迪卡儂建立云上身份權限體系加碼云建設
導語
迪卡儂集團于1976年在法國創立,開創了把所有的運動匯集在一個商場內的銷售概念。創立之初,我們的創始人MichelLerclercq(米歇爾·勒雷克)先生,希望在數十年里實現在一家商場可以實現購齊所有品類的體育用品的愿景。沒想到,僅用了十幾年就實現了。
今天,迪卡儂的零售業務已經覆蓋全球60多個國家和地區,踏足五大洲,滿足運動初級愛好者到發燒友的需求。集團致力于大眾運動領域,集運動用品研發、設計、品牌、生產、物流及全渠道零售為一體,目前在全球擁有1600多家商場,服務于60多個國家和地區的顧客,員工超過90000人。在中國截至2021年12月底,擁有近300家商場實體店遍布全國百余個城市,同時2009年起步的電子商務業務已經覆蓋超400個城市。
迪卡儂中國與阿里云合作加速體育生態圈數字化轉型
2021年初,在迪卡儂CTO陳穎弘的帶領下, 迪卡儂與阿里云(Alibaba Cloud)簽署中國區合作協議,依托雙方產業生態系統強強聯手,以云和數據解決方案,加碼體育新零售構建,加速迪卡儂在華數字化轉型和新零售創新發展。
“數字化的靈魂是技術,數字化團隊的遠景就是讓迪卡儂在數字化競技場馳騁。“
迪卡儂CTO陳穎弘表示,“選擇阿里云作為新的技術合作伙伴,對迪卡儂來說具有重要意義。這是集團首次與國產云開放合作,也是全球范圍內首次實現云服務屬地化,而迪卡儂中國在業內率先進入全云時代。它支持迪卡儂全產業鏈智能開發的高速更新迭代,實現本地化蛻變。雙方將首先聚焦物流和電商生態系統,高度整合資源,迪卡儂全球化的全產業鏈經驗與阿里云基于中國本土的經濟、技術洞察相結合,以技術賦能新零售體驗,在新消費時代為大眾用戶帶來數字化解決方案。”
迪卡儂借助阿里云Landing Zone管理框架設計
迪卡儂中國IaaS基礎設施團隊主要負責迪卡儂應用在云上的基礎架構設計、部署和維護,為迪卡儂各業務部門提供符合企業內部安全合規標準的云基礎設施。2021年初,IaaS團隊負責人廖雋文帶領團隊開啟在阿里云上符合迪卡儂需求的Landing Zone設計與部署工作。
阿里云Landing Zone云管理框架,為企業提供包含身份管理、資源管理、網絡規劃、財務管理、合規審計、安全防護的云上IT頂層架構設計及治理落地方案。幫助企業合理規劃、治理云上IT環境,實現高效協同、安全合規及成本管控。Landing Zone通過行業最佳實踐為企業創建可配置、可擴展、安全合規的多賬號環境,是應用程序上云遷移旅程的起點,更好的適配業務高速發展的需求。
基于阿里云的最佳實踐,迪卡儂隨即完成了對以下核心板塊的云管理及整體架構規劃,并將其豐富的多云治理經驗復用到阿里云上,以達到安全合規、可管理、可擴展的管理訴求:
資源管理:需要有以項目為基礎單位的獨立環境,能夠清晰的對每個應用項目進行管控、授權;有集中化的環境去放置IaaS團隊提供的基礎服務;另外對于供應商管理的項目能夠做到內網隔離。
身份安全:需要保證所有的用戶能夠使用迪卡儂員工ID進行單點登錄(SSO)和多因素認證(MFA)。
自治管理:希望在符合公司安全要求的情況下擁有最大的自主性,從而僅將認證流量定向到迪卡儂總部提供的身份系統(IDP),但授權管理能夠在本地團隊內控制。
運維效率:不希望多賬號體系會帶來大量的重復性工作,希望擁有對使用場景相似的用戶對賬戶批量授權的功能。
費用成本:不希望治理的架構會產生高額的費用。
迪卡儂身份權限體系的規劃設計與現實挑戰
隨著企業上云的進一步深入,企業采購的云資源迅速增多,資源、項目、人員、權限的管理逐步增加復雜度。在身份權限體系的規劃設計上,多賬號上云模式逐漸成為多業務上云的重要選項。同時,多賬號的有序管理和組織,如何能夠縱覽全局、如何能夠統一管控,都是影響企業管理及業務效率的關注問題。
使用多賬號的邏輯強隔離,能夠實現企業不同業務應用間的相互獨立,這將避免如單賬號場景下,不同業務間發生依賴項沖突、資源混用、運維操作互相影響的弊端;多賬號可分散風險,提升資源安全邊界,避免管理風險隱患牽一發動全身波及所有業務;便于企業按照不同資源賬號,實現清晰的財務分賬;也有利于應對大型企業多分公司關系,支持多種法律實體、多種結算模式共存的結構化管理訴求。
在資源管理上迪卡儂遵循了多賬號管理最佳實踐,使用了阿里云資源目錄(RD)產品作為多賬號分級管理結構的基礎,為每個項目創建獨立的云賬號,并將這些云賬號按照樹形結構組織起來,有效的解決了統一資源管理的訴求。然而,在進行身份權限管理架構設計時,發現當時阿里云并沒有產品能夠完美契合需求。因此,雙方協商決定以結果為導向,迪卡儂先采用RAM角色SSO作為臨時解決方案。具體做法是:在每個新賬號開設后,創建SAML身份提供商并進行角色SSO配置。每當有用戶需要進行授權,迪卡儂就進入對應賬號,創建新的RAM角色或復用已有的RAM角色,并授予RAM權限策略,最終完成整個配置。
然而,這個臨時解決方案的挑戰在于:
因為RAM角色SSO的作用范圍是云賬號,不得不在每個云賬號內重復性的創建SAML身份提供商與RAM角色。
云管理團隊以及項目用戶都有很多相似的權限,但是這些權限必須要在每個賬號中分別創建,并授予RAM角色,進一步增大了管理成本。
為了使預設的角色權限不被破壞,云管理團隊必須仔細控制,杜絕高權限角色。一旦控制不得當,就會造成安全漏洞隱患。
由于權限分散在各賬號中,無法擁有全局的授權視圖,只能靠一些額外的工具記錄每次授權行為,非常不利于排查問題、合規審計等場景下的使用。
云SSO助力迪卡儂的多賬號身份權限管理模式落地
在項目落地執行上,迪卡儂目標明確,項目相關負責人姚毅和馮天然表達了希望能通過基于資源目錄(RD)的統一身份權限管理產品來解決臨時方案所面臨的以上問題的需求。這個需求與阿里云產品規劃及發展路徑不謀而合,2021年8月,阿里云正式推出了新產品“云SSO”以完美契合迪卡儂在云上身份權限管理的最佳實踐訴求。
云SSO(Cloud SSO),是基于阿里云資源目錄RD(Resource Directory)的多賬號統一身份管理與訪問控制產品。當一個企業擁有多個阿里云賬號時,使用云SSO可以統一管理企業中使用阿里云的用戶,一次性配置企業身份管理系統與阿里云的單點登錄,并統一配置所有用戶對RD賬號的訪問權限。
只需要幾個簡單的步驟即可完成云SSO的基本配置,有經驗的技術專家甚至只需要半小時。
這些步驟包括:
在云SSO中創建用戶及用戶組,或進行用戶同步配置;
配置單點登錄;
創建一系列權限集合(稱為訪問配置);
為每個用戶或用戶組針對RD中的不同賬號進行授權。
完成配置后,云SSO會在每個RD賬號中創建對應的RAM角色并完成授權。用戶只需要登錄到云SSO用戶門戶,就可以一站式查看自己有權限訪問的賬號,并且可以一鍵直接進入阿里云管理控制臺。以上云SSO的配置管理過程可以用一張圖直觀的體現,如下:
根據迪卡儂的實際情況,云SSO為企業實現以下幾項管控能力:
使用迪卡儂企業IdP進行單點登錄。在單點登錄方面,迪卡儂使用云SSO來設置和總部IdP對接的SAML配置,從而滿足所有員工使用迪卡儂企業IdP登錄的全球規范。由于此配置只需進行一次,而無需針對每個RD賬號分別配置,使得我們與總部的溝通效率得以大大提高。
以項目為單位進行權限分離。項目是迪卡儂在云上所有業務的基礎單元。在RD中按照項目劃分成員賬號,在云SSO中,同樣基于項目實現權限分離控制。主要的配置工作如下:
使用用戶組對云上不同用戶以項目為單位進行分組;
使用訪問配置管理為每個項目創建獨立的訪問配置,并按需賦予權限;
將用戶組、云賬號和訪問配置進行關聯,從而極大的減少了權限管理工作量。
首先,以用戶組為單位對使用阿里云的人員進行管理。IaaS基礎設施團隊、安全團隊等管理團隊按照不同職能,其成員會被分配不同的用戶組,這些組在命名上以hosting開頭,以下稱為管理員組。而針對每個項目,則依據其成員的具體角色不同,按照項目+角色的維度創建多個用戶組,并將項目成員分別加入到不同用戶組中;這些組在命名上以項目名開頭,以下稱為項目用戶組。
接下來,迪卡儂項目組在云SSO中創建一系列訪問配置,來對應不同用戶組所應具有的權限集合。為管理員組創建的訪問配置,其命名與用戶組名稱保持一致,大體上分為以下幾類:
?ram-admin:擁有授權的能力,因此也就相當于超級管理員;
?admin:擁有云上全部資源的管理權限,但沒有授權的能力;
?paasadmin:擁有云上PaaS級別服務的權限,如RDS,Redis,ELK,KFK等;
?readonly:擁有云上資源的只讀權限,無寫權限;
?custom:其他特殊需求下的自定義權限。
為項目用戶組創建的訪問配置同樣保持與用戶組相同的名稱,且其分類與管理員使用的權限也基本一致。即使每個項目最終分配給用戶的權限可能會相同,但是我們依然堅持給每個項目都分配獨立的用戶組和訪問配置,以此保留以項目為單位對權限進行微調的可能性。
最后,迪卡儂項目組在RD結構中,為管理員組在所有賬號上授予其對應的權限,項目用戶組則僅在其項目所使用的賬號上授予對應權限,從而達成不同用戶均可以按照應有的權限訪問不同賬號的目的。這些配置是一次性的,之后如果一個用戶需要多種不同權限,管理員只需要將該用戶加入對應用戶組就可以了。
在云SSO中,項目組設計的用戶組、權限集合、阿里云賬號的映射關系如下圖所示:
新增項目、權限變更的自動化實踐。迪卡儂基于云SSO的Terraform規則創建Terraformmodule,實現對全部身份權限管理工作的自動化。每當有新項目立項時,項目管理員會執行Terraform腳本,完成用戶組管理、訪問配置創建、目標RD成員賬號權限配置等操作。如果現有項目發生人員變更或權限變更,也會同樣通過內部工作流來完成配置更新。
下圖為部分代碼示例:
總結
目前,迪卡儂中國IaaS團隊管理著近百個項目,近千名迪卡儂跨部門技術人員以及供應商對阿里云的統一身份集成和權限控制,在確保所有用戶通過企業IdP進行單點登錄的同時,達到了較高的配置效率,并實現了完整的管理機制。
迪卡儂與阿里云從Landing Zone云管理及治理架構的設計開始,到本次云SSO新產品上線助力迪卡儂實現多賬號身份權限體系,整個合作與落地過程中,阿里云產品技術團隊一直提供的專業和周到的服務,不僅體現在云架構方案設計、還包括技術產品選型建議、以及新產品功能的推進上,都給予了迪卡儂中國IaaS基礎設施團隊寶貴的意見與幫助,和高效的需求響應,這些都體現著阿里云一直以來"客戶第一"的原則。雙方在云計算、互聯網、人工智能以及企業服務方面持續部署合作,加速迪卡儂在中國體育生態圈布局和智能商業數字化轉型。
作者
迪卡儂中國IaaS基礎設施團隊