CN107301354A - 一种系统权限管理方法及装置 - Google Patents
一种系统权限管理方法及装置 Download PDFInfo
- Publication number
- CN107301354A CN107301354A CN201710500128.8A CN201710500128A CN107301354A CN 107301354 A CN107301354 A CN 107301354A CN 201710500128 A CN201710500128 A CN 201710500128A CN 107301354 A CN107301354 A CN 107301354A
- Authority
- CN
- China
- Prior art keywords
- target
- level
- institutional framework
- hierarchical tree
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种系统权限管理方法及装置,利用公司组织对应的组织结构层级树对公司组织对应的软件系统进行权限管理。获取当前组织中某目标层级(即,第一目标层级)对应的组织结构层级树;然后,建立该组织结构层级树与至少一个被管理系统的目标权限项之间的映射关系得到一个目标权限角色。目标权限角色可以具有多个被管理系统的权限项,将目标权限角色和目标账户绑定后,目标账户可以具有目标权限角色对应的全部被管理系统的权限项,这样,不需要为目标账户针对每个被管理系统都进行权限配置,从而实现多个被管理系统的权限统一管理,避免了进行重复的权限配置操作,权限配置操作简单。
Description
技术领域
本发明属于计算机技术领域,尤其涉及一种系统权限管理方法及装置。
背景技术
随着计算机技术飞速发展,很多工作可以开发相应的软件系统,利用软件系统进行相应的操作。
每个系统都有对应的功能,并非都是给公司所有人开放,有可能只是单独给一个部门,一个产品线来使用,因此,必然会涉及用户登录以及权限控制的问题。一个系统中的子系统较多,或者,系统用户较多,权限控制的统一管理也成为日渐突出的重要问题。
如果无法统一管理,在每个系统后台就需要单独做权限控制,不但费时费力,而且,后续不方便对系统权限进行管理。例如,当有新员工入职时,需要给新员工的账户开通相应系统的权限;当有员工离职时,需要删除该员工账户的相应权限;这种权限管理过程不但繁琐,而且极易出错。因此,亟需一种能够对系统中的权限进行统一管理的方法。
发明内容
有鉴于此,本发明的目的在于提供一种系统权限管理方法及装置,以解决传统的系统权限管理无法对系统权限进行统一管理的技术问题。
第一方面,本申请提供了一种系统权限管理方法,包括:
获取所述当前组织中第一目标层级所对应的组织结构层级树,所述组织结构层级树用于表示所述第一目标层级在所述当前组织中的层级关系;
建立所述第一目标层级的组织结构层级树与至少一个被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色,所述被管理系统是为所述当前组织开发的实现目标功能的软件系统,所述目标权限项是所述被管理系统中的至少一个权限项;
绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定所述目标账户所具有的权限项,所述目标账户是当前组织的用户所对应的账户。
可选地,所述建立所述第一目标层级的组织结构层级树与至少一个所述被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色,包括:
确定所述第一目标层级所对应的至少一个目标被管理系统;
确定所述至少一个目标被管理系统在所述第一目标层级上具有的目标权限项;
建立所述第一目标层级对应的组织结构层级树与全部所述目标权限项之间的映射关系,并创建该映射关系对应的角色名称。
可选地,所述绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定所述目标账户所具有的权限,包括:
当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树完全相同时,确定所述目标账户在所述目标账户所属层级上具有所述目标权限角色所对应的目标权限项;
当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项。
可选地,所述当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项,包括:
当所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树完全不同时,确定所述目标账户没有所述目标权限角色所对应的权限项;
当所述目标权限角色对应的组织结构层级树的层级高于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项;
当所述目标权限角色对应的组织结构层级树的层级低于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项。
可选地,所述方法还包括:
当确定所述目标账户在第二目标层级上具有目标权限项后,确定所述目标账户在所述第二目标层级的所有下级层级上也具有所述目标权限项。
第二方面,本申请提供了一种系统权限管理装置,包括:
获取单元,用于获取所述当前组织中第一目标层级所对应的组织结构层级树,所述组织结构层级树用于表示所述第一目标层级在所述当前组织中的层级关系;
映射关系建立单元,用于建立所述第一目标层级的组织结构层级树与至少一个被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色,所述被管理系统是为所述当前组织开发的实现目标功能的软件系统,所述目标权限项是所述被管理系统中的至少一个权限项;
绑定单元,用于绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定所述目标账户所具有的权限项,所述目标账户是当前组织的用户所对应的账户。
可选地,所述映射关系建立单元,包括:
第一确定子单元,用于确定所述第一目标层级所对应的至少一个目标被管理系统;
第二确定子单元,用于确定所述至少一个目标被管理系统在所述第一目标层级上具有的目标权限项;
建立子单元,用于建立所述第一目标层级对应的组织结构层级树与全部所述目标权限项之间的映射关系,并创建该映射关系对应的角色名称。
可选地,所述绑定单元,包括:
第三确定子单元,用于当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树完全相同时,确定所述目标账户在所述目标账户所属层级上具有所述目标权限角色所对应的目标权限项;
第四确定子单元,用于当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项。
可选地,所述第二确定子单元具体用于:
当所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树完全不同时,确定所述目标账户没有所述目标权限角色所对应的权限项;
当所述目标权限角色对应的组织结构层级树的层级高于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项;
当所述目标权限角色对应的组织结构层级树的层级低于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项。
可选地,所述装置还包括:
确定单元,用于当确定所述目标账户在第二目标层级上具有目标权限项后,确定所述目标账户在所述第二目标层级的所有下级层级上也具有所述目标权限项。
本申请实施例提供的系统权限管理方法,利用公司组织对应的组织结构层级树对公司组织对应的软件系统进行权限管理。获取当前组织中某目标层级(即,第一目标层级)对应的组织结构层级树;然后,建立该组织结构层级树与至少一个被管理系统的目标权限项之间的映射关系得到一个目标权限角色。再将该目标权限角色与目标账户进行绑定,从而根据该目标权限角色所定义的权限项确定目标账户所具有的权限项。目标权限角色可以具有多个被管理系统的权限项,将目标权限角色和目标账户绑定后,目标账户可以具有目标权限角色对应的全部被管理系统的权限项,这样,不需要为目标账户针对每个被管理系统都进行权限配置,从而实现多个被管理系统的权限统一管理,避免了进行重复的权限配置操作,权限配置操作简单。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例一种系统权限管理方法的流程图;
图2是本申请实施例一种创建权限角色过程的流程图;
图3是本申请实施例一种创建权限角色的页面示意图;
图4是本申请实施例一种权限管理系统录入被管理系统的权限项的示意图;
图5是本申请实施例一种绑定账户和权限角色的页面示意图;
图6是本申请实施例一种绑定账户与权限角色过程的流程示意图;
图7是本申请实施例另一种系统权限管理方法的流程图;
图8是本申请实施例一种系统权限管理装置的框图;
图9是本申请实施例一种映射关系建立单元的框图;
图10是本申请实施例一种绑定单元的框图;
图11是本申请实施例另一种系统权限管理装置的框图。
具体实施方式
为了方便理解本申请的技术方案,下面先介绍下本申请涉及到的概念:
组织结构层级树,就是按照公司、部门、产品线的上下级关系,按照一定的格式做成的一个特定字符串,组织结构层级树中包括当前层级组织以及该当前层级组织的所有上级组织,且不同层级的组织之间利用层级分隔符进行隔离。例如:“cop.yupiao_owt.SRE_pdl.SRE”。在一个公司中,可能具有多个系统,每个系统都有对应的功能,并非都给公司所有人开放,有可能只单独给一个部门、一个产品线使用,因此,可以利用组织结构层级树控制公司里某一个部门或产品线能够拥有对应系统的权限。
被管理系统,是为公司组织开发的软件系统,本申请要实现的就是对被管理系统的系统权限进行管理。
权限角色关联的对象是“被管理系统”,定义了被管理系统在某一层级的组织结构层级树上有什么样的权限项。
账户是能够登录所述被管理系统的账户。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,示出了本申请实施例一种系统权限管理方法的流程图,该方法应用于权限管理系统中,如图1所示,该方法可以包括以下步骤:
S110,获取当前组织中第一目标层级所对应的组织结构层级树。
所述组织结构层级树用于表示所述第一目标层级在所述当前组织中的层级关系。第一目标层级可以是公司组织中任意一个层级。例如,某个组织结构层级树的字符串可以表示为“cop.yupiao_owt.SRE_pdl.mongodb_service.ERP”。
该组织结构层级树对应字符串的说明如下:
下划线“_”表示层级分隔符,可用其它的符号代替;
“.”前面的字符表示层级特征字符,例如,“cop”;
“.”后面的字符表示每个组织的名称,例如,“yupiao”;
其中,cop表示公司,yupiao表示公司名称,cop.yupiao代表yupiao的统一资源定位符(Uniform Resource Locator,URL);
owt表示单位,SRE表示单位名称,cop.yupiao_owt.SRE代表SRE的URL;
pdl表示产品线,mongodb表示产品线名称,cop.yupiao_owt.SRE_pdl.mongodb代表mongodb的URL;
service表示服务,ERP表示服务名称,cop.yupiao_owt.SRE_pdl.mongodb_service.ERP代表ERP的URL;
上述字符串表示公司、单位、产品线、服务的四级层级关系。
S120,建立第一目标层级的组织结构层级树与至少一个被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色。
被管理系统是为所述当前组织开发的实现目标功能的软件系统。目标权限项是被管理系统中的至少一个权限项。
本步骤是创建权限角色,权限角色关联的对象是被管理系统,用于定义该被管理系统在某一个层级上具有的权限项。
如图2所示,S120可以包括以下步骤:
S121,确定第一目标层级所对应的至少一个目标被管理系统。
根据系统权限管理规则,确定第一目标层级具有哪些被管理系统的权限。其中,系统权限管理规则是根据实际的公司组织层级所应该具有的系统权限设置。
一个公司可能会有多个被管理系统的,但是,一个公司组织内部的不同层级的职责不同,因此,不同层级有权限使用的被管理系统也就不同。
S122,确定至少一个目标被管理系统在第一目标层级上具有的目标权限项。
确定该层级有权使用哪些被管理系统后,进一步需要确定该层级具有这些被管理系统的哪些权限。
S123,建立第一目标层级对应的组织结构层级树与全部目标权限项之间的映射关系,并创建该映射关系对应的角色名称。
然后,建立该第一目标层级的组织结构层级树与目标权限项之间的映射关系,并创建该映射关系对应的角色名称。
例如,如图3,创建的目标权限角色是“admin”,第一目标层级的组织结构层级树是“cop.yupiao_owt.SRE_pdl.SRE”,被管理系统分别是“cfmanage”和“op-cmdb”。其中,被管理系统“cfmanage”和“op-cmdb”后面的字符表示该被管理系统具有的权限项,例如,“cfm_job_browse”就是“cfmanage”的一个权限项。
例如,需要给某个用户“abc”授权被管理系统1和被管理系统2上的权限项,可以创建一个权限角色“123”,使该权限角色“123”关联被管理系统1和被管理系统2上对应的权限点。然后,将用户“abc”与权限角色“123”绑定,这样,用户“abc”就具有了权限角色“123”所定义的被管理系统1和被管理系统2上的相应权限项。不需要分别给用户“abc”分别授权被管理系统1和被管理系统2的权限,避免了对同一个用户针对不同的系统重复授权的操作,因此,大大降低了权限管理的复杂度,同时,提高了权限管理的效率。
在本申请的一个实施例中,权限管理系统在管理被管理系统时,需要先获取被管理系统中的所有权限项,权限管理系统可以提供相应的页面入口以便录入被管理系统的权限项。如图4所示,为录入被管理系统权限项的页面示意图,该图示出了录入被管理系统“cfmanage”的权限项的录入页面,其中,图4中的“权限点”即本文的“权限项”。
每一个被管理系统都需要采用图4所示的录入页面录入相应的权限项。
S130,绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定目标账户所具有的权限项。
所述目标账户是当前组织的用户所对应的账户。用户可能单独负责某个部分或者产品线,因此,用户授权也需要在组织结构层级树下定义。一个用户对应一个账户,账户所对应的组织结构层级树即该账户注册在哪个层级的组织,例如,“cop.yupiao_owt.SRE_pdl.SRE”这个层级的组织新入职一名员工,则为该员工注册的账户所属的组织结构层级树就是“cop.yupiao_owt.SRE_pdl.SRE”。
通常而言,将权限角色和账户绑定后,该账户就拥有了所绑定的权限角色所定义的权限项,但是,该账户在哪个层级上具有这些权限项需要根据权限角色和账户的层级确定。
如图5所示,权限角色是“admin”,目标账户是“abc”其中,目标账户“abc”和权限角色“admin”所属的组织结构层级树都是“cop.yupiao_owt.SRE_pdl.SRE”。将权限角色和目标账户绑定后,目标账户“abc”就具有权限角色“admin”所定义的权限。
本实施例提供的系统权限管理方法,利用公司组织对应的组织结构层级树对公司组织对应的软件系统进行权限管理。获取当前组织中某目标层级(即,第一目标层级)对应的组织结构层级树;然后,建立该组织结构层级树与至少一个被管理系统的目标权限项之间的映射关系得到一个目标权限角色。再将该目标权限角色与目标账户进行绑定,从而根据该目标权限角色所定义的权限项确定目标账户所具有的权限项。目标权限角色可以具有多个被管理系统的权限项,将目标权限角色和目标账户绑定后,目标账户可以具有目标权限角色对应的全部被管理系统的权限项,这样,不需要为目标账户针对每个被管理系统都进行权限配置,从而实现多个被管理系统的权限统一管理,避免了进行重复的权限配置操作,降低了权限管理的复杂度,同时,提高了权限管理的效率。
在本申请的一个实施例中,由于权限角色和账户都有自己对应的组织结构层级树,可能存在权限角色的组织结构层级树与账户的组织结构层级树相同,也可能存在两者对应的组织结构层级树不相同的情况,即权限角色和账户的所在的层级不同。
请参见图6,示出了本申请实施例一种S130的流程图,本实施例中,S130可以包括以下步骤:
S131,当第一目标层级的组织结构层级树与目标账户所属层级的组织结构层级树完全相同时,确定目标账户在目标账户所属层级上具有目标权限角色所对应的目标权限项。
例如,如图5所示,绑定权限角色“admin”与目标账户“abc”,其中,目标账户所属的组织结构层级树是“cop.yupiao_owt.SRE_pdl.SRE”。如图2所示,权限角色“admin”对应的组织结构层级树也是“cop.yupiao_owt.SRE_pdl.SRE”,此种应用场景下,目标账户具有权限角色所定义的被管理系统“cfmanage”和“op-cmdb”的目标权限。
其中,目标权限可以是被管理系统的全部权限或部分权限,可以根据层级组织所需的权限设置。
S132,当第一目标层级的组织结构层级树与目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项。
当目标权限角色所属的组织结构层级树与目标账户所属的组织结构层级树不同时,基本原则是目标账户按照层级较低的组织结构层级树的权限来确定。
在本申请的一个实施例中,第一目标层级的组织结构层级树与目标账户所属层级的组织结构层级树不同的情况包括以下几种:
①目标权限角色的组织结构层级树与目标账户对应的组织结构层级树完全不同,此种应用场景下,确定目标账户没有目标权限角色所对应的权限项。
例如,目标权限角色“sre”的组织结构层级树是“cop.yupiao_owt.SRE_pdl.mongodb”,该组织结构层级树表示产品线“mongodb”;而目标账户对应的组织结构层级树是“cop.yupiao_owt.SRE_pdl.SRE”该组织结构层级树表示产品线“SRE”;这两个组织结构层级树都是产品线层级,但分别属于不同的产品线,因此,目标账户没有目标权限角色所对应的权限项。
②目标权限角色的层级高于目标账户的层级,此种应用场景下,目标账户在自身所在层级上具有目标权限角色对应的目标权限项。
例如,目标权限角色“sre”的组织结构层级树是“cop.yupiao_owt.SRE”,即目标权限角色所属的层级是“owt”;而目标账户对应的组织结构层级树是“cop.yupiao_owt.SRE_pdl.mongodb”,即,目标账户所属的层级是“pdl”。“owt”层级高于“pdl”的层级,即,目标权限角色的层级高于目标账户的层级,目标账户在产品线层级上具有目标权限角色所规定的权限。
③目标权限角色对应的层级低于目标账户对应的层级,此种应用场景下,确定目标账户在目标权限角色所对应的层级上具有该目标权限角色对应的目标权限项。
例如,目标权限角色“sre”对应的组织结构层级树是“cop.yupiao_owt.SRE_pdl.mongodb”,目标权限角色所属的层级是“pdl”;而目标账户对应的组织结构层级树是“cop.yupiao_owt.SRE”,目标账户所属的层级是“owt”。“owt”层级高于“pdl”的层级,即,目标账户的层级高于目标权限角色的层级,此种应用场景下,确定目标账户在目标权限角色所在的层级上具有目标权限角色所规定的权限项。
请参见图7,示出了本申请实施例另一种系统权限管理方法的流程图,该方法在图1所示实施例的基础上还包括以下步骤:
S210,当确定目标账户在第二目标层级上具有目标权限项后,确定所述目标账户在所述第二目标层级的所有下级层级上也具有所述目标权限项。
第二目标层级是指目标账户具有目标权限项的层级,该第二目标层级可能与第一目标层级相同,或者,可能与目标账户所属的层级相同。
当确定出目标账户在某个层级具有目标权限项后,可以利用组织结构层级树的层级做权限继承。
例如,给用户A授权“cop.yupiao”这个组织结构层级树admin角色的权限,根据权限继承规则,该用户A在“cop.yupiao_owt.SRE”、“cop.yupiao_owt.SRE_pdl.SRE”等等这些属于“cop.yupiao”层级以下的所有层级都有admin角色的权限,这样就不用在每个层级进行重复授权了。
本实施例提供的系统权限管理方法,在利用公司组织对应的组织结构层级树对公司组织对应的软件系统进行权限管理时,利用组织结构层级树能够表示组织的层级的特点,将目标账户所具有的权限由当前层级拓展到该当前层级以下的层级。这样,不需要在当前层级以下的每个层级进行重复授权,大大降低了权限管理的复杂度。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
相应于上述的系统权限管理方法实施例,本申请还提供了系统权限管理装置实施例。
请参见图8,示出了本申请实施例一种系统权限管理装置的框图,该装置应用于权限管理系统中,如图8所示,该装置包括:获取单元110、映射关系建立单元120和绑定单元130。
获取单元110,用于获取所述当前组织中第一目标层级所对应的组织结构层级树,所述组织结构层级树用于表示所述第一目标层级在所述当前组织中的层级关系。
所述组织结构层级树用于表示所述第一目标层级在所述当前组织中的层级关系。第一目标层级可以是公司组织中任意一个层级。
映射关系建立单元120,用于建立第一目标层级的组织结构层级树与至少一个被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色。
所述被管理系统是为所述当前组织开发的实现目标功能的软件系统,所述目标权限项是所述被管理系统中的至少一个权限项。
该映射关系建立单元用于创建权限角色,权限角色关联的对象是被管理系统,用于定义该被管理系统在某一个层级上具有的权限项。
例如,需要给某个用户“abc”授权被管理系统1和被管理系统2上的权限项,可以创建一个权限角色“123”,使该权限角色“123”关联被管理系统1和被管理系统2上对应的权限点。
在本申请的一个实施例中,如图9所示,映射关系建立单元120包括:第一确定子单元121、第二确定子单元122和建立子单元123。
第一确定子单元121,用于确定所述第一目标层级所对应的至少一个目标被管理系统。
第二确定子单元122,用于确定所述至少一个目标被管理系统在所述第一目标层级上具有的目标权限项。
建立子单元123,用于建立所述第一目标层级对应的组织结构层级树与全部所述目标权限项之间的映射关系,并创建该映射关系对应的角色名称。
绑定单元130,用于绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定所述目标账户所具有的权限项,所述目标账户是当前组织的用户所对应的账户。
通常而言,将权限角色和账户绑定后,该账户就拥有了所绑定的权限角色所定义的权限项,但是,该账户在哪个层级上具有这些权限项需要根据权限角色和账户的层级确定。
在本申请的一个实施例中,由于权限角色和账户都有自己对应的组织结构层级树,可能存在权限角色的组织结构层级树与账户的组织结构层级树相同,也可能存在两者对应的组织结构层级树不相同的情况,即权限角色和账户的所在的层级不同。如图10所示,该绑定单元130包括:第三确定子单元131和第四确定子单元132。
第三确定子单元131,用于当第一目标层级的组织结构层级树与目标账户所属层级的组织结构层级树完全相同时,确定目标账户在目标账户所属层级上具有目标权限角色所对应的目标权限项。
例如,图5所示的权限角色和目标账户的组织结构层级树相同,则确定目标账户在自身所在层级上具有权限角色所定义的权限项。
第四确定子单元132,用于当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项。
当目标权限角色所属的组织结构层级树与目标账户所属的组织结构层级树不同时,基本原则是目标账户按照层级较低的组织结构层级树的权限来确定。
在本申请的一个实施例中,第一目标层级的组织结构层级树与目标账户所属层级的组织结构层级树不同的情况包括以下几种:
①目标权限角色的组织结构层级树与目标账户对应的组织结构层级树完全不同,此种应用场景下,确定目标账户没有目标权限角色所对应的权限项。
②目标权限角色的层级高于目标账户的层级,此种应用场景下,目标账户在自身所在层级上具有目标权限角色对应的目标权限项。
③目标权限角色对应的层级低于目标账户对应的层级,此种应用场景下,确定目标账户在目标权限角色所对应的层级上具有该目标权限角色对应的目标权限项。
本实施例提供的系统权限管理装置,利用公司组织对应的组织结构层级树对公司组织对应的软件系统进行权限管理。获取当前组织中某目标层级(即,第一目标层级)对应的组织结构层级树;然后,建立该组织结构层级树与至少一个被管理系统的目标权限项之间的映射关系得到一个目标权限角色。再将该目标权限角色与目标账户进行绑定,从而根据该目标权限角色所定义的权限项确定目标账户所具有的权限项。目标权限角色可以具有多个被管理系统的权限项,将目标权限角色和目标账户绑定后,目标账户可以具有目标权限角色对应的全部被管理系统的权限项,这样,不需要为目标账户针对每个被管理系统都进行权限配置,从而实现多个被管理系统的权限统一管理,避免了进行重复的权限配置操作,降低了权限管理的复杂度,同时,提高了权限管理的效率。
请参见图11,示出了本申请实施例另一种系统权限管理装置的框图,该装置在图8所示实施例的基础上还包括确定单元210。
确定单元210,用于当确定目标账户在第二目标层级上具有目标权限项后,确定目标账户在第二目标层级的所有下级层级上也具有目标权限项。
第二目标层级是指目标账户具有目标权限项的层级,该第二目标层级可能与第一目标层级相同,或者,可能与目标账户所属的层级相同。
当确定出目标账户在某个层级具有目标权限项后,可以利用组织结构层级树的层级做权限继承。
本实施例提供的系统权限管理装置,在利用公司组织对应的组织结构层级树对公司组织对应的软件系统进行权限管理时,利用组织结构层级树能够表示组织的层级的特点,将目标账户所具有的权限由当前层级拓展到该当前层级以下的层级。这样,不需要在当前层级以下的每个层级进行重复授权,大大降低了权限管理的复杂度。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种系统权限管理方法,其特征在于,包括:
获取所述当前组织中第一目标层级所对应的组织结构层级树,所述组织结构层级树用于表示所述第一目标层级在所述当前组织中的层级关系;
建立所述第一目标层级的组织结构层级树与至少一个被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色,所述被管理系统是为所述当前组织开发的实现目标功能的软件系统,所述目标权限项是所述被管理系统中的至少一个权限项;
绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定所述目标账户所具有的权限项,所述目标账户是当前组织的用户所对应的账户。
2.根据权利要求1所述的方法,其特征在于,所述建立所述第一目标层级的组织结构层级树与至少一个所述被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色,包括:
确定所述第一目标层级所对应的至少一个目标被管理系统;
确定所述至少一个目标被管理系统在所述第一目标层级上具有的目标权限项;
建立所述第一目标层级对应的组织结构层级树与全部所述目标权限项之间的映射关系,并创建该映射关系对应的角色名称。
3.根据权利要求1所述的方法,其特征在于,所述绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定所述目标账户所具有的权限,包括:
当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树完全相同时,确定所述目标账户在所述目标账户所属层级上具有所述目标权限角色所对应的目标权限项;
当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项。
4.根据权利要求3所述的方法,其特征在于,所述当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项,包括:
当所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树完全不同时,确定所述目标账户没有所述目标权限角色所对应的权限项;
当所述目标权限角色对应的组织结构层级树的层级高于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项;
当所述目标权限角色对应的组织结构层级树的层级低于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
当确定所述目标账户在第二目标层级上具有目标权限项后,确定所述目标账户在所述第二目标层级的所有下级层级上也具有所述目标权限项。
6.一种系统权限管理装置,其特征在于,包括:
获取单元,用于获取所述当前组织中第一目标层级所对应的组织结构层级树,所述组织结构层级树用于表示所述第一目标层级在所述当前组织中的层级关系;
映射关系建立单元,用于建立所述第一目标层级的组织结构层级树与至少一个被管理系统所包含的目标权限项之间的映射关系,得到目标权限角色,所述被管理系统是为所述当前组织开发的实现目标功能的软件系统,所述目标权限项是所述被管理系统中的至少一个权限项;
绑定单元,用于绑定所述目标权限角色与目标账户,并根据所述目标权限角色确定所述目标账户所具有的权限项,所述目标账户是当前组织的用户所对应的账户。
7.根据权利要求6所述的装置,其特征在于,所述映射关系建立单元,包括:
第一确定子单元,用于确定所述第一目标层级所对应的至少一个目标被管理系统;
第二确定子单元,用于确定所述至少一个目标被管理系统在所述第一目标层级上具有的目标权限项;
建立子单元,用于建立所述第一目标层级对应的组织结构层级树与全部所述目标权限项之间的映射关系,并创建该映射关系对应的角色名称。
8.根据权利要求6所述的装置,其特征在于,所述绑定单元,包括:
第三确定子单元,用于当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树完全相同时,确定所述目标账户在所述目标账户所属层级上具有所述目标权限角色所对应的目标权限项;
第四确定子单元,用于当所述第一目标层级的组织结构层级树与所述目标账户所属层级的组织结构层级树不同时,根据所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树的层级关系,确定所述目标账户的权限项。
9.根据权利要求8所述的装置,其特征在于,所述第二确定子单元具体用于:
当所述目标权限角色对应的组织结构层级树与所述目标账户对应的组织结构层级树完全不同时,确定所述目标账户没有所述目标权限角色所对应的权限项;
当所述目标权限角色对应的组织结构层级树的层级高于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项;
当所述目标权限角色对应的组织结构层级树的层级低于所述目标账户对应的组织结构层级树的层级时,确定所述目标账户在所述目标权限角色所在层级上具有所述目标权限角色对应的目标权限项。
10.根据权利要求8或9所述的装置,其特征在于,所述装置还包括:
确定单元,用于当确定所述目标账户在第二目标层级上具有目标权限项后,确定所述目标账户在所述第二目标层级的所有下级层级上也具有所述目标权限项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710500128.8A CN107301354A (zh) | 2017-06-27 | 2017-06-27 | 一种系统权限管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710500128.8A CN107301354A (zh) | 2017-06-27 | 2017-06-27 | 一种系统权限管理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107301354A true CN107301354A (zh) | 2017-10-27 |
Family
ID=60135078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710500128.8A Pending CN107301354A (zh) | 2017-06-27 | 2017-06-27 | 一种系统权限管理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107301354A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107862595A (zh) * | 2017-11-03 | 2018-03-30 | 泰康保险集团股份有限公司 | 账户管理的方法、系统、电子设备及计算机可读介质 |
CN108377228A (zh) * | 2018-01-18 | 2018-08-07 | 网易(杭州)网络有限公司 | 一种权限管理方法及装置、服务器 |
CN108920914A (zh) * | 2018-05-02 | 2018-11-30 | 中国银联股份有限公司 | 一种权限控制方法及装置 |
CN109447743A (zh) * | 2018-10-18 | 2019-03-08 | 行吟信息科技(上海)有限公司 | 一种电商平台权限管理方法及系统 |
CN109948350A (zh) * | 2019-01-18 | 2019-06-28 | 深圳市万睿智能科技有限公司 | 一种层级组织结构账号权限分配方法及其系统与存储介质 |
CN110008749A (zh) * | 2019-04-04 | 2019-07-12 | 优信拍(北京)信息科技有限公司 | 一种模拟操作的方法及装置 |
CN110084033A (zh) * | 2019-04-19 | 2019-08-02 | 广东中安金狮科创有限公司 | 用户身份管理方法、系统和计算机可读存储介质 |
CN111291354A (zh) * | 2020-02-12 | 2020-06-16 | 深圳拓邦股份有限公司 | 设备绑定管理方法、系统、可读存储介质及设备终端 |
CN111427972A (zh) * | 2020-03-25 | 2020-07-17 | 广东电网有限责任公司广州供电局 | 搜索业务数据的方法、装置、业务搜索系统和存储介质 |
CN112187454A (zh) * | 2020-09-14 | 2021-01-05 | 国网浙江省电力有限公司信息通信分公司 | 基于区块链的密钥管理方法及系统 |
CN112733162A (zh) * | 2020-12-31 | 2021-04-30 | 北京乐学帮网络技术有限公司 | 一种资源分配方法、装置、计算机设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
CN103605916A (zh) * | 2013-12-06 | 2014-02-26 | 山东高速信息工程有限公司 | 一种基于组织的rbac访问控制模型 |
CN104780175A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 基于角色的分级分类访问的授权管理方法 |
CN105653982A (zh) * | 2015-12-31 | 2016-06-08 | 中国建设银行股份有限公司 | 用于数据权限控制的方法和系统 |
CN106453395A (zh) * | 2016-11-16 | 2017-02-22 | 航天信息股份有限公司 | 一种云平台资源访问权限的分级管理方法及系统 |
CN106713340A (zh) * | 2017-01-04 | 2017-05-24 | 深圳开维教育信息技术股份有限公司 | 一种多层级的用户权限管理方法 |
-
2017
- 2017-06-27 CN CN201710500128.8A patent/CN107301354A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
CN103605916A (zh) * | 2013-12-06 | 2014-02-26 | 山东高速信息工程有限公司 | 一种基于组织的rbac访问控制模型 |
CN104780175A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 基于角色的分级分类访问的授权管理方法 |
CN105653982A (zh) * | 2015-12-31 | 2016-06-08 | 中国建设银行股份有限公司 | 用于数据权限控制的方法和系统 |
CN106453395A (zh) * | 2016-11-16 | 2017-02-22 | 航天信息股份有限公司 | 一种云平台资源访问权限的分级管理方法及系统 |
CN106713340A (zh) * | 2017-01-04 | 2017-05-24 | 深圳开维教育信息技术股份有限公司 | 一种多层级的用户权限管理方法 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107862595A (zh) * | 2017-11-03 | 2018-03-30 | 泰康保险集团股份有限公司 | 账户管理的方法、系统、电子设备及计算机可读介质 |
CN108377228B (zh) * | 2018-01-18 | 2021-09-03 | 网易(杭州)网络有限公司 | 一种权限管理方法及装置、服务器 |
CN108377228A (zh) * | 2018-01-18 | 2018-08-07 | 网易(杭州)网络有限公司 | 一种权限管理方法及装置、服务器 |
CN108920914A (zh) * | 2018-05-02 | 2018-11-30 | 中国银联股份有限公司 | 一种权限控制方法及装置 |
CN109447743A (zh) * | 2018-10-18 | 2019-03-08 | 行吟信息科技(上海)有限公司 | 一种电商平台权限管理方法及系统 |
CN109447743B (zh) * | 2018-10-18 | 2022-03-01 | 行吟信息科技(上海)有限公司 | 一种电商平台权限管理方法及系统 |
CN109948350A (zh) * | 2019-01-18 | 2019-06-28 | 深圳市万睿智能科技有限公司 | 一种层级组织结构账号权限分配方法及其系统与存储介质 |
CN110008749A (zh) * | 2019-04-04 | 2019-07-12 | 优信拍(北京)信息科技有限公司 | 一种模拟操作的方法及装置 |
CN110084033A (zh) * | 2019-04-19 | 2019-08-02 | 广东中安金狮科创有限公司 | 用户身份管理方法、系统和计算机可读存储介质 |
CN111291354A (zh) * | 2020-02-12 | 2020-06-16 | 深圳拓邦股份有限公司 | 设备绑定管理方法、系统、可读存储介质及设备终端 |
CN111291354B (zh) * | 2020-02-12 | 2022-06-17 | 深圳拓邦股份有限公司 | 设备绑定管理方法、系统、可读存储介质及设备终端 |
CN111427972A (zh) * | 2020-03-25 | 2020-07-17 | 广东电网有限责任公司广州供电局 | 搜索业务数据的方法、装置、业务搜索系统和存储介质 |
CN111427972B (zh) * | 2020-03-25 | 2024-03-01 | 广东电网有限责任公司广州供电局 | 搜索业务数据的方法、装置、业务搜索系统和存储介质 |
CN112187454A (zh) * | 2020-09-14 | 2021-01-05 | 国网浙江省电力有限公司信息通信分公司 | 基于区块链的密钥管理方法及系统 |
CN112733162A (zh) * | 2020-12-31 | 2021-04-30 | 北京乐学帮网络技术有限公司 | 一种资源分配方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107301354A (zh) | 一种系统权限管理方法及装置 | |
CN109214151A (zh) | 用户权限的控制方法及系统 | |
CN101729551B (zh) | 控制受信网络节点的访问权限的方法和系统 | |
EP1625691B1 (en) | System and method for electronic document security | |
US7392254B1 (en) | Web-enabled transaction and matter management system | |
US8548997B1 (en) | Discovery information management system | |
Pickerill | Rethinking political participation: Experiments in internet activism in Australia and Britain | |
US8204847B2 (en) | Idea page system and method | |
US7870101B2 (en) | Method and apparatus for presentation of a security-focused repository with a party-focused repository | |
US5990892A (en) | Administrative interface for a database in a distributed computer environment | |
CN107968839A (zh) | 基于区块链技术的电子政务系统 | |
CN108604225A (zh) | 由多个不同团队进行的协作文档创建 | |
WO2005008376A2 (en) | System and method for electronically managing composite documents | |
CN107004090A (zh) | 用于确定基于文件的内容带来的危险的统计分析方法 | |
CN106228059A (zh) | 基于三员管理和拓展的角色访问控制方法 | |
CN106713347A (zh) | 一种电力移动应用越权访问漏洞检测方法 | |
CN102073921A (zh) | 一种基于规则知识库进行自动审核的数据管理系统 | |
CN103235918B (zh) | 可信文件的收集方法及系统 | |
CN101493872A (zh) | 基于分类方法的细粒度权限管理方法 | |
US11416858B2 (en) | Providing access to a networked application without authentication | |
Peterson et al. | Defining misuse within the development process | |
CN109388922A (zh) | 一种基于rbac模型的用户管理及一键登录实现办法 | |
Kessler | Information security: New threats or familiar problems? | |
CN110472111A (zh) | 权限管理、用户权限查询以及资源信息授权方法 | |
CN103136620A (zh) | 工程管理系统系统权限授权实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20200501 |
|
AD01 | Patent right deemed abandoned |