Өргөтгөх боломжтой зөвшөөрлийн системийг бий болгох: Аж ахуйн нэгжийн програм хангамжийн практик гарын авлага

Аж ахуйн нэгжийн програм хангамж дахь зөвшөөрлийн чухал үүрэг

500 хүнтэй компанид аж ахуйн нэгжийн нөөцийн төлөвлөлтийн шинэ системийг нэвтрүүлж байгаа нь зөвхөн бага ажилтнууд зургаан оронтой худалдан авалтыг зөвшөөрөх эсвэл хүний ​​нөөцийн дадлагажигч нар удирдах ажилтны нөхөн олговрын мэдээлэлд хандах боломжтой гэдгийг олж мэдээрэй гэж төсөөлөөд үз дээ. Энэ бол зүгээр нэг үйл ажиллагааны толгойн өвчин биш бөгөөд энэ нь байгууллагуудад олон сая торгууль төлж, бүтээмж алдагдахад хүргэдэг аюулгүй байдал, хууль тогтоомжийг дагаж мөрдөх хар дарсан зүүд юм. Зөв боловсруулсан зөвшөөрлийн систем нь аж ахуйн нэгжийн програм хангамжийн төв мэдрэлийн тогтолцооны үүрэг гүйцэтгэдэг бөгөөд зөв хүмүүс зөв нөөцөд зөв цагт зөв хандах боломжийг олгодог. Сүүлийн үеийн мэдээллээс үзэхэд хандалтын хяналтын системтэй компаниуд аюулгүй байдлын зөрчлийг 40%-иар бууруулж, нийцлийн аудит бэлтгэх хугацааг дунджаар 60%-иар бууруулдаг.

Mewayz-д бид CRM, цалингийн бүртгэлээс эхлээд флотын удирдлага, дүн шинжилгээ хүртэл 208 модулиар 138,000 гаруй хэрэглэгчдэд үйлчлэх зөвшөөрлийн системийг бүтээсэн. Эдгээр системийн уян хатан байдал нь байгууллагууд хэр үр дүнтэй цар хүрээгээ тэлэх, зохицуулалтын өөрчлөлтөд дасан зохицох, аюулгүй байдлыг хангахад шууд нөлөөлдөг. Энэхүү гарын авлага нь тухайн туршлагаасаа үндэслэн танай байгууллагатай хамтран хөгжих зөвшөөрлийг боловсруулахад практик хүрээг бий болгоход чиглэгдсэн болно.

Зөвшөөрлийн системийн үндсийг ойлгох нь

Хэрэгжүүлэхээс өмнө зөвшөөрлийг "уян хатан" болгодог зүйлийг ойлгох нь маш чухал юм. Энэ нөхцөлд уян хатан байх нь уг систем нь үндсэн дахин төлөвлөлт шаардлагагүйгээр зохион байгуулалтын өөрчлөлтийг хийх боломжтой гэсэн үг юм. Компани өөр бизнес олж авах, хэлтэст бүтцийн өөрчлөлт хийх эсвэл дагаж мөрдөх шинэ шаардлагыг хэрэгжүүлэх үед зөвшөөрлийн систем нь гацаа болж болохгүй. 2023 онд МТ-ийн удирдагчдын дунд явуулсан судалгаагаар 67% нь "зөвшөөрлийн системийн хатуу байдал"-ыг дижитал хувиргах санаачилгад томоохон саад тотгор учруулж байна гэж үзсэн байна.

Хамгийн үр дүнтэй зөвшөөрлийн системүүд нь аюулгүй байдал болон ашиглах боломжтой байдлыг тэнцвэржүүлдэг. Эдгээр нь хандалтын нарийн хяналтыг хэрэгжүүлэхэд хангалттай нарийн бүтэцтэй боловч администраторууд техникийн дэвшилтэт ур чадваргүйгээр удирдаж чадахуйц мэдрэмжтэй байдаг. Дундаж аж ахуйн нэгж янз бүрийн системд 150 гаруй тодорхой хэрэглэгчийн үүргийг удирддаг гэж үзвэл энэхүү тэнцвэрт байдал онцгой чухал болж байна. Зорилго нь зөвхөн зөвшөөрөлгүй хандалтаас сэргийлэх биш, харин зөвшөөрөгдсөн хандалтыг үр дүнтэй идэвхжүүлэх явдал юм.

Үндсэн архитектурын загвар: RBAC ба ABAC

Үүрэгт суурилсан хандалтын хяналт (RBAC)

RBAC нь байгууллагын программ хангамжийн хувьд хамгийн өргөн хэрэглэгддэг зөвшөөрлийн загвар хэвээр байна. Энэ нь зөвшөөрлийг ажлын чиг үүргийн дагуу үүрэг болгон бүлэглэх замаар байгууллагын бүтэцтэй зүй ёсоор зурагладаг. "Борлуулалтын менежер"-ийн үүрэг нь борлуулалтын таамаглалыг харах, 15% хүртэлх хөнгөлөлтийг батлах, тухайн бүс нутгийн хэрэглэгчийн бүртгэлд хандах зөвшөөрлийг агуулж болно. RBAC-ийн давуу тал нь түүний энгийн байдалд оршдог—ажилтан дүрээ өөрчлөх үед администраторууд хэдэн арван хувь хүний ​​зөвшөөрлийг удирдахын оронд зүгээр л шинэ үүрэг даалгавар өгдөг.

Гэсэн хэдий ч уламжлалт RBAC нь нарийн төвөгтэй хувилбаруудад хязгаарлалттай байдаг. Тусгай төсөлд түр зуурын зөвшөөрөл шаардлагатай үед юу болох вэ? Эсвэл дагаж мөрдөх шаардлага нь ижил үүрэг нь газарзүйн байршлаас хамааран өөр өөр зөвшөөрөлтэй байхыг шаарддаг бол? Эдгээр хувилбарууд нь шаталсан RBAC болон хязгаарлагдмал RBAC-ийн хувьсал өөрчлөлтөд хүргэсэн бөгөөд энэ нь өв залгамжлал, үүрэг хуваах чадварыг нэмэгдүүлдэг. Ихэнх аж ахуйн нэгжүүдийн хувьд сайн боловсруулсан RBAC сангаас эхлэн шаардлагатай функцүүдийн 80% -ийг илүү дэвшилтэт загваруудын 20% нь нарийн төвөгтэй байдлаар хангадаг.

Атрибут дээр суурилсан хандалтын хяналт (ABAC)

ABAC нь зөвшөөрлийн системийн дараагийн хувьслыг илэрхийлдэг бөгөөд хандалтын шийдвэрийг урьдчилан тодорхойлсон шинж чанаруудын хослолоос илүүтэйгээр гаргадаг. Эдгээр шинж чанарууд нь хэрэглэгчийн шинж чанар (хэлтэс, аюулгүй байдлын зөвшөөрөл), нөөцийн шинж чанар (баримт бичгийн ангилал, үүсгэсэн огноо), хүрээлэн буй орчны нөхцөл (өдрийн цаг, байршил), үйлдлийн төрлүүд (унших, бичих, устгах) зэргийг багтааж болно. ABAC-ын бодлогод: ""Нууц" аюулгүй байдлын зөвшөөрөлтэй хэрэглэгчид ажлын цагаар "Нууц" гэсэн ангилалд хамаарах баримт бичгүүдэд корпорацийн сүлжээнээс хандах боломжтой."

ABAC-ийн хүч нь нарийн төвөгтэй байдлыг нэмэгдүүлдэг. Энэ нь хосгүй уян хатан байдлыг, ялангуяа эрүүл мэнд, санхүүгийн үйлчилгээ зэрэг динамик орчинд санал болгодог боловч нарийн бодлогын удирдлага, тооцооллын нөөц шаарддаг. Олон байгууллага өргөн хандалтын загварт RBAC, нарийн ширхэгтэй, контекст мэдрэмтгий зөвшөөрлийн хувьд ABAC ашигладаг эрлийз хандлагыг хэрэгжүүлдэг. Гартнер 2026 он гэхэд томоохон аж ахуйн нэгжүүдийн 70% нь ABAC-ийг дор хаяж зарим чухал хэрэглээнд ашиглах болно гэж таамаглаж байгаа бөгөөд энэ нь өнөөдрийн 25% -аас нэмэгдэнэ.

Уян хатан зөвшөөрлийн дизайны гол зарчмууд

Цаг хугацааны шалгуурыг давах зөвшөөрлийн системийг бий болгохын тулд хэд хэдэн үндсэн зарчмуудыг баримтлах шаардлагатай. Нэгдүгээрт, хамгийн бага давуу эрхийн зарчмыг хэрэгжүүлээрэй - хэрэглэгчид зөвхөн ажлын үүргээ гүйцэтгэхэд шаардлагатай зөвшөөрөлтэй байх ёстой. Энэ нь халдлагын гадаргууг багасгаж, санамсаргүй өгөгдөлд өртөх эрсдлийг бууруулдаг. Хоёрдугаарт, нэг хүн худалдан авалт хийх хүсэлт гаргах, зөвшөөрөх боломжтой байх зэрэг ашиг сонирхлын зөрчлөөс урьдчилан сэргийлэхийн тулд үүрэг хариуцлагаа салгах.

Гуравдугаарт, эхний өдрөөс аудит хийх боломжтой болгох. Зөвшөөрлийн өөрчлөлт, хандалтын шийдвэр бүрийг дагаж мөрдөх, шүүх эмнэлгийн шинжилгээ хийхэд хангалттай контекст бүхий бүртгэлд оруулах ёстой. Дөрөвдүгээрт, таны систем төлөөлөгчийг дэмждэг эсэхийг шалгаарай - эзгүй байгаа хамт ажиллагсдаа хамгаалах гэх мэт тодорхой нөхцөл байдалд түр зуурын зөвшөөрөл олгох. Эцэст нь, өргөтгөх чадварыг харгалзан бүтээгээрэй. Танай байгууллага хэдэн зуугаас хэдэн мянган хэрэглэгчтэй болж өсөхийн хэрээр зөвшөөрлийн шалгалт нь гүйцэтгэлд саад учруулахгүй байх ёстой.

Зөвшөөрлийн системийн алдаа нь техникийн чанартай биш, харин зохион байгуулалттай холбоотой байдаг. Хүмүүс хэрхэн ажиллаж байгаа болоосой гэж биш харин хэрхэн ажилладагийг нь харгалзан загварчил.

Алхам алхмаар хэрэгжүүлэх гарын авлага

Зөвшөөрлийн уян хатан системийг хэрэгжүүлэхэд арга зүйн төлөвлөлт шаардлагатай. Шаардлагын нарийвчилсан дүн шинжилгээ хийж эхэл. Ажлын урсгал, дагаж мөрдөх шаардлага, аюулгүй байдлын асуудлуудыг ойлгохын тулд өөр өөр хэлтсүүдийн оролцогч талуудтай ярилц. Одоо байгаа дүрүүд болон тэдгээртэй холбоотой зөвшөөрлийг баримтжуулах. Энэхүү нээлтийн үе шат нь удирдлагын зүгээс 10-15 ялгаатай үүрэг гэж ойлгодог зүйл нь үнэн хэрэгтээ 30-40 нюанстай зөвшөөрлийн багцаас бүрддэг болохыг харуулдаг.

Дараа нь зөвшөөрлийн загвараа зохио. Ихэнх байгууллагуудын хувьд энэ нь нөөцийн төрлүүд (хэрэглэгчид хандах боломжтой) болон үйл ажиллагааг (тэдгээрийн нөөцөөр юу хийж чадах) тодорхойлохоос эхэлдэг. Бат бөх загвар нь 5-10 төрлийн нөөц (баримт бичиг, хэрэглэгчийн бүртгэл, санхүүгийн гүйлгээ) болон 4-8 үйлдлийг (харах, үүсгэх, засах, устгах, батлах, хуваалцах, экспортлох, импортлох) багтааж болно. Эдгээрийг ажлын чиг үүрэгт тулгуурлан дүрд хамааруулж, дүрийн тэсрэлтээс болгоомжилж, хэрэглэгчтэй адил олон үүрэг гүйцэтгэх боломжтой.

Одоо техникийн хэрэгжилтийг зохион байгуул. Эхнээс нь барьж байгуулах эсвэл хүрээг ашиглах эсэхээс үл хамааран таны системд хэрэглэгчийн танихыг баталгаажуулах баталгаажуулалтын үйлчилгээ, зөвшөөрлийг үнэлэх зөвшөөрлийн үйлчилгээ, администраторуудад зориулсан бодлогын удирдлагын интерфейс, иж бүрэн бүртгэл зэрэг хэд хэдэн үндсэн бүрэлдэхүүн хэсгүүд хэрэгтэй. Өөрийнхөө протоколуудыг зохион бүтээхийн оронд OAuth 2.0 болон OpenID Connect зэрэг тогтсон стандартуудыг ашиглах талаар бодож үзээрэй.

Бодит хэрэгжүүлэхийн тулд дараах дарааллыг дагана уу: (1) Зөвшөөрлийн өгөгдлийн үндсэн бүтцийг бий болгох, (2) Зөвшөөрлийг шалгах дунд програмыг хэрэгжүүлэх, (3) Захиргааны интерфейс үүсгэх, (4) (Аудитын чадавхийг бодитоор хөгжүүлэх, эсвэл бодитоор шалгах). Mewayz-д бид хөгжүүлэлтийн цагийн 20-30%-ийг тусгайлан зөвшөөрөлтэй холбоотой функцэд зориулах нь хамгийн найдвартай үр дүнд хүрдгийг олж мэдсэн.

Нийтлэг бэрхшээлүүд ба түүнээс хэрхэн зайлсхийх вэ

Сайн санаатай зөвшөөрлийн системийн загвар ч гэсэн нийтлэг алдаануудын улмаас бүтэлгүйтдэг. Хамгийн их тохиолддог алдаа бол хэт зөвшөөрөл олгох явдал юм - энэ нь нарийн зөвшөөрлийг тодорхойлохоос илүү хялбар байдаг тул шаардлагатай хэмжээнээс илүү өргөн хандалт олгох явдал юм. Энэ нь аюулгүй байдлын эмзэг байдал, дагаж мөрдөх асуудал үүсгэдэг. Ашиглагдаагүй зөвшөөрлийг найдвартай устгаж болохуйц тодорхой болгохын тулд үе үе зөвшөөрлийн шалгалт хийж, аналитик ашиглан үүнтэй тэмцээрэй.

Өөр нэг чухал алдаа бол захын тохиолдлуудыг төлөвлөөгүй явдал юм. Хэн нэгэнд түр зуурын нэмэлт зөвшөөрөл хэрэгтэй бол яах вэ? Дүрүүдийг устгах үед систем нь орхигдсон зөвшөөрлийг хэрхэн зохицуулдаг вэ? Эдгээр хувилбаруудыг идэвхтэй шийдвэрлэх ёстой. Түр зуурын хандалтад зориулсан хугацаатай зөвшөөрлийг хэрэгжүүлж, албан тушаалын өөрчлөлт эсвэл ажилчдыг ажлаас халах үед зөвшөөрөл цэвэрлэх тодорхой журам тогтооно.

Зөвшөөрлийн систем дэх техникийн өр хурдан хуримтлагддаг. Анхааралтай дизайн хийхгүйгээр энгийн дүрд суурилсан систем нь үл хамаарах зүйлүүд болон онцгой тохиолдлуудын орооцолдсон сүлжээ болж хувирах болно. Тогтмол дахин засварлах, өмнө дурдсан зарчмуудыг дагаж мөрдөх нь системийн бүрэн бүтэн байдлыг хадгалахад тусалдаг. Регрессийг эрт илрүүлэхийн тулд зөвшөөрлийн туршилтыг тасралтгүй интеграцийн шугамын нэг хэсэг болгон хэрэгжүүлэх талаар бодож үзээрэй.

Mewayz-ийн модульчлагдсан хандлагатай нэгтгэх

Mewayz-д манай зөвшөөрлийн систем нь эдгээр зарчмуудыг манай 208 модулиар жишээ болгон харуулдаг. Модуль бүр нь янз бүрийн байгууллагын хэмжээ, салбаруудад тохирсон үүрэгт нэгтгэж болох стандартчилсан зөвшөөрлийн багцыг үзүүлдэг. Манай API-н анхны загвар нь зөвшөөрлийг программын дагуу удирдаж, аж ахуйн нэгжүүдэд хүний ​​нөөцийн ажилд орох үйл явцынхаа нэг хэсэг болгон зөвшөөрлийн удирдлагыг автоматжуулах боломжийг олгодог.

Манай платформын модульчлагдсан байдал нь байгууллагуудад үндсэн зөвшөөрлөөс эхэлж, хэрэгцээ шаардлага нь өөрчлөгдөхийн хэрээр илүү боловсронгуй хяналтыг аажмаар хэрэгжүүлэх боломжийг олгодог. Жижиг бизнес нь гурван энгийн дүрээр (Админ, Менежер, Хэрэглэгч) эхэлж болох бөгөөд үндэстэн дамнасан корпораци нь шинж чанарт суурилсан нөхцөлөөр хэдэн зуун нарийн тохируулсан үүргийг хэрэгжүүлж чадна. Энэхүү өргөтгөх чадвар нь маш чухал бөгөөд компаниуд зөвшөөрлийн дэд бүтцээ солих шаардлагагүйгээр 50-аас 5000 хэрэглэгч хүртэл өсөж байгааг бид харсан.

Манай цагаан шошго болон байгууллагын шийдэл нь үүнийг улам ахиулж, тусгай зохицуулалтын орчин эсвэл салбарын шаардлагад тохируулсан зөвшөөрлийн загвар гаргах боломжийг олгодог. Та GDPR, HIPAA эсвэл санхүүгийн үйлчилгээний журамд захирагдаж байгаа эсэхээс үл хамааран хэрэгжилт нь таны нөхцөл байдалд дасан зохицохын зэрэгцээ үндсэн зарчмууд нь тогтвортой хэвээр байна.

Аж ахуйн нэгжийн зөвшөөрлийн ирээдүй

Зөвшөөрлийн системүүд контекстийн талаарх ойлголт, автоматжуулалт руу шилжиж байна. Машины сургалт нь зөвшөөрлийн хэвийн бус хэрэглээг тодорхойлох, оновчлолыг санал болгоход чухал үүрэг гүйцэтгэж эхэлж байна. Бид зан үйлийн хэв маяг, хүрээлэн буй орчны хүчин зүйлс дээр тулгуурлан зөвшөөрлийн түвшинг тохируулдаг эрсдэлд суурилсан баталгаажуулалтын сонирхол нэмэгдэж байгааг харж байна.

Идэвхжүүлэх менежмент ба зөвшөөрлийн нэгдэл үргэлжилсээр байгаа бөгөөд OpenID Connect зэрэг стандартууд зөвшөөрлийн шийдвэр гаргахад илүү өргөн хүрээг хамардаг. Итгэлцэлгүй архитектурууд улам бүр түгээмэл болж байгаа тул "хэзээ ч бүү итгэ, үргэлж баталгаажуул" гэсэн ойлголт нь зөвшөөрлийн системийг илүү динамик, дасан зохицох чадвартай болгоход түлхэц болно. 2026 оны зөвшөөрлийн систем нь өнөөгийн харьцангуй статик загваруудаас хавьгүй өргөн хүрээтэй нөхцөл байдлын хүчин зүйлд тулгуурлан бодит цаг хугацаанд шийдвэр гаргах магадлалтай.

Өнөөдөр зөвшөөрлийн стратеги боловсруулж буй байгууллагуудын хувьд гол зүйл бол бөөний үнээр солих шаардлагагүйгээр эдгээр дэвшлийг өөртөө шингээх хангалттай уян хатан суурийг хэрэгжүүлэх явдал юм. Цэвэр хийсвэрлэл, стандартчилагдсан интерфэйс, иж бүрэн аудитад анхаарлаа хандуулснаар та одоогийн хэрэгцээ болон ирээдүйн боломжуудад үйлчлэх системийг бий болгож чадна.

Байнга асуудаг асуултууд

Баталгаажуулалт болон зөвшөөрөл хоёрын ялгаа нь юу вэ?

Гэрчилгээ нь таныг хэн болохыг (нэвтрэх итгэмжлэл) баталгаажуулдаг бол зөвшөөрөл нь таныг баталгаажуулсны дараа юу хийхийг зөвшөөрөхийг тодорхойлдог. Баталгаажуулалтыг барилгын үүдэнд иргэний үнэмлэхээ харуулах, зөвшөөрлийг аль оффис руу орох боломжтой гэж бодоорой.

Дундаж аж ахуйн нэгж хэдэн үүрэг гүйцэтгэх ёстой вэ?

Ихэнх аж ахуйн нэгжүүд 20-50 үндсэн үүргийг гүйцэтгэдэг ч нарийн төвөгтэй байгууллагууд 100 гаруй үүрэг гүйцэтгэдэг. Гол нь нарийн ширхэгтэй, удирдах боломжтой байдлыг тэнцвэржүүлэх явдал бөгөөд зөвхөн нэг эсвэл хоёр зөвшөөрлөөр ялгаатай үүрэг гүйцэтгэхээс зайлсхий.

Зөвшөөрлийн системүүд програмын гүйцэтгэлд нөлөөлж чадах уу?

Тийм, муу зохион бүтээгдсэн системүүд нь програмуудыг удаашруулж чаддаг. Зөвшөөрлийг байнга шалгахын тулд кэш хийж, зөвшөөрлийн баталгаажуулалтад зориулсан өгөгдлийн сангийн асуулгыг хурдаар оновчтой болгосон эсэхийг шалгаарай.

Бид хэрэглэгчийн зөвшөөрлийг хэр олон удаа шалгах ёстой вэ?

Улирал тутам өндөр эрх олгогдсон дүрүүдийн үнэлгээ, стандарт дүрүүдийн хагас жилийн үнэлгээг хийх. Автоматжуулсан систем нь албан ёсны үнэлгээний хооронд ашиглагдаагүй зөвшөөрөл эсвэл зохисгүй хандалтын загварыг тэмдэглэж болно.

Түр зуурын зөвшөөрлийн хамгийн сайн арга юу вэ?

Хугацаа нь автоматаар дуусдаг зөвшөөрлийг хэрэгжүүлээрэй. Тусгай төслүүдийн хувьд байнгын төслүүдийг өөрчлөхийн оронд түр зуурын үүргийг бий болгож, бүх түр зөвшөөрөл олгох аудитын тодорхой мөрүүдийг баталгаажуулна уу.