CN114090969B - 多级多租户交叉授权管理方法 - Google Patents
多级多租户交叉授权管理方法 Download PDFInfo
- Publication number
- CN114090969B CN114090969B CN202210046123.3A CN202210046123A CN114090969B CN 114090969 B CN114090969 B CN 114090969B CN 202210046123 A CN202210046123 A CN 202210046123A CN 114090969 B CN114090969 B CN 114090969B
- Authority
- CN
- China
- Prior art keywords
- management
- role
- cross
- user
- users
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种多级多租户交叉授权管理方法,通过定义若干个处于不同组织的管理角色,并对所述管理角色进行访问权限和资源配置;选择与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,形成交叉管理角色;预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。能够跨组织进行不同管理节点的交叉授权和资源访问,授权树可对所有租户实现交叉授权管理,对于新引入的租户,不需要将所有角色的授权树都批量修改,工作量会非常小。本发明以多个可叠加的树型的管理架构为基础,再叠加多层特殊的管理关系,兼顾经典架构与特殊需求的交叉授权,能够满足传统树型管理架构的多租户系统无法实现的管理架构。
Description
技术领域
本公开涉及用户权限管理技术领域,尤其涉及一种多级多租户交叉授权管理方法、授权树和装置。
背景技术
多租户系统是指同一套系统实例可同时服务多个组织(每个组织称为租户),组织之间的资源相互隔离,组织之间无法直接发现彼此。
如图1所示的多级多租户系统,在多租户系统中,租户之间存在归属关系,这种多级多租户系统一般有以下两个特点:
(1)租户之间的组织关系为树型,高级别租户可以访问其分支下低级别租户的资源,比如图中高级租户1可以访问中级租户1以及其下所有普通租户的资源,但高级租户1不能访问中级租户2的资源;
(2)大多数租户之间资源依然是隔离,比如图中中级租户1无法访问中级租户2的资源。
虽然树状的租户管理体系,很适合集团公司或分销商等场景。但是无法满足双管理和交叉授权的场景。
如图2所示的双管理树状结构,甚至多对多管理的树状结构中,图中财务和人事有权管理所有的销售团队,IT有权管理销售团队4和5,但财务人士IT管理的具体事务以及权限都不同。
如图3所示交叉授权树状结构,即不在管理树体系下的两个租户需要单向或互相访问资源,图中普通租户1与普通租户3需要互相访问资源,普通租户4与普通租户6也需要互相访问资源,这两个关系都是树型架构无法表达的。
因此,对于SD-WAN使用场景,存在大量传统树型架构无法表达的情况,所以需要设计一种更适合的树状架构,兼顾各种授权要求。
发明内容
有鉴于此,本公开提出了一种多级多租户交叉授权管理方法、授权树和装置,已解决目前现有技术的技术缺陷。
根据本公开的一方面,提供了一种多级多租户交叉授权管理方法,包括如下步骤:
S100、定义若干个处于不同组织的管理角色,并对所述管理角色进行访问权限和资源配置;
S200、选择与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,形成交叉管理角色;
S300、预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。
作为本申请的一种可选实施方案,可选地,在步骤S100中,所述对所述管理角色进行访问权限和资源配置,包括:
S101、将所述管理角色划分为普通用户和特定用户;
S102、设定用户等级,按照所述用户等级,对所述普通用户和所述特定用户分别进行分级;
S103、预设第一配置规则,分别对分级后的所述普通用户和所述特定用户进行访问权限和资源配置,其中,所述普通用户包括:若干一级普通子用户和若干二级普通子用户;所述特定用户包括:若干特定一级子用户和若干特定二级子用户。
作为本申请的一种可选实施方案,可选地,在步骤S100中,所述对所述管理角色进行访问权限和资源配置,还包括:
S104、获取经过访问权限和资源配置的所述特定用户;
S105、预设第二配置规则,按照所述第二配置规则,对所述特定用户的资源的访问方式进行操作配置。
作为本申请的一种可选实施方案,可选地,在步骤S200中,所述将所述跨服用户挂载于所述管理角色上,形成交叉管理角色,包括:
S201、预设第三配置规则,按照所述第三配置规则,对所述跨服用户进行资源和访问权限配置;
S202、将配置于所述跨服用户的资源和访问权限,挂载配置于所述管理角色上。
作为本申请的一种可选实施方案,可选地,在步骤S200中,所述将所述跨服用户挂载于所述管理角色上,形成交叉管理角色,还包括:
S210、选择与所述管理角色处于同组织的第二角色;
S220、预设第四配置规则,按照所述第四配置规则,对两个以上的所述跨服用户进行资源和访问权限配置;
S230、将配置于所述两个以上的所述跨服用户的资源和访问权限,挂载配置于所述第二角色上,实现跨服交叉授权管理。
根据本公开的另一方面,提供了一种授权树,在遍历所述授权树的节点时,实现所述的多级多租户交叉授权管理方法。
根据本公开的另一方面,还提供了一种实现所述的多级多租户交叉授权管理方法的装置,包括:
角色定义及配置模块:用于定义若干个处于不同组织的管理角色,并对所述管理角色进行访问权限和资源配置;
挂载模块:用于选择与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,形成交叉管理角色;
角色赋予模块:用于预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。
作为本申请的一种可选实施方案,可选地,所述角色定义及配置模块,包括:
角色划分模块:用于将所述管理角色划分为普通用户和特定用户;
分级模块:用于设定用户等级,按照所述用户等级,对所述普通用户和所述特定用户分别进行分级;
第一配置模块:用于预设第一配置规则,分别对分级后的所述普通用户和所述特定用户进行访问权限和资源配置,其中,所述普通用户包括:若干一级普通子用户和若干二级普通子用户;所述特定子用户包括:若干特定一级子用户和若干特定二级子用户;
特定用户获取模块:用于获取经过访问权限和资源配置的所述特定用户;
第二配置模块:用于预设第二配置规则,按照所述第二配置规则,对所述特定用户的资源的访问方式进行操作配置。
作为本申请的一种可选实施方案,可选地,所述挂载模块,包括:
第三配置模块:用于预设第三配置规则,按照所述第三配置规则,对所述跨服用户进行资源和访问权限配置;
第一挂载模块:用于将配置于所述跨服用户的资源和访问权限,挂载配置于所述管理角色上。
作为本申请的一种可选实施方案,可选地,所述挂载模块,还包括:
角色选择模块:用于选择与所述管理角色处于同组织的第二角色;
第四配置模块:用于预设第四配置规则,按照所述第四配置规则,对两个以上的所述跨服用户进行资源和访问权限配置;
第二挂载模块:用于将配置于所述两个以上的所述跨服用户的资源和访问权限,挂载配置于所述第二角色上,实现跨服交叉授权管理。
本申请的技术效果:
本发明通过定义若干个处于不同组织的管理角色,并对所述管理角色进行访问权限和资源配置;选择与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,形成交叉管理角色;预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。能够跨组织进行不同管理节点的交叉授权和资源访问,根据形成的授权树,即可对所有租户实现交叉授权管理,对于新引入的租户,不需要将所有角色的授权树都批量修改,工作量会非常小。本发明提供的授权树,以多个可叠加的树型的管理架构为基础,再叠加多层特殊的管理关系,实现兼顾经典架构与特殊需求的交叉授权,能够满足传统树型管理架构的多租户系统无法实现的管理架构,比如双管理、多对多管理、以及任意两个租户间的交叉授权。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出为现有技术多级多租户系统的树状示意图;
图2示出为现有技术双管理系统的树状示意图;
图3示出为现有技术交叉授权系统的树状示意图;
图4示出为本发明多级多租户交叉授权管理方法的实施流程示意图;
图5示出为本发明对角色A进行单向交叉授权的树状示意图;
图6示出为本发明对角色B进行互相交叉授予的树状示意图;
图7示出为本发明对角色配置授权树的树状示意图;
图8示出为本发明对多角色进行授权树配置的树状示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
如图4所示,根据本公开的一方面,提供了一种多级多租户交叉授权管理方法,包括如下步骤:
S100、定义若干个处于不同组织的管理角色,并对所述管理角色进行访问权限和资源配置;
本技术首选需要定义每个管理角色的基本信息,对管理角色的基本信息配置包括对访问权限和资源配置,通过访问权限和资源配置,可以明确:
每个管理角色可以管理哪些租户(组织);每个管理角色对于某个特定的租户可以访问哪些资源;每个管理角色对于特定租户的特定的可访问的资源,可以使用哪些操作手段(列出、只读、可写、可删等)。
如图5所示的一个管理角色A的信息配置,角色A对高级租户1、普通用户1和普通用户2进行管理,对高级和普通租户进行了不同资源的配置,以及,对高级用户1设定了特定的可访问的资源,和可以使用哪些操作手段。
要注意的是,角色不属于任何租户,相反,每个角色可以包含多个租户,这些租户可以属于任意的组织架构,即使这些租户是树型的,在角色的结构中,它们也是扁平的。在图5中所示的组织中,高级租户1、普通用户1和普通用户2是处于同一个等级中的。可以水平化地获取不同树状节点的节点资源信息。
然而,图5所示的角色A的树状结构中,若是将此权限的树状结构,赋予客户比如企业使用,则只能对本组织角色A的高级租户1、普通用户1和普通用户2进行管理资源,角色A就不能跨组织实现管理资源。这和现有树状结构的权限管理类似,用处不大。因此,需要设定组织交叉的权限管理树状结构。
因此,需要在图5所示的角色A的树状结构中,为角色A再挂载一个与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,即可使得角色A即可跨组织管理资源。具体的:
S200、选择与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,形成交叉管理角色;
所述交叉管理角色,是将跨服用户挂载于所述管理角色上后,访问权限和资源发生变化后的管理角色。
如图6所示,若是想让高级租户1对另一组织中角色B管理对应的普通租户3进行管理,需要将另一组织中的角色B管理对应的普通租户3的资源和权限挂载于角色A上,即可将普通租户3的部分资源的访问权限交给高级租户1,实现单向的交叉授权,即可使得角色A即可跨组织管理资源。在将角色A赋予给高级租户1中的某一个客户后,可以角色A所在的组织的高级租户1,对角色B所在组织的普通租户3进行资源访问和访问操作。
这里仅仅是组织之间的单向交叉授权,若是需要交叉授权访问,同样,如果需要普通租户1和普通租户3互相交叉授予读权限,只要按图6定义一个角色B,并把这个角色同时赋予普通租户1和普通租户3中的两个用户即可。
本实施例,仅仅是在角色A对应管理的高级租户1和角色B对应管理的普通租户3之间,实现组织交叉授权管理,而实现资源访问和访问操作处理的案例,实际中,高级租户和普通租户的访问对应,可以由用户根据所在管理项目/团队/企业等所在的具体形式进行选择。只要按照上述的访问节点权限配置和跨服(跨组织)进行资源用户挂载即可。其中,挂载的方式不限定,可以在SD-WAN中,自定义对各个树状节点的信息进行增设、修改等操作。
S300、预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。
按照步骤S100和S200的方式,可以得到跨服(跨组织)的资源访问授权树状结构,本处将其定义为“授权树”,根据授权树的定义方式,就可以预先根据租户的结构和权限需求,预定义一些授权树,挂载到相应的角色上即可进行企业业务管理等。即,需要根据所述角色托付规则,将预定义一些授权树,赋予不同的用户进行使用。
角色托付规则,根据租户的结构和权限需求设定即可,本处不做限制。
在定义一些角色时,对于某个特定的租户可以访问哪些资源、对于特定租户的特定的可访问的资源,可以使用哪些操作手段(列出、只读、可写、可删等),这些用户是特殊定义的,因此将各个组织的角色进行类型划分,分别进行信息配置。具体的,
作为本申请的一种可选实施方案,可选地,在步骤S100中,所述对所述管理角色进行访问权限和资源配置,包括:
S101、将所述管理角色划分为普通用户和特定用户;
S102、设定用户等级,按照所述用户等级,对所述普通用户和所述特定用户分别进行分级;
S103、预设第一配置规则,分别对分级后的所述普通用户和所述特定用户进行访问权限和资源配置,其中,所述普通用户包括:若干一级普通子用户和若干二级普通子用户;所述特定用户包括:若干特定一级子用户和若干特定二级子用户。
普通用户和特定用户的划分规则,是根据租户的结构和权限需求等,进行设定的。
用户等级是对应树状结构的管理等级,本处采用两级结构,分别为一级和二级用户。比如高级租户作为一级子用户,普通租户作为二级子用户,其对应子用户的数量,本处不限制。
本实施例,如图5所示,在定义授权树时,角色A作为管理用户,其对应的高级租户和普通租户皆作为一级子用户;如图7所示的授权树,授权树本身具有一级子用户,其对应管理的租户1-6,即为二级子用户。
作为本申请的一种可选实施方案,可选地,在步骤S100中,所述对所述管理角色进行访问权限和资源配置,还包括:
S104、获取经过访问权限和资源配置的所述特定用户;
S105、预设第二配置规则,按照所述第二配置规则,对所述特定用户的资源的访问方式进行操作配置。
步骤S104-105,根据第二配置规则,对划分却分级的特定用户进行特定资源配置和特定资源访问权限配置。第二配置规则根据租户的结构和权限需求设定,本处不限制。
作为本申请的一种可选实施方案,可选地,在步骤S200中,所述将所述跨服用户挂载于所述管理角色上,形成交叉管理角色,包括:
S201、预设第三配置规则,按照所述第三配置规则,对所述跨服用户进行资源和访问权限配置;
S202、将配置于所述跨服用户的资源和访问权限,挂载配置于所述管理角色上。第三配置规则根据租户的结构和权限需求设定,本处不限制。对所述跨服用户进行资源和访问权限配置,如图5和6所示,将角色B中的普通租户3的资源和权限,挂载于另一组织中角色A中的高级租户1,角色A赋予给高级租户1中的某一个用户,即可将普通租户3的部分资源的访问权限交给高级租户1,实现单向的交叉授权。
作为本申请的一种可选实施方案,可选地,在步骤S200中,所述将所述跨服用户挂载于所述管理角色上,形成交叉管理角色,还包括:
S210、选择与所述管理角色处于同组织的第二角色;
S220、预设第四配置规则,按照所述第四配置规则,对两个以上的所述跨服用户进行资源和访问权限配置;
S230、将配置于所述两个以上的所述跨服用户的资源和访问权限,挂载配置于所述第二角色上,实现跨服交叉授权管理。
本处,第二角色即为与普通租户3处于同组织的处于同组织角色B中的普通租户1,需要普通租户1和普通租户3互相交叉授予读权限,只要图6定义个角色B,并把这个角色同时赋予普通租户1和3中的两个用户即可。
本发明通过定义若干个处于不同组织的管理角色,并对所述管理角色进行访问权限和资源配置;选择与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,形成交叉管理角色;预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。能够跨组织进行不同管理节点的交叉授权和资源访问,根据形成的授权树,即可对所有租户实现交叉授权管理,对于新引入的租户,不需要将所有角色的授权树都批量修改,工作量会非常小。本发明提供的授权树,以多个可叠加的树型的管理架构为基础,再叠加多层特殊的管理关系,实现兼顾经典架构与特殊需求的交叉授权,能够满足传统树型管理架构的多租户系统无法实现的管理架构,比如双管理、多对多管理、以及任意两个租户间的交叉授权。
实施例2
根据本公开的另一方面,提供了一种授权树,在遍历所述授权树的节点时,实现所述的多级多租户交叉授权管理方法。
授权树的具体结构和遍历授权树时,实现实施例1的多级多租户交叉授权管理方法的具体实施应用,具体件实施例1,本实施例不再赘述。
而在实际应用中,由于每个租户下都有多个用户,每个用户可能都有自己独特的授权树,而授权树的扁平化的租户列表和它们的资源和权限,对于同一个租户来说,每个用户都是基本相同的。这样的话,如果引入了新的租户,那所有的角色的授权树都会被批量修改,工作量会非常大,所以,需要把授权树单独作为一个实体挂载在不同的角色上。不同角色挂载授权树的方式可能不同。每个角色可以挂载不同数量的授权树。
如图7所示,对于单个角色,比如角色A和角色B,授权树1包含了租户1至4的所有资源与权限,而授权树2包含了租户3至6的所有资源与权限(两者包含的租户可以有所重复)。
如图8所示,对于多个角色,只需要挂载对应的授权树即可,当授权树1发生变化时,角色C和D会同时发生变化,同样,当授权树2发生变化时,角色C和E会同时发生变化。
从工程上,只需要预先根据租户的结构和权限需求预定义一些授权树,再挂载到相应的角色上即可。
实施例3
基于实施例1和2的技术实施原理和方法,本实施例对应提出一种管理装置来实现多级多租户交叉授权管理方法。
本实施例中,各个模块的功能和模块之间的信息交互方式,参见实施例1和2,本处不再赘述。
此外,模块之间的连接方式,不限于有线或者无线的方式进行。
根据本公开的另一方面,还提供了一种实现所述的多级多租户交叉授权管理方法的装置,包括:
角色定义及配置模块:用于定义若干个处于不同组织的管理角色,并对所述管理角色进行访问权限和资源配置;挂载模块:用于选择与所述管理角色处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色上,形成交叉管理角色;
角色赋予模块:用于预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。
作为本申请的一种可选实施方案,可选地,所述角色定义及配置模块,包括:
角色划分模块:用于将所述管理角色划分为普通用户和特定用户;
分级模块:用于设定用户等级,按照所述用户等级,对所述普通用户和所述特定用户分别进行分级;
第一配置模块:用于预设第一配置规则,分别对分级后的所述普通用户和所述特定用户进行访问权限和资源配置,其中,所述普通用户包括:若干一级普通子用户和若干二级普通子用户;所述特定子用户包括:若干特定一级子用户和若干特定二级子用户;
特定用户获取模块:用于获取经过访问权限和资源配置的所述特定用户;
第二配置模块:用于预设第二配置规则,按照所述第二配置规则,对所述特定用户的资源的访问方式进行操作配置。
作为本申请的一种可选实施方案,可选地,所述挂载模块,包括:
第三配置模块:用于预设第三配置规则,按照所述第三配置规则,对所述跨服用户进行资源和访问权限配置;
第一挂载模块:用于将配置于所述跨服用户的资源和访问权限,挂载配置于所述管理角色上。
作为本申请的一种可选实施方案,可选地,所述挂载模块,还包括:
角色选择模块:用于选择与所述管理角色处于同组织的第二角色;
第四配置模块:用于预设第四配置规则,按照所述第四配置规则,对两个以上的所述跨服用户进行资源和访问权限配置;
第二挂载模块:用于将配置于所述两个以上的所述跨服用户的资源和访问权限,挂载配置于所述第二角色上,实现跨服交叉授权管理。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
实施例4
更进一步地,根据本公开的另一方面,还提供了一种控制系统。
本公开实施例控制系统包括处理器以及用于存储处理器可执行指令的存储器。其中,处理器被配置为执行可执行指令时实现前面任一所述的一种多级多租户交叉授权管理方法。
此处,应当指出的是,处理器的个数可以为一个或多个。同时,在本公开实施例的控制系统中,还可以包括输入装置和输出装置。其中,处理器、存储器、输入装置和输出装置之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器作为一种多级多租户交叉授权管理方法计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的一种多级多租户交叉授权管理方法所对应的程序或模块。处理器通过运行存储在存储器中的软件程序或模块,从而执行控制系统的各种功能应用及数据处理。
输入装置可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置可以包括显示屏等显示设备。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (5)
1.一种多级多租户交叉授权管理方法,其特征在于,包括如下步骤:
S100、定义处于不同组织的管理角色A和B,并对所述管理角色A进行访问权限和资源配置;
S200、选择与所述管理角色A处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色A上,形成交叉管理角色,包括:
S201~S202、S210~S230;
S201、预设第三配置规则,按照所述第三配置规则,对所述跨服用户进行资源和访问权限配置;
S202、将配置于所述跨服用户的资源和访问权限,挂载配置于所述管理角色A上;具体的,在管理角色A的树状结构中,为管理角色A再挂载一个与所述管理角色A处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色A上;将另一组织中的管理角色B管理对应的普通租户3的资源和权限挂载于管理角色A上,即可将普通租户3的部分资源的访问权限交给高级租户1,实现单向的交叉授权,即可使得管理角色A即可跨组织管理资源;在将管理角色A赋予给高级租户1中的某一个客户后,管理角色A所在组织的高级租户1可以对管理角色B所在组织的普通租户3进行资源访问和访问操作;
S210、选择与所述管理角色B处于同组织的第二角色;
S220、预设第四配置规则,按照所述第四配置规则,对两个以上的所述跨服用户进行资源和访问权限配置;
S230、将配置于所述两个以上的所述跨服用户的资源和访问权限,挂载配置于所述第二角色上,实现跨服交叉授权管理;
S300、预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。
2.根据权利要求1所述的多级多租户交叉授权管理方法,其特征在于,在步骤S100中,所述对所述管理角色A进行访问权限和资源配置,包括:
S101、将所述管理角色A划分为普通用户和特定用户;
S102、设定用户等级,按照所述用户等级,对所述普通用户和所述特定用户分别进行分级;
S103、预设第一配置规则,分别对分级后的所述普通用户和所述特定用户进行访问权限和资源配置,其中,所述普通用户包括:若干一级普通子用户和若干二级普通子用户;所述特定用户包括:若干特定一级子用户和若干特定二级子用户。
3.根据权利要求2所述的多级多租户交叉授权管理方法,其特征在于,在步骤S100中,所述对所述管理角色A进行访问权限和资源配置,还包括:
S104、获取经过访问权限和资源配置的所述特定用户;
S105、预设第二配置规则,按照所述第二配置规则,对所述特定用户的资源的访问方式进行操作配置。
4.一种实现多级多租户交叉授权管理方法的装置,其特征在于,包括:
角色定义及配置模块:用于定义处于不同组织的管理角色A和B,并对所述管理角色A进行访问权限和资源配置;
挂载模块:用于选择与所述管理角色A处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色A上,形成交叉管理角色,包括:
S201~S202、S210~S230;
S201、预设第三配置规则,按照所述第三配置规则,对所述跨服用户进行资源和访问权限配置;
S202、将配置于所述跨服用户的资源和访问权限,挂载配置于所述管理角色A上;具体的,在管理角色A的树状结构中,为管理角色A再挂载一个与所述管理角色A处于不同组织的跨服用户,并将所述跨服用户挂载于所述管理角色A上;将另一组织中的管理角色B管理对应的普通租户3的资源和权限挂载于管理角色A上,即可将普通租户3的部分资源的访问权限交给高级租户1,实现单向的交叉授权,即可使得管理角色A即可跨组织管理资源;在将管理角色A赋予给高级租户1中的某一个客户后,管理角色A所在组织的高级租户1可以对管理角色B所在组织的普通租户3进行资源访问和访问操作;
S210、选择与所述管理角色B处于同组织的第二角色;
S220、预设第四配置规则,按照所述第四配置规则,对两个以上的所述跨服用户进行资源和访问权限配置;
S230、将配置于所述两个以上的所述跨服用户的资源和访问权限,挂载配置于所述第二角色上,实现跨服交叉授权管理;
角色赋予模块:用于预设角色托付规则,根据所述角色托付规则,将所述交叉管理角色赋予用户。
5.根据权利要求4所述的装置,其特征在于,所述角色定义及配置模块,包括:
角色划分模块:用于将所述管理角色A划分为普通用户和特定用户;
分级模块:用于设定用户等级,按照所述用户等级,对所述普通用户和所述特定用户分别进行分级;
第一配置模块:用于预设第一配置规则,分别对分级后的所述普通用户和所述特定用户进行访问权限和资源配置,其中,所述普通用户包括:若干一级普通子用户和若干二级普通子用户;所述特定用户包括:若干特定一级子用户和若干特定二级子用户;
特定用户获取模块:用于获取经过访问权限和资源配置的所述特定用户;
第二配置模块:用于预设第二配置规则,按照所述第二配置规则,对所述特定用户的资源的访问方式进行操作配置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210046123.3A CN114090969B (zh) | 2022-01-17 | 2022-01-17 | 多级多租户交叉授权管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210046123.3A CN114090969B (zh) | 2022-01-17 | 2022-01-17 | 多级多租户交叉授权管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114090969A CN114090969A (zh) | 2022-02-25 |
| CN114090969B true CN114090969B (zh) | 2022-12-20 |
Family
ID=80308782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210046123.3A Active CN114090969B (zh) | 2022-01-17 | 2022-01-17 | 多级多租户交叉授权管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114090969B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114462069B (zh) * | 2022-04-12 | 2022-07-22 | 北京天维信通科技有限公司 | 多级租户资源访问管理方法、系统、智能终端及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8402514B1 (en) * | 2006-11-17 | 2013-03-19 | Network Appliance, Inc. | Hierarchy-aware role-based access control |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882715B (zh) * | 2012-09-21 | 2016-08-24 | 北京国电通网络技术有限公司 | 一种权限管理系统 |
| CN111460500B (zh) * | 2020-03-31 | 2023-12-01 | 贵州电网有限责任公司 | 一种网络资源的权限管理方法 |
-
2022
- 2022-01-17 CN CN202210046123.3A patent/CN114090969B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8402514B1 (en) * | 2006-11-17 | 2013-03-19 | Network Appliance, Inc. | Hierarchy-aware role-based access control |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114090969A (zh) | 2022-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11409556B2 (en) | Custom placement policies for virtual machines | |
| US10749873B2 (en) | User abstracted RBAC in a multi tenant environment | |
| CN110519361B (zh) | 基于kubernetes的容器云平台多租户构建方法及装置 | |
| US20210014172A1 (en) | Access management tags | |
| US20150373099A1 (en) | System and method for configuration tagging in a multitenant application server environment | |
| US9703834B2 (en) | Topological query in multi-tenancy environment | |
| US20050163143A1 (en) | Method, system and product for identifying, reserving, and logically provisioning resources in provisioning data processing systems | |
| KR20120062514A (ko) | SaaS 환경에서의 권한 관리 장치 및 방법 | |
| US8180894B2 (en) | System and method for policy-based registration of client devices | |
| CN110363012B (zh) | 对权限资源进行权限配置的方法、权限系统和存储介质 | |
| US20140059519A1 (en) | Enabling multi-tenancy for a commerce server | |
| CN109726579A (zh) | 资源访问权限分组方法及设备 | |
| CN114090969B (zh) | 多级多租户交叉授权管理方法 | |
| CN110727930A (zh) | 权限控制方法及装置 | |
| Moghaddam et al. | Policy Management Engine (PME): A policy-based schema to classify and manage sensitive data in cloud storages | |
| US9280387B2 (en) | Systems and methods for assigning code lines to clusters with storage and other constraints | |
| JP2015121906A (ja) | アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム | |
| CN113420269B (zh) | 基于大数据平台管理多租户的方法、系统、设备及介质 | |
| US20050172149A1 (en) | Method and system for management of information for access control | |
| Zuo et al. | Autonomous decentralized tenant access control model for sub-tenancy architecture in software-as-a-service (SaaS) | |
| KR101570980B1 (ko) | 멀티 테넌트 환경의 공통 코드 관리 방법, 이를 수행하는 공통 코드 관리 서버 및 이를 저장하는 기록매체 | |
| CN114185642B (zh) | 一种基于容器管理平台的智慧校园开发方法及系统 | |
| CN114780300B (zh) | 一种基于资源分层的备份系统权限管理方法及系统 | |
| EP2815331A1 (en) | Topological query in multi-tenancy environment | |
| US11868494B1 (en) | Synchronization of access management tags between databases |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |