如何用同一套账号接入整个研发过程?
前言
“君子和而不同,小人同而不和。”-- 孔子
我们认为,对于任何一个有研发诉求的企业,账号体系都是需要尽早考虑、慎重对待,且不应该随意变更的。
问题类型
研发团队在设计账号体系和管理账号的时候经常会遇到各种问题,比如:
问题 1:
业务在变化,组织也要随时调整,导致与之相应的账号权限也要频繁调整:
在企业业务高速发展的大背景下,为了适应业务变化,企业的组织架构经常会进行调整,研发人员也会在不同的业务中来回切换,甚至在不同的业务中会承担不同的角色。因此,设计账号体系的时候,需要考虑账号权限能灵活调整、即时生效,避免因为权限缺失阻碍研发活动,或是因为权限泛滥引起安全风险。
问题 2:
研发活动中存在多种角色,一个账号也包含多个角色,账号与角色的对应关系不好维护:
现代研发体系下,一次需求交付涉及多个角色,比如产品经理、后端开发、前端开发、UED、测试、应用运维等,不同的角色有不同的关注视图和权限,而同一个账号又会承担多个角色,比如同时承担后端开发与应用运维的工作。因此,账号与角色的对应关系是多对多,且会随着业务变化的,如何有效维护,也是一个需要考虑的问题。
问题 3:
不同的工具有各自的账号系统,需要分别对接,且经常需要维护以适应组织调整和员工变化:
为了保证业务的高效演进,企业需要购买和自研大量的工具和系统,为了让这些系统协同工作,需要进行账号体系的对接,并且保证组织的调整和人员的变化,能及时同步到这些系统上,避免数据不一致带来的协作问题。因此,企业的账号体系需要做到唯一来源,标准化接入。
我们推荐的企业账号体系应该满足如下几点要求:
企业的所有角色都有唯一的账号管理来源
企业的各个系统(包括研发系统与一般业务系统)的账号统一且互通
企业可以管理和维护自己的组织架构,并能根据组织架构在各个系统中管理权限
企业可以定义和管理研发活动中的各种角色,为每种角色定义权限
企业可以通过为账号配置角色来控制账号权限
企业的各类研发资产都能纳入权限管理,并能被角色管理
我们基于阿里云的产品,来具体看一下如何建立符合上述要求的企业账号体系。
以钉钉为中心的账号体系
对于没有过多历史包袱,或者已经在使用钉钉的企业,我们推荐以钉钉为中心的账号体系。
在这一账号体系下,企业所有成员(包括研发团队与业务团队)都在钉钉上建立和管理组织架构。研发成员通过钉钉认证登录系统,获取成员在系统中的角色信息,根据所属角色的权限进行研发活动。
因此,从实施的角度,企业基于钉钉建立研发账号体系包含 4 个步骤:
1.企业基于钉钉管理组织结构
第一步是注册钉钉并创建或关联已有企业,接下来在钉钉中管理企业的组织结构,包括人员和团队信息等,请参考钉钉企业通讯录管理,这里不作赘述。钉钉账号将成为企业成员的唯一认证来源,企业的各个系统都可以和钉钉打通,请参考钉钉应用接入指南完成企业各个系统的接入。
至此,对于研发团队来说,主要的两个诉求还都无法满足:
授权和管理云上的资源(如 ECS、ACK 等)
打通整个研发工具链
为了解决这两个问题,我们需要将钉钉与云效集成起来,通过集成,可以实现:
同步组织架构和成员到云效中
通过钉钉消息进行研发协作
集成钉钉文档到云效中
使用钉钉中的云效小程序
2.云效绑定企业钉钉
集成的第一步是云效企业的管理员需要将云效绑定企业钉钉,完成组织架构和成员同步。详细操作步骤可以查看企业绑定-完成组织架构和成员同步。这里把主要步骤说明一下。
企业钉钉管理员在钉钉中安装云效应用,选择正确的组织和使用范围(是全员还是某个团队)。
2.云效企业管理员在钉钉的云效应用中绑定钉钉企业和云效企业,管理员如果未绑定阿里云账号的话,需要先完成
3. 员工钉钉账号管理阿里云账号
操作再返回继续。管理员在钉钉云效应用中完成云效企业绑定,如下图。
3.员工钉钉账号关联阿里云账号(主账号、RAM 账号)
阿里云有自己的账号体系,而这些账号又跟云上资源的操作权限相关,为了保证权限的有效隔离,云效要求员工使用钉钉账号认证前先绑定阿里云账号。
阿里云账号分为主账号和 RAM 账号,关于 RAM 可以查看什么是访问控制。如果不确定,对于企业员工,我们建议选择 RAM 账号。
完成绑定后,员工就可以通过钉钉扫码登录云效了。
4. 配置云效企业角色和角色权限
我们推荐按角色管理权限,将人与角色分开,为不同的角色定义不同的权限。
4.1,定义企业全局角色,默认企业角色分为:拥有者、管理员、成员和外部成员,可以按照自身特点添加和调整角色权限。
4.2,定义应用交付平台 AppStack的企业角色权限。所看到的企业角色都来自于企业全局角色,但是可以为其定义应用交付平台特有的全局权限,见下图。注意,这里的权限是针对于所有应用的。
4.3,定义应用交付平台 AppStack 的应用角色权限,这些权限只针对某个具体应用。AppStack 定义了 5 种应用角色:应用拥有者、应用负责人、开发、测试和运维,可以根据需要调整每种角色的权限。
4.4,为每个应用成员配置对应的角色。
总结
在现代组织中,业务相关的研发人员都有两个维度的角色:一是组织职能角色,一是业务角色。其中组织职能角色是相对稳定的,而业务角色是在不断变化的。我们推荐以钉钉为核心管理组织账号和组织架构,将云效与钉钉绑定,做到统一登录、统一管理。同时,定义不同的角色,并按照应用维度为不同的人员配置对应的角色,做到按应用维护角色、按角色管理权限。
延伸内容
以现有内部账号系统为中心的账号体系:
很多企业,虽然独立的软件开发团队创建不久,但企业内部 IT 系统已经运作很长时间了,有自己的账号管理体系(如 LDAP),或者因为网络安全等原因,权限认证必须在自有网络中完成。这种情况下,直接切换到钉钉这样的系统的成本比较高,而企业又希望与云上研发的工具和资源打通。对此,我们建议配合阿里云 iDaaS 一起使用,具体方案详见iDaaS的说明,本文不再赘述。
参考
关于我们
了解更多关于云效 DevOps 的最新动态,可微信搜索关注【云效】公众号;
福利:公众号后台回复【指南】,可获得《阿里巴巴 DevOps 实践指南》&《10 倍研发效能提升案例集》;
看完觉得对您有所帮助别忘记点赞、收藏和关注呦;
版权声明: 本文为 InfoQ 作者【阿里云云效】的原创文章。
原文链接:【http://xie.infoq.cn/article/cc56f3af2678a13751db21884】。文章转载请联系作者。
评论