我正在 Azure 中构建一个应用程序,该应用程序将公司 AD 用于公司员工的 IDAM。我们打算有一个模型,其中用户有特定的角色,例如User Admin、Sales 等。这些在应用程序 (RBAC) 中提供了某些功能。但是,我们在平台中也有不同的产品也需要代表。因此,您可能拥有产品 A 的销售角色,但没有产品 B。这意味着您拥有销售能力,但仅限于属于产品 A 的资产。永远不会出现您对产品具有不同角色的情况.所以你不会是产品 A 的管理员,也不会是产品 B 的销售人员。所以我正在寻找一些关于在 AD 中建模的最佳方式的建议。对此是否有既定的最佳做法?
我能想到一些选择:-
1) 笛卡尔积
将产品和角色的每个排列创建为 AD 组。例如。 Admin-ProductA、Admin-ProductB、Sales-ProductA 等等。这给了我最大的灵活性,但它非常冗长。
2) 角色和产品组
为每个角色创建 AD 组,例如管理员、销售等。然后将每个产品建模为一个组,例如ProductA、ProductB 等。然后在应用级别检查是否存在正确的角色和产品组合。
3) 还有别的吗?
我不是 AD 专家,所以这里可能遗漏了一些东西。所以任何建议将不胜感激。
干杯