[发明专利]一种基于keycloak的对运维管理系统中权限管理的方法及装置

权利要求书

1.一种基于keycloak的对运维管理系统中权限管理的方法，其特征在于，该方法步骤如下：

S1、基于keycloak通过groups的配置，实现用户角色的继承；

S2、通过keycloak的认证机制，对运维管理系统用户的认证流程进行控制，实现对运维管理系统整体的资源、权限进行控制，具体包括：

S201、资源管理；

S202、权限策略管理；

S203、策略执行。

2.根据权利要求1所述的基于keycloak的对运维管理系统中权限管理的方法，其特征在于，所述步骤S1中基于keycloak通过groups的配置，实现用户角色的继承的具体步骤如下：

S101、进入keycloak管理页面，在keycloak中进行realms、clients、groups、用户角色的创建；

S102、为用户配置所属的groups，同时为groups配置对应的角色，使用户能够继承groups所拥有的的角色属性或者单独为用户配置对应的角色。

3.根据权利要求2所述的基于keycloak的对运维管理系统中权限管理的方法，其特征在于，所述步骤S101中在keycloak中进行realms、clients、groups、用户角色的创建以及步骤S102中为用户配置所属的groups，同时为groups配置对应的角色的具体过程如下：

(1)、创建realm；

(2)、创建client，每个模块是一个client-app；

(3)、创建角色；

(4)、创建groups，同时为新创建的groups配置角色信息；

(5)、创建用户，同时为新创建的用户配置groups信息或者直接配置角色信息。

4.根据权利要求3所述的基于keycloak的对运维管理系统中权限管理的方法，其特征在于，所述创建realm包括如下两种情况：

①、若多个模块使用不同的用户权限，则分多个不同的realm；

②、若多个模块共用一套用户权限，则共用同一个realm。

5.根据权利要求1所述的基于keycloak的对运维管理系统中权限管理的方法，其特征在于，所述步骤S201中资源管理的具体步骤如下：

S20101、指定Keycloak希望保护的内容，通常代表Web应用程序或一组一个或多个服务；

S20102、使用Keycloak管理控制台管理资源服务器，启用任何已注册的客户端应用程序作为资源服务器，并开始管理要保护的资源和范围。

6.根据权利要求5所述的基于keycloak的对运维管理系统中权限管理的方法，其特征在于，所述步骤S20102中资源是网页、RESTFul资源、文件系统中的文件或EJB；资源表示一组资源或者表示单个特定资源。

7.根据权利要求1所述的基于keycloak的对运维管理系统中权限管理的方法，其特征在于，所述步骤S202中权限策略管理的具体内容为：定义资源服务器和要保护的所有资源后，设置权限和策略；策略定义访问或执行资源或范围操作必须满足的条件，策略定义访问或执行资源或范围操作必须满足的条件与其保护的内容无关，策略定义访问或执行资源或范围操作必须满足的条件是通用的，重用来构建权限或更复杂的策略；权限与保护的资源相结合并指定要保护的资源或范围内容以及授予或拒绝权限必须满足的策略。

8.根据权利要求1所述的基于keycloak的对运维管理系统中权限管理的方法，其特征在于，所述S203中策略执行涉及实际执行资源服务器的授权决策的必要步骤，具体内容如下：通过在资源服务器上启用策略强制点或PEP来实现，该策略强制点或PEP能够与授权服务器通信，请求授权数据并根据资源服务器返回的决策和权限控制对受保护资源的访问；Keycloak提供内置的Policy Enforcer实现，使用Policy Enforcer来保护应用程序，具体取决于应用程序运行的平台。