细粒度授权二三事，你了解多少？

随着社会的高度发展，互联网在生活中的应用越来越多，尤其企业的数字化推进使用户数据越来越集中，随着频频暴露的各类网络攻击，企业对数据的重视程度与日俱增。对企业来说，数据中心每天都会有很多用户数据进入，虽然有用户数据的涌入对企业来说应该是好事，但企业如何保证用户数据访问和应用程序的充分安全是关注的重点。很多数据泄露的主要原因在于员工，尤其数据在生产过程中，可能会因人为管理不善带来各类风险，如内部人员导致的数据泄露和暴露企业与个人隐私等。

即使很多企业正在部署或者已经部署了管理用户身份数据的系统，这些系统绝大部分都缺乏颗粒级的授权支持，这也意味着企业在权限管理中会存在一些问题，如：

因此在企业的用户身份和访问管理方面，需要颗粒级的授权来满足安全需求，这也就是为什么细粒度授权被提及。细粒度授权也叫数据范围授权，即不同的用户所拥有的操作权限相同，但是能够操作的数据范围是不一样的， 比如说，部门经理只可以访问本部门的员工信息，普通员工只可以看到自己权限内的菜单，而大区经理可以看到本区的销售订单。

只有经过授权，才能实现某些权限的操作，比如当微信登录成功后用户即可使用微信的功能，比如，发红包，发朋友圈，添加好友等，没有绑定银行卡的用户是无法发送红包的，绑定银行卡的用户才可以发红包，发红包功能、发朋友圈功能都是微信的资源即功能资源，用户拥有发红包功能的权限才可以正常使用发红包功能，拥有发朋友圈功能的权限才能使用发朋友圈功能，这个根据用户的权限来控制用户使用资源的过程就是授权。认证是为了保证用户身份的合法性，授权则是为了更细粒度的对隐私数据进行划分，授权是在认证通过后发生的，控制不同的用户能够访问不同的权限。

对企业来说，要解决数据安全管理，授权是很重要的环节。目前很多企业的授权采用的是人工授权，假如企业人数不多，人工授权方式是最常见的管理方式之一，比如HR给新员工开通邮箱账号，等员工转正之后再给员工开通其他权限。在人数不多的情况下，人为操作倒是可以满足对权限的操控。

但面对成百上千人数的中大型企业，部署身份和访问管理系统是最常用的手段，身份和访问管理（IAM）解决方案的授权方法各不相同，基于角色的访问控制会比较常见。它涉及定义公司所需的角色，为每个角色指定权限，然后将用户与角色进行匹配，安全定义好的规则实现自动化授权。比如在员工入职之后，系统会根据员工的角色自动生成其权限。

细粒度授权也可以继续升级至动态的细粒度权限，动态授权会结合人的属性、环境、设备等多种因素来判断权限，单一属性的变化都会导致权限变化。动态细粒度授权能有效提升企业管理，并减少数据泄露风险。

在网络威胁更加多元化的今天，企业对安全的需求与日俱增。派拉结合多年的身份安全实践经验和对技术的精益求精，推出一体化零信任安全解决方案，在统一身份管理的基础上，建立统一授权中心，实行基于“属性”的动态授权体系，满足零信任架构下更加“细粒度”的权限管控需求。