CN112818328A - 一种多系统权限管理方法、装置、设备以及存储介质 - Google Patents
一种多系统权限管理方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN112818328A CN112818328A CN202110220606.6A CN202110220606A CN112818328A CN 112818328 A CN112818328 A CN 112818328A CN 202110220606 A CN202110220606 A CN 202110220606A CN 112818328 A CN112818328 A CN 112818328A
- Authority
- CN
- China
- Prior art keywords
- target
- information
- user
- authentication
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Abstract
提供一种多系统权限管理方法、装置、设备以及存储介质。该方法包括:接收所述多个管理系统中的目标系统发送的鉴权请求,所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;响应于所述鉴权请求,将与所述用户标识关联的系统标识确定为目标系统标识,所述目标系统标识为所述多个系统标识中的与所述目标系统关联的系统标识;基于所述目标系统标识关联的第一信息,对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果;所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息;该方法可涉及操作权限管理技术领域、通信技术领域,该方法能够对企业内多系统的权限进行统一管理。
Description
技术领域
本申请实施例涉及操作权限管理技术领域、通信技术领域,并且更具体地,涉及一种多系统权限管理方法、装置、设备以及存储介质。
背景技术
随着互联网的蓬勃发展,各种各样的信息管理系统已经成为企业必须具备的软件系统,而通常这些信息管理系统会管理大量的敏感数据,随着大数据时代的来临,数据已经成为公司的核心竞争力,因此,有效的权限管理对于维护数据、业务的安全十分重要。
企业信息管理系统众多,由于不同信息管理系统之间资源的差异性,所使用的开发语言、权限管理技术选型也不相同,每一个信息管理系统都实现了自己的权限管理模块且大部分信息管理系统权限功能重叠度高,导致了开发重复、后期维护困难的问题。
因此,针对企业内多系统的权限管理问题,一种有效的权限管理方法显得尤为重要。
发明内容
提供了一种多系统权限管理方法、装置、设备以及存储介质,能够对多系统的权限进行统一管理,降低权限管理模块的开发成本和维护成本。
第一方面,提供了一种多系统权限管理方法,该方法应用于权限管理平台,所述权限管理平台用于管理多个管理系统的权限,其中,所述多个管理系统分别关联至多个系统标识,所述权限管理平台配置有与所述多个系统标识分别关联的多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息;包括:
接收所述多个管理系统中的目标系统发送的鉴权请求,所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
响应于所述鉴权请求,将与所述用户标识关联的系统标识确定为目标系统标识,所述目标系统标识为所述多个系统标识中的与所述目标系统关联的系统标识;
基于所述目标系统标识关联的第一信息,对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果。
第二方面,提供了一种多系统权限管理方法,该方法应用于多个管理系统,所述多个管理系统分别关联至多个系统标识,所述多个系统标识分别关联多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息,所述多个管理系统包括目标系统,包括:
发送单元:用于向权限管理平台发送鉴权请求;所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
接受单元:用于接收所述权限管理平台发送的鉴权结果。
第三方面,提供了一种多系统权限管理装置,所述装置应用于一种权限管理平台,所述权限管理平台用于管理多个管理系统的权限,其中,所述多个管理系统分别关联至多个系统标识,所述权限管理平台配置有与所述多个系统标识分别关联的多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息;包括:
接收单元:用于接收所述多个管理系统中的目标系统发送的鉴权请求,所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
确定单元:用于响应于所述鉴权请求,将与所述用户标识关联的系统标识确定为目标系统标识,所述目标系统标识为所述多个系统标识中的与所述目标系统关联的系统标识;
鉴权单元:用于基于所述目标系统标识关联的第一信息,对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果。
第四方面,提供了一种多系统权限管理装置,该装置应用于多个管理系统,所述多个管理系统分别关联至多个系统标识,所述多个系统标识分别关联多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息,所述多个管理系统包括目标系统,包括:
发送单元:用于向权限管理平台发送鉴权请求;所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
接收单元:接收所述权限管理平台发送的鉴权结果。
第五方面,提供了一种电子设备,包括:
处理器、存储器和收发器,所述存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,以执行上述第一方面实现方式中的方法和上述第二方面实现方式中的方法。
第六方面,提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序使得计算机执行上述第一方面实现方式中的方法和上述第二方面实现方式中的方法。
基于以上技术方案,将企业内多个管理系统已授权的用户的鉴权信息配置在权限管理平台,通过权限管理平台对企业内多个管理系统的权限进行统一管理,降低了单个管理系统权限管理模块的开发成本和维护成本;此外,用户在访问该多个管理系统中的目标系统时,通过该用户的用户标识确定目标系统标识,通过调用与该目标系统标识关联的鉴权信息对该用户的鉴权请求进行权限校验,实现了多个管理系统中每一个管理系统的鉴权信息独立,方便管理员对各个管理系统的鉴权信息进行分开管理。
附图说明
图1是本申请实施例提供的系统权限配置模型的示意性框图。
图2是本申请实施例提供的多系统权限管理的示意性交互图。
图3是本申请实施例提供的多系统权限管理的另一示意性交互图
图4是本申请实施例提供的系统框架的示意性框图。
图5是本申请实施例提供的多系统权限管理的装置的示意性框图。
图6是本申请实施例提供的多系统权限管理的装置的另一示意性框图。
图7是本申请实施例提供的电子设备的示意性框图。
具体实施方式
下面将结合附图,对本申请实施例中的技术方案进行描述。
在信息化蓬勃发展的今天,企业越来越多的业务依赖于不同信息系统的支撑。由于信息系统不可避免的涉及到企业业务的核心机密数据,所以信息安全已成为企业的核心之重,怎样高效安全的保障企业内多系统的信息,已成为影响企业发展的关键问题,而对多系统的权限进行统一管理和全生命周期管理有效的解决了该问题。
需要说明的是,本申请提供的多系统的权限管理方案可应用于任何企业内多系统权限管理的场景。
图1是本申请实施例提供的系统权限配置模型100的示例。
如图1所示,该权限配置模型100可包括基于角色的访问控制(Role-Based AccessControl,RBAC)权限模型和基于属性的访问控制(Attribute-Based Access Control,ABAC)权限模型;其中,基于角色的访问控制(Role-Based Access Control,RBAC)权限模型可包括用户101、角色102、组103、策略105、资源104;基于属性的访问控制(Attribute-Based Access Control,ABAC)权限模型可包括属性106。
需要说明的是,图1中的用户101、角色102、组103、策略105、资源104、属性106的数目仅仅是示意性的,根据实现需要,可以具有任意数目的用户101、角色102、组103、策略105、资源104、属性106。
下边将详细阐述该权限配置模型100中用户101、角色102、组103、策略105、资源104、属性106可建立的关系场景。
例如,一个用户101可以关联多个角色102,同时一个角色102也可以关联多个用户101;其中,在给用户101分配角色102时,需考虑角色102互斥,角色102互斥包括静态互斥和动态互斥,静态互斥即不能给用户101同时分配互斥的角色102,动态互斥即可以给用户101分配互斥的角色102,但是某一时刻只允许一个或某几个角色102访问;例如,静态互斥可以是同一用户101不能同时分配销售经理的角色102和财务经理的角色102,否则他既可以录入合同又能自己审批合同;例如,动态互斥可以是同一用户101同时拥有A地域销售经理的角色102和B地域销售经理的角色102,但某一时刻只允许A地域销售经理的角色102访问目标资源104。
另外,可以在角色102中引入继承的概念,将角色102分成几个等级,每个等级的权限不同;例如,一个公司的销售经理可能分几个等级,销售经理、销售副经理,给销售副经理赋予较低的等级,销售经理的权限则继承了销售副经理的权限。
例如,一个角色102可以访问多个资源104,一个资源104也可以被多个角色102访问;一个用户101可以绑定不同的组103,一个组103也可以绑定不同的用户101,其中,用户101不能绑定含有静态互斥角色102的组103;一个组103可以绑定多个角色102,同时一个角色102也可以被多个组103绑定,其中,一个组103不能绑定静态互斥的角色102。
例如,可以建立角色102、资源104和策略105之间的关联关系,同一个角色102、同一个资源104可以绑定多个策略105,同时该策略105也可以被绑定到多个角色102、与多个角色102对应的资源104。
例如,可以建立策略105与属性106的关系,一个策略105可以绑定多个属性106,同时一个属性106也可以被多个策略105绑定,其中属性106可以包括:角色属性、环境属性、操作属性及对象属性。
权限配置模型100是本申请实施例提供的权限管理平台中多系统的用户的权限配置模型,权限管理平台通过使用权限配置模型100,相当于,考虑到从功能权限和数据权限两个维度对多个管理系统的权限进行精细化管理。
需要说明的,功能权限表征该角色是否可以访问目标系统的目标资源,数据权限表征在该角色可以访问目标系统的目标资源的基础上,控制用户看到的数据范围。
图2是本申请实施例提供的多系统权限管理的方法200的示意性交互流程图。
应理解,该方法200可由目标系统和权限管理平台交互执行,该目标系统和权限管理平台可部署于任何终端设备上,该终端设备包括但不限于智能移动电话、平板电脑和其他小型个人携带型设备,如掌上电脑(Personal Digital Assistant,PDA)、电子书(electronic book,E-book)等。
所述权限管理平台用于管理多个管理系统的权限,其中,所述多个管理系统分别关联至多个系统标识,所述权限管理平台配置有与所述多个系统标识分别关联的多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息。例如,配置已授权用户的鉴权信息可以参照权限配置模型100。
如图2所示,该方法200可包括:
S201:权限管理平台接收所述多个管理系统中的目标系统发送的鉴权请求,所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
S202:响应于所述鉴权请求,将与所述用户标识关联的系统标识确定为目标系统标识,所述目标系统标识为所述多个系统标识中的与所述目标系统关联的系统标识;
S203:基于所述目标系统标识关联的第一信息,权限管理平台对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果;
S204:目标系统接收权限管理平台发送的鉴权结果。
例如,首先,将多个管理系统已授权用户的鉴权信息配置在权限管理平台;其次,当目标用户访问多个管理系统中目标系统的目标资源时,权限管理平台接收目标系统发送的鉴权请求,根据该鉴权请求中携带的用户标识先确认该用户标识关联的系统标识,再通过系统标识确认与该系统标识关联的鉴权信息;最后,权限管理平台通过调用与该系统标识关联的鉴权信息确认该用户拥有该资源的权限范围,并将鉴权结果发送给目标系统。
将企业内多个管理系统已授权的用户的鉴权信息配置在权限管理平台,通过权限管理平台对企业内多个管理系统的权限进行统一管理,降低了单个管理系统权限管理模块的开发成本和维护成本;此外,用户在访问该多个管理系统中的目标系统时,通过该用户的用户标识确定目标系统标识,通过调用与该目标系统标识关联的鉴权信息对该用户的鉴权请求进行权限校验,实现了多个管理系统中每一个管理系统的鉴权信息独立,方便管理员对各个管理系统的鉴权信息进行分开管理。
需要说明的是,该目标系统表征用户请求鉴权的系统,该多个管理系统包括目标系统;该系统标识为权限管理平台为该系统分配的用于唯一标识该系统的标识;该鉴权请求表征用户对目标系统某一资源的访问权限的校验请求。
在本申请的一些实施例中,所述接收所述多个管理系统中的目标系统发送的鉴权请求之前,方法200还可包括:
获取第一请求,所述第一请求用于请求所述权限管理平台配置所述目标系统标识关联的第一信息;判断所述第一请求是否已通过审批;在所述第一请求已通过审批的情况下,响应于所述第一请求,获取所述目标系统标识关联的第一信息。
例如,在权限管理平台配置新用户的鉴权信息之前,首先,权限管理平台会收到新用户的请求,该请求用于请求配置与目标系统标识关联的鉴权信息;其次,当请求被审批通过后,权限管理平台会获取到与目标系统标识关联的该用户的鉴权信息。
例如,获取的第一请求是:请求为新增加的管理系统配置已授权用户的鉴权信息。
再如,获取的第一请求是:请求为已有的多个管理系统中某一管理系统配置新用户的鉴权信息。
再如,获取的第一请求是:多个管理系统中某一管理系统的用户请求新加入某一个组。
再如,获取的第一请求是:多个管理系统中某一管理系统的用户请求新加入某一个角色。
需要说明的是,在审批新添加某一个角色或新加入某一个组的请求时,需考虑角色互斥和组互斥的情形,具体可参照权限配置模型100中的说明,在此不再赘述。
通过获取第一请求,判断该第一请求是否已通过审批,相当于,一方面考虑到鉴权信息配置前的审批机制,保证权限配置合理;另一方面,考虑到添加一个新管理系统,只需申请、审批就可以配置与新管理系统标识关联的已授权用户的鉴权信息,减少了新管理系统权限数据管理模块的开发成本。
在本申请的一些实施例中,所述接收所述多个管理系统中的目标系统发送的鉴权请求之后,方法200还可包括:
获取第二请求,所述第二请求用于请求修改所述权限管理平台中所述目标系统标识关联的第一信息;判断所述第二请求是否已通过审批;在所述第二请求已通过审批的情况下,响应于所述第二请求,获取修改后的所述目标系统标识关联的第一信息。
例如,在权限管理平台配置与系统标识关联的鉴权信息之后,获取修改与系统标识关联的鉴权信息的请求,该请求被审批通过后,权限管理平台会获取到修改后的与目标系统标识关联的鉴权信息。
例如,获取的第二请求是:某目标系统用户提出离职,即请求在与目标系统标识关联的鉴权信息中,删掉与该用户的用户标识有关的鉴权信息。
再如,获取的第二请求是:某目标系统用户提出,修改与目标系统标识关联的鉴权信息中与该用户标识有关的角色信息,或组信息。
通过获取第二请求,判断该第二请求是否已通过审批,审批通过的情况下,基于请求修改配置;相当于,一方面考虑到鉴权信息的修改是否合理;另一方面,通过简单的请求、审批、修改配置就可以快速实现因企业内人员变动或岗位变动带来的鉴权信息变更,提高了鉴权信息的维护效率。
需要说明的是,在审批角色信息或组信息的修改请求时,需考虑角色互斥和组互斥的情形,具体可参照权限配置模型100中的说明,在此不再赘述。
应理解,术语“鉴权”和“校验”在本文中可互换使用。
在本申请的一些实施例中,方法200还可包括:
对所述多个管理系统的用户鉴权过程进行记录,得到第一数据,所述第一数据包括鉴权成功的次数、鉴权失败的次数、资源访问的次数;基于所述多个第一信息和所述第一数据,确定目标类型的用户、目标类型的资源或目标类型的操作行为的审计数据。
例如,通过所述多个第一信息和鉴权过程记录的第一数据,可以确定出每个管理系统的沉寂用户、每个管理系统的沉寂资源、每个用户的鉴权次数、每个管理系统的鉴权成功次数、每个管理系统的鉴权失败次数、每个管理系统资源被访问的次数,每个管理系统违规操作行为,将这些数据供审计使用。
通过对用户鉴权过程的数据进行记录,再结合多个第一信息,相当于,一方面为后续审计提供了准确的基础数据,另一方面权限管理平台集中记录多个管理系统的鉴权数据,方便审计人员在一个平台同时对多个管理系统进行审计,提高审计工作效率。
需要说明的是,所述目标类型的用户包括沉寂用户、活跃用户、鉴权成功的用户、鉴权失败的用户;所述沉寂用户为在目标系统从未触发鉴权操作的用户;所述沉寂资源为在目标系统未被访问过的资源;所述活跃用户为在目标系统经常触发鉴权操作的用户;。
需要说明的是,所述目标类型的资源包括沉寂资源、活跃资源;所述沉寂资源为目标系统未被访问过的资源;所述活跃资源为目标系统经常被访问的资源。
需要说明的是,所述目标类型的操作行为包括越权操作行为;所述越权操作行为表征超出目标系统标识关联的鉴权信息的权限范围。
在本申请的一些实施例中,方法200还可包括:
对所述多个管理系统的用户鉴权过程进行监控,得到第二数据;基于所述多个第一信息和所述第二数据,确定用户鉴权过程中的违规鉴权行为;针对所述违规鉴权行为,输出与所述违规鉴权行为对应的预警信息。
例如,通过多个第一信息和用户访问目标系统时鉴权过程的监控数据,确定用户的鉴权行为为越权行为,则针对该越权行为给出“您的操作已超出权限范围”的提示语。
再如,通过多个第一信息和用户访问目标系统时鉴权过程的监控数据,确定用户的鉴权行为发生时间或发生地与该用户的鉴权信息不符,目标系统给出“请在正确的时间进行操作”或“请在正确的地理范围内操作”的提示语。
通过对多个管理系统的用户鉴权过程进行监控,一方面方便管理员对违规鉴权过程进行快速识别,做出对应的措施;另一方面,对多个管理系统的鉴权过程同时监控,提高了对多个管理系统进行安全管理的效率。
需要说明的是,所述违规鉴权行为表征和目标系统标识关联的鉴权信息不符的鉴权行为。
在本申请的一些实施例中,所述第一信息包括:基础信息和授权信息;其中,所述基础信息可包括但不限于:用户名信息、角色信息、资源信息、组信息、策略信息、属性信息;所述授权信息可包括但不限于:用户和角色的关联关系、角色和资源的关联关系、用户和组的关联关系、组和角色的关联关系、角色和资源及策略的关联关系、策略和属性的关联关系。
例如,某角色访问某资源时,将访问时携带的属性信息,结合该资源对应的策略信息,就可以确定该角色可以看到数据范围。
例如,策略信息可以是控制某个角色对某种资源的访问频次;再如,策略信息可以是控制某个角色访问某个资源时的登录地点。
例如,资源A对应的策略可以是控制角色对该资源的访问频次,则属性信息可以是:对应A角色的用户的访问频次是一万次,对应B角色的用户的访问频次是一千次。
例如,资源B对应的策略可以是控制角色对该资源的访问范围,则属性信息可以是:管理员角色可以看到该资源的所有数据,销售经理只可以看到该资源的销售数据。
通过配置用户、角色、资源、策略、属性的关联关系,对多个管理系统中所有用户的权限管理做到精细化管理,提高数据安全保障。
需要说明的是,所述策略信息可以是在对应资源信息上针对不同的角色施加的限制;当然,所述策略信息也可以是在对应资源信息上针对不同用户施加的限制。
需要说明的是,所述属性信息可以包括但不限于角色属性、环境属性、操作属性及对象属性;在本申请中授权信息之间的关系可参照权限配置模型100中的说明,在此不再赘述。
应理解,系统管理员可以对以上利用权限配置模型100配置的基础信息进行增加、更新、删除、查看、设置有效期、设置激活状态等操作;可以对以上利用权限配置模型100配置的授权信息进行绑定和解绑操作。
图3是本申请实施例提供的多系统权限管理的方法300的另一示意性交互流程图。
应理解,该方法300可由目标系统和权限管理平台交互执行,该目标系统和权限管理平台可部署于任何终端设备上,该终端设备包括但不限于智能移动电话、平板电脑和其他小型个人携带型设备,如掌上电脑(Personal Digital Assistant,PDA)、电子书(electronic book,E-book)等。
如图3所示,该方法300可包括:
所述鉴权请求还包括资源标识,所述资源标识为所述目标系统为所述目标资源分配的用于唯一标识所述目标资源的标识;
S301:权限管理平台基于所述目标系统标识关联的第一信息,对所述目标用户的用户标识进行校验。
S302:在所述目标用户的用户标识校验通过的情况下,权限管理平台向所述目标系统标识关联的目标系统发送第二信息,所述第二信息包括与所述目标用户的用户标识关联的组信息、与所述目标用户的用户标识关联的角色信息,所述目标系统标识关联的第一信息包括所述第二信息,所述与所述目标用户的用户标识关联的组信息包括至少一个组;所述与所述目标用户的用户标识关联的角色信息包括至少一个角色。
S303:目标系统获取目标用户从所述第二信息中选中的第三信息。
S304:权限管理平台接收所述目标系统标识关联的目标系统发送的第三信息;所述第三信息包括:所述目标用户从所述至少一个组中选中的目标角色、所述目标用户从所述至少一个角色中选中的目标组。
S305:权限管理平台基于所述目标系统标识关联的第一信息,确定所述用户标识是否关联所述目标角色、所述用户标识是否关联所述目标组、所述目标角色是否关联所述资源标识。
S306:在所述用户标识关联所述目标角色、所述用户标识关联所述目标组且所述目标角色关联所述资源标识的情况下,权限管理平台向所述目标系统发送鉴权结果;所述鉴权结果包括:所述目标系统标识关联的第一信息中与所述目标角色和所述资源标识关联的目标策略信息、所述目标系统标识关联的第一信息中与所述目标策略信息关联的目标属性信息。
S307:目标系统接收权限管理平台发送的鉴权结果
例如,目标用户可以加入多个组,目标用户可以拥有多个角色,在访问目标系统的时,首先,权限管理平台根据目标系统标识关联的第一信息对用户访问时的用户标识进行校验,在用户标识校验通过的情况下,权限管理平台向目标系统发送与该用户标识关联的用户的组信息和与该用户标识关联的用户的角色信息,供用户选择想访问目标系统的目标角色和目标组;其次,目标系统接收目标用户在目标系统上选中目标角色及目标组,并将该目标组及目标角色发送给权限管理平台,权限管理平台根据目标系统标识关联的第一信息对目标系统发送的用户选定的目标角色、用户选定的目标组以及用户访问资源的资源标识进行校验;最后,在该用户标识关联该目标角色、该用户标识关联该目标组且该目标角色关联该资源标识的情况下,权限管理平台向该目标系统发送该目标系统标识关联的第一信息中与目标角色和资源标识关联的目标策略信息、向目标系统发送目标系统标识关联的第一信息中与该目标策略信息关联的目标属性信息。
通过向目标系统发送组信息、角色信息,相当于,考虑到拥有多个组、多个角色的用户,在访问目标系统时需选定目标角色、目标组的情况;通过对用户选定后的第三信息和访问资源时携带的资源标识进行校验,相当于,一方面考虑到目标系统在接收第二信息的过程中可能被恶意软件篡改用户的多个组或用户的多个角色,即用户从第二信息中选中的第三信息出现错误,需再次校验;另一方面,实现了对目标用户是否有权限访问资源标识对应的资源的校验;通过向目标系统发送该目标系统标识关联的第一信息中与目标角色和资源标识关联的目标策略信息、该目标系统标识关联的第一信息中与该目标策略信息关联的目标属性信息,相当于,考虑到在目标用户有权限访问资源的情况下,通过角色、资源、策略和属性的关联关系控制不同角色在访问相同资源时对数据的操作权限。
需要说明的是,该鉴权请求表征用户请求访问目标系统的某一资源。
图4是多系统权限管理的方法所应用的系统框架400的示意性框图。
示意性的,如图4所示,该系统框架400可包括:
权限管理平台401可包括权限管理平台配置中心402和权限管理平台服务中心403。
权限管理平台配置中心402:统一权限平台配置中心402包括配置基础信息404、配置授权信息405;其中,配置基础信息404包括配置用户名信息、配置角色信息、配置资源信息、配置组信息、配置策略信息、配置属性信息;配置授权信息405包括配置用户和角色的关联关系、配置角色和资源的关联关系、配置用户和组的关联关系、配置组和角色的关联关系、配置角色和资源及策略的关联关系、配置策略和属性的关联关系。
权限管理平台服务中心403:统一权限平台服务中心403包括:鉴权前406、鉴权中407、鉴权后408。
其中鉴权前406可包括:申请配置鉴权信息409、审批申请410、配置411;例如,申请配置鉴权信息409可包括:申请为新建的子系统配置已授权用户的鉴权信息;再如,申请配置鉴权信息409可包括但不限于:申请加入角色、申请子系统管理员、申请加入组、申请组管理员、申请离职;其中,配置411可包括:新建配置或修改已有配置。
其中鉴权中407可包括:权限校验412、鉴权过程监控413、风险预警416、鉴权过程记录414;例如鉴权过程监控413包括但不限于:系统管理员对普通用户鉴权过程的监控。
其中鉴权后408可包括:数据审计415;例如,数据审计415可包括但不限于沉寂用户的审计、沉寂资源的审计、用户访问量的统计、鉴权成功分布统计、鉴权失败分布统计、资源访问量统计、沉寂账号清理、关键记录操作审计。
通过配置多系统的基础信息和多系统的授权信息,相当于,考虑了对系统的权限数据进行统一管理,以实现降低单个管理系统权限管理模块的开发成本和维护成本;通过鉴权前的申请、审批、配置,相当于,规范用户使用权限的流程、防止用户权限过大;通过鉴权中的权限校验、鉴权过程监控预警、鉴权过程记录,相当于,一方面实现了多系统数据的过程管理,提高多系统数据的安全性;另一方面监控过程记录的数据为后续权限审计提供数据保障;
综上所述,通过权限管理平台配置中心402和权限管理平台服务中心403,不仅实现了多系统的权限统一管理,降低了权限管理模块的开发成本和维护成本;而且实现了多系统权限管理数据的全生命周期管理,提高多系统数据的安全。
当然,在一些实施例中,实现该系统框架具体可以包括以下模块,下边将结合表1对本申请的多系统权限管理的系统框架可包括的模块进行详细说明。
表1
如表1所示,可通过表1实现本申请的权限管理平台架构。应理解,该系统可包括表1所示的部分或全部模块。
权限管理平台可包括:权限管理平台配置中心和权限管理平台服务中心。
其中,权限管理平台配置中心为多个管理系统的权限管理建立了统一身份管理中心:通常,一个企业内部的信息管理系统会涉及多套账号体系,如对内的信息管理系统有一套账号体系,对外的信息管理系统有另一套账号体系,同时,信息系统的权限管理还包括对服务之间访问的权限管理,建立统一身份管理中心的目的是收敛所有的账号系统,明确关联到人,明确个人的岗位、部门等相关信息,为后续用户的授权、管理等提供用户基础数据支持。
权限管理平台配置中心主要用于定义权限管理平台所需的基础信息,适配如图1所示的权限配置模型,权限管理平台配置中心包括基础信息配置中心和授权信息配置中心,基础信息配置中心主要包括以下几个模块:
用户配置模块:用户是访问或操作业务系统等资源实体的主体,用户数据主要来源于统一身份管理中心,每个信息管理系统的权限配置管理员配置访问该系统的用户最小集合。用户配置模块支持系统管理员对用户的增加、更新、删除、查看、设置有效期、设置激活状态等操作。
角色配置模块:统一权限管理平台的权限分配是以角色粒度为单位进行分配的,角色是一定数量的权限集合,在分配角色同时,需要考虑到角色互斥和角色继承的需求,角色互斥分为静态互斥和动态互斥,静态互斥即不能同时给实体分配互斥的角色信息,动态互斥即允许分配多个角色但某一个时刻只允许一个或某几个角色访问,即允许一个角色继承另一个角色权限。角色配置模块支持系统管理员对角色的增加、更新、删除、查看、设置有效期、设置激活状态、配置静态角色、配置互斥角色,配置角色继承关系等操作。
资源配置模块:在各个信息管理系统中,资源主要表现为统一资源定位系统(uniform resource locator,URL),此外,信息系统的权限配置管理员可根据实际需要进行灵活的配置,如也可以为某个数据库,某个文件、某个机器等。资源配置模块支持系统管理员对资源的增加、更新、删除、查看、设置权限等级、配置资源访问时间等操作。
组配置模块:组是一批具有相同权限的集合,每个信息系统的权限配置管理员可灵活配置组的信息。组配置模块支持系统管理员对组的增加、更新、删除、查看、设置有效期、设置激活状态等操作。
属性配置模块:属性是ABAC模型的重要组成部分,用于描述上述用户配置模块、角色配置模块、资源配置模块、组配置模块的属性信息,也可以用来表述访问的数据的属性信息。权限配置管理员可根据业务数据访问的需求配置。属性配置模块支持系统管理员对属性的增加、更新、删除、查看、配置属性值树等操作。
策略配置模块:策略是用户访问某个资源时施加的限制。策略管理模块支持系统管理员对策略的增加、更新、删除、查看等操作。
授权信息配置中心是基于以上基础信息配置中心的配置进行授权,基于图1所示的权限配置模型建立多种绑定关系,为后续权限校验、审计中心提供权限数据支持。权限管理平台的授权信息配置中心可包括以下几个模块:
角色-资源授权模块:建立角色和资源的联系,一个角色可以绑定多个资源,同时一个资源也能被多个角色绑定,代表属于某个角色的用户都能访问角色上绑定的资源。角色-资源授权模块支持系统管理员对角色-资源的授权关系进行绑定与解绑。
用户-角色授权模块:建立用户和角色的联系,一个用户可以绑定多个角色,同时一个角色也可以被多个用户绑定,授权绑定时提示用户不能绑定静态互斥的角色。用户-角色授权模块支持系统管理员对用户-角色的授权关系进行绑定与解绑。
用户-组授权模块:建立用户和组的联系,一个用户可以绑定多个组,同时一个组也可以被多个用户绑定,授权绑定时提示用户不能绑定含有静态互斥角色的组。用户-组授权模块支持系统管理员对用户-组的授权关系进行绑定与解绑。
组-角色授权模块:建立组和角色的联系,一个组可以绑定多个角色,同时一个角色也可以被多个组绑定,授权绑定时提示用户不能绑定静态互斥的角色。组-角色授权模块支持系统管理员对组-角色的授权关系进行绑定与解绑。
角色-资源-策略授权模块:建立角色在资源上施加的策略限制,同一个角色、同一个资源可以绑定多个策略,同时策略也可以绑定到多个角色、资源上。角色-资源-策略授权模块支持系统管理员对角色-资源-策略的授权关系进行绑定与解绑。
策略-属性授权模块:建立策略和属性的绑定关系,一个策略可以绑定多个属性,同时一个属性也可以被多个策略绑定;策略-属性授权模块支持系统管理员对策略-属性的授权关系进行绑定与解绑。
通过权限管理平台配置中心配置用户的基础数据,相当于,为后续用户的授权、管理等提供用户基础数据支持。
下边将对权限管理平台服务中心的各个模块进行详细说明。
建立权限管理平台服务中心:权限管理平台服务中心通过认证中心识别用户的身份和服务的身份,主要包括用户身份认证模块和服务身份认证模块;用户身份认证模块用于对用户的用户名进行校验,识别用户标识是否在目标系统标识关联的鉴权信息中;服务身份认证模块用于对服务器之间的交互进行校验,确保交互安全。权限管理平台服务中心从鉴权前(用户权限的分配、申请、审批等)、鉴权中(用户权限的校验、监控等)、鉴权后(用户权限的审计等)、安全管理(监控、告警等)四个维度,形成权限管理的生命周期,可包括以下几个部分:
鉴权前:
申请/审批中心:提供通用的申请流程模板,提供定置化的申请流程,用户访问某个资源前,需要走相应的申请/审批流程,只有审批通过后,才能分配给用户分配对应的角色、组等权限信息。其中申请/审批中心可实现但不限于以下功能:申请创建子系统、申请子系统管理员、申请组管理员、申请加入组、申请加入角色、多级审批、申请打回、展示申请单详情、展示申请列表、展示审批列表、申请撤回、申请修改。
通过建立申请/审批中心,规范用户使用权限的流程、防止用户权限过大,保证系统的安全。
鉴权中:
权限智能服务中心:提供权限校验、权限监控等功能,可包括以下模块:
权限校验模块:校验用户是否有权限访问信息管理系统的某个资源,具体可参照图3所示,此处不再赘述。
权限监控模块:监控用户的权限调用情况,包括用户访问的资源、访问时间、访问地址、权限校验结果等。
离职员工监控模块:监控用户的离职情况,方便实时的清理用户的权限。
权限回收模块:支持对用户的权限查看、禁用、删除等。
员工部门变动监控:监控用户在企业内部转岗情况,及时通知到系统管理员,以决定是否对用户的权限进行删除、禁用等操作。
非法账号监控:监控不在统一身份系统中存在的账号,及时通知到系统管理员,以决定是否对用户的权限进行删除、禁用等操作。
关键操作记录监控:主要记录系统管理员的权限配置情况。
权限变动监控:用户的权限发生变化,及时通知到系统管理员,以决定是否对用户的权限进行删除、禁用等操作。
日志采集模块:将以上监控过程产生的数据记录到日志,为后续的审计工作提供基础数据。
审计数据上报:权限校验模块产生的数据经过格式化后上传到数据库。
鉴权后:
权限审计中心:提供对鉴权数据的审计,可包括以下模块:
沉寂用户审计模块:未发生过鉴权行为的用户列表统计。
沉寂资源审计模块:未发生过鉴权行为的资源列表统计。
用户访问量统计模块:用户访问次数统计。
鉴权成功分布统计:授权决策成功的次数分布。
授权失败分布统计:授权决策失败的次数分布。
资源访问量统计:资源访问的次数统计。
用户权限查看:查看用户的权限分布情况,可包括但不限于用户-角色关系,用户-组关系,用户-组-角色关系,用户-角色-资源关系。
沉寂账号清理模块:清理低频账号的权限。
关键操作记录统计:展示系统管理员的权限配置情况。
用户权限数据导出服务:导出用户的权限数据,供审计机构审计。
产品权限数据导出服务:导出子系统的权限相关数据。
关键操作记录统计:导出子系统的系统管理员的权限配置情况。
安全管理中心:
依据上述鉴权前、鉴权中、鉴权后的权限管理对多个系统的权限进行全生命周期管理,并将此过程中产生的数据,按照上传日志的方式进行上传,并对上传的数据进行安全分析,安全管理中心可包括但不限于如下几个模块:
越权操作审计模块:查看用户是否有权限访问。
权限交集审计:审计用户访问权限产生交集的事件。
用户权限访问时间审计模块:审计用户访问的时间段是否合理。
异常访问审计:审计用户是否在不同场景、不同时间、不同机器等维度上有访问的情况。
权限过大审计:审计用户分配的权限是否过大。
监控规则:依据上述的审计模块,抽象出监控规则。
监控告警:依据决策引擎,产生告警数据。
实时预警:实时监控权限使用情况,实时发布预警。
权限管理平台通过配置多个管理系统的用户的基础数据,并且从鉴权前、鉴权中、鉴权后、安全管理四个维度对多个管理系统的权限进行精细化管理,一方面降低了单个管理系统权限管理模块的开发成本和维护成本,另一方面实现了对多个管理系统的权限整个生命周期的管理,提高数据的安全保障。
以上结合附图详细描述了本申请的优选实施方式,但是,本申请并不限于上述实施方式中的具体细节,在本申请的技术构思范围内,可以对本申请的技术方案进行多种简单变型,这些简单变型均属于本申请的保护范围。例如,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本申请对各种可能的组合方式不再另行说明。又例如,本申请的各种不同的实施方式之间也可以进行任意组合,只要其不违背本申请的思想,其同样应当视为本申请所公开的内容。
换言之,本申请提供的实施例仅用于说明本申请,本申请提供的实施例的软硬件平台架构、开发环境、开发语言、消息获取源头等的选取都是可以变化的,在本申请提供的技术方案的基础上,凡根据本发明原理对某个部分进行的改进和等同变换,均不应排除在本发明的保护范围之外。
还应理解,在本申请的各种方法实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
上文结合图1至图4,详细描述了本申请的方法实施例,下文结合图5至图6,详细描述本申请的装置实施例。
图5是本申请实施例提供的权限管理平台对应的装置500的示意性框图。
如图5所示,该装置可应用于一种权限管理平台,所述权限管理平台用于管理多个管理系统的权限,其中,所述多个管理系统分别关联至多个系统标识,所述权限管理平台配置有与所述多个系统标识分别关联的多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息;该装置500可包括:
接收单元510:用于接收所述多个管理系统中的目标系统发送的鉴权请求,所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
确定单元520:用于响应于所述鉴权请求,将与所述用户标识关联的系统标识确定为目标系统标识,所述目标系统标识为所述多个系统标识中的与所述目标系统关联的系统标识;
鉴权单元530:用于基于所述目标系统标识关联的第一信息,对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果。
在本申请的一些实施例中,确定单元520还可具体用于:
获取第一请求,所述第一请求用于请求在所述权限管理平台配置所述目标系统标识关联的第一信息;
判断所述第一请求是否已通过审批;
在所述第一请求已通过审批的情况下,响应于所述第一请求,获取所述目标系统标识关联的第一信息。
在本申请的一些实施例中,确定单元520还可具体用于:
获取第二请求,所述第二请求用于请求修改所述权限管理平台中所述目标系统标识关联的第一信息;
判断所述第二请求是否已通过审批;
在所述第二请求已通过审批的情况下,响应于所述第二请求,获取修改后的所述目标系统标识关联的第一信息。
在本申请的一些实施例中,确定单元520可具体用于:
对所述多个管理系统的用户鉴权过程进行记录,得到第一数据,所述第一数据包括鉴权成功的次数、鉴权失败的次数、资源访问的次数;
基于所述多个第一信息和所述第一数据,确定目标类型的用户、目标类型的资源或目标类型的操作行为的审计数据。
在本申请的一些实施例中,确定单元520可具体用于:
对所述多个管理系统的用户鉴权过程进行监控,得到第二数据;
基于所述多个第一信息和所述第二数据,确定用户鉴权过程中的违规鉴权行为;
针对所述违规鉴权行为,输出与所述违规鉴权行为对应的预警信息。
在本申请的一些实施例中,所述第一信息包括:基础信息和授权信息;其中,
所述基础信息包括:用户名信息、角色信息、资源信息、组信息、策略信息、属性信息;
所述授权信息包括:用户和角色的关联关系、角色和资源的关联关系、用户和组的关联关系、组和角色的关联关系、角色和资源及策略的关联关系、策略和属性的关联关系。
在本申请的一些实施例中,所述鉴权请求还包括资源标识,所述资源标识为所述目标系统为所述目标资源分配的用于唯一标识所述目标资源的标识;该鉴权单元530可具体用于:
基于所述目标系统标识关联的第一信息,对所述目标用户的用户标识进行校验;
在所述目标用户的用户标识校验通过的情况下,向所述目标系统标识关联的目标系统发送第二信息,所述第二信息包括与所述目标用户的用户标识关联的组信息、与所述目标用户的用户标识关联的角色信息,所述目标系统标识关联的第一信息包括所述第二信息,所述与所述目标用户的用户标识关联的组信息包括至少一个组;所述与所述目标用户的用户标识关联的角色信息包括至少一个角色;
接收所述目标系统标识关联的目标系统发送的第三信息;所述第三信息包括:所述目标用户从所述至少一个组中选中的目标角色、所述目标用户从所述至少一个角色中选中的目标组;
基于所述目标系统标识关联的第一信息,确定所述用户标识是否关联所述目标角色、所述用户标识是否关联所述目标组、所述目标角色是否关联所述资源标识;
在所述用户标识关联所述目标角色、所述用户标识关联所述目标组且所述目标角色关联所述资源标识的情况下,向所述目标系统发送鉴权结果;所述鉴权结果包括:所述目标系统发送所述目标系统标识关联的第一信息中与所述目标角色和所述资源标识关联的目标策略信息、所述目标系统标识关联的第一信息中与所述目标策略信息关联的目标属性信息。
图6是本申请实施例提供的目标系统对应的装置600的示意性框图。
如图6所示,该装置可应用于多个管理系统,所述多个管理系统分别关联至多个系统标识,所述多个系统标识分别关联多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息,所述多个管理系统包括目标系统;该装置600可包括:
发送单元610:用于向权限管理平台发送鉴权请求;所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
接收单元620:用于接收所述权限管理平台发送的鉴权结果。
在本申请的一些实施例中,接收单元620可具体用于:
接收所述权限管理平台发送的预警信息;所述预警信息表征所述权限管理平台针对用户鉴权过程中出现的违规鉴权行为给出的提示信息。
在本申请的一些实施例中,所述第一信息包括:基础信息和授权信息;其中,
所述基础信息包括:用户名信息、角色信息、资源信息、组信息、策略信息、属性信息;
所述授权信息包括:用户和角色的关联关系、角色和资源的关联关系、用户和组的关联关系、组和角色的关联关系、角色和资源及策略的关联关系、策略和属性的关联关系。
在本申请的一些实施例中,接收单元620可具体用于:所述鉴权请求还包括资源标识,所述资源标识为所述目标系统为所述目标资源分配的用于唯一标识所述目标资源的标识;在所述接收所述权限管理平台发送的鉴权结果之前,所述方法还包括:
接收所述权限管理平台发送的第二信息;所述第二信息包括与所述目标用户的用户标识关联的组信息、与所述目标用户的用户标识关联的角色信息,所述目标系统标识关联的第一信息包括所述第二信息,所述与所述目标用户的用户标识关联的组信息包括至少一个组;所述与所述目标用户的用户标识关联的角色信息包括至少一个角色;
响应于所述目标用户对所述第二信息的选中操作,向权限管理平台发送第三信息;所述第三信息包括:所述目标用户从所述至少一个组中选中的目标角色、所述目标用户从所述至少一个角色中选中的目标组;所述第三信息用于和所述目标系统标识关联的第一信息进行校验,在所述用户标识关联所述目标角色、所述用户标识关联所述目标组且所述目标角色关联所述资源标识的情况下,生成鉴权结果;所述鉴权结果包括:所述目标系统标识关联的第一信息中与所述目标角色和所述资源标识关联的目标策略信息、所述目标系统标识关联的第一信息中与所述目标策略信息关联的目标属性信息。
应理解,装置实施例与方法实施例可以相互对应,类似的描述可以参照方法实施例。为避免重复,此处不再赘述。具体地,图5所示的装置500可以对应于执行本申请实施例的方法200和方法300中的相应主体权限管理平台,图6所示的装置600可以对应于执行本申请实施例的方法200和方法300中的相应主体目标系统,并且装置500和装置600中的各个模块的前述和其它操作和/或功能分别为了实现图2和图3中的各个方法中的相应流程,为了简洁,在此不再赘述。
上文中结合附图从功能模块的角度描述了本申请实施例的装置500和装置600。应理解,该功能模块可以通过硬件形式实现,也可以通过软件形式的指令实现,还可以通过硬件和软件模块组合实现。具体地,本申请实施例中的方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路和/或软件形式的指令完成,结合本申请实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。可选地,软件模块可以位于随机存储器,闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等本领域的成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法实施例中的步骤。
图7是本申请实施例提供的电子设备700的示意性框图。
如图7所示,该电子设备700可包括:
存储器710和处理器720,该存储器710用于存储计算机程序711,并将该计算机程序711传输给该处理器720。换言之,该处理器720可以从存储器710中调用并运行计算机程序711,以实现本申请实施例中的方法。
例如,该处理器720可用于根据该计算机程序711中的指令执行上述方法200中的步骤。
在本申请的一些实施例中,该处理器720可以包括但不限于:
通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等等。
在本申请的一些实施例中,该存储器710包括但不限于:
易失性存储器和/或非易失性存储器。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synch link DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。
在本申请的一些实施例中,该计算机程序711可以被分割成一个或多个模块,该一个或者多个模块被存储在该存储器710中,并由该处理器720执行,以完成本申请提供的芯片测试的方法。该一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述该计算机程序711在该电子设备700中的执行过程。
如图7所示,该电子设备700还可包括:
收发器730,该收发730可连接至该处理器720或存储器710。
其中,处理器720可以控制该收发器730与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。收发器730可以包括发射机和接收机。收发器730还可以进一步包括天线,天线的数量可以为一个或多个。
应当理解,该电子设备700中的各个组件通过总线系统相连,其中,总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。
根据本申请的一个方面,提供了一种计算机存储介质,其上存储有计算机程序,该计算机程序被计算机执行时使得该计算机能够执行上述方法实施例的方法。或者说,本申请实施例还提供一种包含指令的计算机程序产品,该指令被计算机执行时使得计算机执行上述方法实施例的方法。
根据本申请的另一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述方法实施例的方法。
换言之,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时,全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如数字视频光盘(digital video disc,DVD))、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,该模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。例如,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以该权利要求的保护范围为准。
Claims (15)
1.一种多系统权限管理方法,其特征在于,所述方法应用于权限管理平台,所述权限管理平台用于管理多个管理系统的权限,其中,所述多个管理系统分别关联至多个系统标识,所述权限管理平台配置有与所述多个系统标识分别关联的多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息;
所述方法包括:
接收所述多个管理系统中的目标系统发送的鉴权请求,所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
响应于所述鉴权请求,将与所述用户标识关联的系统标识确定为目标系统标识,所述目标系统标识为所述多个系统标识中的与所述目标系统关联的系统标识;
基于所述目标系统标识关联的第一信息,对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果。
2.根据权利要求1所述的方法,其特征在于,所述接收所述多个管理系统中的目标系统发送的鉴权请求之前,所述方法还包括:
获取第一请求,所述第一请求用于请求在所述权限管理平台配置所述目标系统标识关联的第一信息;
判断所述第一请求是否已通过审批;
在所述第一请求已通过审批的情况下,响应于所述第一请求,获取所述目标系统标识关联的第一信息。
3.根据权利要求1所述的方法,其特征在于,所述接收所述多个管理系统中的目标系统发送的鉴权请求之后,所述方法还包括:
获取第二请求,所述第二请求用于请求修改所述权限管理平台中所述目标系统标识关联的第一信息;
判断所述第二请求是否已通过审批;
在所述第二请求已通过审批的情况下,响应于所述第二请求,获取修改后的所述目标系统标识关联的第一信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述多个管理系统的用户鉴权过程进行记录,得到第一数据,所述第一数据包括鉴权成功的次数、鉴权失败的次数、资源访问的次数;
基于所述多个第一信息和所述第一数据,确定目标类型的用户、目标类型的资源或目标类型的操作行为的审计数据。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述多个管理系统的用户鉴权过程进行监控,得到第二数据;
基于所述多个第一信息和所述第二数据,确定用户鉴权过程中的违规鉴权行为;
针对所述违规鉴权行为,输出与所述违规鉴权行为对应的预警信息。
6.根据权利要求1所述的方法,其特征在于,所述第一信息包括:基础信息和授权信息;其中,
所述基础信息包括:用户名信息、角色信息、资源信息、组信息、策略信息、属性信息;
所述授权信息包括:用户和角色的关联关系、角色和资源的关联关系、用户和组的关联关系、组和角色的关联关系、角色和资源及策略的关联关系、策略和属性的关联关系。
7.根据权利要求1所述的方法,其特征在于,所述鉴权请求还包括资源标识,所述资源标识为所述目标系统为所述目标资源分配的用于唯一标识所述目标资源的标识;所述基于所述目标系统标识关联的第一信息,对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果,包括:
基于所述目标系统标识关联的第一信息,对所述目标用户的用户标识进行校验;
在所述目标用户的用户标识校验通过的情况下,向所述目标系统标识关联的目标系统发送第二信息;所述第二信息包括与所述目标用户的用户标识关联的组信息、与所述目标用户的用户标识关联的角色信息;所述目标系统标识关联的第一信息包括所述第二信息;所述与所述目标用户的用户标识关联的组信息包括至少一个组;所述与所述目标用户的用户标识关联的角色信息包括至少一个角色;
接收所述目标系统标识关联的目标系统发送的第三信息;所述第三信息包括:所述目标用户从所述至少一个组中选中的目标角色、所述目标用户从所述至少一个角色中选中的目标组;
基于所述目标系统标识关联的第一信息,确定所述用户标识是否关联所述目标角色、所述用户标识是否关联所述目标组、所述目标角色是否关联所述资源标识;
在所述用户标识关联所述目标角色、所述用户标识关联所述目标组且所述目标角色关联所述资源标识的情况下,向所述目标系统发送鉴权结果;所述鉴权结果包括:所述目标系统标识关联的第一信息中与所述目标角色和所述资源标识关联的目标策略信息、所述目标系统标识关联的第一信息中与所述目标策略信息关联的目标属性信息。
8.一种多系统权限管理方法,其特征在于,所述方法应用于多个管理系统,所述多个管理系统分别关联至多个系统标识,所述多个系统标识分别关联多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息,所述多个管理系统包括目标系统,所述方法包括:
向权限管理平台发送鉴权请求;所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
接收所述权限管理平台发送的鉴权结果。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
接收所述权限管理平台发送的预警信息;所述预警信息表征所述权限管理平台针对用户鉴权过程中出现的违规鉴权行为给出的提示信息。
10.根据权利要求8所述的方法,其特征在于,所述第一信息包括:基础信息和授权信息;其中,
所述基础信息包括:用户名信息、角色信息、资源信息、组信息、策略信息、属性信息;
所述授权信息包括:用户和角色的关联关系、角色和资源的关联关系、用户和组的关联关系、组和角色的关联关系、角色和资源及策略的关联关系、策略和属性的关联关系。
11.根据权利要求8所述的方法,其特征在于,所述鉴权请求还包括资源标识,所述资源标识为所述目标系统为所述目标资源分配的用于唯一标识所述目标资源的标识;在所述接收所述权限管理平台发送的鉴权结果之前,所述方法还包括:
接收所述权限管理平台发送的第二信息;所述第二信息包括与所述目标用户的用户标识关联的组信息、与所述目标用户的用户标识关联的角色信息,所述目标系统标识关联的第一信息包括所述第二信息,所述与所述目标用户的用户标识关联的组信息包括至少一个组;所述与所述目标用户的用户标识关联的角色信息包括至少一个角色;
响应于所述目标用户对所述第二信息的选中操作,向权限管理平台发送第三信息;所述第三信息包括:所述目标用户从所述至少一个组中选中的目标角色、所述目标用户从所述至少一个角色中选中的目标组;所述第三信息用于和所述目标系统标识关联的第一信息进行校验,在所述用户标识关联所述目标角色、所述用户标识关联所述目标组且所述目标角色关联所述资源标识的情况下,生成鉴权结果;所述鉴权结果包括:所述目标系统标识关联的第一信息中与所述目标角色和所述资源标识关联的目标策略信息、所述目标系统标识关联的第一信息中与所述目标策略信息关联的目标属性信息。
12.一种多系统权限管理装置,其特征在于,所述装置应用于一种权限管理平台,所述权限管理平台用于管理多个管理系统的权限,其中,所述多个管理系统分别关联至多个系统标识,所述权限管理平台配置有与所述多个系统标识分别关联的多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息;
包括:
接收单元:用于接收所述多个管理系统中的目标系统发送的鉴权请求,所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
确定单元:用于响应于所述鉴权请求,将与所述用户标识关联的系统标识确定为目标系统标识,所述目标系统标识为所述多个系统标识中的与所述目标系统关联的系统标识;
鉴权单元:用于基于所述目标系统标识关联的第一信息,对所述目标用户的鉴权请求进行鉴权并向所述目标系统发送鉴权结果。
13.一种多系统权限管理装置,其特征在于,所述装置应用于多个管理系统,所述多个管理系统分别关联至多个系统标识,所述多个系统标识分别关联多个第一信息,所述第一信息用于表征系统标识关联的管理系统已授权的用户的鉴权信息,所述多个管理系统包括目标系统,包括:
发送单元:用于向权限管理平台发送鉴权请求;所述鉴权请求包括用户标识,所述用户标识为所述目标系统为所述目标用户分配的用于唯一标识所述目标用户的标识;
接收单元:用于接收所述权限管理平台发送的鉴权结果。
14.一种电子设备,其特征在于,包括:
处理器、存储器和收发器,所述存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,以执行权利要求1至7中任一项所述的方法或权利要求8-11中任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,用于存储计算机程序,所述计算机程序使得计算机执行权利要求1至7中任一项所述的方法或权利要求8-11中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110220606.6A CN112818328A (zh) | 2021-02-26 | 2021-02-26 | 一种多系统权限管理方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110220606.6A CN112818328A (zh) | 2021-02-26 | 2021-02-26 | 一种多系统权限管理方法、装置、设备以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112818328A true CN112818328A (zh) | 2021-05-18 |
Family
ID=75862471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110220606.6A Pending CN112818328A (zh) | 2021-02-26 | 2021-02-26 | 一种多系统权限管理方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112818328A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113392420A (zh) * | 2021-07-06 | 2021-09-14 | 山东电力工程咨询院有限公司 | 一种智慧化项目数据管理方法及系统 |
| CN113742749A (zh) * | 2021-09-10 | 2021-12-03 | 广州市奥威亚电子科技有限公司 | 平台用户权限管理方法、装置、设备及存储介质 |
| CN113839960A (zh) * | 2021-11-25 | 2021-12-24 | 云账户技术(天津)有限公司 | 资源和接口权限的管理方法、系统和存储介质 |
| CN113852639A (zh) * | 2021-09-29 | 2021-12-28 | 中国电信股份有限公司 | 数据处理方法、装置、电子设备和计算机可读存储介质 |
| CN114245160A (zh) * | 2021-12-07 | 2022-03-25 | 北京达佳互联信息技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| CN114936359A (zh) * | 2022-07-20 | 2022-08-23 | 深圳市木浪云科技有限公司 | 基于生物人和社会人的用户鉴权方法和系统 |
| CN115102765A (zh) * | 2022-06-22 | 2022-09-23 | 北京声智科技有限公司 | 一种权限配置方法、装置、电子设备及存储介质 |
| CN115314245A (zh) * | 2022-06-30 | 2022-11-08 | 青岛海尔科技有限公司 | 权限管理方法、系统、存储介质及电子装置 |
| CN115630387A (zh) * | 2022-12-08 | 2023-01-20 | 爱集微咨询(厦门)有限公司 | 数据处理方法、装置、电子设备以及可读存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104992118A (zh) * | 2015-06-30 | 2015-10-21 | 北京奇虎科技有限公司 | 一种多业务系统的权限统一管理方法和系统 |
| CN105184144A (zh) * | 2015-07-31 | 2015-12-23 | 上海玖道信息科技股份有限公司 | 一种多系统权限管理方法 |
| CN109286620A (zh) * | 2018-09-25 | 2019-01-29 | 平安科技(深圳)有限公司 | 用户权限管理方法、系统、设备和计算机可读存储介质 |
| CN109388921A (zh) * | 2017-08-10 | 2019-02-26 | 顺丰科技有限公司 | 一种统一用户权限管理平台及运行方法 |
| CN109670768A (zh) * | 2018-09-27 | 2019-04-23 | 深圳壹账通智能科技有限公司 | 多业务域的权限管理方法、装置、平台及可读存储介质 |
| CN110457890A (zh) * | 2019-07-15 | 2019-11-15 | 中国平安人寿保险股份有限公司 | 基于多系统的权限管理方法及装置、电子设备及存储介质 |
| CN110602088A (zh) * | 2019-09-11 | 2019-12-20 | 北京京东振世信息技术有限公司 | 基于区块链的权限管理方法及装置、设备和介质 |
| CN110941844A (zh) * | 2019-11-27 | 2020-03-31 | 网易(杭州)网络有限公司 | 一种认证鉴权方法、系统、电子设备及可读存储介质 |
| CN112364336A (zh) * | 2020-11-18 | 2021-02-12 | 深圳航天智慧城市系统技术研究院有限公司 | 数据库的统一权限管理方法、装置、设备和计算机可读存储介质 |
| US20210058406A1 (en) * | 2018-04-13 | 2021-02-25 | Sunwave Communications Co., Ltd. | Method of achieving synchronization management of account information of WEB interface in multi-system DAS |
-
2021
- 2021-02-26 CN CN202110220606.6A patent/CN112818328A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104992118A (zh) * | 2015-06-30 | 2015-10-21 | 北京奇虎科技有限公司 | 一种多业务系统的权限统一管理方法和系统 |
| CN105184144A (zh) * | 2015-07-31 | 2015-12-23 | 上海玖道信息科技股份有限公司 | 一种多系统权限管理方法 |
| CN109388921A (zh) * | 2017-08-10 | 2019-02-26 | 顺丰科技有限公司 | 一种统一用户权限管理平台及运行方法 |
| US20210058406A1 (en) * | 2018-04-13 | 2021-02-25 | Sunwave Communications Co., Ltd. | Method of achieving synchronization management of account information of WEB interface in multi-system DAS |
| CN109286620A (zh) * | 2018-09-25 | 2019-01-29 | 平安科技(深圳)有限公司 | 用户权限管理方法、系统、设备和计算机可读存储介质 |
| CN109670768A (zh) * | 2018-09-27 | 2019-04-23 | 深圳壹账通智能科技有限公司 | 多业务域的权限管理方法、装置、平台及可读存储介质 |
| CN110457890A (zh) * | 2019-07-15 | 2019-11-15 | 中国平安人寿保险股份有限公司 | 基于多系统的权限管理方法及装置、电子设备及存储介质 |
| CN110602088A (zh) * | 2019-09-11 | 2019-12-20 | 北京京东振世信息技术有限公司 | 基于区块链的权限管理方法及装置、设备和介质 |
| CN110941844A (zh) * | 2019-11-27 | 2020-03-31 | 网易(杭州)网络有限公司 | 一种认证鉴权方法、系统、电子设备及可读存储介质 |
| CN112364336A (zh) * | 2020-11-18 | 2021-02-12 | 深圳航天智慧城市系统技术研究院有限公司 | 数据库的统一权限管理方法、装置、设备和计算机可读存储介质 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113392420A (zh) * | 2021-07-06 | 2021-09-14 | 山东电力工程咨询院有限公司 | 一种智慧化项目数据管理方法及系统 |
| CN113742749A (zh) * | 2021-09-10 | 2021-12-03 | 广州市奥威亚电子科技有限公司 | 平台用户权限管理方法、装置、设备及存储介质 |
| CN113742749B (zh) * | 2021-09-10 | 2024-03-29 | 广州市奥威亚电子科技有限公司 | 平台用户权限管理方法、装置、设备及存储介质 |
| CN113852639B (zh) * | 2021-09-29 | 2023-05-26 | 中国电信股份有限公司 | 数据处理方法、装置、电子设备和计算机可读存储介质 |
| CN113852639A (zh) * | 2021-09-29 | 2021-12-28 | 中国电信股份有限公司 | 数据处理方法、装置、电子设备和计算机可读存储介质 |
| CN113839960A (zh) * | 2021-11-25 | 2021-12-24 | 云账户技术(天津)有限公司 | 资源和接口权限的管理方法、系统和存储介质 |
| CN114245160A (zh) * | 2021-12-07 | 2022-03-25 | 北京达佳互联信息技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| CN115102765A (zh) * | 2022-06-22 | 2022-09-23 | 北京声智科技有限公司 | 一种权限配置方法、装置、电子设备及存储介质 |
| CN115314245A (zh) * | 2022-06-30 | 2022-11-08 | 青岛海尔科技有限公司 | 权限管理方法、系统、存储介质及电子装置 |
| CN115314245B (zh) * | 2022-06-30 | 2024-03-22 | 青岛海尔科技有限公司 | 权限管理方法、系统、存储介质及电子装置 |
| CN114936359B (zh) * | 2022-07-20 | 2022-11-01 | 深圳市木浪云科技有限公司 | 基于生物人和社会人的用户鉴权方法和系统 |
| CN114936359A (zh) * | 2022-07-20 | 2022-08-23 | 深圳市木浪云科技有限公司 | 基于生物人和社会人的用户鉴权方法和系统 |
| CN115630387A (zh) * | 2022-12-08 | 2023-01-20 | 爱集微咨询(厦门)有限公司 | 数据处理方法、装置、电子设备以及可读存储介质 |
| CN115630387B (zh) * | 2022-12-08 | 2024-02-20 | 爱集微咨询(厦门)有限公司 | 数据处理方法、装置、电子设备以及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112818328A (zh) | 一种多系统权限管理方法、装置、设备以及存储介质 | |
| US20200285978A1 (en) | Model training system and method, and storage medium | |
| CN109190410B (zh) | 一种云存储环境下的基于区块链的日志行为审计方法 | |
| CN111709056B (zh) | 基于区块链的数据共享方法及系统 | |
| US8769605B2 (en) | System and method for dynamically enforcing security policies on electronic files | |
| CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
| US20060143447A1 (en) | Managing elevated rights on a network | |
| US11580206B2 (en) | Project-based permission system | |
| US20140230012A1 (en) | Systems, methods, and media for policy-based monitoring and controlling of applications | |
| TW201909072A (zh) | 電子帳戶的掛失、解掛、業務管理方法、裝置及設備 | |
| CN116545731A (zh) | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 | |
| US11778048B2 (en) | Automatically executing responsive actions upon detecting an incomplete account lineage chain | |
| CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
| US11146403B2 (en) | Self-governed secure attestation policy for server data privacy logs | |
| CN114422197A (zh) | 一种基于策略管理的权限访问控制方法及系统 | |
| CN110472423A (zh) | 一种核电站文件权限管理方法、装置及设备 | |
| US20230135186A1 (en) | Abnormal cross authorization detection systems | |
| US20210350024A1 (en) | Providing transparency in private-user-data access | |
| CN111427961B (zh) | 基于区块链的简历确权方法以及区块链简历系统及其设备 | |
| CN111797373B (zh) | 身份信息认证的方法、系统、计算机设备和可读存储介质 | |
| US11748496B1 (en) | Data jurisdiction management | |
| CN112464176A (zh) | 一种权限管理方法、装置、电子设备及存储介质 | |
| CN111898886A (zh) | 一种集体资产清产核资系统 | |
| CN113379577A (zh) | 一种事务审核方法、装置及设备 | |
| US8627072B1 (en) | Method and system for controlling access to data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |