定义
RBAC(Role-Based Access Control)即基于角色的访问控制,将用户与角色关联、角色与权限关联,实现细粒度权限管理。设备管理平台通过 RBAC 控制不同角色对设备、OTA、告警等功能的访问,配合 Audit Log 记录操作。
模型与权限粒度
RBAC 核心要素包括用户、角色、权限、资源。权限可细化为功能权限(如 OTA 下发、远程控制)与数据权限(如按产品、分组、区域隔离)。设备管理平台常定义管理员、运维、只读、审计等角色;支持角色继承与组合,满足复杂组织架构。数据权限可基于 Device Grouping 设备分组、租户隔离实现,确保用户仅能访问授权范围内的设备与数据。
与 DMP 的集成
平台在 API、控制台、批量操作等入口统一实施 RBAC 校验。敏感操作(如 OTA 下发、设备删除、凭证重置)可要求二次认证或审批流程;Audit Log 审计日志记录谁在何时执行了何种操作,支撑合规与安全审计。与 SSO、LDAP 等身份源集成时,需将外部用户/组映射为平台角色,实现统一身份与权限管理。
应用场景
适用于多租户 SaaS 平台、企业内多部门协作、外包运维与内部审计分离等场景。细粒度 RBAC 可最小化权限暴露,降低误操作与越权风险,满足等保、ISO 27001 等合规要求。