如何用同一套账号接入整个研发过程？

前言

“君子和而不同，小人同而不和。”-- 孔子

我们认为，对于任何一个有研发诉求的企业，账号体系都是需要尽早考虑、慎重对待，且不应该随意变更的。
问题类型

研发团队在设计账号体系和管理账号的时候经常会遇到各种问题，比如：
问题1：

业务在变化，组织也要随时调整，导致与之相应的账号权限也要频繁调整：
在企业业务高速发展的大背景下，为了适应业务变化，企业的组织架构经常会进行调整，研发人员也会在不同的业务中来回切换，甚至在不同的业务中会承担不同的角色。因此，设计账号体系的时候，需要考虑账号权限能灵活调整、即时生效，避免因为权限缺失阻碍研发活动，或是因为权限泛滥引起安全风险。
问题2：

研发活动中存在多种角色，一个账号也包含多个角色，账号与角色的对应关系不好维护：
现代研发体系下，一次需求交付涉及多个角色，比如产品经理、后端开发、前端开发、UED、测试、应用运维等，不同的角色有不同的关注视图和权限，而同一个账号又会承担多个角色，比如同时承担后端开发与应用运维的工作。因此，账号与角色的对应关系是多对多，且会随着业务变化的，如何有效维护，也是一个需要考虑的问题。
问题3：

不同的工具有各自的账号系统，需要分别对接，且经常需要维护以适应组织调整和员工变化：
为了保证业务的高效演进，企业需要购买和自研大量的工具和系统，为了让这些系统协同工作，需要进行账号体系的对接，并且保证组织的调整和人员的变化，能及时同步到这些系统上，避免数据不一致带来的协作问题。因此，企业的账号体系需要做到唯一来源，标准化接入。
我们推荐的企业账号体系应该满足如下几点要求：

• 企业的所有角色都有唯一的账号管理来源
  
• 企业的各个系统（包括研发系统与一般业务系统）的账号统一且互通
  
• 企业可以管理和维护自己的组织架构，并能根据组织架构在各个系统中管理权限
  
• 企业可以定义和管理研发活动中的各种角色，为每种角色定义权限
  
• 企业可以通过为账号配置角色来控制账号权限
  
• 企业的各类研发资产都能纳入权限管理，并能被角色管理
  

我们基于阿里云的产品，来具体看一下如何建立符合上述要求的企业账号体系。
以钉钉为中心的账号体系

对于没有过多历史包袱，或者已经在使用钉钉的企业，我们推荐以钉钉为中心的账号体系。

在这一账号体系下，企业所有成员（包括研发团队与业务团队）都在钉钉上建立和管理组织架构。研发成员通过钉钉认证登录系统，获取成员在系统中的角色信息，根据所属角色的权限进行研发活动。
因此，从实施的角度，企业基于钉钉建立研发账号体系包含4个步骤：
1.企业基于钉钉管理组织结构

第一步是注册钉钉并创建或关联已有企业，接下来在钉钉中管理企业的组织结构，包括人员和团队信息等，请参考钉钉企业通讯录管理，这里不作赘述。钉钉账号将成为企业成员的唯一认证来源，企业的各个系统都可以和钉钉打通，请参考钉钉应用接入指南完成企业各个系统的接入。
至此，对于研发团队来说，主要的两个诉求还都无法满足：

• 授权和管理云上的资源（如ECS、ACK等）
  
• 打通整个研发工具链
  

为了解决这两个问题，我们需要将钉钉与云效集成起来，通过集成，可以实现：

• 同步组织架构和成员到云效中
  
• 通过钉钉消息进行研发协作
  
• 集成钉钉文档到云效中
  
• 使用钉钉中的云效小程序 
  

2.云效绑定企业钉钉

集成的第一步是云效企业的管理员需要将云效绑定企业钉钉，完成组织架构和成员同步。详细操作步骤可以查看企业绑定-完成组织架构和成员同步。这里把主要步骤说明一下。

• 企业钉钉管理员在钉钉中安装云效应用，选择正确的组织和使用范围（是全员还是某个团队）。
  

2.云效企业管理员在钉钉的云效应用中绑定钉钉企业和云效企业，管理员如果未绑定阿里云账号的话，需要先完成
3. 员工钉钉账号管理阿里云账号
操作再返回继续。管理员在钉钉云效应用中完成云效企业绑定，如下图。

3.员工钉钉账号关联阿里云账号（主账号、RAM账号）

阿里云有自己的账号体系，而这些账号又跟云上资源的操作权限相关，为了保证权限的有效隔离，云效要求员工使用钉钉账号认证前先绑定阿里云账号。
阿里云账号分为主账号和RAM账号，关于RAM可以查看什么是访问控制。如果不确定，对于企业员工，我们建议选择RAM账号。

完成绑定后，员工就可以通过钉钉扫码登录云效了。
4. 配置云效企业角色和角色权限

我们推荐按角色管理权限，将人与角色分开，为不同的角色定义不同的权限。
4.1，定义企业全局角色，默认企业角色分为：拥有者、管理员、成员和外部成员，可以按照自身特点添加和调整角色权限。

4.2，定义应用交付平台 AppStack的企业角色权限。所看到的企业角色都来自于企业全局角色，但是可以为其定义应用交付平台特有的全局权限，见下图。注意，这里的权限是针对于所有应用的。

4.3，定义应用交付平台 AppStack的应用角色权限，这些权限只针对某个具体应用。AppStack定义了5种应用角色：应用拥有者、应用负责人、开发、测试和运维，可以根据需要调整每种角色的权限。

4.4，为每个应用成员配置对应的角色。

总结

在现代组织中，业务相关的研发人员都有两个维度的角色：一是组织职能角色，一是业务角色。其中组织职能角色是相对稳定的，而业务角色是在不断变化的。我们推荐以钉钉为核心管理组织账号和组织架构，将云效与钉钉绑定，做到统一登录、统一管理。同时，定义不同的角色，并按照应用维度为不同的人员配置对应的角色，做到按应用维护角色、按角色管理权限。
延伸内容

以现有内部账号系统为中心的账号体系：
很多企业，虽然独立的软件开发团队创建不久，但企业内部IT系统已经运作很长时间了，有自己的账号管理体系（如LDAP），或者因为网络安全等原因，权限认证必须在自有网络中完成。这种情况下，直接切换到钉钉这样的系统的成本比较高，而企业又希望与云上研发的工具和资源打通。对此，我们建议配合阿里云iDaaS一起使用，具体方案详见iDaaS的说明，本文不再赘述。
参考

• 云效2020-同步钉钉成员
  
• 云效2020-角色权限管理
  
• 云效2020-AppStack角色权限
  
• 钉钉-企业通讯录管理
  
• 钉钉-授权服务商开发
  
• 什么是IDaaS 
  

关于我们

了解更多关于云效DevOps的最新动态，可微信搜索关注【云效】公众号；
福利：公众号后台回复【指南】，可获得《阿里巴巴DevOps实践指南》&《10倍研发效能提升案例集》；
看完觉得对您有所帮助别忘记点赞、收藏和关注呦；


来源：https://www.cnblogs.com/yyds114/p/16253940.html
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！