CN110084033B - 用户身份管理方法、系统和计算机可读存储介质 - Google Patents
用户身份管理方法、系统和计算机可读存储介质 Download PDFInfo
- Publication number
- CN110084033B CN110084033B CN201910321501.2A CN201910321501A CN110084033B CN 110084033 B CN110084033 B CN 110084033B CN 201910321501 A CN201910321501 A CN 201910321501A CN 110084033 B CN110084033 B CN 110084033B
- Authority
- CN
- China
- Prior art keywords
- user
- organization
- identity
- account
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种用户身份管理方法,所述用户身份管理方法包括以下步骤:获取用户的账户信息,并根据所述账户信息确定所述用户在各个组织中的身份;根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置,以得到所述用户在所述组织中的各个第一标识,其中,所述第一标识包括资源标识、条件标识、权限标识以及业务系统标识中的至少一个;将所述第一标识、所述第一标识对应的组织与所述账户信息绑定。本发明还提供一种用户身份管理系统以及计算机可读存储介质。本发明简化了用户的身份管理的流程,降低了用户身份管理系统的设计难度,进而降低了用户身份的管理成本。
Description
技术领域
本发明涉及账户管理技术领域,尤其涉及一种用户身份管理方法、系统和计算机可读存储介质。
背景技术
业内在用户统一身份认证及授权管理领域,主要关注4个方面:集中账号管理(Account)、集中认证管理(Authentication)、集中授权管理(Authorization)和集中审计管理(Audit),简称4A管理,是一个比较庞大的解决方案,且4A设计领域广泛,使得用户身份管理困难。
发明内容
本发明的主要目的在于提供一种用户身份管理方法、系统和计算机可读存储介质,旨在解决用户身份管理困难的问题。
为实现上述目的,本发明提供一种用户身份管理方法,所述用户身份管理方法包括以下步骤:
获取用户的账户信息,并根据所述账户信息确定所述用户在各个组织中的身份;
根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置,以得到所述用户在所述组织中的各个第一标识,其中,所述第一标识包括资源标识、条件标识、权限标识以及业务系统标识中的至少一个;
将所述第一标识、所述第一标识对应的组织与所述账户信息绑定。
在一实施例中,所述根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置的步骤包括:
依次以各个所述身份作为当前身份,并根据所述当前身份确定所述用户所在的当前组织;
确定所述当前身份在所述当前组织中的岗位,并根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置。
在一实施例中,所述确定所述当前身份在所述当前组织中的岗位的步骤之后,还包括:
确定所述当前组织是否设置权限策略;
在所述当前组织未设置权限策略时,执行所述根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置的步骤。
在一实施例中,所述确定所述当前组织是否设置权限策略的步骤之后,还包括:
在所述当前组织设置权限策略时,根据所述权限策略以及所述岗位对所述用户在当前组织中进行权限配置,并根据所述岗位对所述用户在当前组织中进行资源配置。
在一实施例中,所述获取用户的账户信息的步骤之后,还包括:
根据所述账户信息确定所述用户所在的账户体系,其中,所述账户体系包括个人账户体系以及组织账户体系;
在所述用户所在的账户体系为组织账户体系时,执行所述根据所述账户信息确定所述用户在各个组织中的身份的步骤。
在一实施例中,所述根据所述账户信息确定所述用户所在的账户体系的步骤之后,还包括:
在所述用户所在的账户体系为个人账户体系时,判断所述用户在所述个人账户体系中的身份是否从属于所述组织账户体系中的各个组织;
在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或多个组织时,执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤。
在一实施例中,所述判断所述用户在所述个人账户体系中的身份是否从属于所述组织账户体系中的各个组织的步骤之后,还包括:
在所述用户在所述个人账户体系中的身份与所述组织账户体系中的各个组织无关联时,对所述用户在所述个人账户体系进行资源配置以及权限配置,以得到所述用户在所述个人账户体系中的各个第二标识;
将各个所述第二标识以及所述账户信息在所述个人账户信息中进行绑定。
在一实施例中,所述获取用户的账户信息的步骤之前,还包括:
在接收到用户的账户注册完成信息时,根据所述账户注册完成信息获取账户信息;
根据所述账户信息对所述用户进行身份认证;
在所述用户的身份认证通过后,在各个系统中对所述用户进行访问授权,以使所述用户根据所述账户信息在各个所述系统中进行访问,其中,在所述用户的身份认证通过后,保存所述账户信息,各个所述系统分属用户身份管理系统的云平台。
为实现上述目的,本发明还提供一种用户身份管理系统,所述用户身份管理系统包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的用户身份管理程序,所述用户身份管理程序被所述处理器执行时实现如上所述的用户身份管理方法的各个步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有用户身份管理程序,所述用户身份管理程序被所述处理器执行时实现如上所述的用户身份管理方法的各个步骤。
本发明提供的用户身份管理方法、系统和计算机可读存储介质,用户身份管理系统获取用户的账户信息,再根据账户信息确定用户在各个组织中的身份,以根据身份对用户在组织进行权限配置以及资源配置,从而得到用户在该组织内对应的各个第一标识,最后将各个第一标识、第一标识所对应的组织以及账户信息绑定;用户账户管理系统仅需根据用户的账户信息即可完成对用户的权限配置以及资源配置,简化了用户的身份管理的流程,降低了用户身份管理系统的设计难度,进而降低了用户身份的管理成本。
附图说明
图1为本发明实施例涉及的用户身份管理系统的硬件结构示意图;
图2为本发明用户身份管理方法第一实施例的流程示意图;
图3为图2中步骤S20的细化流程示意图;
图4为本发明用户身份管理方法第二实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:获取用户的账户信息,并根据所述账户信息确定所述用户在各个组织中的身份;根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置,以得到所述用户在所述组织中的各个第一标识,其中,所述第一标识包括资源标识、条件标识、权限标识以及业务系统标识中的至少一个;将所述第一标识、所述第一标识对应的组织与所述账户信息绑定。
由于用户账户管理系统仅需根据用户的账户信息即可完成对用户的权限配置以及资源配置,简化了用户的身份管理的流程,降低了用户身份管理系统的设计难度,进而降低了用户身份的管理成本。
作为一种实现方案,用户身份管理系统可以如图1所示。
本发明实施例方案涉及的是用户身份管理系统,用户身份管理系统包括:处理器101,例如CPU,存储器102,通信总线103。其中,通信总线103用于实现这些组件之间的连接通信。
存储器102可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。如图1所示,作为一种计算机可读存储介质的存储器102中可以包括用户身份管理程序;而处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
获取用户的账户信息,并根据所述账户信息确定所述用户在各个组织中的身份;
根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置,以得到所述用户在所述组织中的各个第一标识,其中,所述第一标识包括资源标识、条件标识、权限标识以及业务系统标识中的至少一个;
将所述第一标识、所述第一标识对应的组织与所述账户信息绑定。
在一实施例中,处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
依次以各个所述身份作为当前身份,并根据所述当前身份确定所述用户所在的当前组织;
确定所述当前身份在所述当前组织中的岗位,并根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置。
在一实施例中,处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
确定所述当前组织是否设置权限策略;
在所述当前组织未设置权限策略时,执行所述根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置的步骤。
在一实施例中,处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
在所述当前组织设置权限策略时,根据所述权限策略以及所述岗位对所述用户在当前组织中进行权限配置,并根据所述岗位对所述用户在当前组织中进行资源配置。
在一实施例中,处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
根据所述账户信息确定所述用户所在的账户体系,其中,所述账户体系包括个人账户体系以及组织账户体系;
在所述用户所在的账户体系为组织账户体系时,执行所述根据所述账户信息确定所述用户在各个组织中的身份的步骤。
在一实施例中,处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
在所述用户所在的账户体系为个人账户体系时,判断所述用户在所述个人账户体系中的身份是否从属于所述组织账户体系中的各个组织;
在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或多个组织时,执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤。
在一实施例中,处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
在所述用户在所述个人账户体系中的身份与所述组织账户体系中的各个组织无关联时,对所述用户在所述个人账户体系进行资源配置以及权限配置,以得到所述用户在所述个人账户体系中的各个第二标识;
将各个所述第二标识以及所述账户信息在所述个人账户信息中进行绑定。
在一实施例中,处理器101可以用于调用存储器102中存储的用户身份管理程序,并执行以下操作:
在接收到用户的账户注册完成信息时,根据所述账户注册完成信息获取账户信息;
根据所述账户信息对所述用户进行身份认证;
在所述用户的身份认证通过后,在各个系统中对所述用户进行访问授权,以使所述用户根据所述账户信息在各个所述系统中进行访问,其中,在所述用户的身份认证通过后,保存所述账户信息,各个所述系统分属用户身份管理系统的云平台。
本实施例根据上述方案,用户身份管理系统获取用户的账户信息,再根据账户信息确定用户在各个组织中的身份,以根据身份对用户在组织进行权限配置以及资源配置,从而得到用户在该组织内对应的各个第一标识,最后将各个第一标识、第一标识所对应的组织以及账户信息绑定;用户账户管理系统仅需根据用户的账户信息即可完成对用户的权限配置以及资源配置,简化了用户的身份管理的流程,降低了用户身份管理系统的设计难度,进而降低了用户身份的管理成本。
基于上述用户身份管理系统的硬件构架,提出本发明用户身份管理方法的实施例。
参照图2,图2为本发明用户身份管理方法的第一实施例,所述用户身份管理方法包括以下步骤:
步骤S10,获取用户的账户信息,并根据所述账户信息确定所述用户在各个组织中的身份;
在本发明中,执行主体为用户身份管理系统,用户身份管理系统可为统一身份管理系统(Unified Identity Management System,简称UIMS),用户身份管理系统面向SAAS云平台(Software-as-a-Service,软件即服务),该云平台下有多个系统,各个系统的账户管理、身份认证、用户授权、权限控制等行为都经由该用户身份管理系统处理。用户身份管理系统可为用户提供注册界面,用户在注册后,即可在云平台下的各个系统上进行访问,具体的,用户身份管理系统在接收到账户注册完成信息时,获取账户信息,账户信息包括用户的名字、性别、年龄、地址、身份证号码、用户所属公司(组织为公司等团体组织)、公司法人、公司地址等基础信息;然后,用户身份管理系统根据账户信息对用户进行身份认证,也即考核用户的身份是否真实有效,比如通过身份证号码、电话号码等表征用户身份识别的信息进行身份验证;在用户的身份认证通过后,用户身份管理系统将该用户的账户信息保存,并授予用户对云平台下的各个系统进行访问的权限,也即用户可以采用注册的账户访问云平台下的任意系统。
此外,用户在注册成功后,可以将其账户与组织进行绑定,组织指的是通过用户身份管理系统审核合格的团体,在用户与组织进行绑定后,用户在该组织中拥有对应的身份,该身份可以是多重,比如,用户在A公司的身份是研发部总经理,也是财务部总监;在用户的账户与组织进行绑定后,用户在该组织的身份保存于账户信息中,也即账户信息包含有用户在组织中的身份。当然,用户也可以进行组织解绑,也即解除用户与组织的关系,此时,用户身份管理系统在账户信息中删除用户在解绑组织中的身份。
用户在每一个组织中具有对应的权限以及资源,权限以及资源均可根据用户在该组织中的身份进行配置,因此,用户身份管理系统获取存储的用户的账户信息,以根据账户信息确定用户在各个组织中的身份,进而根据身份对用户在该组织进行资源以及权限的配置。
步骤S20,根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置,以得到所述用户在所述组织中的各个第一标识,其中,所述第一标识包括资源标识、条件标识、权限标识以及业务系统标识中的至少一个;
用户身份管理系统可以根据用户在不同组织的身份,来配置用户在不同组织中的权限以及资源,从而得到用户在各个组织中对应的第一标识,第一标识包括资源标识、条件标识、权限标识以及业务系统标识中的至少一个。
资源标识:分为逻辑资源和实体资源;逻辑资源如菜单、页面、表单、按钮组、按钮、字段等功能型资源,或人员档案、考勤记录、任务记录、位置数据、积分、电子钱包等数据资源;实体资源如椅子、凳子、电脑、车辆等实物资产,另外有时候部分逻辑资源也可以归纳为实体资源,如电子照片、视频文件、音乐文件等。
条件标识:权限的约束条件,主要有可见组织架构范围限定、时间限定、区域限定等;例如某权限仅财务部可见,有效期至11月2号,这里『财务部』属于可见组织架构范围限定,『至11月2号』则是时间限定。
权限标识:用于标识账户实体在指定的条件下拥有访问某项功能、查看某些数据的权限;资源标识和条件标识与权限标识关联,权限标识与角色关联,角色与用户关联。例如张三(用户)-研发人员(角色)-拥有『研发部』所有人员档案的增上改查权限。
业务系统标识:受『业务权限独立原则』的约束,与传统的资源权限有所不同的是,所有权限标识都与具体的业务系统关联,例如企业CRM(Customer RelationshipManagement,客户关系管理)系统就是一个业务系统,具体的权限标识与业务系统有直接的关系,例如菜单、表单、页面、按钮、图片等资源。
用户身份管理系统对用户进行资源配置以及权限配置的具体步骤可参照图3所示的流程示意图,也即步骤S20包括:
步骤S21,依次以各个所述身份作为当前身份,并根据所述当前身份确定所述用户所在的当前组织;
步骤S22,确定所述当前身份在所述当前组织中的岗位,并根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置。
用户身份管理系统依次以各个身份作为当前身份,从而将当前身份对应的组织作为当前组织,当前身份在当前组织具有对应的岗位,而每一个岗位的权限以及资源均不相同,故用户身份管理系统根据岗位对用户在当前组织中进行资源以及权限的配置。
需要说明的是,在本发明中,用户身份管理系统采用OS-RBAC的概念构建用户的权限体系,其中,O代表Organization组织,S代表System业务系统,也即权限收到组织实体与业务系统双重影响,而RBAC为基于角色的访问控制。
此外,在本发明中,用户身份管理系统采用平台级SAAS模式账户体系对用户的身份进行管理,而平台级SAAS模式账户体系应遵循以下几个基本原则:
个人账户统一原则:个人账户一次注册,全平台通用,类似于全网通行证和SSO(Single Sign On,单点登录),注册和登录都在UIMS进行。
业务权限独立原则:每个子系统的权限体系是独立管理的。『个人账户统一原则』明确了账户体系是统一的,但是对于每个子系统而言,每个账户所能使用的功能和服务,所能查看的数据权限是独立维护的,比如XXX公司(组织)-研发T3组(用户组)-张三(用户)-研发人员(角色),在CRM系统中,拥有的资源权限(详见下文),与其在OA系统(办公自动化系统)中的所拥有的资源权限肯定是不一致的。
组织实体隔离原则:不同的组织实体之间,是相互隔离,独立管理的。每个组织实体可以自行组织自己的组织体系、账户体系和权限体系。不同的组织实体资源权限也是隔离的。
从属关系隔离原则:个体账户与组织实体的从属关系是基于单独的业务系统存在的,『个人账户统一原则』明确的仅是个人账户的全网统一,但组织实体、从属关系并没有统一,并且是隔离的。比如在CRM系统中,张三(用户)从属于XXXX公司(组织),但在OA系统中,张三(用户)默认是不从属于任何组织的,从属关系受到具体业务系统的影响。事实上,这个原则是非强制的,具体取决于各自的业务逻辑和业务场景。如果要简化从属关系的管理,那么可以不遵循此原则,即个体账户与组织实体的从属关系是全平台统一的,与业务系统无关,但这会为降低平台的灵活性和扩展性。灵活性和复杂度之间通常要做一个取舍。
步骤S30,将所述第一标识、所述第一标识对应的组织与所述账户信息绑定。
在当用户身份管理系统确定用户在各个组织中的第一标识后,将各个第一标识、各个第一标识所对应的组织与用户的账户信息进行绑定,进而对该绑定信息进行保存,可以理解的是,用户的身份数量与绑定信息的数量相同。
此外,从整个平台的角度来看,UIMS除了提供上述功能和服务,还应该满足以下需求:
在本实施例提供的技术方案中,用户身份管理系统获取用户的账户信息,再根据账户信息确定用户在各个组织中的身份,以根据身份对用户在组织进行权限配置以及资源配置,从而得到用户在该组织内对应的各个第一标识,最后将各个第一标识、第一标识所对应的组织以及账户信息绑定;用户账户管理系统仅需根据用户的账户信息即可完成对用户的权限配置以及资源配置,简化了用户的身份管理的流程,降低了用户身份管理系统的设计难度,进而降低了用户身份的管理成本。
参照图4,图4为本发明用户身份管理方法的第二实施例,基于第一实施例,所述步骤S21之后,还包括:
步骤S40,确定所述当前组织是否设置权限策略;
步骤S50,在所述当前组织未设置权限策略时,执行所述根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置,以得到所述用户在所述组织中的各个第一标识的步骤;
步骤S60,在所述当前组织设置权限策略时,根据所述权限策略以及所述岗位对所述用户在当前组织中进行权限配置,并根据所述岗位对所述用户在当前组织中进行资源配置,以得到所述用户在所述组织中的各个第一标识;
在本实施例中,权限策略组(权限策略)是在OS-RBAC基础上设置的,为简化权限配置的一种辅助手段,在实际应用中可以不创建策略组。策略组分为平台级策略组和业务系统级别的策略组,两种策略组的作用域仅限于相同组织实体内部,但对于无从属组织的个人账户除外。策略组与角色类似,可以将资源权限绑定到策略组中,但不同之处是,平台级策略组可以横跨业务系统进行平台级的资源权限绑定。因为账户体系跨越多个子系统,在遵循『业务权限独立原则』的限定下,每个子系统都需要做一套权限配置,操作上较为繁琐,因此充分运用策略组可以大大简化权限配置工作。平台可以内置多套常用的策略组,终端用户可以直接选用策略组,也可以基于某个策略组为基础,进行修改。值得注意的是,策略组的作用域仅限于相同组织实体内部,即策略组可以横跨业务系统,但不能同时作用于多个组织实体。
因此,组织可以设置权限策略也可以不设置权限策略,故在确定当前身份在当前组织中的岗位后,用户身份管理系统检测当前组织是否设置权限策略,若当前组织未设置权限策略,则执行步骤S22以及步骤S30;若当前组织设置权限策略,则需要根据权限策略以及岗位对用户在当前组织中进行权限配置,再根据岗位对用户在当前组织进行资源配置。需要说明的是,权限策略可以是组织管理者对组织中各个岗位权限大小的设定。
在本实施例提供的技术方案中,用户身份管理系统在确定用户在组织中的岗位后,进一步检测组织是否设置权限策略,从而合理的为用户在组织中配置权限,使得用户的权限配置符合组织的权限配置原则。
进一步地,本发明提供用户身份管理方法的第三实施例,基于第一或第二实施例,所述步骤S10中获取用户账户信息的步骤之后,还包括:
根据所述账户信息确定所述用户所在的账户体系,其中,所述账户体系包括个人账户体系以及组织账户体系;
在所述用户所在的账户体系为组织账户体系时,执行所述根据所述账户信息确定所述用户在各个组织中的身份的步骤;
在所述用户所在的账户体系为个人账户体系时,判断所述用户在所述个人账户体系中的身份是否从属于所述组织账户体系中的各个组织;
在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或多个组织时,执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤;
在所述用户在所述个人账户体系中的身份与所述组织账户体系中的各个组织无关联时,对所述用户在所述个人账户体系进行资源配置以及权限配置,以得到所述用户在所述个人账户体系中的各个第二标识;
将各个所述第二标识以及所述账户信息在所述个人账户信息中进行绑定;
用户身份管理系统采用两级账户体系,分别为个人账户体系以及组织账户体系,个人账户体系以及组织账户体系在云平台内享有的权限是不一样的,虽然大部分功能和服务两个体系的实体均可独立使用,互不干扰,但部分功能和服务有所不同。
因此,在本发明中,用户的权限以及资源的配置包括个人账户体系的权限以及资源的配置、组织账户体系的资源以及权限配置、与二者的共同配置。
在用户身份管理系统在获取账户信息后,即可根据账户信息来确定用户所在的账户体系为个人账户体系还是组织账户体系,若是用户所在的账户体系为组织账户体系,那么则执行根据账户信息确定用户在各个组织中的身份的步骤,也即执行步骤S10-步骤S30;而用户所在的账户体系为个人账户体系时,因用户在组织账户体系中各个组织可能具有从属关系,也即关联关系,那么用户身份管理系统需要对用户在各个组织中进行资源以及权限的配置(也需要对用户在个人账户体系中进行权限以及资源的配置),倘若用户在组织账户体系的各个组织中不具备关联关系,那么仅需对用户在个人账户体系中进行资源以及权限的配置,从而得到第二标识,第二标识所包含的标识与第一标识所包含的标识相同。
在本实施例提供的技术方案中,用户身份管理系统根据用户所在的账户体系对用户进行对应的资源以及权限的配置,从而合理的配置用户的权限以及资源。
本发明还提供一种用户身份管理系统,所述用户身份管理系统包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的用户身份管理程序,所述用户身份管理程序被所述处理器执行时实现如上实施例所述的用户身份管理方法的各个步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有用户身份管理程序,所述用户身份管理程序被所述处理器执行时实现如上实施例所述的用户身份管理方法的各个步骤。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个计算机可读存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种用户身份管理方法,其特征在于,所述用户身份管理方法包括以下步骤:
获取用户的账户信息,并根据所述账户信息确定所述用户在各个组织中的身份;
根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置,以得到所述用户在所述组织中的各个第一标识,其中,所述第一标识包括资源标识、条件标识、权限标识以及业务系统标识中的至少一个;
将所述第一标识、所述第一标识对应的组织与所述账户信息绑定;
其中,所述根据所述身份,对所述用户在所述组织中进行权限配置以及资源配置的步骤包括:
依次以各个所述身份作为当前身份,并根据所述当前身份确定所述用户所在的当前组织;
确定所述当前身份在所述当前组织中的岗位,并根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置;
所述确定所述当前身份在所述当前组织中的岗位的步骤之后,还包括:
确定所述当前组织是否设置权限策略;
在所述当前组织未设置权限策略时,执行所述根据所述岗位对所述用户在所述当前组织中进行权限配置以及资源配置的步骤;
所述确定所述当前组织是否设置权限策略的步骤之后,还包括:
在所述当前组织设置权限策略时,根据所述权限策略以及所述岗位对所述用户在当前组织中进行权限配置,并根据所述岗位对所述用户在当前组织中进行资源配置。
2.如权利要求1所述的用户身份管理方法,其特征在于,所述获取用户的账户信息的步骤之后,还包括:
根据所述账户信息确定所述用户所在的账户体系,其中,所述账户体系包括个人账户体系以及组织账户体系;
在所述用户所在的账户体系为组织账户体系时,执行所述根据所述账户信息确定所述用户在各个组织中的身份的步骤。
3.如权利要求2所述的用户身份管理方法,其特征在于,所述根据所述账户信息确定所述用户所在的账户体系的步骤之后,还包括:
在所述用户所在的账户体系为个人账户体系时,判断所述用户在所述个人账户体系中的身份是否从属于所述组织账户体系中的各个组织;
在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或多个组织时,执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤。
4.如权利要求3所述的用户身份管理方法,其特征在于,所述判断所述用户在所述个人账户体系中的身份是否从属于所述组织账户体系中的各个组织的步骤之后,还包括:
在所述用户在所述个人账户体系中的身份与所述组织账户体系中的各个组织无关联时,对所述用户在所述个人账户体系进行资源配置以及权限配置,以得到所述用户在所述个人账户体系中的各个第二标识;
将各个所述第二标识以及所述账户信息在所述个人账户信息中进行绑定。
5.如权利要求1-4任一项所述的用户身份管理方法,其特征在于,所述获取用户的账户信息的步骤之前,还包括:
在接收到用户的账户注册完成信息时,根据所述账户注册完成信息获取账户信息;
根据所述账户信息对所述用户进行身份认证;
在所述用户的身份认证通过后,在各个系统中对所述用户进行访问授权,以使所述用户根据所述账户信息在各个所述系统中进行访问,其中,在所述用户的身份认证通过后,保存所述账户信息,各个所述系统分属用户身份管理系统的云平台。
6.一种用户身份管理系统,其特征在于,所述用户身份管理系统包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的用户身份管理程序,所述用户身份管理程序被所述处理器执行时实现如权利要求1-5 任一项所述的用户身份管理方法的各个步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有用户身份管理程序,所述用户身份管理程序被所述处理器执行时实现如权利要求1-5任一项所述的用户身份管理方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910321501.2A CN110084033B (zh) | 2019-04-19 | 2019-04-19 | 用户身份管理方法、系统和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910321501.2A CN110084033B (zh) | 2019-04-19 | 2019-04-19 | 用户身份管理方法、系统和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110084033A CN110084033A (zh) | 2019-08-02 |
| CN110084033B true CN110084033B (zh) | 2021-08-10 |
Family
ID=67415971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910321501.2A Active CN110084033B (zh) | 2019-04-19 | 2019-04-19 | 用户身份管理方法、系统和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110084033B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109658081B (zh) * | 2018-12-18 | 2023-03-07 | 广东中安金狮科创有限公司 | 账户管理方法、装置和可读存储介质 |
| CN110895606B (zh) * | 2019-11-14 | 2022-06-07 | 上海易点时空网络有限公司 | 适用于新建账户的内部系统管理方法及装置、存储介质 |
| CN113110900B (zh) * | 2020-01-10 | 2023-05-26 | 钉钉控股(开曼)有限公司 | 界面显示方法、设备和存储介质 |
| CN112651000A (zh) * | 2020-12-30 | 2021-04-13 | 贵州人和致远数据服务有限责任公司 | 一种用于组件化即插式开发的权限配置集成系统 |
| CN113407914A (zh) * | 2021-06-15 | 2021-09-17 | 上海安畅网络科技股份有限公司 | 一种网络软件权限控制方法、装置、设备及存储介质 |
| CN113839960B (zh) * | 2021-11-25 | 2022-03-11 | 云账户技术(天津)有限公司 | 资源和接口权限的管理方法、系统和存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9832156B2 (en) * | 2012-03-23 | 2017-11-28 | Salesforce.Com, Inc. | Social networking system communities and associated user privileges implemented using a database system |
| CN104125219B (zh) * | 2014-07-07 | 2017-06-16 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
| CN107301354A (zh) * | 2017-06-27 | 2017-10-27 | 北京微影时代科技有限公司 | 一种系统权限管理方法及装置 |
-
2019
- 2019-04-19 CN CN201910321501.2A patent/CN110084033B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110084033A (zh) | 2019-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110084033B (zh) | 用户身份管理方法、系统和计算机可读存储介质 | |
| US10848520B2 (en) | Managing access to resources | |
| US10819652B2 (en) | Access management tags | |
| US8850041B2 (en) | Role based delegated administration model | |
| KR102355480B1 (ko) | 멀티테넌트 어플리케이션 서버 환경에서 보안을 지원하는 시스템 및 방법 | |
| US11102189B2 (en) | Techniques for delegation of access privileges | |
| US8973108B1 (en) | Use of metadata for computing resource access | |
| CA2998685C (en) | Transmission of tags and policies with data objects | |
| US8843648B2 (en) | External access and partner delegation | |
| US8719894B2 (en) | Federated role provisioning | |
| US9961554B2 (en) | Managing applications across multiple management domains | |
| US9189643B2 (en) | Client based resource isolation with domains | |
| US8375439B2 (en) | Domain aware time-based logins | |
| US20180176326A1 (en) | Dynamic runtime interface for device management | |
| US20110035241A1 (en) | Anonymous Separation of Duties with Credentials | |
| US9165027B2 (en) | Dynamic directory control registration | |
| CN114726632A (zh) | 一种登录方法、装置、存储介质及处理器 | |
| CN112651000A (zh) | 一种用于组件化即插式开发的权限配置集成系统 | |
| US11586746B2 (en) | Integration management of applications | |
| Sarferaz | Identity and Access Management | |
| Ruo-Fei et al. | A united access control model for systems in collaborative commerce | |
| US10862747B2 (en) | Single user device staging | |
| US11412069B1 (en) | Application configuration | |
| CN113536342B (zh) | 基于区块链的存证管理方法、系统、程序产品及存储介质 | |
| US20220215106A1 (en) | Restricting access to application functionality based upon working status |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |