账户体系
账户主体
在企业应用账户体系中,“账户主体”是最顶层的对象,是对使用系统的某种活动主体所拥有或产生的数据状态空间的抽象。
“账户主体”分为“机构”和“账号”两种。
- “机构”是团体性的主体抽象,由多个“账号”共同关联并形成共同的相关数据状态空间。
- “账号”是个体性的主体抽象,映射到使用系统的某个单一活动主体。
“账号”又进一步分为 5 种类型:根账号、系统账号、机构管理员、机构成员、个人账号。
各类账户主体的关系如下图:
星河低代码平台通过对不同类型的账户主体的配置、组合与约束,积木式地实现对多种不同场景的支持,包括单租户
、多租户
、2B SaaS服务账户
、2C 互联网应用账户
、分布式对等账户
等场景。
账户分权
在企业应用账户体系中,权限管理模型将“权限”以一种最基本维度划分为两类:系统性的权限、业务性的权限。
权限管理模型的最基本规则是“系统权限分权隔离”,是指对于不同的账号类型,会按照“系统权限”、“业务权限”这个维度进行权限隔离,使得一个账号只能具备其中的一类权限,而不能兼有。
在 5 种类型的账号中,“根账号”、“系统账号” 是设计专用于执行系统性管理操作的活动主体,只具有“系统权限”。对应地,“机构管理员”、“机构成员”、“个人账号” 是专用于执行业务应用操作的活动主体,只具备“业务权限”。
根账号
根账号是系统的首个账号,具有系统的最初始权限。
需要注意的是,与许多常见的系统不同,在星河低代码应用中,“根账号”并不是一个“超级账号”,“根账号”的权限受到严格限制:
- “根账号”的权限是通过系统的安装配置文件指定,由实施人员在安装部署阶段设置。
- “根账号”只能授予 “系统管理相关的权限”,被禁止授予“机构内的管理权限”和“业务相关的功能权限”。
机构管理员
机构管理员是机构的首个账号,具有 “机构” 中最初始的管理权限。在一个特定的“机构”中,“机构管理员”并不是一个“超级账号”,“机构管理员”的权限受到严格限制:
- “机构管理员”只能由“根账号”创建,或者在系统初始化时预置。
- “机构管理员”只能授予所属机构的 “机构管理相关的权限”,被禁止授予该机构的“业务相关的功能权限”,也被禁止授予该机构之外的任何权限。
机构成员
机构管理员是机构中参与业务活动的主体,由“机构管理员”创建和授权,只能被授予“业务相关的功能权限”,被禁止授予“系统管理相关的权限”和“机构管理相关的权限”。