-
Notifications
You must be signed in to change notification settings - Fork 2
Development Roadmap
Eric Guo edited this page Mar 19, 2019
·
5 revisions
- 在传统的账户、认证、授权、审计的4A基础上加上特有的应用商店,形成5A平台,提供统一门户,并且后续开发者可以基于统一平台进行快速开发和应用集成
- 后续开发可以送使用用户一键登录自动获得所属部门及相关权限,不必自行维护(如果已经自己维护,可不变,也可逐步移到统一用户管理平台管理
- SSO授权认证符合 https://openid.net 标准
- 用户登录用密码同现有的Windows域密码始终一致
- 支持SaaS产品平台接入 (通过Oauth2协议或者OpenID connect协议)
- 支持部分子公司自建系统接入,提供ASP.net MVC的接入示例
- 授权密钥和ID的管理
- 授权信息的加密发放(符合openid标准)
- 授权信息的简化发放,OAuth2标准,示例
- 原则上应该通过openid的标准接入
- 通过RESTful API提供json API的特定接口(如果有)
- 直接从数据库读取和写入(必须内部应用,特批)
- 用户仍然可以通过微信企业号维护企业的本身人员和部门信息;
- 用户也可以通过本企业门户的SSO模块自行维护;
- SSO子系统自动会做到企业通讯录、Windows域、以及本身的用户人员数据和部门信息的同步,不同步的部分可以通过报表查询到。
- 记录用户的登录时间,地点(通过IP推断),以及对于接入SSO应用的访问信息。
- 记录用户本身相关信息的任何变更
- 记录用户部门的任何变更
- 记录用户权限的任何变更
- 记录对用户操作的人员信息
- 记录授权应用的使用用户信息的信息
- 暴露给接入SSO的应用的信息都会经过用户授权;
- 不会暴露用户授权信息以外的任何信息到接入SSO的应用中;
- 随时可以撤销用户对于非公司,或者第三方的,不再安全或者已经不在使用的应用授权;
- 用户注册、账号验证、放注册攻击、有效性校验(例如号码重复之类的)
- 找回密码(如果账号独立于域账号)或者密码强度验证
- 登录安全性,例如重试多次后的周期性锁账号
- 单点全部登出
- 二因素登录,如发送短信校验码或者身份验证器
- 用户可以属于多个部门,一个部门当然也可以有多个用户
- 用户可以在多个部门有不同的头衔
- 用户的其他信息维护,例如:联系电话,身份证号,籍贯,所属部⻔、岗位,雇员正式身份信息
- 加密特定敏感信息,例如身份证号?
- 可对用户进⾏等级、类别划分,不同等级和类别的用户可以分配不同的权限
- 可对用户进行标签管理,标签独立于部门
- 账号停用(不提供账号删除功能)
- 账号合并(需要吗?)
- 用户管理人员是否只应该管理子公司?
- 能够向接入的B端应用客户提供组织机构管理理功能。
- 可以查看或导出部分或者全部的组织架构图
- 可以查看或导出特定应用使用的人员及部门
- 支持今后公有云的应用部署
- 支持今后基于公有云的SaaS应用接入