角色权限作为大型系统必不可少的功能，控制着业务中各个部门用户的权限

角色权限作为大型系统必不可少的功能，控制着业务中各个部门用户的权限，引导着业务操作，本次竞品分析，选用阿里的两款产品应用身份服务（IDaaS）和RAM访问控制服务进行深入的体验分析。

1.1 产品定位

1）应用身份服务（IDaaS）

应用身份服务（IDaaS）是一个集中式身份管理服务，为政企客户提供统一的应用门户、用户目录、单点登录、集中授权、以及行为审计等中台服务。 IDaaS 支持 SAML、OIDC、CAS 等常见身份联邦协议，也可以与钉钉通讯录、AD、HR 系统等身份源打通，做到统一的身份权限管理和应用访问控制。

2）RAM访问控制服务

RAM 能够安全地集中管理对阿里云服务和资源的访问。可以使用 RAM 创建和管理用户和组，并使用各种权限来允许或拒绝他们对云资源的访问。

1.2 目标人群

1）应用身份服务（IDaaS）

阿里云为企业用户提供的一套集中式身份、权限、应用管理服务，帮助客户整合部署在本地或云端的内部办公系统、业务系统及三方SaaS系统的所有身份，实现一个账号打通所有应用服务。

2）RAM访问控制服务

访问控制（RAM）是为阿里云用户提供身份与资源访问权限的服务。

2 功能分析

2.1 产品功能概述

1）应用身份服务（IDaaS）

2）RAM访问控制服务

2.2 核心功能点

作为阿里云的服务内容，在产品功能上，除了没有对组织架构实现很好的支持外，用户、角色和权限都有着良好的解决方案。

2.2.1 IDaaS

2.2.2 ARM

3 结构分析

3.1 架构分析

两款产品都采用了RBAC的设计模式：

 IDaaS

说明：用户集合的支持，在服务的API中有支持。

RAM

3.2 权限系统分析

在系统层面，将权限分为三级：

• 一级：访问控制，用于访问不同的应用系统。
• 二级：菜单权限、按钮权限。
• 三级：数据权限，包括展示的数据信息，API接口数据字段。

（1）IDaaS 权限

（2）ARM权限

权限策略（Policy）相当于传统的教科书式角色，它用于描述一组权限集。

RAM 支持两种类型的权限策略：由阿里云管理的系统策略和由客户管理的自定义策略。

• 系统策略，统一由阿里云创建，您只能使用而不能修改，系统策略的版本更新由阿里云维护；
• 自定义策略，您可以自主创建、更新和删除，自定义策略的版本更新由您自己维护。

RAM 角色不同于传统的教科书式角色。RAM 角色颁发短时有效的访问令牌（STS 令牌），使其成为一种更安全的授予访问权限的方法。