在现代企业数字化进程中,IGA(身份治理与管理)产品将能够覆盖从用户帐号创建到终止的整个生命周期管理,包括管理员对用户的授权管理、用户自助服务与审批管理、用户与用户之间的权限流转管理。企业仅仅依靠基础功能,难以应对复杂业务环境中日益严苛的安全与合规需求。在权限流转的过程中,由于角色分配权限的多样性和业务场景的复杂性,可能会出现权限权限、冲突等安全隐患,引发合规性风险,企业需要通过事前探知的策略与事后审计活动进行维护。在此背景下,SoD(职权分离)与权限审计将组成预防授权违规和维护系统安全的重要能力。

01.什么是职权分离与权限审计?

职权分离:事前预防违规授权

职权分离支持组织将内部的合规制度添加至系统中的授权行为之前,预防违规的授权、进而预防风险。通过阻止潜在的冲突权限组合,将企业内部的合规制度融入授权管理流程中,构建了事前预防机制。管理员可以配置职权分离策略,将可能导致合规风险的权限角色分配至冲突权限组中。例如,将“出纳权限”和“会计权限”分别设定为冲突组,确保同一用户无法同时拥有两种权限,预防财务违规行为的发生。当用户或用户池主体试图获取两个冲突组中的权限时,系统会实时触发策略运行日志,记录潜在的违规行为并发出警告,将违规风险控制在萌芽阶段,为企业内部控制提供了强有力的技术支撑。

权限审计:事后维护授权安全

权限审计功能支持组织对部分用户主体或权限实体进行授权的审计,在授权行为完成后进行定期维护。通过权限审计功能,支持企业对授权行为进行事后检查和维护。企业可以设定审计周期,例如按照部门或岗位,对用户权限进行季度审计,及时发现并撤销已停用或高风险的权限分配。权限审计生成的详细报告,可以帮助管理者全面了解授权现状,确保权限管理始终符合安全和合规要求。例如,一家企业在权限审计中发现某员工因岗位调整导致权限冗余,通过及时清理降低了潜在风险,同时优化了系统权限配置。

02.Authing 新增配置职权分离策略

Authing 支持管理员通过配置职权分离策略,将企业合规制度加入到授权行为监管中。作为用户池管理员,可以通过将可能引发合规风险的权限角色分别加入同一条职权分离策略中的两个冲突权限组,从而实现精准的权限隔离。例如,在一个权限敏感的业务环境中,“财务审批”权限与“资金支付”权限可能因角色交叉而带来高风险。管理员可将这两类权限分配到冲突权限组中,当用户试图同时获取两个组的权限时,系统会自动触发策略运行日志。不仅实时记录潜在违规行为,还能发出预警,为管理员提供及时干预的依据,确保权限管理的合规性和透明性。

通过职权分离策略的实施,企业能够在授权行为中构建更加细致且符合安全要求的管控体系。管理员不再需要依赖人工检查,而是通过自动化工具高效管理复杂的权限组合情况,为企业的安全合规运营奠定技术基础。未来,随着数字化管理的深化,这种策略将进一步发挥作用,帮助企业在快速变化的业务环境中保持系统稳定与合规。

03.详细功能描述


创建职权分离策略

在授权中,职权分离策略是帮助企业构建合规权限管理体系的重要功能。Authing 已在「权限管理」模块中新增了「职权分离」Tab 页,为管理员提供更高效的权限配置和策略管理体验。需要注意的是,「职权分离」功能目前以灰度模式上线,为保证功能的稳定性和适用性,用户需提前申请开通白名单权限第三方可使用。在功能开通后,管理员即可进入职权分离菜单,通过系统化的步骤轻松创建和管理冲突权限组,有效预防潜在的权限冲突风险,助力企业在复杂业务环境中更从容地应对安全。

功能使用指南

1、在开始使用「职权分离」管理授权行为之前,你需要先在「角色管理」中创建不可同时授权给同一个主体的 2 组角色;

2、完成「1.」并开通职权分离菜单后,你可以开始在 职权分离 -> 职权分离策略 创建职权分离策略,如下图所示:


3、创建职权分离策略的步骤 1 中,你需要选择一种冲突权限组的类型。当前仅支持角色权限,其他类型将在后续版本迭代。


4、点击「下一步」按钮,在步骤 2 中,你可以将「1.」中创建的角色分别加入两个冲突权限组中,下图示例为将角色「示例角色 A」加入「示例权限组 A」,将「示例角色 B」加入「示例权限组 B」:


5、如需修改某个权限组中的角色,可以点击双箭头图标按钮下拉冲突权限组,移除组中角色。


6、将角色分别加入 2 个冲突权限组后,点击「下一步」按钮,设置策略的名称、描述等基本信息,这将用于快速区分策略所包含的合规制度信息。完成后,点击「下一步」按钮:


7、在步骤 4 中你可以再次检查策略的名称、描述、冲突权限组及其所包含角色的信息。准确无误的情况下,请点击「创建策略」按钮,你将完成一条职权分离策略的创建。策略创建后将开始运行,如果需要停用,可以在「策略运行状态」列关闭开关。

编辑职权分离策略
当创建完成职权分离策略后,管理员仍然可以对已创建的策略进行灵活编辑,企业在不同阶段的业务需求或响应环境变化快速。管理员可以调整策略的冲突权限组配置、更改名称策略与描述,甚至添加或删除特定角色。通过这些操作,企业能够及时对授权规则进行优化,确保权限管理始终满足业务需求和合规标准。

策略运行日志
策略创建后将自动开始运行,在运行期间,管理员对用户授权的行为、用户通过自助申请获得的授权都将受到职权分离策略的监测。如果新的授权行为触发了策略中设置的冲突权限组规则,策略运行日志将记录授权主体相关的信息,用于判断授权行为是否有风险。


在每条职权分离策略详情中可分别查看触发过该策略的日志:

导出策略运行日志
职权分离策略的运行日志是记录授权行为监测与冲突权限触发情况的重要数据来源。为了帮助管理员更实地分析和评估授权行为的高效合规性,Authing 支持将导出选定的时间范围 / 触发策略来源范围内的日志。通过导出日志,管理员可以从多维度对权限管理流程中的潜在风险和问题进行深入分析,进一步优化企业的合规策略。