CN111949973A - 身份识别与访问管理系统和方法 - Google Patents
身份识别与访问管理系统和方法 Download PDFInfo
- Publication number
- CN111949973A CN111949973A CN202010755794.8A CN202010755794A CN111949973A CN 111949973 A CN111949973 A CN 111949973A CN 202010755794 A CN202010755794 A CN 202010755794A CN 111949973 A CN111949973 A CN 111949973A
- Authority
- CN
- China
- Prior art keywords
- account
- management
- application
- authority
- submodule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000007726 management method Methods 0.000 claims description 290
- 238000013475 authorization Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 16
- 230000004048 modification Effects 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 8
- 238000011217 control strategy Methods 0.000 claims description 5
- 238000011161 development Methods 0.000 abstract description 7
- 239000002699 waste material Substances 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及身份识别与访问管理系统和方法,该系统包括:帐号体系管理模块、应用管理模块和帐号管理模块;帐号体系管理模块用于对不同帐号体系定义独立的数据权限管控维度,支持在不同所述帐号体系下配置对应的系统字段,以及定义系统字段的属性;应用管理模块用于配置应用支持的帐号登录方式,以及配置应用下的菜单权限和操作权限;帐号管理模块用于对帐号的功能权限进行配置,以及对帐号的数据权限进行配置。如此,本申请能够实现对不同帐号体系或业务系统下的用户帐号进行统一身份信息管理,同时支持各帐号体系或业务系统灵活定义数据权限管控维度,避免了重复开发和资源浪费的情况发生。
Description
技术领域
本发明涉及信息安全管理技术领域,具体涉及一种身份识别与访问管理系统和方法。
背景技术
目前,企业日常帐号分为C端普通消费者用户、B端企业用户和内部员工。随着企业生态圈业务逐步扩张,企业下的业务系统数量越来越多。相关技术的各业务系统通过独立建设应用帐号权限管理模块和设置帐号管理逻辑来管理其对应的企业日常帐号。
然而,各业务系统独立建设应用帐号权限管理模块和帐号管理逻辑,使得各业务系统对应的企业日常帐号相互独立,难以对各业务系统对应的企业日常帐号进行统一管理,使得各业务系统管理混乱;此外,不同业务系统独立设置帐号管理逻辑,使得帐号管理逻辑只能适用于对应的业务系统,而无法直接应用于其他业务系统,存在重复开发和浪费资源的问题。有鉴于此,相关技术存在缺少一种能够进行统一身份认证和授权的管理系统,以使相关技术实现对各业务系统对应的企业日常帐号进行统一管理,同时减少各业务系统的开发工作。
发明内容
有鉴于此,为了在一定程度上解决上述问题,本申请提供了一种身份识别与访问管理系统和方法。
本发明采用如下技术方案:
第一方面,本发明提供了一种身份识别与访问管理系统,包括:帐号体系管理模块、应用管理模块和帐号管理模块;
所述帐号体系管理模块包括帐号体系数据权限维度管理子模块和帐号字段管理子模块;
所述帐号体系数据权限维度管理子模块用于对不同帐号体系定义独立的数据权限管控维度;所述数据权限管控维度支持所述应用管理模块调用;所述帐号字段管理子模块用于支持在不同所述帐号体系下配置对应的系统字段,以及用于定义所述系统字段的属性;所述属性包括是否唯一、是否必填、是否允许用户修改、修改验证方式和帐号注册流程;
所述应用管理模块包括帐号信息授权管理子模块和权限配置管理子模块;
所述帐号信息授权管理子模块用于基于所述帐号字段管理子模块配置的参数来配置应用支持的帐号登录方式;所述权限配置管理子模块用于根据预设权限模型配置应用下的菜单权限和操作权限;
所述帐号管理模块包括帐号权限管理子模块;
所述帐号权限管理子模块用于基于所述权限配置管理子模块配置的参数对帐号的功能权限进行配置,以及用于基于所述帐号体系数据权限维度管理子模块配置的参数对所述帐号的数据权限进行配置。
进一步的,所述帐号体系管理模块还包括:第三方登录子模块
所述第三方登录子模块用于配置所述帐号体系支持的三方登录方式和三方平台参数。
进一步的,所述应用管理模块还包括:应用数据权限维度管理子模块;
所述应用数据权限维度管理子模块用于独立设置应用下的数据权限管控维度,以及用于调用所述帐号体系数据权限维度管理子模块定义的数据权限管控维度;所述应用数据权限维度管理子模块调用的所述数据权限管控维度仅支持系统查看和使用。
进一步的,所述帐号管理模块还包括:帐号基本信息管理子模块;
所述帐号基本信息管理子模块用于维护所述帐号字段管理子模块定义的系统字段。
进一步的,所述应用管理模块还包括:应用基本信息管理子模块;
所述应用基本信息管理子模块用于管理应用所属的帐号体系、应用渠道和授权域名。
进一步的,所述应用管理模块还包括:角色管理子模块;
所述角色管理子模块用于配置应用下不同角色,以及用于对所述角色进行权限配置;
所述帐号权限管理子模块配置帐号权限时,通过赋予所述帐号角色来对所述帐号的功能权限进行配置。
进一步的,所述应用管理模块还包括:安全设置子模块;
所述安全设置子模块用于支持配置帐号敏感操作风控策略和帐号多端登录设置。
进一步的,所述帐号管理模块还包括:操作日志管理子模块;
所述操作日志管理子模块用于管理帐号历史操作记录。
第二方面,本发明提供了一种身份识别与访问管理方法,包括:
根据用户发送的第一创建指令创建帐号体系超级管理员帐号;
根据所述用户发送的第二创建指令创建所述帐号体系超级管理员帐号下的帐号体系;
根据所述用户发送的第三创建指令创建所述帐号体系下的应用;所述应用中设置有预设权限定义;
根据所述用户发送的第四创建指令创建所述应用下的帐号;
根据所述用户发送的第五创建指令创建所述帐号的登录应用流程;所述登录应用流程符合预设登录方式和安全风控规则;
根据所述用户发送的第六创建指令创建用户访问应用系统;用户通过登录所述帐号访问所述用户访问应用系统;所述用户访问所述用户访问应用系统时,遵从所述预设权限定义。
进一步的,所述根据所述用户发送的第四创建指令创建所述应用下的帐号之后,还包括:
根据所述用户发送的分配指令分配所述帐号体系下所有所述应用的访问权限。
本发明采用以上技术方案,一种身份识别与访问管理系统,包括:帐号体系管理模块、应用管理模块和帐号管理模块;帐号体系管理模块包括帐号体系数据权限维度管理子模块和帐号字段管理子模块;帐号体系数据权限维度管理子模块用于对不同帐号体系定义独立的数据权限管控维度;数据权限管控维度支持应用管理模块调用;帐号字段管理子模块用于支持在不同帐号体系下配置对应的系统字段,以及用于定义系统字段的属性;应用管理模块包括帐号信息授权管理子模块和权限配置管理子模块;帐号信息授权管理子模块用于基于所述帐号字段管理子模块配置的参数来配置应用支持的帐号登录方式;权限配置管理子模块用于根据预设权限模型配置应用下的菜单权限和操作权限;帐号管理模块包括帐号权限管理子模块;帐号权限管理子模块用于基于权限配置管理子模块配置的参数对帐号的功能权限进行配置,以及用于基于帐号体系数据权限维度管理子模块配置的参数对所述帐号的数据权限进行配置。如此,本申请能够支持相关技术对不同帐号体系进行身份信息管理,灵活定义不同帐号体系下的系统字段,以使本申请实现灵活配置帐号身份信息,满足不同帐号体系,不同应用(业务系统)的统一帐号管理需求;此外,本申请能够支持相关技术的帐号体系或业务系统灵活定义数据权限管控维度,避免了重复开发和资源浪费的情况发生。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种身份识别与访问管理系统的结构示意图。
图2是本发明实施例提供的一种身份识别与访问管理方法的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
图1是本发明实施例提供的一种身份识别与访问管理系统的结构示意图。如图1所示,本实施例的身份识别与访问管理系统,包括:帐号体系管理模块11、应用管理模块12和帐号管理模块13。
其中,帐号体系管理模块11包括帐号体系数据权限维度管理子模块111和帐号字段管理子模块112;帐号体系数据权限维度管理子模块111用于对不同帐号体系定义独立的数据权限管控维度;所述数据权限管控维度支持应用管理模块12调用;帐号字段管理子模块112用于支持在不同所述帐号体系下配置对应的系统字段,以及用于定义所述系统字段的属性;所述属性包括是否唯一、是否必填、是否允许用户修改、修改验证方式和帐号注册流程。
应用管理模块12包括帐号信息授权管理子模块121和权限配置管理子模块122;帐号信息授权管理子模块121用于基于帐号字段管理子模块112配置的参数来配置应用支持的帐号登录方式;权限配置管理子模块122用于根据预设权限模型配置应用下的菜单权限和操作权限。
帐号管理模块13包括帐号权限管理子模块131;帐号权限管理子模块131用于基于权限配置管理子模块122配置的参数对帐号的功能权限进行配置,以及用于基于帐号体系数据权限维度管理子模块111配置的参数对所述帐号的数据权限进行配置。
具体的,本申请对于用户帐号的身份认证授权整体分为四个层次:租户-帐号体系-应用-帐号,本申请支持各帐号体系和业务系统自上而下灵活定义所有下一层次的身份规则。
帐号体系数据权限维度管理子模块111用于对不同帐号体系定义独立的数据权限管控维度;支持多层级、多维度灵活配置数据权限。帐号体系通过帐号体系数据权限维度管理子模块111定义的该帐号体系的数据权限管控维度,可以在该帐号体系下的所有应用系统(业务系统)内共享。帐号体系可通过帐号体系数据权限维度管理子模块111对组织架构等不同维度进行数据权限管控,及添加维度。帐号体系数据权限维度管理子模块111支持设置每个维度的启用状态,启用状态包括开启和关闭。当目标维度的启用状态设置为开启时,帐号体系才可通过帐号体系数据权限维度管理子模块111对目标维度进行数据权限管控,数据权限管控至少包括如下一种操作:详情列表、导入、导出、日志和编辑。当目标维度的启用状态设置为关闭时,目标维度的字段信息不进行显示,帐号体系不能通过帐号体系数据权限维度管理子模块111对目标维度进行数据权限管控。
帐号字段管理子模块112用于支持在不同所述帐号体系下配置对应的系统字段,以及用于定义所述系统字段的属性;所述属性包括是否唯一、是否必填、是否允许用户修改、修改验证方式和帐号注册流程。系统字段为用于鉴定用户帐号身份信息的字段,例如:用户名、密码、邮箱、手机号、昵称、身份证号、通讯地址等。手机号是否必填唯一决定了用户帐号登录方式是否可选手机号+动态口令(One-Time Password,OTP),或者密码登录。邮箱是否必填,是否唯一将影响用户帐号登录时是否可选择邮箱登录,手机号是否必填、是否唯一将影响用户帐号登录时是否可选择手机号登录。
帐号信息授权管理子模块121用于基于帐号字段管理子模块112配置的参数来配置应用支持的帐号登录方式;应用支持的帐号登录方式可以是如下任意一种:一、手机号+短信验证码登录;二、手机号/用户名/邮箱+密码登录;三、用户名+密码登录;四、手机号+密码登录;五、邮箱+密码登录。
权限配置管理子模块122用于根据预设权限模型配置应用下的菜单权限和操作权限。菜单权限包括操作按钮。限配置管理子模块122配置应用下的菜单权限和操作权限,可用于决定在配置用户帐号角色或帐号权限时的具体显示功能。预设权限模型可以是如下权限模型的排列组合:基于角色的访问控制(Role-Based Access Control,RBAC)模型、ABAC模型和基于资源管理的各种复杂权限模型。如此,使得本申请的权限模型灵活可扩展。
帐号权限管理子模块131用于基于权限配置管理子模块122配置的参数对帐号的功能权限进行配置,以及用于基于帐号体系数据权限维度管理子模块111配置的参数对所述帐号的数据权限进行配置。
本发明采用以上技术方案,一种身份识别与访问管理系统,包括:帐号体系管理模块、应用管理模块和帐号管理模块;帐号体系管理模块包括帐号体系数据权限维度管理子模块和帐号字段管理子模块;帐号体系数据权限维度管理子模块用于对不同帐号体系定义独立的数据权限管控维度;数据权限管控维度支持应用管理模块调用;帐号字段管理子模块用于支持在不同帐号体系下配置对应的系统字段,以及用于定义系统字段的属性;应用管理模块包括帐号信息授权管理子模块和权限配置管理子模块;帐号信息授权管理子模块用于基于所述帐号字段管理子模块配置的参数来配置应用支持的帐号登录方式;权限配置管理子模块用于根据预设权限模型配置应用下的菜单权限和操作权限;帐号管理模块包括帐号权限管理子模块;帐号权限管理子模块用于基于权限配置管理子模块配置的参数对帐号的功能权限进行配置,以及用于基于帐号体系数据权限维度管理子模块配置的参数对所述帐号的数据权限进行配置。如此,本申请能够支持相关技术对不同帐号体系进行身份信息管理,灵活定义不同帐号体系下的系统字段,以使本申请实现灵活配置帐号身份信息,满足不同帐号体系,不同应用(业务系统)的统一帐号管理需求;此外,本申请能够支持相关技术的帐号体系或业务系统灵活定义数据权限管控维度,避免了重复开发和资源浪费的情况发生。
此外,帐号字段管理子模块112用于支持在不同所述帐号体系下配置对应的系统字段,以及用于定义所述系统字段的属性,满足了不同帐号体系,及帐号体系下的不同业务系统的管理需要,使得本申请适配各种帐号体系和业务系统。
此外,帐号信息授权管理子模块121基于帐号字段管理子模块112配置的参数来配置应用支持的帐号登录方式,使得本申请针对不同帐号体系或业务系统配置的帐号信息,提供统一的身份认证服务接口,使得本申请支持各种情况下的帐号注册和登录。
此外,本申请支持同帐号体系内的帐号单点登录多个业务系统、同帐号体系内的数据维度共享和同帐号体系内的用户标签共享。
进一步的,如图1所示,帐号体系管理模块11还可以包括:第三方登录子模块113。
第三方登录子模块113用于配置帐号体系支持的三方登录方式和三方平台参数,以使系统适配不同应用下的三方登录方式。第三方登录子模块113配置完毕三方登录方式之后,用户在进行帐号登录时,可自由选择已配置的三方登录方式。
相比于现有技术采用各业务系统或帐号体系独立开发其三方登录授权模块,本申请避免了各业务系统或帐号体系独立开发三方登录授权模块,如此,使得本申请具有节约硬件资源和人力资源的优点。
进一步的,如图1所示,应用管理模块12还可以包括:应用数据权限维度管理子模块123。
应用数据权限维度管理子模块123用于独立设置应用下的数据权限管控维度,还可以用于调用帐号体系数据权限维度管理子模块111定义的数据权限管控维度;应用数据权限维度管理子模块123调用的所述数据权限管控维度仅支持系统查看和使用,应用数据权限维度管理子模块123不可对调用的所述数据权限管控维度进行编辑。最终作用于应用帐号的数据权限管控维度,统一调用此处维护的数据权限管控维度,并且,各数据维度被设置为启用状态时,方可作用于于帐号数据权限配置规则中。
此外,帐号体系数据权限维度管理子模块111和应用数据权限维度管理子模块123通过引用元数据管理模块14中的元数据来实现设置数据权限管控维度。元数据管理模块14为基于租户的基础数据管理模块,至少包括组织部门管理子模块141、管理区子模块142和网点管理子模块143。
进一步的,如图1所示,帐号管理模块13还可以包括:帐号基本信息管理子模块132。
帐号基本信息管理子模块132用于维护帐号字段管理子模块112定义的系统字段。帐号基本信息管理子模块132的系统字段和校验逻辑均来自帐号体系管理模块11的配置。
进一步的,如图1所示,应用管理模块12还可以包括:应用基本信息管理子模块124。
应用基本信息管理子模块124用于管理应用所属的帐号体系、应用渠道和授权域名,以及用于管理应用图标、名称、简介、是否开启单点登录(Single Sign On,SSO)认证、SSO协议和是否开启权限管理。如此,使得本申请可以支持非标准协议的多帐号体系之间进行帐号互通。
进一步的,如图1所示,应用管理模块12还可以包括:角色管理子模块125。
角色管理子模块125用于配置应用下不同角色,以及用于对所述角色进行权限配置;所述帐号权限管理子模块配置帐号权限时,通过赋予所述帐号角色来对所述帐号的功能权限进行配置。如此,使得本申请能够具有全场景用户集中管理功能,具体可以是本申请能够具有用户管理、用户组管理、组织架构管理以及各种灵活数据维度管理等身份管理功能。例如,在员工入职、离职或调岗等情况下,员工帐号的访问权限也会发生相应的变化,本申请可以通过改变员工帐号的角色来对员工帐号的访问权限进行变更,进而实现了对用户的集中管理。
进一步的,如图1所示,应用管理模块12还可以包括:安全设置子模块126。
安全设置子模块126用于支持配置帐号敏感操作风控策略和帐号多端登录设置。帐号敏感操作风控策略包括:一次性密码(One Time Password,OTP)错误重试风控限制,例如,单次发送OTP验证错误20次后,OTP自动失效;以及错误密码登录风控限制,例如,1小时内单用户使用错误密码登录最多尝试5次。帐号多端登录设置包括:允许多客户端多设备在线,例如,最多允许5个设备。本申请通过设置安全设置子模块126,保障了使用本申请的各业务系统和帐号体系的信息安全,同时避免了各业务系统和帐号体系的关于认证授权等安全相关的开发工作,节约了人力资源和硬件资源。
进一步的,如图1所示,帐号管理模块13还可以包括:操作日志管理子模块133。
操作日志管理子模块133用于管理帐号历史操作记录。历史操作记录包括时间、网络之间互联的协议(Internet Protocol,IP)、浏览器设备、操作系统、应用、操作内容和操作结果。
进一步的,如图1所示,帐号体系管理模块11还包括帐号体系基本信息管理子模块114,用于管理帐号字段管理子模块112定义的系统字段。
进一步的,如图1所示,帐号管理模块13还可以包括帐号角色管理子模块134和第三方账户管理子模块135。
帐号角色管理子模块134用于调用角色管理子模块125配置的数据;第三方账户管理子模块135用于配置帐号的三方登录方式和三方平台参数。
进一步的,如图1所示,本申请的身份识别与访问管理系统还包括身份识别与访问管理(Identity and Access Management,IAM)控制台15。
IAM控制台15包括用户组管理子模块151和平台用户管理子模块152。平台用户管理子模块152用于用户帐号的认证管理、权限配置和加入的组管理,用户组管理子模块151用于引用平台用户管理子模块152中用户帐号加入的组管理中的数据。
需要说明的是,当帐号体系拥有帐号体系管理员角色权限时,或者应有系统拥有应有用户管理员角色权限时,系统静默生成对应的IAM控制台用户。
图2是本发明实施例提供的一种身份识别与访问管理方法的流程示意图。本实施例的身份识别与访问管理方法通过本申请的身份识别与访问管理系统实现。如图2所示,本实施例的身份识别与访问管理方法,包括:
S201、根据用户发送的第一创建指令创建帐号体系超级管理员帐号。
S202、根据用户发送的第二创建指令创建帐号体系超级管理员帐号下的帐号体系。
具体的,根据用户发送的第二创建指令创建帐号体系超级管理员帐号下的帐号体系包括:通过帐号字段管理子模块112在不同所述帐号体系下配置对应的系统字段,以及用于定义所述系统字段的属性;所述属性包括是否唯一、是否必填、是否允许用户修改、修改验证方式和帐号注册流程。系统字段为用于鉴定用户帐号身份信息的字段,例如:用户名、密码、邮箱、手机号、昵称、身份证号、通讯地址等。手机号是否必填唯一决定了用户帐号登录方式是否可选手机号+动态口令(One-Time Password,OTP),或者密码登录。邮箱是否必填,是否唯一将影响用户帐号登录时是否可选择邮箱登录,手机号是否必填、是否唯一将影响用户帐号登录时是否可选择手机号登录。
通过帐号体系数据权限维度管理子模块111对不同帐号体系定义独立的数据权限管控维度;支持多层级、多维度灵活配置数据权限。帐号体系通过帐号体系数据权限维度管理子模块111定义的该帐号体系的数据权限管控维度,可以在该帐号体系下的所有应用系统(业务系统)内共享。帐号体系可通过帐号体系数据权限维度管理子模块111对组织架构等不同维度进行数据权限管控,及添加维度。帐号体系数据权限维度管理子模块111支持设置每个维度的启用状态,启用状态包括开启和关闭。当目标维度的启用状态设置为开启时,帐号体系才可通过帐号体系数据权限维度管理子模块111对目标维度进行数据权限管控,数据权限管控至少包括如下一种操作:详情列表、导入、导出、日志和编辑。当目标维度的启用状态设置为关闭时,目标维度的字段信息不进行显示,帐号体系不能通过帐号体系数据权限维度管理子模块111对目标维度进行数据权限管控。
通过第三方登录子模块113配置帐号体系支持的三方登录方式和三方平台参数,以使系统适配不同应用下的三方登录方式。第三方登录子模块113配置完毕三方登录方式之后,用户在进行帐号登录时,可自由选择已配置的三方登录方式。
需要说明的是,帐号体系数据权限维度管理子模块111、第三方登录子模块113为身份识别与访问管理系统中非必要完成的配置功能,各业务系统或帐号体系在使用身份识别与访问管理系统进行身份认证授权的管理过程中,可根据实际需要在帐号体系中选择完成这些配置功能。
S203、根据用户发送的第三创建指令创建帐号体系下的应用;所述应用中设置有预设权限定义。
具体的,根据用户发送的第三创建指令创建帐号体系下的应用包括:
通过帐号信息授权管理子模块121配置应用支持的帐号登录方式;应用支持的帐号登录方式可以是如下任意一种:一、手机号+短信验证码登录;二、手机号/用户名/邮箱+密码登录;三、用户名+密码登录;四、手机号+密码登录;五、邮箱+密码登录。
通过权限配置管理子模块122配置应用下的菜单权限和操作权限。菜单权限包括操作按钮。限配置管理子模块122配置应用下的菜单权限和操作权限,可用于决定在配置用户帐号角色或帐号权限时的具体显示功能。预设权限模型可以是如下权限模型的排列组合:基于角色的访问控制(Role-Based Access Control,RBAC)模型、ABAC模型和基于资源管理的各种复杂权限模型。
通过应用数据权限维度管理子模块123独立设置应用下的数据权限管控维度,或者调用帐号体系数据权限维度管理子模块111定义的数据权限管控维度;应用数据权限维度管理子模块123调用的所述数据权限管控维度仅支持系统查看和使用,应用数据权限维度管理子模块123不可对调用的所述数据权限管控维度进行编辑。最终作用于应用帐号的数据权限管控维度,统一调用此处维护的数据权限管控维度,并且,各数据维度被设置为启用状态时,方可作用于于帐号数据权限配置规则中。
通过角色管理子模块125配置应用下不同角色,以及用于对所述角色进行权限配置;所述帐号权限管理子模块配置帐号权限时,通过赋予所述帐号角色来对所述帐号的功能权限进行配置。
通过安全设置子模块126配置帐号敏感操作风控策略和帐号多端登录设置。
需要说明的是,权限配置管理子模块122、应用数据权限维度管理子模块123、角色管理子模块125为身份识别与访问管理系统中非必要完成的配置功能,各业务系统或帐号体系在使用身份识别与访问管理系统进行身份认证授权的管理过程中,可根据实际需要在帐号体系中选择完成这些配置功能。
S204、根据用户发送的第四创建指令创建应用下的帐号。
具体可以是根据管理员发送的第四创建指令后台创建应用下的帐号,或者根据注册用户发送的第四创建指令注册生成应用下的帐号。系统创建帐号时,遵从帐号体系定义的系统字段信息规则。
S205、根据用户发送的第五创建指令创建所述帐号的登录应用流程;登录应用流程符合预设登录方式和安全风控规则。
S206、根据用户发送的第六创建指令创建用户访问应用系统;用户通过登录帐号访问所述用户访问应用系统;用户访问所述用户访问应用系统时,遵从所述预设权限定义。
进一步的,根据用户发送的第四创建指令创建应用下的帐号之后,还包括:
根据用户发送的分配指令分配帐号体系下所有应用的访问权限。
具体的,分配帐号体系下所有应用的访问权限,具体包括:给各应用分配角色进而分配该应用对应的菜单权限或操作权限,以及分配各应用的数据权限。
上述实施例的身份识别与访问管理方法通过本申请的身份识别与访问管理系统实现,具有相同的执行过程和有益效果,在此不在赘述。
需要说明的是,本申请的身份识别与访问管理系统可以支持用户通过管理台前端页面进行帐号体系字段属性配置、登录方式设置、数据维度权限管理及业务应用登录注册页面配置等,还可以支持用户通过文件进行帐号体系字段属性配置、登录方式设置、数据维度权限管理及业务应用登录注册页面配置等。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程示意图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种身份识别与访问管理系统,其特征在于,包括:帐号体系管理模块、应用管理模块和帐号管理模块;
所述帐号体系管理模块包括帐号体系数据权限维度管理子模块和帐号字段管理子模块;
所述帐号体系数据权限维度管理子模块用于对不同帐号体系定义独立的数据权限管控维度;所述数据权限管控维度支持所述应用管理模块调用;所述帐号字段管理子模块用于支持在不同所述帐号体系下配置对应的系统字段,以及用于定义所述系统字段的属性;所述属性包括是否唯一、是否必填、是否允许用户修改、修改验证方式和帐号注册流程;
所述应用管理模块包括帐号信息授权管理子模块和权限配置管理子模块;
所述帐号信息授权管理子模块用于基于所述帐号字段管理子模块配置的参数来配置应用支持的帐号登录方式;所述权限配置管理子模块用于根据预设权限模型配置应用下的菜单权限和操作权限;
所述帐号管理模块包括帐号权限管理子模块;
所述帐号权限管理子模块用于基于所述权限配置管理子模块配置的参数对帐号的功能权限进行配置,以及用于基于所述帐号体系数据权限维度管理子模块配置的参数对所述帐号的数据权限进行配置。
2.根据权利要求1所述的身份识别与访问管理系统,其特征在于,所述帐号体系管理模块还包括:第三方登录子模块
所述第三方登录子模块用于配置所述帐号体系支持的三方登录方式和三方平台参数。
3.根据权利要求1所述的身份识别与访问管理系统,其特征在于,所述应用管理模块还包括:应用数据权限维度管理子模块;
所述应用数据权限维度管理子模块用于独立设置应用下的数据权限管控维度,以及用于调用所述帐号体系数据权限维度管理子模块定义的数据权限管控维度;所述应用数据权限维度管理子模块调用的所述数据权限管控维度仅支持系统查看和使用。
4.根据权利要求1所述的身份识别与访问管理系统,其特征在于,所述帐号管理模块还包括:帐号基本信息管理子模块;
所述帐号基本信息管理子模块用于维护所述帐号字段管理子模块定义的系统字段。
5.根据权利要求1所述的身份识别与访问管理系统,其特征在于,所述应用管理模块还包括:应用基本信息管理子模块;
所述应用基本信息管理子模块用于管理应用所属的帐号体系、应用渠道和授权域名。
6.根据权利要求1所述的身份识别与访问管理系统,其特征在于,所述应用管理模块还包括:角色管理子模块;
所述角色管理子模块用于配置应用下不同角色,以及用于对所述角色进行权限配置;
所述帐号权限管理子模块配置帐号权限时,通过赋予所述帐号角色来对所述帐号的功能权限进行配置。
7.根据权利要求1所述的身份识别与访问管理系统,其特征在于,所述应用管理模块还包括:安全设置子模块;
所述安全设置子模块用于支持配置帐号敏感操作风控策略和帐号多端登录设置。
8.根据权利要求1所述的身份识别与访问管理系统,其特征在于,所述帐号管理模块还包括:操作日志管理子模块;
所述操作日志管理子模块用于管理帐号历史操作记录。
9.一种身份识别与访问管理方法,其特征在于,包括:
根据用户发送的第一创建指令创建帐号体系超级管理员帐号;
根据所述用户发送的第二创建指令创建所述帐号体系超级管理员帐号下的帐号体系;
根据所述用户发送的第三创建指令创建所述帐号体系下的应用;所述应用中设置有预设权限定义;
根据所述用户发送的第四创建指令创建所述应用下的帐号;
根据所述用户发送的第五创建指令创建所述帐号的登录应用流程;所述登录应用流程符合预设登录方式和安全风控规则;
根据所述用户发送的第六创建指令创建用户访问应用系统;用户通过登录所述帐号访问所述用户访问应用系统;所述用户访问所述用户访问应用系统时,遵从所述预设权限定义。
10.根据权利要求9所述的身份识别与访问管理方法,其特征在于,所述根据所述用户发送的第四创建指令创建所述应用下的帐号之后,还包括:
根据所述用户发送的分配指令分配所述帐号体系下所有所述应用的访问权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010755794.8A CN111949973A (zh) | 2020-07-31 | 2020-07-31 | 身份识别与访问管理系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010755794.8A CN111949973A (zh) | 2020-07-31 | 2020-07-31 | 身份识别与访问管理系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111949973A true CN111949973A (zh) | 2020-11-17 |
Family
ID=73338883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010755794.8A Pending CN111949973A (zh) | 2020-07-31 | 2020-07-31 | 身份识别与访问管理系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111949973A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113435964A (zh) * | 2021-06-16 | 2021-09-24 | 苏州市企淘网络科技有限公司 | 一种基于访问的账号管理系统及方法 |
| CN115913696A (zh) * | 2022-11-10 | 2023-04-04 | 国网四川省电力公司电力科学研究院 | 一种虚拟网络零信任访问控制方法、装置、设备及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003296275A (ja) * | 2002-04-04 | 2003-10-17 | Denso Corp | ユーザアカウント管理システム |
| US20090150981A1 (en) * | 2007-12-06 | 2009-06-11 | Alexander Phillip Amies | Managing user access entitlements to information technology resources |
| CN101895551A (zh) * | 2010-07-22 | 2010-11-24 | 北京天融信科技有限公司 | 一种资源访问控制方法及系统 |
| US20160294813A1 (en) * | 2014-01-10 | 2016-10-06 | Tencent Technology (Shenzhen) Company Limited | Method and system for facilitating collaboration across multiple platforms |
| CN106101054A (zh) * | 2016-04-29 | 2016-11-09 | 乐视控股(北京)有限公司 | 一种多系统的单点登录方法和集中管控系统 |
| CN106302435A (zh) * | 2016-08-11 | 2017-01-04 | 上海泛微网络科技股份有限公司 | 一种基于集团化分级分权管理系统 |
| CN106534199A (zh) * | 2016-12-26 | 2017-03-22 | 盐城工学院 | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 |
| CN106657036A (zh) * | 2016-12-07 | 2017-05-10 | 安徽尚果信息科技有限公司 | 一种多系统管理认证登录方法 |
| CN109962805A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种基于分权分域的多平台接入方法及设备 |
| CN110807201A (zh) * | 2019-10-31 | 2020-02-18 | 珠海格力电器股份有限公司 | 一种多维度数据权限管理系统及方法 |
| CN111339098A (zh) * | 2020-02-26 | 2020-06-26 | 苏宁云计算有限公司 | 一种权限管理方法、数据查询方法及装置 |
-
2020
- 2020-07-31 CN CN202010755794.8A patent/CN111949973A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003296275A (ja) * | 2002-04-04 | 2003-10-17 | Denso Corp | ユーザアカウント管理システム |
| US20090150981A1 (en) * | 2007-12-06 | 2009-06-11 | Alexander Phillip Amies | Managing user access entitlements to information technology resources |
| CN101895551A (zh) * | 2010-07-22 | 2010-11-24 | 北京天融信科技有限公司 | 一种资源访问控制方法及系统 |
| US20160294813A1 (en) * | 2014-01-10 | 2016-10-06 | Tencent Technology (Shenzhen) Company Limited | Method and system for facilitating collaboration across multiple platforms |
| CN106101054A (zh) * | 2016-04-29 | 2016-11-09 | 乐视控股(北京)有限公司 | 一种多系统的单点登录方法和集中管控系统 |
| CN106302435A (zh) * | 2016-08-11 | 2017-01-04 | 上海泛微网络科技股份有限公司 | 一种基于集团化分级分权管理系统 |
| CN106657036A (zh) * | 2016-12-07 | 2017-05-10 | 安徽尚果信息科技有限公司 | 一种多系统管理认证登录方法 |
| CN106534199A (zh) * | 2016-12-26 | 2017-03-22 | 盐城工学院 | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 |
| CN109962805A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种基于分权分域的多平台接入方法及设备 |
| CN110807201A (zh) * | 2019-10-31 | 2020-02-18 | 珠海格力电器股份有限公司 | 一种多维度数据权限管理系统及方法 |
| CN111339098A (zh) * | 2020-02-26 | 2020-06-26 | 苏宁云计算有限公司 | 一种权限管理方法、数据查询方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113435964A (zh) * | 2021-06-16 | 2021-09-24 | 苏州市企淘网络科技有限公司 | 一种基于访问的账号管理系统及方法 |
| CN115913696A (zh) * | 2022-11-10 | 2023-04-04 | 国网四川省电力公司电力科学研究院 | 一种虚拟网络零信任访问控制方法、装置、设备及介质 |
| CN115913696B (zh) * | 2022-11-10 | 2024-04-26 | 国网四川省电力公司电力科学研究院 | 一种虚拟网络零信任访问控制方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12095752B2 (en) | System for managing remote software applications | |
| US10652235B1 (en) | Assigning policies for accessing multiple computing resource services | |
| US10084823B2 (en) | Configurable adaptive access manager callouts | |
| US11075900B2 (en) | Associating user accounts with enterprise workspaces | |
| EP3734932B1 (en) | Implicitly linking access policies using group names | |
| US9069979B2 (en) | LDAP-based multi-tenant in-cloud identity management system | |
| CA2784334C (en) | Multiplatform management system and method for mobile devices | |
| US10637723B2 (en) | Configuring enterprise workspaces | |
| CN113360862A (zh) | 统一身份认证系统、方法、电子设备及存储介质 | |
| US12074862B2 (en) | Unified identity and access management (IAM) control plane for services associated with a hybrid cloud | |
| US20240007458A1 (en) | Computer user credentialing and verification system | |
| CN111949973A (zh) | 身份识别与访问管理系统和方法 | |
| US20230403630A1 (en) | Role-based access control system | |
| CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
| US11444950B2 (en) | Automated verification of authenticated users accessing a physical resource | |
| CN113505996A (zh) | 权限管理方法及装置 | |
| Suzic | e-ID in the Cloud with SCIM | |
| Kumar et al. | Portal Security Administration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |