一、业务背景
IPTV+CDN平台包括内容库、调度、配置、工单、内容管控、监控告警等多个平台,不同平台需要支持内部freeipa账户和外部邮箱账户等不同方式登录访问,同时需要根据不同的角色提供分权分域管理,因此需要交维IPTV+CDN业务平台给各省内外部账户、不同运维进行不同操作维护。
二、IPTV+CDN业务分权分域管理平台整体需求说明
1、为了保证各省外部用户、内部用户统一登录IPTV+CDN业务平台后能够实现分权分域管理,需要基于IPTV+CDN业务应用场景,实现IPTV+CDN支撑平台的分权分域管理系统;
2、保证内/外部人员通过界面化直观分配不同的角色,保证不同角色用户访问IPTV+CDN支撑平台能够基于权限管控访问不同的数据、界面功能、操作管理等,通过分权分域管理提升IPTV业务平台的安全性和可靠性;
3、IPTV+CDN业务分权分域管理平台整体上支持用户鉴权认证、内外部用户管理、组织架构和各省架构管理、内置角色权限管理、自定义角色权限管理、操作日志审计管理等相关功能。
三、IPTV+CDN业务分权分域管理系统整体架构
四、IPTV+CDN业务分权分域管理系统说明
1、用户鉴权认证功能
(1)用户单点登录功能:
- 在未登录状态,访问iptv+cdn支撑平台统一跳转到单点登录界面;
- 登录权限失败状态返回403;
- 权限校验通过状态,根据用户鉴权认证信息,进入iptv+cdn支撑平台主页,依据权限显示对应功能;
(2)访问控制功能
- 能够获取到指定用户的所有权限列表;
- 通过比对访问请求,命中权限列表进行权限校验;
- 通过校验结果判断访问请求的控制结果;
(3)会话管理功能:支持用户会话保持以及会话缓存时间配置;
(4)授权访问功能:支持内置权限分配、菜单功能、操作功能、数据范围、API接口访问等不同类型授权访问功能;
2、用户管理功能
(1)内部用户管理:主要基于内部账户进行用户管理;
(2)外部用户管理:主要基于各省IPTV账户进行管理,支持用户信息同步、注册管理等功能;
3、组织架构管理功能
(1)内部组织架构管理:可以导入并管理配置内部组织架构信息,便于内部人员按组织归类,后续可考虑支持组织人员批量授权权限功能;
(2)各省组织架构管理:可以导入或配置注册外部各省用户,便于IPTV各省用户按省级组织归类,后续可考虑支持省级组织人员批量授权权限功能;
4、角色管理功能
(1)根据不同的角色平台使用情况,可以自定义不同的业务角色,比如:基础运维角色、业务运维角色、客户运营角色等等;
(2)根据不同的省份用户使用情况,可以自定义数据筛选角色,比如山西省用户,只能访问山西省相关业务平台数据;
(3)内置基础配置角色,包括成员管理、权限分配管理等功能;
(4)规划支持组角色管理功能,可以将多个不同的角色划分到特定组角色,实现一键分配归类的组角色功能;
(5)具有相应角色的人员能够具有特定的平台业务操作权限;
(6)典型角色成员划分定义参考:
- 根据业务使用范围进行角色定义以及成员划分,具体包括基础运维角色、业务运维角色、客户运营角色、研发人员角色、测试人员角色等等;
- 根据平台操作管理范围进行角色定义及成员划分,具体包括IPTVCDN平台编辑角色、IPTVCDN平台查询角色、IPTVCDN平台执行角色、IPTVCDN平台部署角色等等;
5、相关权限管理功能
(1)内置基础配置权限
- 支持基础成员管理;
- 支持权限分配管理;
- 支持系统相关配置管理;
(2)菜单权限功能:
- 基于不同的菜单功能,定义并关联特定的权限,同时可以将相应的菜单权限添加到特定角色中;
- 分配特定业务角色的人员,当具备相应菜单权限时,可以正常使用相应的菜单功能;否则不具备访问相应菜单的功能权限;
(3)操作按钮权限功能
- 针对新增、修改、删除、停用、启用等关键管理操作按钮,定义并关联特定的权限;
- 分配相应权限到特定管理角色,使得只有管理操作角色的人员才具备执行相应的操作管理功能;
(4)接口权限功能
- 针对内部相关接口提供使用情况,定义并关联特定的接口权限;
- 分配特定接口使用角色的人员,使得不同的接口角色人员,具备不同的接口使用权限;比如:新增、修改、删除的接口,需要赋予给管理接口的角色人员;
(5)数据范围权限功能
- 支持不同业务数据隔离功能;
- 基于特定规范划分不同数据范围,限制特定人员数据访问的权限;
6、审计日志功能
(1)访问审计:支持不同用户登录、登出访问记录;
(2)操作审计:支持权限分配、用户管理、角色管理等操作行为记录;
五、其它说明
(1)基于统一的分权分域管理架构框架,能够适用于不同的支撑平台分权分域管理;
(2)为了避免业务应用过程中各个子平台独立访问,可使用一体化平台集成各个子平台,同时基于一体化平台进行整体分权分域管理,可实现支撑平台运维管理的统一集约型。