BR112019021888A2 - Método e sistema de concessão de permissões com base na correspondência individual entre funções e usuários - Google Patents
Método e sistema de concessão de permissões com base na correspondência individual entre funções e usuários Download PDFInfo
- Publication number
- BR112019021888A2 BR112019021888A2 BR112019021888-2A BR112019021888A BR112019021888A2 BR 112019021888 A2 BR112019021888 A2 BR 112019021888A2 BR 112019021888 A BR112019021888 A BR 112019021888A BR 112019021888 A2 BR112019021888 A2 BR 112019021888A2
- Authority
- BR
- Brazil
- Prior art keywords
- role
- user
- function
- permission
- department
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
na presente invenção, é descrito um método e sistema individual baseado em função para conceder permissão a um usuário, que inclui as seguintes etapas sequenciais: s1: criação de funções, onde cada função é um indivíduo independente em vez de um grupo ou classe; s2: respectivamente autorizando as funções criadas na etapa s1; e s3: relacionar um usuário a uma função, em que uma função só pode estar relacionada a um único usuário no mesmo período e um usuário pode estar relacionado a uma ou mais funções. uma função na presente invenção é um indivíduo independente e é diferente de uma função convencional de natureza de grupo ou classe. uma função só pode estar relacionada a um usuário no mesmo período de tempo, assim significativamente melhorando a eficiência da administração de permissões no uso de um sistema, tornando a autorização dinâmica mais simples, mais conveniente, mais clara e explícita, e melhorando a eficiência e a confiabilidade dos ajustes de permissões.
Description
RELATÓRIO DESCRITIVO
MÉTODO E SISTEMA DE CONCESSÃO DE PERMISSÕES COM BASE NA CORRESPONDÊNCIA INDIVIDUAL ENTRE FUNÇÕES E USUÁRIOS ANTECEDENTES
Campo Técnico
[0001] A presente invenção está relacionada com um método de administração de permissão do usuário em um sistema de software de administração, como um sistema ERP e, mais particularmente, um método e um sistema individuais baseados em funções para conceder permissão a um usuário.
Arte Relacionada
[0002] O controle de acesso baseado em função (RBAC) é um dos mecanismos de administração para permissões de banco de dados mais pesquisadas e maduras nos últimos anos. É considerada uma alternativa ideal ao controle de acesso convencional (MAC) e controle de acesso discricionário (DAC). A ideia básica do controle de acesso baseado em função (RBAC) é definir diferentes funções de acordo com diferentes posições funcionais em uma visão da organização corporativa, encapsular as permissões de acesso dos recursos no banco de dados em funções e permitir os usuários acessem indiretamente os recursos do banco de dados, atribuindo-lhes diferentes funções.
[0003] Um grande número de tabelas e visualizações geralmente é integrado a grandes sistemas da aplicação, o que torna muito difícil administrar e autorizar os recursos de banco de dados. É extremamente difícil para o usuário administrar diretamente o acesso e a autorização dos recursos do banco de dados. Isso requer que o usuário tenha um profundo entendimento da estrutura do banco de dados e esteja familiarizado com o uso da linguagem SQL. Além disso, depois que a estrutura do sistema da aplicação ou os requisitos de segurança são alterados, é necessário um grande número de alterações de autorização complexas e complicadas, e é muito provável que ocorram vulnerabilidades de segurança devido a erros inesperados de autorização.
Petição 870190105271, de 18/10/2019, pág. 5/55
2/14
Portanto, desenhar um método de administração de permissão simples e eficaz para sistemas da aplicação em larga escala tornou-se um requisito comum para os sistemas e os usuários do sistema.
[0004] O mecanismo de controle de permissão baseado em funções pode administrar as permissões de acesso ao sistema de uma maneira simples e eficiente, o que reduz bastante a carga e o custo da administração de permissões do sistema e toma a administração de permissões do sistema ser mais complicado com as especificações de administração corporativa do sistema da aplicação.
[0005] No entanto, o método convencional de administração de permissão baseado em função para um usuário adota o mecanismo de relacionamento função a usuário, um a muitos e sua função é um grupo ou classe por natureza, ou seja, uma função pode corresponder simultaneamente a ou estar relacionada a vários usuários, e a função é semelhante a um cargo ou uma posição, ou a um tipo de trabalho ou outros conceitos. A permissão concedida a um usuário sob esse mecanismo de relacionamento é basicamente dividida nas três seguintes formas: 1, como mostrado na FIG 1, a permissão é concedida diretamente ao usuário, onde a desvantagem é que a carga de trabalho é importante e a operação é frequente e problemática; 2, como mostrado na FIG 2, a função (classe/grupo/cargo/tipo de trabalho) é autorizada (uma função pode estar relacionado a vários usuários) e o usuário obtém permissão através da função; 3, como mostrado na FIG 3, os dois métodos acima são combinados.
[0006] Nas descrições acima, 2 e 3 devem autorizar a função da natureza de classe/grupo, e o modo de autorização pela função da natureza de classe/grupo/posição/tipo de trabalho tem as seguintes desvantagens: 1. As operações são difíceis quando as permissões do usuário são alteradas: no processo atual de uso de um sistema, geralmente é necessário ajustar a autoridade do usuário durante o processo operacional. Por exemplo, ao lidar com alterações de permissão de funcionários, quando a autoridade de um funcionário
Petição 870190105271, de 18/10/2019, pág. 6/55
3/14 relacionada a uma função é alterada, é inadequado alterar as permissões de toda a função devido a alterações nas permissões de funcionários individuais, porque a função também está relacionado com outros funcionários cujas permissões não foram alteradas. Portanto, em resposta a essa situação, uma nova função é criada para satisfazer o funcionário cujas permissões foram alteradas ou uma permissão é atribuída diretamente ao funcionário (desconectada da função) com base nos requisitos de permissão. Os dois métodos de processamento acima exigem não apenas um longo tempo para a autorização de função no caso de um grande número de permissões de função, mas também facilmente causam erros; seu uso é complicado e problemático para o usuário, mas também propensa a erros, que resultam em perdas para o usuário do sistema.
[0007] 2. É difícil lembrar a permissão específica contida na função por um longo tempo: se a função tiver mais funções de permissão, é difícil lembrar as permissões específicas da função por um longo tempo e é mais difícil lembrar as diferenças de permissão entre as funções com permissões semelhantes. Se um novo usuário precisar estar relacionado, é impraticável determinar exatamente como selecionar uma função para o relacionamento.
[0008] 3. Como as permissões do usuário são alteradas, mais e mais funções são criadas (se novas funções não forem criadas, isso aumenta muito a autorização direta para o usuário) e é mais difícil distinguir diferenças das permissões específicas entre funções.
[0009] 4. Quando um usuário é transferido de um cargo, se muitas permissões do usuário transferido forem atribuídas a outros usuários, é necessário separar as permissões do usuário transferido e criar funções para relacionar com outros usuários. Essa operação não é apenas complicada e demorada, mas também propensa a erros.
RESUMO
Problemas Técnicos
Petição 870190105271, de 18/10/2019, pág. 7/55
4/14
[0010] 0 objetivo da presente invenção é superar as deficiências da técnica anterior e fornecer um método e sistema individuais baseados em funções para conceder permissão a um usuário. Uma função só pode ser relacionada a um único usuário ao mesmo tempo, o que melhora muito a eficiência da administração de permissões de um sistema em uso, toma a autorização dinâmica mais fácil, mais conveniente, mais clara e mais explícita e melhora a eficiência e a confiabilidade dos ajustes de permissão.
Soluções para Problemas
Soluções Técnicas
[0011] O objetivo da presente invenção é alcançado pelas seguintes soluções técnicas: um método individual baseado em função para conceder permissões a um usuário, que inclui as seguintes etapas sequenciais: S1: criar funções, cada função é um indivíduo independente em vez de um grupo/classe; S2: autorizar as funções criados em S1, respectivamente; S3: relacionar um usuário a uma função, no qual só pode estar relacionado a um único usuário no mesmo período e um usuário está relacionado a uma ou mais funções.
[0012] A autorização de uma função inclui a autorização de um formulário, a autorização de um menu ou a autorização de uma função.
[0013] Quando essa função é criada, um departamento deve ser selecionado. Depois que a função é criada, a função pertence ao departamento, a função é exclusiva no departamento e a função é autorizada de acordo com conteúdo do trabalho da função.
[0014] O método individual baseado em funções para conceder permissão a um usuário também inclui uma etapa da administração da transferência entre departamentos, que inclui especificamente: (1) cancelar o relacionamento entre o usuário e a função em um departamento local; e (2) relacionar o usuário a uma função em um novo departamento.
[0015] O referido usuário pode apenas determinar a permissão através do relacionamento do referido usuário com a função.
Petição 870190105271, de 18/10/2019, pág. 8/55
5/14
[0016] Um método individual baseado em função para conceder permissões a um usuário, que inclui as seguintes etapas sequenciais: S1: criar funções, cada função é um indivíduo independente em vez de um grupo/classe; S2: relacionar um usuário a uma função, no qual a função só pode estar relacionada com um único usuário d no mesmo período e um usuário está relacionado a uma ou mais funções; S3: autorizando as funções criados em S1, respectivamente.
[0017] A autorização de uma função inclui a autorização de um formulário, a autorização de um menu ou a autorização de uma função.
[0018] Quando essa função é criada, um departamento deve ser selecionado. Depois que a função é criada, a função pertence ao departamento, a função é exclusiva no departamento e a função é autorizada de acordo com conteúdo do trabalho da função.
[0019] O método individual baseado em funções para conceder permissão a um usuário também inclui uma etapa da administração da transferência entre departamentos, que inclui especificamente: (1) cancelar o relacionamento entre o usuário e a função em um departamento local; e (2) relacionar o usuário a uma função em um novo departamento.
[0020] O referido usuário só pode determinar a permissão através do relacionamento deste usuário com a função.
[0021] Um sistema individual baseado em funções para conceder permissão a um usuário, que inclui: uma unidade de criação de função, uma unidade de autorização de função e uma unidade de relacionamento usuário-função; em que a referida unidade de criação de função é usado para executar o desenho de funções de acordo com cargos e para criar funções do sistema, cada uma das quais é um indivíduo independente em vez de um grupo/classe, referida unidade de autorização de funções é usada para conceder permissões a funções de acordo com conteúdo do trabalho das funções, a referida unidade de relacionamento usuário-função é usada para relacionar um usuário a uma função e garantir que uma função só possa ser relacionada a um único usuário durante
Petição 870190105271, de 18/10/2019, pág. 9/55
6/14 o mesmo período , e um usuário está relacionado a uma ou mais funções.
[0022] Este função do sistema consiste em: um nome de cargo + um número de cargo.
Efeitos benéficos da invenção.
Efeitos benéficos
[0023] (1) O mecanismo convencional de administração de autorização define uma função como um grupo, um tipo de trabalho, uma classe etc. A função está em um relacionamento de uma para muitos com o usuário. No processo atual de uso de um sistema, geralmente é necessário ajustar a autoridade do usuário durante o processo operacional. Por exemplo, ao lidar com alterações de permissão de funcionários, quando a autoridade de um funcionário relacionada a uma função é alterada, é inadequado alterar as permissões de todo a função devido a alterações nas permissões de funcionários individuais, porque a função também está relacionada com outros funcionários cujas permissões não foram alteradas. Portanto, em resposta a essa situação, uma nova função é criada para satisfazer o funcionário cujas permissões foram alteradas ou uma permissão é atribuída diretamente ao funcionário (desconectado da função) com base nos requisitos de permissão. Os dois métodos de processamento acima exigem não apenas um longo tempo para a autorização de função no caso de um grande número de permissões de função, mas também facilmente causam erros; seu uso é complicado e problemático para o usuário, mas também propensa a erros que resultam em perdas para o usuário do sistema.
[0024] No entanto, de acordo com o método do presenta aplicação, como a função é um indivíduo independente, a permissão da função pode ser alterada para atingir o objetivo. Embora a solução do presenta aplicação pareça aumentar a carga de trabalho durante a inicialização do sistema, copiando ou similar, as funções podem ser criados ou autorizadas com mais eficiência do que as funções convencionais de natureza de grupo. Como a função da natureza do grupo não é considerada na comunidade de usuários relacionada, a solução da
Petição 870190105271, de 18/10/2019, pág. 10/55
7/14 aplicação de prevenção torna os ajustes de permissão claros e explícitos; especialmente depois que o sistema é usado por um tempo (alterações dinâmicas na autoridade de usuário/função), a solução da aplicação de prevenção pode melhorar bastante a eficiência da autoridade do sistema em uso e tornar a autorização dinâmica mais simples, mais conveniente, mais clara e explícita, e melhora a eficiência e a confiabilidade dos ajustes de permissão.
[0025] (2) O método convencional de autorização de função baseado em grupo é propenso a erros. A solução do presenta aplicação reduz bastante a probabilidade de erros de autorização porque, na solução do presenta aplicação, só é necessário considerar a função como indivíduo independente, em vez de considerar a comunidade de vários usuários relacionados a esse conjunto de funções como no método convencional. Mesmo que ocorra um erro de autorização de permissão, o método de correção do presenta aplicação é simples e leva pouco tempo. No entanto, no caso de uma função convencional de natureza de grupo, todos os usuários relacionados a esta função são afetados. Mesmo que ocorra um erro de autorização permissão, um método de correção nesta aplicação é simples e leva pouco tempo. No entanto, no caso da função de tipo de grupo convencional, a comunidade de todos os usuários relacionados a esta função deve ser considerado durante a correção de erros. A modificação é complicada, complexa e suscetível a erros quando a função possui muitos pontos de função e, em muitas circunstâncias, o problema não pode ser resolvido a menos que uma nova função seja criada.
[0026] (3) No método convencional de autorização de função baseado em grupo, se a função tiver mais pontos de função de permissão, leva muito tempo para lembrar as permissões específicas da função e é mais difícil lembrar a diferença nas permissões entre permissões semelhantes. Se for necessário relacionar um novo usuário, é impossível determinar exatamente como selecionar uma função para a associação. No método desta aplicação, a função em si tem a natureza do número do cargo/ número da estação e a escolha é clara à primeira vista.
Petição 870190105271, de 18/10/2019, pág. 11/55
8/14
[0027] (4) Quando um usuário transfere de um cargo, se muitas permissões do usuário transferido forem atribuídas a outros usuários, é necessário separar as permissões do usuário transferido e criar funções relacionadas a outros usuários. Essa operação não é apenas complicada e demorada, mas também propensa a erros.
[0028] A solução do presenta aplicação é a seguinte: o usuário transferido está relacionado a várias funções. Quando o usuário é transferido do cargo, seu relacionamento com a função no departamento original é cancelado primeiro (as funções cancelados podem estar relacionados a outros usuários) e, em seguida, o usuário está relacionado com as funções no novo departamento. A operação é simples e não dará errada.
[0029] (5) Ao criar uma função, um departamento deve ser selecionado. Depois que a função é criado, o departamento não pode ser substituído. O departamento não pode ser substituído pelos seguintes motivos: Razão 1: Como a função no presenta aplicação é equivalente a um número de estação/número de cargo; as permissões de conteúdo/cargo de diferentes números de série/números de cargo são diferentes. Por exemplo, as funções de vendedor 1 no departamento de vendas e desenvolvedor 1 de departamento técnico são dois números de estação/cargo completamente diferentes e suas permissões são diferentes. Razão 2: Se o departamento (departamento de vendas) do vendedor 1 for substituído pelo departamento técnico e a função do vendedor 1 permanecer inalterada, haverá a função do departamento técnico que tenha a permissão do departamento de vendas, o que pode causar a confusão de administração e vulnerabilidades de segurança.
BREVE DESCRIÇÃO DOS DESENHOS
DESCRIÇÃO DOS DESENHOS
[0030] FIG 1 é um diagrama esquemático de uma implementação na qual um sistema autoriza diretamente um usuário na arte anterior;
[0031] FIG 2 é um diagrama esquemático de uma implementação na qual um
Petição 870190105271, de 18/10/2019, pág. 12/55
9/14 sistema autoriza uma função de natureza de grupo ou classe na arte anterior;
[0032] FIG 3 é um diagrama esquemático de uma implementação na qual um sistema autoriza diretamente um usuário e autoriza uma função de natureza de grupo ou classe na arte anterior;
[0033] FIG 4 é um diagrama esquemático de uma implementação na qual um sistema autoriza um usuário por uma função individual independente de acordo com a presente invenção; e
[0034] FIG 5 é um fluxograma de um método de autorização de acordo com a presente invenção.
DESCRIÇÃO DETALHADA
Descrição das Modalidades
[0035] A solução técnica da presente invenção será descrita em mais detalhes abaixo com referência aos desenhos anexos, mas o escopo de proteção da presente invenção não está limitado ao seguinte.
[0036] [Modalidade 1] Como mostrado na FIG 1, um método para conceder permissão com base em função para usuário inclui as seguintes etapas sequenciais: S1: criar funções, cada função é um indivíduo independente em vez de um grupo/classe; S2: autorizar as funções criados em S1, respectivamente; S3: relacionar um usuário a uma função, em que a função só pode estar relacionada com um único usuário no mesmo período e um usuário está relacionado a uma ou mais funções; depois que o usuário estiver relacionado com a função, ele terá todas as permissões operacionais da função. Além disso, o usuário só pode determinar a permissão através do relacionamento do usuário com a função; se for necessário alterar a permissão do usuário, a permissão do usuário relacionada à função pode ser alterada ajustando as permissões que a função possui; O usuário não está diretamente autorizado, mas é autorizado pela função relacionado ao usuário.
[0037] O relacionamento da função com o usuário é individual (quando a função está relacionada a um usuário, outros usuários não podem mais se relacionar à
Petição 870190105271, de 18/10/2019, pág. 13/55
10/14 função; se a função não estiver relacionada ao usuário, poderá estar relacionada a outros usuários). O relacionamento de um usuário com uma função é de um para muitas (um usuário pode estar relacionado a várias funções ao mesmo tempo).
[0038] Definição de uma função: Uma função não é natureza de um grupo/classe/categoria/cargo/posição/tipo de trabalho etc., mas é de natureza não coletiva. A função tem sua singularidade e é uma entidade independente. Aplicada em uma empresa ou instituição, a função é equivalente a um número de cargo (o número do cargo não é um cargo, um cargo pode ter vários funcionários ao mesmo tempo, mas um número de cargo é um único funcionário no mesmo período).
[0039] Por exemplo, em um sistema corporativo, as seguintes funções podem ser criadas: gerente geral, subgerente geral 1, subgerente geral 2, gerente do departamento de vendas de Pequim I, gerente do departamento de vendas de Pequim II, gerente do departamento de vendas de Pequim III, engenheiro de vendas de Xangai 1, engenheiro de vendas de Xangai 2, engenheiro de vendas de Xangai 3, engenheiro de vendas de Xangai 4, engenheiro de vendas de Xangai 5 e assim por diante. Relação entre usuários e funções: Se Zhang San, o funcionário da empresa, for o subgerente geral 2 da empresa e o gerente do departamento de vendas de Pequim, Zhang San deverá estar relacionado com o subgerente geral 2 e o gerente do departamento de vendas de Pequim I e Zhang San tem permissão para ambos as funções.
[0040] Autorização de uma função: A autorização do sistema para uma função inclui, entre outros, a autorização de um formulário, a autorização de um menu ou a autorização de uma função. A autorização para a operação do formulário inclui, mas não está limitada a adição, eliminação, inserção e modificação.
[0041] O conceito de funções convencionais é grupo/classe/cargo/posição/tipo de trabalho, e uma função pode ser vários usuários. O conceito de “função” na presente aplicação é equivalente ao número do cargo/número da estação de
Petição 870190105271, de 18/10/2019, pág. 14/55
11/14 trabalho e é semelhante à função no drama de cinema e televisão: um personagem pode desempenhar apenas uma função por vez (infância, juventude, meia-idade, etc.) e um ator pode desempenhar várias funções.
[0042] A autorização para uma função inclui, mas não está limitada a autorização de um formulário, autorização de um menu ou autorização de uma função.
[0043] Quando essa função é criada, um departamento deve ser selecionado. Depois que a função é criada, a função pertence ao departamento, a função é exclusiva no departamento e a função é autorizada de acordo com conteúdo do trabalho da função.
[0044] Se o usuário deseja alterar departamentos, isso implica uma transferência entre departamentos. O processo de operação específico inclui: (1) cancelar o relacionamento entre o usuário e a função no departamento original; e (2) relacionar o usuário à função no novo departamento.
[0045] Depois que a função é criada, ela pode estar relacionada a um usuário no processo de criação do usuário ou relacioná-lo a qualquer momento após a criação do usuário. Depois que o usuário está relacionado à função, o relacionamento com a função pode ser cancelado a qualquer momento e o relacionamento com outras funções também podem ser criado a qualquer momento.
[0046] [Modalidade 2] Um método para conceder permissão com base em função para usuário inclui as seguintes etapas sequenciais: S1: criar funções, cada função é um indivíduo independente em vez de um grupo/classe; S2: relacionar um usuário a uma função, em que a função só pode estar relacionada com um único usuário no mesmo período e um usuário está relacionado a uma ou mais funções; S3: autorizar as funções criadas em S1, respectivamente.
[0047] [Modalidade 3] Para implementar o método acima para conceder permissões, um sistema baseado em funções individuais é fornecido para conceder autorização a um usuário, que inclui pelo menos uma unidade de criação de funções, uma unidade de autorização de funções e uma unidade de
Petição 870190105271, de 18/10/2019, pág. 15/55
12/14 relacionamento usuário-função. A referida unidade de criação de função é usada para executar o desenho das funções de acordo com cargos e cria funções do sistema, cada um dos quais é um indivíduo independente em vez de um grupo/classe, e a referida função do sistema é composta por: um nome de cargo + um número de cargo. Por exemplo: trabalhador da loja 1, trabalhador da loja 2, trabalhador da loja 3, etc. A função é um indivíduo independente equivalente ao conceito de número do cargo e número da estação de trabalho, mas difere da função usado no sistema convencional de administração de permissões. O conceito de função no sistema convencional de administração de permissão é de natureza de grupo ou classe, como um cargo, uma posição, um tipo de trabalho ou similar.
[0048] A referida unidade de autorização de função é usada para conceder autorização aas funções de acordo com o conteúdo das funções. A referida unidade de relacionamento de função de usuário é usada para relacionar um usuário a uma função e garantir que uma função só possa estar relacionada a um único usuário durante o mesmo período e que um usuário esteja relacionado a uma ou mais funções.
[0049] [Modalidade 4] O exemplo a seguir mostra o relacionamento entre funcionários, usuários e funções após a entrada do funcionário, Zhang San, em uma empresa: 1. Recrutar: depois que o funcionário é recrutado, o usuário (funcionário) está diretamente relacionado a uma função correspondente a um número de cargo ou número de estação de trabalho. Por exemplo, quando Zhang San ingressou na empresa (a empresa atribui um usuário a Zhang San) e é responsável pela venda de produtos de refrigeração na área de Pequim, no departamento de vendas I (a função correspondente é engenheiro de vendas 5 no departamento de vendas I), o usuário Zhang San seleciona diretamente a função de engenheiro de vendas 5 e o relacionamento pode ser estabelecido [0050] 2. Adicionar posição: Depois que Zhang San trabalhou por um período de tempo, a empresa pediu que Zhang San assumisse as vendas de produtos de
Petição 870190105271, de 18/10/2019, pág. 16/55
13/14
TV na área de Pequim (a função correspondente é engenheiro de vendas 8 no departamento de vendas I ) e também atua como supervisor de departamento de pós-venda (a função correspondente é supervisor de departamento de pósvenda 1). Nesse caso, duas funções, que são, “engenheiro de vendas 8” no departamento de vendas I e “supervisor de departamento pós-venda 1” no departamento de pós-venda, também estão relacionados ao usuário Zhang San. Nesse caso, o funcionário Zhang San está relacionado a três funções: “engenheiro de vendas 5” e “engenheiro de vendas 8” no departamento de vendas I e “supervisor departamento pós-venda 1” no departamento de pósvenda. Portanto, o usuário Zhang San tem permissões para todos as três funções.
[0051] 3. Posição de redução: Após outro período de tempo, a empresa decide deixar Zhang San atuar como gerente de departamento de pós-venda (que corresponde à função “gerente de departamento de pós-venda” no departamento de pós-venda) e não mais outros cargos. Nesse caso, o usuário Zhang San está relacionado à função de gerente de departamento de pós-venda no departamento de pós-venda e as três funções anteriormente relacionados (engenheiro de vendas 5 e engenheiro de vendas 8 no departamento de vendas I e supervisor departamento pós-venda 1 no departamento de vendas) são cancelados. Nesse caso, o usuário Zhang San só tem a autoridade da função de “gerente de departamento de pós-venda” no departamento de pósvenda.
[0052]4. Ajustes das permissões da função (para ajustar as permissões do própria função): Se a empresa decidir adicionar permissões ao gerente do departamento de pós-venda, as permissões deverão ser adicionadas à função de gerente do departamento de pós-venda. Com o aumento das permissões da função de gerente do departamento de pós-venda, as permissões do usuário Zhang San também são aumentadas.
[0053] 5. Renunciar: Depois de um ano, Zhang San renúncia. Nesse caso, só é
Petição 870190105271, de 18/10/2019, pág. 17/55
14/14 necessário cancelar o relacionamento entre o usuário Zhang San e a função de “gerente do departamento de pós-venda” no departamento de pós-venda.
[0054] Por exemplo, durante a operação dinâmica da empresa, o recrutamento e a demissão de funcionários geralmente ocorrem continuamente, mas os números de cargo ou estações de trabalho raramente alteram (ou até permanece inalterado dentro de um período de tempo).
[0055] Método de autorização convencional: no caso de um grande número de funções do sistema, a autorização com a função convencional de grupo/classe implica cargas de trabalho pesadas e complicadas e é propensa a erros. Pior, os erros não podem ser facilmente detectados em um curto período de tempo e tendem a causar danos ao usuário do sistema.
[0056] No método de autorização de acordo com esta aplicação, as funções de um número de cargo ou número de estação de trabalho são autorizadas na presente aplicação e os usuários estão relacionados aas funções para que as permissões do usuário sejam determinadas. Portanto, as permissões do usuário são controladas simplesmente por um simples relacionamento usuário-função. O controle de permissão é simples, fácil de operar, claro e explícito, o que melhora muito a eficiência e a confiabilidade da autorização.
[0057] Os anteriores são apenas modalidades preferidas da presente invenção, e deve ser entendido que a presente invenção não está limitada às formas aqui descritas e não deve ser interpretada como limitada a outras modalidades. Mas pode ser usado em várias outras combinações, modificações e ambientes. Modificações podem ser feitas pelas técnicas ou pelo conhecimento dos ensinamentos anteriores ou arte relacionado dentro do escopo dos ensinamentos aqui. Todas as alterações e modificações feitas pelos especialistas na arte devem estar dentro do escopo das reclamações anexas.
Claims (10)
1. Método para conceder permissão individual com base em função para usuário, caracterizado por compreender as seguintes etapas sequenciais:
S1: criar funções, cada função é um indivíduo independente em vez de um grupo/classe;
S2: autorizar as funções criadas em S1, respectivamente; e
S3: relacionar um usuário a uma função, em que uma função só pode estar relacionada a um único usuário no mesmo período e um usuário está relacionado a uma ou mais funções.
2. Método para conceder permissão, de acordo com a reivindicação 1, caracterizado pelo fato de quando a referida função é criada, um departamento deve ser selecionado, e uma vez que a função é criada, a dita função pertence ao referido departamento, em que a referida função é única no referido departamento, e a referida função é autorizada de acordo com o conteúdo do trabalho da referida função.
3. Método para conceder permissão, de acordo com a reivindicação 2, caracterizado pelo fato de compreender ainda uma etapa de administrar a transferência entre departamentos, que inclui especificamente:
(1) cancelar o relacionamento entre o usuário e a função no departamento original; e (2) relacionar referido usuário a uma função em um novo departamento.
4. Método para conceder permissão, de acordo com a reivindicação 1, caracterizado pelo fato de que o referido usuário só pode determinar a permissão através do relacionamento do referido usuário com a referida função.
5. Método para conceder permissão individual com base em função para usuário, caracterizado por compreender as seguintes etapas sequenciais:
S1: criar funções, cada função é um indivíduo independente em vez de um grupo/classe;
S2: relacionar um usuário a uma função, em que a função só pode estar
Petição 870190105271, de 18/10/2019, pág. 19/55
2/3 relacionada com um único usuário no mesmo período e um usuário está relacionado a uma ou mais funções; e
S3: autorizar as funções criadas em S1, respectivamente.
6. Método individual para conceder permissão, de acordo com a reivindicação 5, caracterizado pelo fato de quando a referida função é criada, um departamento deve ser selecionado, uma vez que a função é criada, a função pertence ao departamento, em que a função é única no departamento e a referida função é autorizada de acordo com o conteúdo do trabalho dessa função.
7. Método para conceder permissão, de acordo com a reivindicação 5, caracterizado pelo fato de incluir ainda uma etapa de administrar a transferência entre departamentos, que inclui especificamente:
(1) cancelar o relacionamento entre o usuário e a função no departamento original; e (2) relacionar referido usuário a uma função em um novo departamento.
8. Método para conceder permissão, de acordo com a reivindicação 5, caracterizado pelo fato de que o referido usuário só pode determinar a permissão através do relacionamento do referido usuário com a referida função.
9. Sistema para conceder permissão individual a um usuário com base em uma função, caracterizado por incluir: uma unidade de criação de função, uma unidade de autorização de função e uma unidade de relacionamento usuáriofunção, em que a referida unidade de criação de função é usada para executar o desenho de função de acordo com cargos e criar funções do sistema, cada uma das quais é um indivíduo independente em vez de um grupo/classe;
a referida unidade de autorização de função é usada para conceder permissões à funções de acordo com o conteúdo de trabalho das funções; e a referida unidade de relacionamento de função de usuário é usada para relacionar um usuário a uma função e garantir que uma função só possa estar relacionada a um único usuário durante o mesmo período e que um usuário
Petição 870190105271, de 18/10/2019, pág. 20/55
3/3 esteja relacionado a uma ou mais funções.
10. Sistema para conceder permissão, de acordo com a reivindicação 9, caracterizado pelo fato de que a referida função do sistema é composta por um nome de cargo e um número de cargo.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710268338.9A CN107103228B (zh) | 2017-04-22 | 2017-04-22 | 基于角色对用户的一对一的权限授权方法和系统 |
| CN201710268338.9 | 2017-04-22 | ||
| PCT/CN2018/083812 WO2018192557A1 (zh) | 2017-04-22 | 2018-04-19 | 基于角色对用户的一对一的权限授权方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| BR112019021888A2 true BR112019021888A2 (pt) | 2020-05-26 |
Family
ID=59657107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BR112019021888-2A BR112019021888A2 (pt) | 2017-04-22 | 2018-04-19 | Método e sistema de concessão de permissões com base na correspondência individual entre funções e usuários |
Country Status (14)
| Country | Link |
|---|---|
| EP (1) | EP3614283A4 (pt) |
| JP (1) | JP2020520034A (pt) |
| KR (1) | KR20190131085A (pt) |
| CN (1) | CN107103228B (pt) |
| AU (1) | AU2018255463A1 (pt) |
| BR (1) | BR112019021888A2 (pt) |
| CA (1) | CA3061130A1 (pt) |
| CO (1) | CO2019011620A2 (pt) |
| EA (1) | EA201992218A1 (pt) |
| MX (1) | MX2019012442A (pt) |
| PE (1) | PE20191750A1 (pt) |
| PH (1) | PH12019502371A1 (pt) |
| WO (1) | WO2018192557A1 (pt) |
| ZA (1) | ZA201906776B (pt) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107103228B (zh) * | 2017-04-22 | 2021-02-02 | 成都牵牛草信息技术有限公司 | 基于角色对用户的一对一的权限授权方法和系统 |
| CN107045675A (zh) * | 2017-05-23 | 2017-08-15 | 成都牵牛草信息技术有限公司 | 工作流审批节点按角色设置审批角色的方法 |
| CN107203870A (zh) * | 2017-05-23 | 2017-09-26 | 成都牵牛草信息技术有限公司 | 工作流审批节点按部门设置审批角色的方法 |
| CN107644171A (zh) * | 2017-09-28 | 2018-01-30 | 深圳市金蝶精斗云网络科技有限公司 | 一种角色权限的老用户升级方法及相关设备 |
| CN107657169B (zh) * | 2017-10-10 | 2020-02-21 | 泰康保险集团股份有限公司 | 权限管理方法、装置、介质和电子设备 |
| CN107633184A (zh) * | 2017-10-19 | 2018-01-26 | 上海砾阳软件有限公司 | 一种用于管理用户权限的数据库及方法与设备 |
| CN110457529B (zh) * | 2019-07-05 | 2022-07-12 | 中国平安财产保险股份有限公司 | 岗位数据处理方法、装置、计算机设备及存储介质 |
| CN110363018A (zh) * | 2019-07-16 | 2019-10-22 | 北京明略软件系统有限公司 | 权限的控制方法及装置 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1479232A (zh) * | 2002-08-30 | 2004-03-03 | 英业达股份有限公司 | 人力资源管理系统以及方法 |
| CN101093524A (zh) * | 2006-06-22 | 2007-12-26 | 上海新纳广告传媒有限公司 | 基于层次结构的权限处理系统 |
| CN101373527A (zh) * | 2007-08-24 | 2009-02-25 | 上海全成通信技术有限公司 | 系统参与人的权限控制方法 |
| JP2009238191A (ja) * | 2008-03-28 | 2009-10-15 | Mitsubishi Electric Corp | Webアプリケーションシステム |
| CN102004868A (zh) * | 2009-09-01 | 2011-04-06 | 上海杉达学院 | 一种基于角色访问控制的信息系统数据存储层及组建方法 |
| CN101667268A (zh) * | 2009-09-22 | 2010-03-10 | 浪潮集团山东通用软件有限公司 | 一种支持一人多岗位工资及费用分摊的计算方法 |
| CN101714196A (zh) * | 2009-11-20 | 2010-05-26 | 上海电机学院 | 基于周期时间的权限委托方法 |
| JP5814639B2 (ja) * | 2011-06-09 | 2015-11-17 | キヤノン株式会社 | クラウドシステム、クラウドサービスのライセンス管理方法、およびプログラム |
| CN102354356B (zh) * | 2011-09-29 | 2014-06-04 | 用友软件股份有限公司 | 数据权限管理装置和方法 |
| CN102567675B (zh) * | 2012-02-15 | 2015-09-30 | 合一网络技术(北京)有限公司 | 一种业务系统下的用户权限管理方法和系统 |
| US9679264B2 (en) * | 2012-11-06 | 2017-06-13 | Oracle International Corporation | Role discovery using privilege cluster analysis |
| CN104463005A (zh) * | 2013-09-25 | 2015-03-25 | 天津书生投资有限公司 | 一种控制电子文档的访问权限的方法 |
| CN103500297A (zh) * | 2013-10-11 | 2014-01-08 | 济钢集团有限公司 | 信息系统中细粒度权限管理方法 |
| CN103632082B (zh) * | 2013-12-10 | 2016-08-17 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
| CN104751573B (zh) * | 2014-10-28 | 2019-02-12 | 郑利红 | 用于物品/快递投递的安全智能柜系统及其用途 |
| CN104484617B (zh) * | 2014-12-05 | 2017-09-26 | 中国航空工业集团公司第六三一研究所 | 一种基于多策略融合的数据库访问控制方法 |
| CN104392159B (zh) * | 2014-12-17 | 2018-02-06 | 中国人民解放军国防科学技术大学 | 一种支持最小特权的用户按需授权方法 |
| CN105005730A (zh) * | 2015-08-13 | 2015-10-28 | 杭州杉石科技有限公司 | 一种基于app应用的权限设计方法 |
| CN105653977B (zh) * | 2015-12-28 | 2019-07-05 | 上海瀚银信息技术有限公司 | 一种菜单权限配置方法及系统 |
| CN106384057B (zh) * | 2016-04-27 | 2017-09-15 | 平安科技(深圳)有限公司 | 数据访问权限识别方法和装置 |
| CN106407717A (zh) * | 2016-10-24 | 2017-02-15 | 深圳市前海安测信息技术有限公司 | 医疗信息化系统中电子病历电子签章审核系统及方法 |
| CN106779619B (zh) * | 2016-12-30 | 2024-02-02 | 全民互联科技(天津)有限公司 | 一种完善业务审批的审核加签方法及系统 |
| CN107103228B (zh) * | 2017-04-22 | 2021-02-02 | 成都牵牛草信息技术有限公司 | 基于角色对用户的一对一的权限授权方法和系统 |
-
2017
- 2017-04-22 CN CN201710268338.9A patent/CN107103228B/zh active Active
-
2018
- 2018-04-19 MX MX2019012442A patent/MX2019012442A/es unknown
- 2018-04-19 CA CA3061130A patent/CA3061130A1/en not_active Abandoned
- 2018-04-19 JP JP2020507734A patent/JP2020520034A/ja active Pending
- 2018-04-19 EA EA201992218A patent/EA201992218A1/ru unknown
- 2018-04-19 KR KR1020197031157A patent/KR20190131085A/ko not_active Application Discontinuation
- 2018-04-19 BR BR112019021888-2A patent/BR112019021888A2/pt unknown
- 2018-04-19 PE PE2019002039A patent/PE20191750A1/es unknown
- 2018-04-19 WO PCT/CN2018/083812 patent/WO2018192557A1/zh active Application Filing
- 2018-04-19 AU AU2018255463A patent/AU2018255463A1/en not_active Abandoned
- 2018-04-19 EP EP18787382.3A patent/EP3614283A4/en active Pending
-
2019
- 2019-10-14 ZA ZA2019/06776A patent/ZA201906776B/en unknown
- 2019-10-18 PH PH12019502371A patent/PH12019502371A1/en unknown
- 2019-10-29 CO CONC2019/0011620A patent/CO2019011620A2/es unknown
Also Published As
| Publication number | Publication date |
|---|---|
| EA201992218A1 (ru) | 2020-06-05 |
| EP3614283A1 (en) | 2020-02-26 |
| CN107103228B (zh) | 2021-02-02 |
| PE20191750A1 (es) | 2019-12-12 |
| JP2020520034A (ja) | 2020-07-02 |
| WO2018192557A1 (zh) | 2018-10-25 |
| ZA201906776B (en) | 2020-06-24 |
| AU2018255463A1 (en) | 2019-10-31 |
| CN107103228A (zh) | 2017-08-29 |
| MX2019012442A (es) | 2019-12-11 |
| KR20190131085A (ko) | 2019-11-25 |
| CO2019011620A2 (es) | 2020-01-17 |
| CA3061130A1 (en) | 2019-10-16 |
| EP3614283A4 (en) | 2021-01-13 |
| PH12019502371A1 (en) | 2020-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BR112019021888A2 (pt) | Método e sistema de concessão de permissões com base na correspondência individual entre funções e usuários | |
| US11363026B2 (en) | Workflow control method and system based on one-to-one correspondence between roles and users | |
| US20200143328A1 (en) | Method for setting up approval role according to department by approval node in workflow | |
| US11586758B2 (en) | Authorization method for form data acquired based on role | |
| BR112019024194A2 (pt) | Método de configuração da função de aprovação para aprovação de nó do fluxo de trabalho com base em campos baseados em formulário | |
| BR112020000567A2 (pt) | método para definir o processo de aprovação baseado em campos de base | |
| BR112020000169A2 (pt) | método para autorizar permissões de operação de valores de campo de formulário | |
| US20200389463A1 (en) | Permission granting method and system based on one-to-one correspondence between roles and users | |
| BR112020001648A2 (pt) | método para gerenciar a conta de mensagens instantâneas no sistema de gerenciamento | |
| US11599656B2 (en) | Method for authorizing form data operation authority | |
| US11586747B2 (en) | Method for setting operating record viewing right based on time period | |
| BR112020002578A2 (pt) | método para autorizar permissões de operação de lista estatística | |
| BR112020001402A2 (pt) | método para definir permissões do usuário na unidade de troca de informações no sistema | |
| BR112020002572A2 (pt) | método de autorização para exibir o status atual da permissão de todos os usuários do sistema | |
| BR112020002616A2 (pt) | método para autorizar o processo de aprovação e nó de aprovação do mesmo para usuário | |
| WO2018205940A1 (zh) | 基于角色对用户的一对一的组织结构图生成及应用方法 | |
| BR112020002586A2 (pt) | método de autorização separada baseado em valor da coluna para operações de lista estatística | |
| BR112020002560A2 (pt) | método para autorizar um operador de autorização em um sistema | |
| OA19448A (en) | Role acquisition-based method for authorizing form data. | |
| OA19306A (en) | Workflow control method and system based on one-to-one correspondence between roles and users. | |
| EA045223B1 (ru) | Способ настройки роли утверждения в соответствии с отделом в узле утверждения рабочего процесса |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B350 | Update of information on the portal [chapter 15.35 patent gazette] |