“君子和而不同,小人同而不和。”-- 孔子
我们认为,对于任何一个有研发诉求的企业,账号体系都是需要尽早考虑、慎重对待,且不应该随意变更的。
问题类型研发团队在设计账号体系和管理账号的时候经常会遇到各种问题,比如:
问题1:业务在变化,组织也要随时调整,导致与之相应的账号权限也要频繁调整:
在企业业务高速发展的大背景下,为了适应业务变化,企业的组织架构经常会进行调整,研发人员也会在不同的业务中来回切换,甚至在不同的业务中会承担不同的角色。因此,设计账号体系的时候,需要考虑账号权限能灵活调整、即时生效,避免因为权限缺失阻碍研发活动,或是因为权限泛滥引起安全风险。
问题2:研发活动中存在多种角色,一个账号也包含多个角色,账号与角色的对应关系不好维护:
现代研发体系下,一次需求交付涉及多个角色,比如产品经理、后端开发、前端开发、UED、测试、应用运维等,不同的角色有不同的关注视图和权限,而同一个账号又会承担多个角色,比如同时承担后端开发与应用运维的工作。因此,账号与角色的对应关系是多对多,且会随着业务变化的,如何有效维护,也是一个需要考虑的问题。
问题3:不同的工具有各自的账号系统,需要分别对接,且经常需要维护以适应组织调整和员工变化:
为了保证业务的高效演进,企业需要购买和自研大量的工具和系统,为了让这些系统协同工作,需要进行账号体系的对接,并且保证组织的调整和人员的变化,能及时同步到这些系统上,避免数据不一致带来的协作问题。因此,企业的账号体系需要做到唯一来源,标准化接入。
我们推荐的企业账号体系应该满足如下几点要求:
-
企业的所有角色都有唯一的账号管理来源
-
企业的各个系统(包括研发系统与一般业务系统)的账号统一且互通
-
企业可以管理和维护自己的组织架构,并能根据组织架构在各个系统中管理权限
-
企业可以定义和管理研发活动中的各种角色,为每种角色定义权限
-
企业可以通过为账号配置角色来控制账号权限
-
企业的各类研发资产都能纳入权限管理,并能被角色管理
我们基于阿里云的产品,来具体看一下如何建立符合上述要求的企业账号体系。
以钉钉为中心的账号体系对于没有过多历史包袱,或者已经在使用钉钉的企业,我们推荐以钉钉为中心的账号体系。
在这一账号体系下,企业所有成员(包括研发团队与业务团队)都在钉钉上建立和管理组织架构。研发成员通过钉钉认证登录系统,获取成员在系统中的角色信息,根据所属角色的权限进行研发活动。
因此,从实施的角度,企业基于钉钉建立研发账号体系包含4个步骤:
1.企业基于钉钉管理组织结构第一步是注册钉钉并创建或关联已有企业,接下来在钉钉中管理企业的组织结构,包括人员和团队信息等,请参考钉钉企业通讯录管理,这里不作赘述。钉钉账号将成为企业成员的唯一认证来源,企业的各个系统都可以和钉钉打通,请参考钉钉应用接入指南完成企业各个系统的接入。
至此,对于研发团队来说,主要的两个诉求还都无法满足:
-
授权和管理云上的资源(如ECS、ACK等)
-
打通整个研发工具链
为了解决这两个问题,我们需要将钉钉与云效集成起来,通过集成,可以实现:
-
同步组织架构和成员到云效中
-
通过钉钉消息进行研发协作
-
集成钉钉文档到云效中
-
使用钉钉中的云效小程序
集成的第一步是云效企业的管理员需要将云效绑定企业钉钉,完成组织架构和成员同步。详细操作步骤可以查看企业绑定-完成组织架构和成员同步。这里把主要步骤说明一下。
-
企业钉钉管理员在钉钉中安装云效应用,选择正确的组织和使用范围(是全员还是某个团队)。
2.云效企业管理员在钉钉的云效应用中绑定钉钉企业和云效企业,管理员如果未绑定阿里云账号的话,需要先完成
3. 员工钉钉账号管理阿里云账号
操作再返回继续。管理员在钉钉云效应用中完成云效企业绑定,如下图。
3.员工钉钉账号关联阿里云账号(主账号、RAM账号)阿里云有自己的账号体系,而这些账号又跟云上资源的操作权限相关,为了保证权限的有效隔离,云效要求员工使用钉钉账号认证前先绑定阿里云账号。
阿里云账号分为主账号和RAM账号,关于RAM可以查看什么是访问控制。如果不确定,对于企业员工,我们建议选择RAM账号。
完成绑定后,员工就可以通过钉钉扫码登录云效了。
4. 配置云效企业角色和角色权限我们推荐按角色管理权限,将人与角色分开,为不同的角色定义不同的权限。
4.1,定义企业全局角色,默认企业角色分为:拥有者、管理员、成员和外部成员,可以按照自身特点添加和调整角色权限。
4.2,定义应用交付平台 AppStack的企业角色权限。所看到的企业角色都来自于企业全局角色,但是可以为其定义应用交付平台特有的全局权限,见下图。注意,这里的权限是针对于所有应用的。
4.3,定义应用交付平台 AppStack的应用角色权限,这些权限只针对某个具体应用。AppStack定义了5种应用角色:应用拥有者、应用负责人、开发、测试和运维,可以根据需要调整每种角色的权限。
4.4,为每个应用成员配置对应的角色。
总结在现代组织中,业务相关的研发人员都有两个维度的角色:一是组织职能角色,一是业务角色。其中组织职能角色是相对稳定的,而业务角色是在不断变化的。我们推荐以钉钉为核心管理组织账号和组织架构,将云效与钉钉绑定,做到统一登录、统一管理。同时,定义不同的角色,并按照应用维度为不同的人员配置对应的角色,做到按应用维护角色、按角色管理权限。
延伸内容以现有内部账号系统为中心的账号体系:
很多企业,虽然独立的软件开发团队创建不久,但企业内部IT系统已经运作很长时间了,有自己的账号管理体系(如LDAP),或者因为网络安全等原因,权限认证必须在自有网络中完成。这种情况下,直接切换到钉钉这样的系统的成本比较高,而企业又希望与云上研发的工具和资源打通。对此,我们建议配合阿里云iDaaS一起使用,具体方案详见iDaaS的说明,本文不再赘述。
参考-
云效2020-同步钉钉成员
-
云效2020-角色权限管理
-
云效2020-AppStack角色权限
-
钉钉-企业通讯录管理
-
钉钉-授权服务商开发
-
什么是IDaaS
了解更多关于云效DevOps的最新动态,可微信搜索关注【云效】公众号;
福利:公众号后台回复【指南】,可获得《阿里巴巴DevOps实践指南》&《10倍研发效能提升案例集》;
看完觉得对您有所帮助别忘记点赞、收藏和关注呦;