開源RBAC產(chǎn)品的利與弊(上)
在企業(yè)層面,基于角色的訪問控制(Role-based Access Control,RBAC)是一種常用的服務(wù),也是目前公認(rèn)的用戶授權(quán)管理***實踐。盡管RBAC實施***實踐仍處于未成熟階段,但是多數(shù)企業(yè)已經(jīng)以某種形式部署了這一技術(shù)。現(xiàn)在,絕大多數(shù)已部署的RBAC服務(wù)都是基于商業(yè)化的現(xiàn)成產(chǎn)品,而只有少數(shù)內(nèi)部開發(fā)的RBAC服務(wù)支持自定義功能。
與此同時,開源RBAC產(chǎn)品方興未艾,并深受經(jīng)驗豐富的身份管理人員的青睞。然而,當(dāng)企業(yè)希望在內(nèi)部擴展RBAC服務(wù)時,問題隨之而來:“商業(yè)化的 RBAC產(chǎn)品是擴展RBAC服務(wù)的唯一選擇嗎?可以使用開源RBAC產(chǎn)品擴展RBAC服務(wù)嗎?”要回答這一問題,企業(yè)必須清楚,開源RBAC產(chǎn)品與現(xiàn)有應(yīng)用整合的難度如何,能否提供與商業(yè)化RBAC產(chǎn)品相同的安全性級別?
開源RBAC產(chǎn)品的優(yōu)勢
需要指出的是,放眼當(dāng)今的商業(yè)RBAC市場,最暢銷的RBAC產(chǎn)品并不是出自***的公司。這是因為RBAC的潛在功能尚未完全實現(xiàn),如果一個廠商可以更快地改進RBAC產(chǎn)品的功能,則它就可以獲得超過其競爭對手的優(yōu)勢。正是由于這一原因,在商業(yè)RBAC市場上,一些小公司(例如Aveksa、BHOLD Company和SailPoint Technologies)反而戰(zhàn)勝了作為其競爭對手的大公司(例如CA、IBM和已被甲骨文收購的Sun Microsystems等)。
這種“船小好調(diào)頭”的靈活性在開源RBAC產(chǎn)品上也得到了很好的體現(xiàn)。與商業(yè)化的RBAC產(chǎn)品不同,RSBAC、USRBAC、django-rbac、grsecurity以及其他開源RBAC產(chǎn)品,均是由獨立開發(fā)人員在活躍的用戶社區(qū)的幫助下完成的。由于開源RBAC產(chǎn)品的開發(fā)人員不用考慮商業(yè)化廠商所需的開銷,所以他們可以集中更多的精力來增強其產(chǎn)品的性能。另外,通常情況下,開源RBAC產(chǎn)品的開發(fā)人員在改進和提高其產(chǎn)品性能時,產(chǎn)品的發(fā)布審查流程既正式又快速,從而可以更加迅速地將創(chuàng)新應(yīng)用到其產(chǎn)品中。還有一點需要指出的是,開源RBAC產(chǎn)品的開發(fā)人員之所以自己動手開發(fā)RBAC產(chǎn)品,往往是因為市場上的RBAC產(chǎn)品達不到其嚴(yán)格的功能和性能標(biāo)準(zhǔn)。在有些情況下(例如django-rbac),一些已經(jīng)開始開發(fā)自己的開源RBAC產(chǎn)品的開發(fā)人員會放棄自己的工作,轉(zhuǎn)而加入 django-rbac的開發(fā)團隊,以便為所有用戶提供更好的開源RBAC產(chǎn)品。
開源RBAC產(chǎn)品區(qū)別于商業(yè)化的RBAC產(chǎn)品的第二個不同之處是,它們通常專注于特定的問題領(lǐng)域。舉例來說,如果企業(yè)希望部署一種面向小規(guī)模的、專注于特定網(wǎng)絡(luò)領(lǐng)域(例如Active Directory(活動目錄)、Unix或LDAP(輕量目錄訪問協(xié)議))的RBAC授權(quán)管理機制,則對企業(yè)來說,更便宜、更合適的選擇可能是開源 RBAC產(chǎn)品,而不是旨在為大型企業(yè)提供RBAC服務(wù)且價格昂貴的商業(yè)RBAC產(chǎn)品。另外,由于開源RBAC產(chǎn)品一般專注于單一的問題領(lǐng)域,所以往往能夠提供更深入的功能,而且具有更多的配置選項,以增強部署的靈活性。
開源RBAC產(chǎn)品區(qū)別于商業(yè)化的RBAC產(chǎn)品的第三個不同之處是,它們不關(guān)心市場占有率。開源RBAC產(chǎn)品的代碼在全球范圍內(nèi)發(fā)布,并盡可能廣泛地進行分發(fā),因此產(chǎn)品中不包括意在鎖定客戶的專利功能。相反,開源RBAC產(chǎn)品的開發(fā)基于開放、免費的可用標(biāo)準(zhǔn),例如美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的 RBAC標(biāo)準(zhǔn)。由于開源RBAC產(chǎn)品完全基于開放的標(biāo)準(zhǔn),所以往往能夠與更多的其他身份管理產(chǎn)品及其支持的應(yīng)用進行互操作。
本文主要介紹了開源RBAC產(chǎn)品的優(yōu)勢,要了解開源RBAC產(chǎn)品的不足,請查看下文:開源RBAC產(chǎn)品的利與弊(下)。
