
IT管理员不感知被授权人的离职、调任,被授权员工的云服务使用权限清除不及时可能导致权限泄露
权限管理不集中,分散在各个账号内各自维护,导致:
管理繁琐:IT管理员操作时需要登录不同账号进入访问控制完成设置,操作流程繁琐;
授权不清晰:难以完整看清所有权限授予情况。
火山引擎的云身份中心,提供了一系列的身份管理工具,帮助客户实现多账号下快速部署单点登录、身份通讯录同步和统一权限配置,简化身份管理。可结合客户内部的业务流程,实现高效内部协调,帮助业务用户快速开展各项业务。
云身份中心通常部署在统一管理的账号,称为Master Account(后简称MA),在设置人员访问时,首先需要将企业人员通讯录,作为身份源同步到云身份中心,然后通过云身份中心配置用户可访问的账号及权限。配置完成之后,员工可使用统一的企业登录门户登录,然后选择拥有权限的账号访问。
使用云身份中心,可以帮助企业实现:
简单便捷的实现多账号下用户和权限配置,避免了登录到每个账号中配置的繁琐工作;
通过飞书或SCIM协议实现身份源的实时同步,员工的入离转调无需人工处理,同时降低人员离职未及时收回访问权限带来的风险。
给企业提供单独域名的登录门户,支持使用SSO的方式与企业内部认证系统对接。用户无需额外记忆密码来登录,提升用户访问的安全性和体验。
某客户的开发人员,一部分是正式员工,可以使用飞书进行同步和登录;另一部分是外部工作室,这部分用户需要管理员定期维护,授予访问权限,使用账号密码进行登录。
在整个的方案中,涉及到以下几个角色:
申请者,指某分子公司的某个开发人员。
IT管理员,指IT部门的管理员,负责初始化的配置,并为新的业务子公司或部门开通服务。
业务部门管理员,指某内部业务部门/某第三方合作游戏开发工作室的业务管理员,负责审批员工的访问权限申请。
在整体方案中,云身份中心提供基础能力,使得所有开发员工身份及权限模版能够集中在MA中管理。同时,所有需要使用云资源的员工流程中,IT管理员初始化账号结构、服务及资源的开通,在授权过程中基于业务部门申请者的权限申请或权限回收申请,进行统一的权限授予与回收。这个授权过程也可以和企业内部的OA系统或云管平台进行集成,实现全流程的自动化。
流程中涉及到以下几个节点,可使用火山引擎企业身份管理解决方案实现高效的落地
| 序号 | 业务功能 | 产品 | 使用的功能 | 方案价值 |
|---|---|---|---|---|
1 | 初始化多账号架构 | 企业组织 |
| |
2 | 同步企业企业身份源至云身份中心 | 云身份中心 | 通过身份源同步,在管理员账号内集中管理所有员工身份,并同步飞书或其他企业身份系统用户入离转调,保证企业用户访问云服务的权限不泄露。 | |
3 | 预设权限模版 | 云身份中心 | 初始化访问权限集 | 集中管理企业员工访问权限的模版,并支持下发到各个账号内在员工实际访问每个账号云服务时生效。 |
4 | 申请/授予访问权限 | 企业身份中心 | 配置角色SSO | 基于云身份中心实现员工权限的授予。通过企业身份中心控制台可完成以下两步操作:
如权限模版足够标准化,可直接使用云身份中心用户组进行授权,当单个员工申请权限时,加入新的用户组即可 |
5 | 账密登录企业门户/登录使用云服务 | 云身份中心企业门户 | 账号密码登录 | 员工可访问企业自定义的登录门户地址,输入账号密码后完成登录。登录后可查看其所有有权限登录的火山引擎账号,可选择其一进行登录,以访问和使用该账号下云资源。 |
6 | 回收访问权限 | 企业身份中心 | 基于云身份中心实现员工权限的回收。
|