CN110417820A - 单点登录系统的处理方法、装置及可读存储介质 - Google Patents
单点登录系统的处理方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN110417820A CN110417820A CN201910840047.1A CN201910840047A CN110417820A CN 110417820 A CN110417820 A CN 110417820A CN 201910840047 A CN201910840047 A CN 201910840047A CN 110417820 A CN110417820 A CN 110417820A
- Authority
- CN
- China
- Prior art keywords
- account
- application
- user
- node login
- login system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种单点登录系统的处理方法、装置及可读存储介质,该方法包括:确定单点登录系统上的当前登录账户所属的账户类型,若账户类型为系统管理员账户,响应系统管理员账户对单点登录系统中的应用的管理权限的处理操作;若账户类型为安全管理员账户,响应安全管理员账户对应用的用户访问权限的处理操作;若账户类型为审计管理员账户,响应审计管理员账户对单点登录系统中的应用进行安全审计的处理操作。该方案中通过不同的管理员账户对单点登录系统中的不同业务进行权限独立管理的方式,可以避免一个管理员的账户泄露导致全部数据泄露的风险,即可以有效降低一个管理员管理的安全风险,从而可以有效提高信息的安全性。
Description
技术领域
本申请涉及信息安全管理领域,具体而言,涉及一种单点登录系统的处理方法、装置及可读存储介质。
背景技术
目前,政府办公的全面信息化、无纸化、电子化、自动化发展已成为趋势,经过多年的发展,政府办公系统已经形成了一整套完整架构,主要包括门户网站、法规系统、电子公文处理与交换系统以及电子档案管理系统等,这些办公系统建立在安全的基础硬件平台上,按照国家最新标准与技术规范要求,为政府机关单位办公人员提供了综合类信息资源与信息服务。
所以,为了便于办公人员的办公,将办公化系统加入单点登录系统,使得这些办公系统只需登录一次就可以访问其他系统了。而为了提高办公效率,这些办公系统一般采用超级管理员和普通用户两级管理方式,超级管理员具有超级权限,权力没有限制和监督。超级管理员由于权限没有限制,一旦超级管理员的账户被盗取,数据库内的任何数据都将被泄露,进而导致信息安全性较低。
发明内容
本申请实施例的目的在于提供一种单点登录系统的处理方法、装置及可读存储介质,用以改善现有技术中信息安全性较低的问题。
第一方面,本申请实施例提供了一种单点登录系统的处理方法,包括:确定所述单点登录系统上的当前登录账户所属的账户类型,所述账户类型包括系统管理员账户、安全管理员账户和审计管理员账户;若所述账户类型为所述系统管理员账户,则响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作;若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作;若所述账户类型为所述审计管理员账户,则响应所述审计管理员账户对所述单点登录系统中的应用进行安全审计的处理操作。
在上述实现过程中,通过不同的管理员账户对单点登录系统中的不同业务进行权限独立管理的方式,可以避免一个管理员的账户泄露导致全部数据泄露的风险,即可以有效降低一个管理员管理的安全风险,从而可以有效提高信息的安全性。
可选地,所述响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作,包括:
响应所述安全管理员账户添加用户对所述单点登录系统中的相应应用的用户访问权限的处理操作;和/或响应所述安全管理员账户删除用户对所述单点登录系统的相应应用的用户访问权限的处理操作;和/或响应所述安全管理员账户查看用户对所述单点登录系统中的相应应用的用户访问权限的处理操作。
在上述实现过程中,通过安全管理员账户对相应应用的用户访问权限进行添加、删除和/或查看等处理操作,使得应用的用户访问权限只能通过安全管理员账户进行管理,进而提高了应用的用户访问权限管理的安全性。
可选地,所述响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作,包括:
响应所述系统管理员添加用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或响应所述系统管理员删除用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或响应所述系统管理员查看用户对所述单点登录系统中的相应应用的管理权限的处理操作。
在上述实现过程中,通过系统管理员账户对相应应用的管理权限进行添加、删除和/或查看等处理,使得相应应用管理权限只能通过系统管理员账户进行管理,进而提高了相应应用的管理权限管理的安全性。
可选地,还包括:
若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用中的应用资源的用户操作权限的处理操作。
在上述实现过程中,通过安全管理员账户对相应应用中应用资源的用户操作权限进行处理,使得相应应用中应用资源的用户操作权限只能通过安全管理员账户进行管理,进而提高了相应应用中应用资源的用户操作权限管理的安全性。
可选地,所述响应所述安全管理员账户对所述单点登录系统中的应用中的应用资源的用户操作权限的处理操作,包括:
响应所述安全管理员账户添加用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或响应所述安全管理员账户删除用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或响应所述安全管理员账户查看用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作。
在上述实现过程中,通过安全管理员账户对相应应用中应用资源的用户操作权限进行添加、删除和/或查看等处理,使得相应应用中应用资源的用户操作权限只能通过安全管理员账户进行管理,进而提高了相应应用中应用资源的用户操作权限管理的安全性。
可选地,所述账户类型还包括普通账户,所述确定所述单点登录系统上的当前登录账户所属的账户类型之后,还包括:
若所述账户类型为所述普通账户,则根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用。
在上述实现过程中,针对普通账户,根据普通账户对应用的访问权限来确定可访问的目标应用,从而使得普通账户只能访问该普通账户能访问的应用,而无法访问不能访问的应用,提高了应用管理的安全性。
可选地,所述根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用之后,还包括:
确定所述普通账户可操作的所述目标应用中的目标应用资源。
在上述实现过程中,针对普通账户,根据普通账户对应用资源的操作权限来确定可访问的目标应用中的应用资源,从而使得普通账户只能访问该用户中能操作的应用资源,而无法访问不能操作的应用资源,提高了应用资源管理的安全性。
可选地,所述若所述账户类型为所述普通账户,则根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用之前,还包括:
在检测到用户登录所述单点登录系统时,验证所述用户是否为所述单点登录系统授权登录的账户。
在上述实现过程中,为了进一步保证用户访问目标应用的安全,还需对用户进行身份验证。
可选地,所述根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用之后,还包括:
在接收到所述普通账户对所述目标应用的访问请求时,对所述普通账户进行单点登录验证。
在上述实现过程中,为了进一步保证普通账户访问目标应用的安全,还需对普通账户进行单点登录验证。
可选地,所述对所述普通账户进行单点登录验证,包括:
获取所述访问请求中携带的信任凭证;
判断所述信任凭证与预存储的所述目标应用对应的信任凭证是否一致;
若一致,则表明验证通过。
在上述实现过程中,通信信任凭证验证用户是否能访问目标应用,可进一步提高应用管理的安全性。
可选地,所述信任凭证包括:数字信息、USB key、动态口令及静态口令中的至少一种。
第二方面,本申请实施例提供了一种单点登录系统的处理装置,包括:
账户类型确定模块,用于确定所述单点登录系统上的当前登录账户所属的账户类型,所述账户类型包括系统管理员账户、安全管理员账户和审计管理员账户;
响应模块,用于若所述账户类型为所述系统管理员账户,则响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作;
若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作;
若所述账户类型为所述审计管理员账户的,则响应所述审计管理员账户对所述单点登录系统中的应用进行安全审计的处理操作。
可选地,所述响应模块,还用于响应所述安全管理员账户添加用户对所述单点登录系统中的相应应用的用户访问权限的处理操作;和/或响应所述安全管理员账户删除用户对所述单点登录系统的相应应用的用户访问权限的处理操作;和/或响应所述安全管理员账户查看用户对所述单点登录系统中的相应应用的用户访问权限的处理操作。
可选地,所述响应模块,还用于响应所述系统管理员添加用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或响应所述系统管理员删除用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或响应所述系统管理员查看用户对所述单点登录系统中的相应应用的管理权限的处理操作。
可选地,所述响应模块,还用于若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用中的应用资源的用户操作权限的处理操作。
可选地,所述响应模块,还用于响应所述安全管理员账户添加用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或响应所述安全管理员账户删除用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或响应所述安全管理员账户查看用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作。
可选地,所述账户类型还包括普通账户,所述装置还包括:
应用验证模块,用于若所述账户类型为所述普通账户,则根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用。
可选地,所述装置还包括:
应用资源验证模块,用于确定所述普通账户可操作的所述目标应用中的目标应用资源。
可选地,所述装置还包括:
账户验证模块,用于在检测到用户登录所述单点登录系统时,验证所述用户是否为所述单点登录系统授权登录的账户。
可选地,所述装置还包括:
登录验证模块,用于在接收到所述普通账户对所述目标应用的访问请求时,对所述普通账户进行单点登录验证。
可选地,所述登录验证模块,用于获取所述访问请求中携带的信任凭证;判断所述信任凭证与预存储的所述目标应用对应的信任凭证是否一致;若一致,则表明验证通过。
可选地,所述信任凭证包括:数字信息、USB key、动态口令及静态口令中的至少一种。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种单点登录系统的登录原理示意图;
图2为本申请实施例提供的一种单点登录系统的拓扑示意图;
图3为本申请实施例提供的一种单点登录系统的处理方法的流程图;
图4为本申请实施例提供的一种单点登录系统中的三个管理员的分布示意图;
图5为本申请实施例提供的一种各个管理员账户与对应的权限分配示意图;
图6为本申请实施例提供的一种多层验证过程的示意图;
图7为本申请实施例提供的一种单点登录系统的处理装置的结构框图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
单点登录(Single Sign On,SSO)系统,主要是指在多应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,如图1所示,图1为单点登录系统的登录原理示意图。单点登录需要一个独立的认证中心,只有认证中心能接收用户的用户名和密码等安全信息,其他系统不提供登录入口,只接收认证中心的间接授权。间接授权通过令牌实现,单点登录认证中心验证用户的用户名和密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单点登录系统的登录方式相同。
例如,在政府机关单位中的办公化系统加入单点登录系统,即这些办公系统只需登录一次就可以访问其他系统了,从而可以便于办公人员进行办公。
但是为了提高办公效率,现有技术中一般采用一个管理员来对单点登录系统中的所有应用进行管理,但是由于每个应用可能设置的访问权限不一样,所以某个用户需要对某个应用进行访问,可以直接由总的管理员进行授权即可,若该管理员的账号泄露,则可能导致整个系统的管理权限泄露,从而可能造成单点登录系统被非法入侵。
以上现有技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本申请实施例针对上述问题所提出的解决方案,都应该是发明人在本申请过程中对本申请做出的贡献。
为了解决现有技术中存在的问题,本申请实施例提供了一种单点登录系统,该单点登录系统中将单点登录系统中的各个业务分配给多个管理员账户进行管理,即每个管理员账户对应的管理员拥有管理不同业务的权限,这相比采用同一管理员来管理全部的业务,使得在该管理员的账户泄露的情况下,其可以随意对单点登录系统中的业务管理权限进行更改以及可以任意对其中的信息进行更改,本申请实施例中即使有一个管理员的账户信息泄露,对于其他管理员管理的业务也不会造成影响,安全性更高。
需要说明的是,本申请实施例的应用场景并不仅仅是上述中的政府机关单位的办公系统,对于任何其他系统都适用,如其他企业的办公系统等。
请参照图2,图2为单点登录系统的拓扑示意图,图2中的办公用户区可以在指办公人员操作的终端,业务应用服务器区可以在指单点登录系统中的各个应用对应的应用服务器,安全服务器区由统一认证服务器、证书与权限服务器、证书管理服务器以及安全保密管理服务器组成,这些服务器区可以用于对单点登录系统进行安全信息验证。
请参照图3,图3为本申请实施例提供的一种单点登录系统的处理方法的流程图,该方法包括如下步骤:
步骤S110:确定所述单点登录系统上的当前登录账户所属的账户类型。
单点登录系统可以创建多种类型的账户,如单点登录系统在初始化时自动创建管理员账户或者在接收到用户的账户创建请求后,可以基于账户创建请求创建属于不同账户类型的账户,其中,不同账户类型对应的权限不同。账户类型可以包括系统管理员账户、安全管理员账户和审计管理员账户,账户类型还可以包括除系统管理员账户、安全管理员账户和审计管理员账户外的普通账户。
在创建好账户后,可以为不同的用户授予不同的账户,例如,可以为账户类型为系统管理员账户的用户授予系统管理员账户(该类型的用户可以称为系统管理员)、可以为账户类型为安全管理员账户的用户授予安全管理员账户(该类型的用户可以称为安全管理员)、可以为账户类型为审计管理员账户的用户授予审计管理员账户(该类型的用户可以称为审计管理员)、或者为账户类型为普通账户的用户授予普通用户账户(该类型的用户可以称为普通用户)。
每个用户可对应唯一一个账户,而对于某一个用户对应的账户,可以是系统管理员账户,或者可以是安全管理员账户,或者是审计管理员账户,当然还可以是除系统管理员账户、安全管理员账户以及审计管理员账户以外的普通账户。
其中,为了便于对单点登录系统的管理以及保证单点登录系统的安全性,单点登录系统可以配置有一个系统管理员账户、一个审计管理员账户以及一个安全管理员账户。当然,每种类型的账户的数量也可以有多个,对于企业内部来说,普通员工一般授予普通账户,对系统拥有管理权限的用户一般授予管理员账户。
每种账户类型对应于不同的用户,如系统管理员账户对应于系统管理员,安全管理员账户对应于安全管理员,审计管理员账户对应于审计管理员,即在本申请实施例中可以包括三种类型的管理员,即系统管理员、安全管理员和审计管理员,如图4所示,图4中示出了单点登录系统中的三个管理员的分布示意图。
通过上述过程创建不同类型的账户后,可以根据需求为不同的用户分配不同的账户,用户可以使用对应的账户登录单点登录系统。用户在登录该单点登录系统后,可获取该用户的账户标识,根据该用户的账户标识确定其账户所属的账户类型。
步骤S120:若所述账户类型为系统管理员账户,则响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作。
每个管理员账户拥有对单点登录系统不同的管理权限,系统管理员账户具有对单点登录系统中的应用的管理权限的处理权限。所以若系统管理员账户在对应用的管理权限进行处理时,响应其处理操作,如若系统管理员账户对某个应用的管理权限进行修改时,接受对该应用的管理权限的修改,并将该应用的管理权限进行更新。
步骤S130:若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作。
安全管理员账户具有对单点登录系统中的应用的用户访问权限的处理权限。所以若安全管理员账户在对应用的用户访问权限进行处理时,响应其处理操作,如若安全管理员账户对某个应用的用户访问权限进行修改时,接受对该应用的用户访问权限的修改,并将该应用的用户访问权限进行更新。
步骤S140:若所述账户类型为所述审计管理员账户,则响应所述审计管理员账户对所述单点登录系统中的应用进行安全审计的处理操作。
审计管理员账户具有对单点登录系统中的应用进行安全审计的处理权限。所以若审计管理员账户在对应用进行安全审计时,响应其处理操作,如若审计管理员账户获取某个应用的日志进行分析时,从数据库中获取该应用的日志,并进行安全审计,以分析该应用是否有漏洞之类的安全隐患,获得审计结果。
在上述实现过程中,通过不同的管理员账户对单点登录系统中的不同业务进行权限独立管理的方式,可以避免一个管理员的账户泄露导致全部数据泄露的风险,即可以有效降低一个管理员管理的安全风险,从而可以有效提高信息的安全性。
另外,为了确保安全性,上述账户类型可以为企业的自有账户类型,但是有时为了便于对企业的外来临时人员进行管理,还可以创建第三方账户类型,第三方账户类型对应的第三方账户可用于分配给外来临时人员。
第三方账户是指除单点登录系统提供的自有账户之外的其他账户,且该第三方账户可以包括多种类型的第三方账户,如即时通信应用账户、社交软件应用账户或者其他账户等,对此本实施例不予限定。
另外,每种类型的第三方账户还可以包括不同应用开发商开发的第三方应用的用户账户,比如,即时通信应用账户可以包括第一即时通信应用账户和第二即时通信应用账户,其中,第一即时通信应用账户为第一开发商开发的第一即时通信应用提供的用户账户,第二即时通信应用账户为第二开发商开发的第二即时通信应用提供的用户账户。
本申请实施例中的单点登录系统可以支持自有账户类型的账户登录,还可以支持第三方账户类型的账户登录,在实际应用中,企业内部的员工可以通过自有账户类型的账户登录,企业外部的临时人员则可以通过第三方类型的账户登录,从而可以避免需要为企业外的临时人员分配临时账户,导致在企业外的临时人员对企业内部人员的权限管理造成干扰的问题。
另外,在创建完各种类型的账户后,可以为各个类型的账户授予对应的权限,即若账户类型为系统管理员账户时,表明该账户对应的用户为系统管理员,则授予该系统管理员账户对单点登录系统中的相应应用的管理权限进行处理的权限;若账户类型为安全管理员账户时,表明该账户对应的用户为安全管理员,则授予该安全管理员账户对单点登录系统中的相应应用对应的用户访问权限进行处理的权限;若账户类型为审计管理员账户时,表明该账户对应的用户为审计管理员,则授予该审计管理员账户对单登录系统中的相应应用进行安全审计处理。
上述为管理员账户授予权限的操作可以理解为针对用户,使能该用户所属的账户类型对应的权限包含的操作,使能操作的情况包括可见或允许操作,例如,菜单中有些项目是灰色的,就是没有使能的操作,使能的操作是可以选择的、点击的,未使能的操作是无法点击/选择的,或者点击/选择后不允许进行的。
本申请实施例中,管理员账户只能选择它具有权限的操作,没有权限的操作不可见;也可以是管理员账户看到所有管理资源(如多个应用),而操作时根据身份权限匹配,其可以通过两种方法实现:
方式一:管理员账户只能选择它具有权限的操作,没有权限的操作对其不可见;
方式二:管理员账户可以看到所有操作,操作时可以根据管理员身份判断是否有权限操作。
作为一种示例,系统管理员账户的管理权限可以包括:为单点登录系统中的每个应用分配对应的应用管理员账户、为每个应用分配对应的安全管理员账户、为每个应用分配对应的审计管理员账户、管理每个应用的网络接入控制、创建普通账户等。
系统管理员账户可以是资源拥有者,其管理权限还可以包括:创建管理员账户并对账户分配权限,但是账户权限生效需要审计管理员账户批准;为第一次创建的账户设置密码,但是除了自己的密码,系统管理员无权修改已经生效的其他管理员密码。
另外,单点登录系统运行所需获取的资源都可以由系统管理员账户管理,如单点登录系统运行许可证、存储集群划分、存储硬件资源、业务访问用户、管理员资源等,此外,系统管理员账户的管理权限还可以包括单点登录系统的资源初始化如系统上电、集群管理、网络配置、存储资源创建、业务用户添加。
作为一种示例,安全管理员账户的权限还可以包括配置每个应用的用户访问权限或者设置用户身份验证规则。
并且,安全管理员账户的权限还可以包括安全策略管理,安全管理员账户可以划分单点登录系统中的存储资源、配置用户访问权限、设置用户身份验证方法等,如业务访问配置、用户密码配置、增值业务配置等,用户的访问控制规则设置可精确细化到用户的访问时间、访问时所使用的IP地址等,也可以设置用户的读、写、控制权限,整个访问控制策略的更改对最终用户是完全透明的,最终用户端无需任何改变。
作为一种示例,审计管理员账户的权限还可以包括对系统管理员账户以及安全管理员账户的操作进行审计、查看操作日志、用户运行日志以及删除操作日志/用户运行日志。
审计管理员账户的权限还可以包括审批系统管理员账户分配的管理员账户权限,审计管理员账户审批生效后,管理员账户才能生效。
审计管理员账户的权限还可以包括对系统管理员账户和安全管理员账户的操作日志进行审核,还可以审核业务用户访问的用户日志。审计管理员账户还具有删除系统操作日志和用户日志的权限。
各个管理员账户与对应的权限分配示意如图5所示,图5中仅示出了各个管理员账户对应的部分权限,其管理员账户还可以拥有上述的其他权限。
另外,安全管理员账户的操作权限还可以包括添加用户对单点登录系统中的相应应用的用户访问权限和/或删除用户对单点登录系统中的相应应用的用户访问权限和/或查看用户对单点登录系统中的相应应用的用户访问权限。也就是说,还可以响应安全管理员账户添加用户对单点登录系统中的相应应用的用户访问权限的处理操作和/或删除用户对单点登录系统中的相应应用的用户访问权限的处理操作和/或查看用户对单点登录系统中的相应应用的用户访问权限的处理操作。
可以理解地,安全管理员账户对应的安全管理员可打开终端上的用户访问权限管理界面,在界面中可以显示多个应用,每个应用下对应显示有多个用户,如应用1下对应显示有用户1、用户2和用户3,应用2下显示有用户2和用户4,则表示用户1、用户2和用户3对应用1具有访问权限,用户2和用户4对应用2具有访问权限,若需要添加用户5对应用1的访问权限时,则安全管理员可在用户访问权限管理界面中选择应用1,然后点击添加按钮,在终端显示界面中弹出的输入框中输入用户5的账户信息即可,然后点击添加完成按钮,此时,安全管理员触发添加请求,在接收到该请求后,响应该请求,即接收安全管理员账户对用户5对应用1的访问权限的添加,授予该用户5具有对应用1的访问权限。
同理,对于删除用户访问权限,则可以直接将应用1下的用户1的账户信息删除即可,查看用户访问权限可以直接输入某个用户的账户对其可访问的应用进行搜索,或者输入某个应用的名称搜索可访问的用户即可。
可以理解地,上述仅仅列举了一种安全管理员对用户访问权限进行添加的方式,在实际应用中,其还可以以其他方式对用户访问权限进行添加,如将用户5的账户与应用1进行关联,其他方式也应在本申请的保护范围内。
在上述实现过程中,通过安全管理员账户对相应应用的用户访问权限进行添加、删除和/或查看等处理操作,使得应用的用户访问权限只能通过安全管理员账户进行管理,进而提高了应用的用户访问权限管理的安全性。
作为一种示例,若账户类型为安全管理员账户,还可以响应安全管理员账户对单点登录系统中的应用的应用资源的用户操作权限的处理操作。
如可以响应安全管理员账户添加用户对单点登录系统中的可访问的相应应用中的应用资源的用户操作权限的处理操作和/或删除用户对单点登录系统中的可访问的相应应用中的应用资源的用户操作权限的处理操作和/或查看用户对单点登录系统中的可访问的相应应用中的应用资源的用户操作权限的处理操作。
其中,用户操作权限是指用户在可访问的相应应用中的相关功能的操作权限,应用资源可以是指应用中的操作模块,如用户可访问应用1,但是应用1所包括的所有应用资源可以不对该用户全部开放,如用户只可对应用1中的一些功能进行操作。如需要添加用户对可访问的应用1中的应用资源的用户操作权限时,则安全管理员可点击终端的显示界面上的应用1,然后将应用1中的某些应用资源添加上该用户的账户等信息,表明该用户对这些应用资源有可操作权限。
对于删除操作权限可以直接将应用对应的用户的账户信息删除即可,查看操作权限的方式与上述查看用户访问权限的方式类似。
在上述实现过程中,通过安全管理员账户对相应应用中应用资源的用户操作权限进行添加、删除和/或查看等处理,使得相应应用中应用资源的用户操作权限只能通过安全管理员账户进行管理,进而提高了相应应用中应用资源的用户操作权限管理的安全性。
作为一种示例,系统管理员账户的权限还包括添加、删除和/或查看用户对单点登录系统中的相应应用的管理权限,也就是说还可以响应系统管理员账户添加用户对单点登录系统中的相应应用的管理权限的处理操作和/或删除用户对单点登录系统中的相应应用的管理权限的处理操作和/或查看用户对单点登录系统中的相应应用的管理权限的处理操作。
如系统管理员账户可添加用户1作为应用1的管理员,删除应用1的原管理员用户2,也可以查看各个应用对应的管理员用户,或者查看某个用户作为管理员管理的应用。
在上述实现过程中,通过系统管理员账户对各个应用的管理权限进行添加、删除和/或查看等处理,使得各个应用管理权限只能通过系统管理员账户进行管理,进而提高了相应应用的管理权限管理的安全性。
需要说明的是,上述的系统管理员账户、安全管理员账户和审计管理员账户所具有的权限也不仅仅是上述中举例的权限,其还可以根据实际需求为不同的管理员账户分配对应的权限。但是每个管理员账户的权限互不相同,即上述三个管理员账户的权限互不重合。
另外,管理员在进行对应的操作时,需先登录单点登录系统,在登录成功后,若登录的用户是系统管理员账户时,若其需要对应用的管理权限进行相关操作时,可以触发对应的操作请求,单点登录系统即接收到对应的请求后,响应该请求,使得系统管理员账户可以对其进行相应的操作。对于安全管理员账户和审计管理员账户的触发操作也如此,在此不一一举例,即各个管理员账户可在自己的管理权限内对系统中的业务进行相应的管理操作。
其中,用户在登录单点登录系统时,可以在终端弹出的登录提示框中输入对应的账户和密码等信息,在用户输入对应的账户和密码信息后用户可触发登录请求,如用户点击终端界面上的登录按钮即为触发登录请求,单点登录系统接到该登录请求后,基于该登录请求确定该用户是否能够登录成功时,若确定该用户登录成功后,可使用户登录该单点登录系统。然后再确定该用户的账户所属的账户类型,以根据账户类型确定该用户属于哪种类型的用户,进而可进一步确定该用户所具有的权限或者为该用户授予的权限。可以理解地,单点登录系统接收到的登录请求中可以包括用户账户标识和密码,该用户账户标识可以包括用户名和账户类型。相应地,可以根据该用户账户标识确定该用户账户的账户类型,即在该实现方式中,可以在检测到用户账户成功登录单点登录系统时,直接确定该用户所属的账户类型。
需要说明的是,用户账户进行登录时,需要通过单点登录系统进行验证,即终端在获得的用户的用户账户标识和密码后,将用户的用户账户标识和密码发送给单点登录系统,单点登录系统可以从预存储的数据库中查找与该用户账户标识匹配的账户标识,在查找有匹配一致的账户标识后,校验数据库中账户标识对应的密码与获得的用户账户标识对应的密码是否一致,若一致,则验证通过。
当然,系统管理员账户、安全管理员账户和审计管理员账户登录单点登录系统也需要进行身份认证,只有身份验证通过后的管理员才能登录成功。
安全管理员账户可以为每种类型的账户授予对应的应用可访问权限和对应的应用资源可操作权限等,则每种账户类型对应的用户在登录单点登录系统时,可以根据该用户对应的可访问权限和可操作权限限制用户的操作,使得用户无法操作其权限范围外的其他内容,保证了系统数据的安全性。
作为一种示例,账户类型还包括普通账户,则普通账户在登录单点登录系统后,可以若登录的账户的账户类型为普通账户,则根据普通账户对单点登录系统中的应用的用户访问权限确定普通账户可访问的目标应用。
其中,由于上述为每个用户均设置了对应的应用访问权限,所以,在用户成功登录单点登录系统时,可以获取用户的账户标识。若同一种账户类型能访问的应用均一样,此时则可以根据用户的账户所属的账户类型确定该用户能访问的应用,如管理员一般能访问所有的应用和应用中所有的应用资源,所以在确定该用户为任一管理员时,确定该用户能访问所有的应用,则可向用户提供能访问所有应用的入口。
但是,由于普通用户数量较多,其也可以根据企业内部对普通用户职级的划分来对普通用户划分为更小的细分类型,如处于同一职级的普通用户属于同一账户类型,此时,对同一账户类型的用户其能访问的应用相同。所以,若在确定该用户为普通用户后,还可以获取该用户所在的职级,根据职级来确定该用户能访问的应用。
或者,由于单点登录系统可以将每个用户与其能访问的应用进行关联,所以,还可以直接获取用户的账户标识,然后根据该用户的账户信息查找对应的该用户能访问的应用,在查找到后,为用户提供能访问该应用的入口,该入口以应用的名称或图标来表示,如在终端的相关显示界面显示用户能访问应用的图标或名称,用户点击应用的图标或名称之后即可访问该应用。
需要说明的是,在终端显示用户可访问的应用时,可以将用户可访问的应用可见地显示在终端的显示界面上,将用户不可访问的应用不显示在终端的显示界面上,即对用户不可见;还可以将所有的应用均显示在终端的显示界面上,但是在用户点击某个用户的名称或图标时,可以再确定该用户是否能访问该应用,若能,则使用户访问该用户,若不能,则发出不能访问的提示信息。
在上述实现过程中,针对普通账户,根据普通账户对应用的访问权限来确定可访问的目标应用,从而使得普通账户只能访问该普通账户能访问的应用,而无法访问不能访问的应用,提高了应用管理的安全性。
在上述实施例中,还为每个用户设置了可访问应用中的可操作的应用资源,所以,在检测到普通账户登录单点登录系统后,可确定普通账户可操作的目标应用中的目标应用资源。
可以理解地,普通账户在登录单点登录系统后,可向普通账户的用户显示可访问的应用的入口,如用户能访问的应用包括应用1和应用2,则可确定用户对应用1和应用2中的哪些应用资源有操作权限。具体地,也可以根据用户的账户所属的账户类型查找该用户能操作的应用资源或者直接根据用户的账户标识来查找该用户能操作的应用资源,在用户点击访问应用1或应用2时,向用户提供能操作的对应的应用资源的操作入口。
在上述实现过程中,针对普通账户,根据普通账户对应用资源的操作权限来确定可访问的目标应用中的应用资源,从而使得普通账户只能访问该用户中能操作的应用资源,而无法访问不能操作的应用资源,提高了应用资源管理的安全性。
另外,为了在用户登录单点登录系统时,对用户的身份进行验证,还可以在检测到用户登录单点登录系统时,验证该用户是否为单点登录系统授权登录的用户。可以理解地,用户在登录单点登录系统时需要输入自己的账户和密码等信息,在信息输入完成后,用户可点击界面上的登录按钮,触发登录请求,单点登录系统获得登录请求后,从登录请求中获取鉴权信息,该鉴权信息可以包括用户的账户信息,也可以包括其他信息,然后根据鉴权信息验证用户是否为单点登录系统授权的用户,若是,则响应登录请求,使得用户成功登录单点登录系统。
其中,验证的过程可以是将鉴权信息与预先存储的信息进行匹配,如鉴权信息为用户的账户信息时,根据用户的账户信息查找预先存储的账户信息,若查找到存储的数据库中存储与该用户一致的账户信息,则表示该用户为单点登录系统授权的用户。
在上述实现过程中,为了进一步保证用户访问目标应用的安全,还需对用户进行身份验证。
用户在成功登录单点登录系统后,且向该用户显示对应的可访问的目标应用的访问入口,目标应用可以为至少一个,若用户想要访问某个目标应用时,则可点击该目标应用的图标或名称,触发对目标应用的访问请求,则单点登录系统在接收到用户对目标应用的访问请求时,对用户进行单点登录验证,以验证该用户的身份是否合法。
其中,对用户进行单点登录验证的过程可以如下:由于用户在成功登录单点登录系统后才能对目标应用进行访问,所以,用户在访问目标应用时,用户直接向单点登录系统发送访问目标应用的访问请求,该访问请求中携带有目标应用的标识以及信任凭证,则单点登录系统接收该访问请求后,从访问请求中获取信任凭证,判断信任凭证与预先存储的目标应用对应的信任凭证是否一致,若一致,则表明验证通过。
其中,信任凭证是指单点登录系统与用户约定的与用户可访问的目标应用之间的信任信息。若用户未登录单点登录系统时,可以向用户显示某些应用的访问接口,而此时若用户想要访问某一应用时,则可以点击访问接口,触发访问请求,该应用对应的应用服务器接收到该请求后,判断用户是否为已登录的用户,若该用户不是已登录的用户,则将访问请求转接至单点登录系统,单点登录系统判断该用户是否是已登录的用户,若否,则将用户引导至登录界面,用户在成功登录单点登录系统时,确定用户可访问的目标应用,若用户可访问的目标应用不包括上述应用时,则可向用户返回访问失败的提示信息,若用户可访问的目标应用包括上述应用时,则单点登录系统可生成一个信任凭证,然后发送给应用服务器,并且进行存储,在用户下一次访问目标应用时,可由该应用服务器发送对应的信任凭证,单点登录系统在确定该信任凭证与存储的该应用对应的信任凭证一致时,则表明验证通过,则用户可继续访问目标应用了。
其中,信任凭证可以包括数字信息、USB key、动态口令及静态口令中的至少一种。其中,数字信息可以是单点登录系统随机生成的数字密码,USB key是一种USB接口的硬件设备,在信任凭证为USB key时,在进行单点登录验证过程中,用户需要在终端插入USBkey,若用户未插入,则访问请求中无法携带该信任凭证,此时可提示用户插入即可。动态口令可以是每次访问是变化的信息,即对于每个应用,单点登录系统均存储有多个口令,这些口令称为动态口令,用户每次访问应用时发送的信任凭证可以是动态口令中的任意一个,静态口令即只有一个,静态口令和动态口令的形式可以为任意形式,如只有英文,或者为英文和数字的组合等,或者数字和特殊符号的组合等。
在上述实现过程中,通信信任凭证验证用户是否能访问目标应用,可进一步提高应用管理的安全性。
当然,为了确保安全性,对于其他管理员账户在登录单点登录系统时,也可以进行上述的验证,即根据账户类型确定其可访问的应用以及可访问的应用中的应用资源。
可见,本申请实施例中在为用户访问受保护资源时,需要对用户进行多层验证,首先用户在打开终端时,可以输入对应的密码或其他信息,终端可判断该用户是否为该终端授权登录的用户,若是,则允许该用户打开终端,若用户在登录单点登录系统时,还需对用户进行身份验证,验证其是否为单点登录系统授权登录的用户,在用户成功登录单点登录系统后,还需验证用户可访问的应用,即对用户进行应用可见性验证,然后还需对用户可访问的应用的应用资源进行验证,即应用资源可用性验证,再全部验证通过后,用户即可访问到受保护的应用资源,具体的验证过程可以如图6所示。
请参照图7,图7为本申请实施例提供的一种单点登录系统的处理装置100的结构框图,该装置100可以是电子设备上的模块、程序段或代码。应理解,该装置100与上述图3方法实施例对应,能够执行图3方法实施例涉及的各个步骤,该装置100具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,该装置100包括:
账户类型确定模块110,用于确定所述单点登录系统上的当前登录账户所属的账户类型,所述账户类型包括系统管理员账户、安全管理员账户和审计管理员账户;
响应模块120,用于若所述账户类型为所述系统管理员账户,响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作;
若所述账户类型为所述安全管理员账户,响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作;
若所述账户类型为所述审计管理员账户,响应所述审计管理员账户对所述单点登录系统中的应用进行安全审计的处理操作。
可选地,所述响应模块120,还用于响应所述安全管理员账户添加用户对所述单点登录系统中的相应应用的用户访问权限的处理操作;和/或响应所述安全管理员账户删除用户对所述单点登录系统的相应应用的用户访问权限的处理操作;和/或响应所述安全管理员账户查看用户对所述单点登录系统中的相应应用的用户访问权限的处理操作。
可选地,所述响应模块120,还用于响应所述系统管理员添加用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或响应所述系统管理员删除用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或响应所述系统管理员查看用户对所述单点登录系统中的相应应用的管理权限的处理操作。
可选地,所述响应模块120,还用于若所述账户类型为所述安全管理员账户,响应所述安全管理员账户对所述单点登录系统中的应用中的应用资源的用户操作权限的处理操作。
可选地,所述响应模块120,还用于响应所述安全管理员账户添加用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或响应所述安全管理员账户删除用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或响应所述安全管理员账户查看用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作。
可选地,所述账户类型还包括普通账户,所述装置100还包括:
应用验证模块,用于若所述账户类型为所述普通账户,根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用。
可选地,所述装置100还包括:
应用资源验证模块,用于确定所述普通账户可操作的所述目标应用中的目标应用资源。
可选地,所述装置100还包括:
账户验证模块,用于在检测到用户登录所述单点登录系统时,验证所述用户是否为所述单点登录系统授权登录的账户。
可选地,所述装置100还包括:
登录验证模块,用于在接收到所述普通账户对所述目标应用的访问请求时,对所述普通账户进行单点登录验证。
可选地,所述登录验证模块,用于获取所述访问请求中携带的信任凭证;判断所述信任凭证与预存储的所述目标应用对应的信任凭证是否一致;若一致,则表明验证通过。
可选地,所述信任凭证包括:数字信息、USB key、动态口令及静态口令中的至少一种。
请参照图8,图8为本申请实施例提供的一种电子设备的结构示意图,所述电子设备可以包括:至少一个处理器210,例如CPU,至少一个通信接口220,至少一个存储器230和至少一个通信总线240。其中,通信总线240用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口220用于与其他节点设备进行信令或数据的通信。存储器230可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器230可选的还可以是至少一个位于远离前述处理器的存储装置。存储器230中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器210执行时,电子设备执行上述图3所示方法过程。
本申请实施例提供一种可读存储介质,所述计算机程序被处理器执行时,执行如图3所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,如图3中所示的方法步骤。
综上所述,本申请实施例提供一种单点登录系统的处理方法、装置及可读存储介质,该方案中通过不同的管理员账户对单点登录系统中的不同业务进行权限独立管理的方式,可以避免一个管理员的账户泄露导致全部数据泄露的风险,即可以有效降低一个管理员管理的安全风险,从而可以有效提高信息的安全性。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种单点登录系统的处理方法,其特征在于,包括:
确定所述单点登录系统上的当前登录账户所属的账户类型,所述账户类型包括系统管理员账户、安全管理员账户和审计管理员账户;
若所述账户类型为所述系统管理员账户,则响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作;
若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作;
若所述账户类型为所述审计管理员账户,则响应所述审计管理员账户对所述单点登录系统中的应用进行安全审计的处理操作。
2.根据权利要求1所述的处理方法,其特征在于,所述响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作,包括:
响应所述安全管理员账户添加用户对所述单点登录系统中的相应应用的用户访问权限的处理操作;和/或
响应所述安全管理员账户删除用户对所述单点登录系统的相应应用的用户访问权限的处理操作;和/或
响应所述安全管理员账户查看用户对所述单点登录系统中的相应应用的用户访问权限的处理操作。
3.根据权利要求1所述的处理方法,其特征在于,所述响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作,包括:
响应所述系统管理员添加用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或
响应所述系统管理员删除用户对所述单点登录系统中的相应应用的管理权限的处理操作;和/或
响应所述系统管理员查看用户对所述单点登录系统中的相应应用的管理权限的处理操作。
4.根据权利要求1所述的处理方法,其特征在于,还包括:
若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用中的应用资源的用户操作权限的处理操作。
5.根据权利要求4所述的处理方法,其特征在于,所述响应所述安全管理员账户对所述单点登录系统中的应用中的应用资源的用户操作权限的处理操作,包括:
响应所述安全管理员账户添加用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或
响应所述安全管理员账户删除用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作;和/或
响应所述安全管理员账户查看用户对所述单点登录系统中可访问的相应应用中的应用资源的用户操作权限的处理操作。
6.根据权利要求1所述的处理方法,其特征在于,所述账户类型还包括普通账户,所述确定所述单点登录系统上的当前登录账户所属的账户类型之后,还包括:
若所述账户类型为所述普通账户,则根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用。
7.根据权利要求6所述的处理方法,其特征在于,所述根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用之后,还包括:
确定所述普通账户可操作的所述目标应用中的目标应用资源。
8.根据权利要求6所述的处理方法,其特征在于,所述若所述账户类型为所述普通账户,则根据所述普通账户对所述单点登录系统中的应用的用户访问权限确定所述普通账户可访问的目标应用之前,还包括:
在检测到用户登录所述单点登录系统时,验证所述用户是否为所述单点登录系统授权登录的账户。
9.一种单点登录系统的处理装置,其特征在于,包括:
账户类型确定模块,用于确定所述单点登录系统上的当前登录账户所属的账户类型,所述账户类型包括系统管理员账户、安全管理员账户和审计管理员账户;
响应模块,用于若所述账户类型为所述系统管理员账户,则响应所述系统管理员账户对所述单点登录系统中的应用的管理权限的处理操作;
若所述账户类型为所述安全管理员账户,则响应所述安全管理员账户对所述单点登录系统中的应用的用户访问权限的处理操作;
若所述账户类型为所述审计管理员账户,则响应所述审计管理员账户对所述单点登录系统中的应用进行安全审计的处理操作。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-8任一所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910840047.1A CN110417820A (zh) | 2019-09-05 | 2019-09-05 | 单点登录系统的处理方法、装置及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910840047.1A CN110417820A (zh) | 2019-09-05 | 2019-09-05 | 单点登录系统的处理方法、装置及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110417820A true CN110417820A (zh) | 2019-11-05 |
Family
ID=68370480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910840047.1A Pending CN110417820A (zh) | 2019-09-05 | 2019-09-05 | 单点登录系统的处理方法、装置及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417820A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111416826A (zh) * | 2020-03-24 | 2020-07-14 | 江苏易安联网络技术有限公司 | 一种应用服务安全发布及访问的系统及方法 |
| CN111612415A (zh) * | 2020-04-28 | 2020-09-01 | 北京银盾泰安网络科技有限公司 | 一种项目管理方法及装置 |
| CN112149110A (zh) * | 2020-09-28 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种系统操作请求的响应方法、系统及相关装置 |
| CN112231654A (zh) * | 2020-10-16 | 2021-01-15 | 北京天融信网络安全技术有限公司 | 运维数据隔离方法、装置、电子设备及存储介质 |
| CN113486322A (zh) * | 2021-07-21 | 2021-10-08 | 中共四川省委组织部 | 一种一体化平台基于单点登录的控制方法、装置、介质 |
| CN114189375A (zh) * | 2021-12-06 | 2022-03-15 | 银清科技有限公司 | 一种业务系统管理方法和装置 |
| CN114637977A (zh) * | 2022-01-26 | 2022-06-17 | 安徽点亮网络技术有限公司 | 一种基于指静脉验证的账户权限管理方法、系统及装置 |
| CN115134112A (zh) * | 2022-05-12 | 2022-09-30 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN116962019A (zh) * | 2023-06-27 | 2023-10-27 | 北京一心向上科技有限公司 | 员工端账户的临时管理方法、系统和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160277390A1 (en) * | 2013-12-27 | 2016-09-22 | Sap Se | Multi-domain applications with authorization and authentication in cloud environment |
| CN106445399A (zh) * | 2015-08-05 | 2017-02-22 | 中兴通讯股份有限公司 | 一种存储系统的控制方法及存储系统 |
| CN106650399A (zh) * | 2015-10-30 | 2017-05-10 | 北京国双科技有限公司 | 用户访问权限的处理方法及装置 |
| CN110135146A (zh) * | 2019-04-29 | 2019-08-16 | 武汉中锐源信息技术开发有限公司 | 一种数据库权限管理方法及系统 |
-
2019
- 2019-09-05 CN CN201910840047.1A patent/CN110417820A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160277390A1 (en) * | 2013-12-27 | 2016-09-22 | Sap Se | Multi-domain applications with authorization and authentication in cloud environment |
| CN106445399A (zh) * | 2015-08-05 | 2017-02-22 | 中兴通讯股份有限公司 | 一种存储系统的控制方法及存储系统 |
| CN106650399A (zh) * | 2015-10-30 | 2017-05-10 | 北京国双科技有限公司 | 用户访问权限的处理方法及装置 |
| CN110135146A (zh) * | 2019-04-29 | 2019-08-16 | 武汉中锐源信息技术开发有限公司 | 一种数据库权限管理方法及系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111416826A (zh) * | 2020-03-24 | 2020-07-14 | 江苏易安联网络技术有限公司 | 一种应用服务安全发布及访问的系统及方法 |
| CN111612415A (zh) * | 2020-04-28 | 2020-09-01 | 北京银盾泰安网络科技有限公司 | 一种项目管理方法及装置 |
| CN112149110A (zh) * | 2020-09-28 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种系统操作请求的响应方法、系统及相关装置 |
| CN112231654B (zh) * | 2020-10-16 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 运维数据隔离方法、装置、电子设备及存储介质 |
| CN112231654A (zh) * | 2020-10-16 | 2021-01-15 | 北京天融信网络安全技术有限公司 | 运维数据隔离方法、装置、电子设备及存储介质 |
| CN113486322A (zh) * | 2021-07-21 | 2021-10-08 | 中共四川省委组织部 | 一种一体化平台基于单点登录的控制方法、装置、介质 |
| CN114189375A (zh) * | 2021-12-06 | 2022-03-15 | 银清科技有限公司 | 一种业务系统管理方法和装置 |
| CN114189375B (zh) * | 2021-12-06 | 2024-02-27 | 银清科技有限公司 | 一种业务系统管理方法和装置 |
| CN114637977A (zh) * | 2022-01-26 | 2022-06-17 | 安徽点亮网络技术有限公司 | 一种基于指静脉验证的账户权限管理方法、系统及装置 |
| CN115134112B (zh) * | 2022-05-12 | 2024-02-02 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN115134112A (zh) * | 2022-05-12 | 2022-09-30 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN116962019A (zh) * | 2023-06-27 | 2023-10-27 | 北京一心向上科技有限公司 | 员工端账户的临时管理方法、系统和存储介质 |
| CN116962019B (zh) * | 2023-06-27 | 2024-02-20 | 北京一心向上科技有限公司 | 员工端账户的临时管理方法、系统和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| US7356704B2 (en) | Aggregated authenticated identity apparatus for and method therefor | |
| AU2014388268B2 (en) | System and method for biometric protocol standards | |
| US7509497B2 (en) | System and method for providing security to an application | |
| CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
| US8332922B2 (en) | Transferable restricted security tokens | |
| CN105429999B (zh) | 基于云平台的统一身份认证系统 | |
| CN107342992A (zh) | 一种系统权限管理方法、装置及计算机可读存储介质 | |
| CN107770191B (zh) | 一种带有安全防护的企业财务管理系统 | |
| CN105812350B (zh) | 一种跨平台单点登录系统 | |
| US20040088560A1 (en) | Secure system access | |
| US7895645B2 (en) | Multiple user credentials | |
| CN107204978B (zh) | 一种基于多租户云环境的访问控制方法及装置 | |
| CN103986734B (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
| CN105577835B (zh) | 一种基于云计算的跨平台单点登录系统 | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| WO2019011187A1 (zh) | 电子账户的挂失、解挂、业务管理方法、装置及设备 | |
| CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
| US20080229396A1 (en) | Issuing a command and multiple user credentials to a remote system | |
| MX2007013310A (es) | Metodo, sistema y producto de programa para conectar un cliente a una red. | |
| CN106603567B (zh) | 一种web管理员的登录管理方法及装置 | |
| CN105827597A (zh) | 一种管理互联网账号与密码的方法 | |
| Nasirinejad et al. | SASy username and password management on the cloud | |
| Hasan et al. | E-Learning systems and their Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191105 |
|
| RJ01 | Rejection of invention patent application after publication |