本文是基于业务中台多租户权限管理设计的总体方案。


作者梳理了背景系统权限管理设计的一般方法、需要解决的问题，并总结了具体的设计方案。


一、后台系统权限管理设计的一般方法 设计后台系统(如:CRM、EPR、EHR、当电子商务管理背景等）时，权限管理是一个重要的功能。


大多数背景系统都处理企业的业务流程，这将涉及多个部门的合作。


必须对每个能够使用该系统的用户进行权限管理。


权限管理的一般模式如下： 整体业务逻辑如下： 运行过程中产生的菜单、页面、按钮、字段和数据都需要注册为系统资源； 系统资源包装组合成为角色； 角色可以与用户相关，从而完成资源授权给用户的处理 角色可以与用户组相关，用户组是由多个用户组成的集合，用户可以继承与用户组相关的角色 在系统运行过程中，任何用户在使用系统资源时都需要进行授权验证，即看用户关联的所有角色包含的资源是否包含当前访问的资源，从而完成用户权限管理的控制。


你没看错，所有单个应用权限管理的实现逻辑都是一样的。


然而，我们需要引入更多的概念(租户、应用实例等)来完成业务逻辑。


)基于业务中心的权限管理设计。


二、基于业务中心多租户权限设计需要解决的问题 所有中间平台建设的目的都是为了快速低成本的业务创新。


大多数企业将基于中间平台开发大量的业务应用程序。


一般来说，基于业务中如下图所示： 从图中可以看出，中间平台上有各种各样的业务应用，作者的企业是中间平台标准产品的制造商（即中间平台作为基础设施）SaaS为了满足不同客户的个性化需求，制造商)增加了多租户机制。


我们的权限管理设计面临以下主要问题： 出厂时需要提供特殊的初始权限管理流程； 对于购买SaaS对于产品客户来说，权限需要集中管理，以减少运营商的工作内容； 对不同的角色/场景有不同的权限管理要求。


三、具体设计方案阐述 在解决上述问题之前，我将首先介绍我公司的整体产品结构： 业务中心是我们所有应用的基础设施，我们可以通过MPC 配置每个应用程序所需的业务能力，将业务能力结合起来，形成一个应用程序，实现业务平台的能力重用，快速支持业务创新。


在这种商业模式下，应用程序是通过配置在一定的前端页面开发形成的。


我们可以为每个租户制作所需的应用程序实例，租户下的数据是隔离的。


客户购买我们的整个标准产品后(包括业务中心)MPC、BOC以及预置应用)，首先我们在MPC中间预置了一个root账户，通过这个账户，我可以创建租户，并为租户实例应用，在实例应用的同时，为租户生成租户管理员。


租户管理员可以进入BOC例如，他可以在租户下创建用户，并设置用户可以登录的应用程序；他可以为租户下的任何应用程序实例创建角色，并将角色分配给租户下的用户。


租户管理员管理权限的模式如下： 整体业务逻辑： 当系统初始化时，需要生成root该账户由系统预置所有资源权限 root账户可以创建租户，并为租户实例应用 实例化应用需要为租户生成租户管理员，并赋予租户管理员应用实例的管理员权限（管理员的角色是应用预置） 以上是解决出厂初始化的特殊权限管理逻辑。


租户管理员可以全局管理（BOC）对租户下的用户信息进行管理，并能将应用程序中的角色与用户相关联； 原型示意图 租户管理员可以在整体管理中管理每个应用实例中的角色； 具有应用实例权限的用户可以进入应用程序，并在应用实例下创建用户和角色。


四、总结 以上是我基于业务中台多租户权限管理设计的总体方案。


SaaS隔离数据在模式下使用，在数据层面有自己独立的空间； 应用实例是指在租户数据空间中运行的应用程序；用户是户是使用系统的直接对象，使用由相关角色决定的资源；资源是指运行过程中产生的菜单、页面、按钮、字段和数据。


在澄清了这些概念之后，即使是复杂的系统，我们也会设计权限管理。


如对上述内容有异议，请随时与我讨论。


特别说明：本网站的主要目的是收集与互联网运营相关的干货知识，为运营伙伴提供便利。


本网站收集的公共内容来自互联网或用户的贡献，这并不意味着本网站同意其观点，也不对网站内容的真实性负责。


如有侵权行为，请联系网站管理员删除，。