其實前一天是講識別 (Identity),後一天是講存取 (Access),這兩者有什麼關係呢?前後關係?且聽寂寞說書人娓娓道來...
我希望我們再仔細去理解裡面的流程和邏輯,今天我們會多一點談流程。假設您在前一篇已經做好識別,也許是用 SSO,也許是用 OAuth 2.0,那接下來您的用戶準備用存取您的資產 (Asset) 了,請問您要怎麼管理存取機制?
安總用一段也許沒發生過的小故事來跟大家說明,因為大家都喜歡聽故事。另外,當故事背後寓涵的真理,很難被世人所理解的時候,我們會選擇用比喻;其實比喻是比較容易懂的,聽得懂的人就馬上明白,聽不懂的人可能到老死都不會明白,更何況永恆了。
很久很久以前,安總打電話去給粱皇后申請某一單位檔案的讀取權限,粱皇后是安總其中一個事業群體的權限掌門人。她知道我是員工,但不認識我是誰,於是她說:
1. 不是任何一個工程師打來說要開權限,我就要開!
2. 你老闆是誰?我說 XXX。她問,XXX 是誰!
3. 安總,不是你說多增加一個人就多一個人,一切要以人資的組織圖為主!
4. 安總,這份資料在粱皇后那裡,誰也拿不出來。
5. 這個區塊的權限是粱皇后管理的,而她是依照組織圖設定的,誰也沒辦法改變她。
6. 安總,A 組織的權限,你要取得 A 人員的同意,我才能開給你,不是任何人想開就開!
說實在話,有粱皇后這種性格的人在幫我們看存取管理,我很放心。我沒辦法把事情交給我沒辦法 trust 的人。任何時候、世界上任何角落,只要我提到粱皇后的名字和做人原則,大家都會肅然起敬。這樣的人,安總組織有很多,都是神一般的隊友啊,老實說,能跟這樣的同事合作,吾人感到十分榮幸、幸福與快樂。
但是「集權式管理 (Discretionary)」是要搭配「非集權式管理 (Nondiscretionary)」運作的,第一步就是先把資料進行分類。
就讓寂寞說書人繼續將故事說下去,越是隱密之事,越要用故事隱藏。只是日光之下,所掩藏的事,沒有不顯出來的;所隱瞞的事,沒有不露出來的。因為這道理的用處,本是希望您們知道。
過了不久,粱皇后就邀請安總一齊規劃新時代的資產存取管理,安總頓時間擁有了所有資產存取權直到現在。「絕對的權力,帶來絕對的腐敗。」我無一日不想將權力分散出去,企圖有人能夠制衡我。扯遠了,就來說說那段我與粱皇后一起規劃的經過吧。
7. 首先,安總帶著她建立了「Discretionary」與「Nondiscretionary」兩大並存的區域,並挑出各單位之管理員,正式訓練之,並將權限授予他們,我和粱皇后隨即徹底退出「Discretionary」的權限掌控。
8. 接著規劃「Nondiscretionary」區域,安總建立了一個階層權限存取之管控層次,即網站→子網站→應用程式→資料夾,將各資產依估值與威脅建模結果,分配至各層次中。
9. 接著依組織圖建立「權限群組」,並且制定「凡權限必群組」的觀念原則,不斷要求督導,直到現在。
10. 第一階段完成後,就拓展到海外實驗。
11. 再來協同 IT 關閉所有在地上的儲存空間,徹底達到「資料不落地」的境界。
做生意就是這樣,說穿了沒什麼 Fancy Technology,有的是無數的電話詢問、當面開會、軟性溝通、硬性要求等 Dirty Work。就這樣,我們每週去 Review 各 PM 放上來的東西,五十年來如一日。成功靠的不是幸運,而是狂熱的紀律 (Fanatic Discipline)、務實的創意 (Empirical Creativity)、有生產力的恐懼 (Productive Paranoia)。
學問之道無他,求其放心而已矣。
安總入眠之後,享受了一生的榮華富貴。醒來發現,爐上蒸煮著黃粱飯還未熟爾,原來,一生富貴,轉眼成空,於是安總大徹大悟,三生浮屠。吾人謂之「粱皇一夢」,各位看倌也別當真了。
12. 黃粱一夢,浮屠三生;須臾境界,不過塵土。
13. 繁華落寞也罷,一念成殤也好,終是虛無。
14. 早日認識那位造你的主,方得生命自有永有之價值。
15. 活出那份價值與意涵,一生才有意義。
就算只有我一人相信並看見那樣的未來,即使孤單一人,我也要踏起腳步,每天每天逼自己前進一點。做有價值且獨特的事情,我們常忘了一點,這個故事可能是不被人認同的:不被理解,不被肯定,不給你錢,不給你時間。即使如此,我也要強硬地、自我地、專注地、紀律地,執行下去。
《Great by Choice: Uncertainty, Chaos and Luck - Why Some Thrive Despite Them All》
iThome鐵人賽
看影片追技術