EA044262B1 - METHOD OF GRANTING RIGHTS WITH RESPECT TO FORM DATA OBTAINED BASED ON THE ROLE - Google Patents

METHOD OF GRANTING RIGHTS WITH RESPECT TO FORM DATA OBTAINED BASED ON THE ROLE Download PDF

Info

Publication number
EA044262B1
EA044262B1 EA202090284 EA044262B1 EA 044262 B1 EA044262 B1 EA 044262B1 EA 202090284 EA202090284 EA 202090284 EA 044262 B1 EA044262 B1 EA 044262B1
Authority
EA
Eurasian Patent Office
Prior art keywords
role
user
rights
target
employee
Prior art date
Application number
EA202090284
Other languages
Russian (ru)
Inventor
Дачжи Чень
Original Assignee
Чэнду Цяньнюцао Информейшн Текнолоджи Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Чэнду Цяньнюцао Информейшн Текнолоджи Ко., Лтд. filed Critical Чэнду Цяньнюцао Информейшн Текнолоджи Ко., Лтд.
Publication of EA044262B1 publication Critical patent/EA044262B1/en

Links

Description

Область техникиField of technology

Изобретение относится к способу создания/предоставления прав в отношении форм в системах административного программного обеспечения, таких как ERP, и, в частности, оно относится к способу предоставления прав в отношении полученных на основе роли данных формы.The invention relates to a method for creating/granting rights over forms in administrative software systems such as ERP, and in particular it relates to a method for granting rights over role-derived form data.

Предпосылки изобретенияBACKGROUND OF THE INVENTION

Управление доступом на основе ролей (RBAC) является одним из наиболее изученных и совершенных механизмов управления доступом к базам данных в последние годы. Этот механизм считается идеальным кандидатом для замены традиционных систем мандатного управления доступом (MAC) и избирательного управления доступом (DAC). Основная идея управления доступом на основе ролей (RBAC) состоит в том, чтобы разделить различные роли в соответствии с различными функциональными позициями в организационном представлении предприятия, инкапсулировать права доступа к ресурсам базы данных в ролях и разрешить пользователям косвенный доступ к ресурсам базы данных путем назначения различных ролей пользователям.Role-based access control (RBAC) is one of the most studied and advanced database access control mechanisms in recent years. This mechanism is considered an ideal candidate to replace traditional mandatory access control (MAC) and selective access control (DAC) systems. The basic idea of role-based access control (RBAC) is to separate different roles according to different functional positions in the organizational view of an enterprise, encapsulate access rights to database resources in roles, and allow users to indirectly access database resources by assigning different roles for users.

В крупномасштабные прикладные системы зачастую встроено большое количество таблиц и представлений, что значительно усложняет управление ресурсами базы данных и предоставление прав. Пользователю крайне сложно напрямую управлять предоставлением прав и ресурсами базы данных. Это требует от пользователя глубокого понимания структуры базы данных и знания языка SQL. С изменением структуры прикладной системы или требований к безопасности требуется большое количество сложных и объемных изменений прав, что весьма вероятно приводит к возникновению уязвимостей информационной безопасности, вызванных непредвиденными ошибками в предоставленных правах. Поэтому разработка простого и эффективного способа управления правами для крупномасштабных прикладных систем стала общим требованием для систем и пользователей систем.Large-scale application systems often have a large number of tables and views built into them, making database resource management and provisioning significantly more complex. It is extremely difficult for the user to directly control the granting of rights and database resources. This requires the user to have a deep understanding of the database structure and knowledge of the SQL language. As application system design or security requirements change, a large number of complex and extensive rights changes are required, which is very likely to result in information security vulnerabilities caused by unexpected errors in the rights granted. Therefore, developing a simple and effective way to manage rights for large-scale application systems has become a common requirement for systems and system users.

Механизм управления доступом на основе ролей позволяет легко и эффективно управлять правами системы, что значительно снижает нагрузку и затраты на управление системными правами, а также делает управление системными правами более совместимым со спецификой оперативного управления прикладной системой.The role-based access control mechanism allows you to easily and effectively manage system rights, which significantly reduces the burden and cost of system rights management, and also makes system rights management more compatible with the specific operational management of the application system.

Тем не менее, традиционные способы управления правами пользователей на основе ролей и способы управления рабочим процессом используют механизм связи роль к пользователю - один ко многим, где роль представляет собой группу/класс. Это означает, что одна роль может одновременно соответствовать или быть связана со многими пользователями, и роль тождественна понятиям служебного положения, должности, рабочей специальности и т. п. В этом механизме связи предоставление прав пользователям в основном делится на три формы: 1. как показано на фиг. 1, прямое предоставление прав пользователям, недостатком которого является высокая рабочая нагрузка, а также частота и объемность операций; 2. как показано на фиг. 2, предоставление прав (одна роль может быть связана с несколькими пользователями) роли (со свойствами класса/группы/должности/рабочей специальности) и пользователь приобретает права посредством роли; 3. как показано на фиг. 3, вышеизложенные два способа сочетают.However, traditional role-based user rights management and workflow management methods use a one-to-many role-to-user relationship mechanism, where the role represents a group/class. This means that one role can simultaneously correspond or be associated with many users, and the role is identical to the concepts of official position, position, work specialty, etc. In this communication mechanism, granting rights to users is mainly divided into three forms: 1. as shown in fig. 1, direct granting of rights to users, the disadvantage of which is the high workload, as well as the frequency and volume of operations; 2. As shown in Fig. 2, granting rights (one role can be associated with several users) to a role (with the properties of a class/group/position/job specialty) and the user acquires rights through the role; 3. As shown in Fig. 3, the above two methods are combined.

В вышеприведенных описаниях 2 и 3 необходимо проводить предоставление прав роли со свойствами класса/группы. Способ предоставления прав и управления рабочим процессом посредством роли со свойствами класса/группы/должности/рабочей специальности имеет следующие недостатки:In descriptions 2 and 3 above, it is necessary to grant rights to a role with class/group properties. The method of granting rights and managing the workflow through a role with the properties of a class/group/position/work specialty has the following disadvantages:

1. Возникновение сложностей с выполнением операций в случае изменения прав пользователя. В процессе реального использования системы права пользователя подвергаются частым изменениям. Например, в процессе изменения прав, когда изменились права связанного с ролью сотрудника, является нецелесообразным изменять права всей роли по причине изменения прав отдельного сотрудника, поскольку роль также связана с другими сотрудниками, чьи права остались неизменными. В результате необходимо либо создать новую роль, соответствующую сотруднику, чьи права были изменены, либо напрямую предоставить права сотруднику (исключенному из роли) на основании требований к правам. Вышеописанные два способа обработки не только занимают много времени, но также легко приводят к ошибкам в предоставленных правах роли в случае, если роль обладает большим количеством прав. Пользователю приходится выполнять объемную работу, в результате чего происходят ошибки, приводящие к потерям для системного пользователя.1. Difficulties in performing operations if user rights change. During actual use of the system, user rights are subject to frequent changes. For example, in the process of changing rights, when the rights of an employee associated with a role have changed, it is inappropriate to change the rights of the entire role because the rights of an individual employee have changed, since the role is also associated with other employees whose rights have remained unchanged. As a result, you must either create a new role corresponding to the employee whose rights have been changed, or directly grant rights to the employee (removed from the role) based on the rights requirements. The above two processing methods not only take a long time, but also easily lead to errors in the granted rights of a role in case the role has a large number of rights. The user has to do a lot of work, resulting in errors that result in losses for the system user.

2. Сложно сохранить в памяти конкретные права, содержащиеся в роли, в течение длительного времени. Если у роли большой функционал прав, с течением времени сложно вспомнить конкретные права роли, и еще труднее вспомнить различия в правах между ролями с идентичными правами. Если нужно связать нового пользователя, невозможно точно определить, каким образом установить связь.2. It is difficult to remember the specific rights contained in a role for a long time. If a role has a large functionality of rights, over time it is difficult to remember the specific rights of the role, and even more difficult to remember the differences in rights between roles with identical rights. If you need to associate a new user, it is impossible to determine exactly how to establish the association.

3. Поскольку права пользователей изменяются, это приводит к созданию большего количества ролей (если новые роли не создают, то значительно повышается прямое предоставление прав пользователям), и становится более трудно различить конкретные различия прав разных ролей.3. As user rights change, more roles are created (if new roles are not created, direct granting of rights to users increases significantly), and it becomes more difficult to distinguish specific rights differences between roles.

4. При переводе пользователя на другую должность и необходимости назначить другим пользователям большого количества прав переводимого пользователя, необходимо разделить права переводимого пользователя и создать роли для связи с другими пользователями. Такие операции не только сложны и трудоемки, но также подвержены ошибкам.4. When transferring a user to another position and the need to assign a large number of rights of the transferred user to other users, it is necessary to separate the rights of the transferred user and create roles for communication with other users. Such operations are not only complex and time-consuming, but also error-prone.

В традиционном управлении предоставлением прав в отношении данных формы на основе поля соIn traditional field-based form data entitlement management,

- 1 044262 свойством сотрудника, если имеется относительно большое количество сотрудников (например, 500 сотрудников), непрерывно возникают такие ситуации как увольнение, вступление в должность, перевод сотрудников и т. д., что делает операцию предоставления прав крайне сложной, а также сопряжено с большими рабочими нагрузками. Кроме того, в случае увольнения, вступления в должность и перевода сотрудников приходится вносить изменения в соответствующие исходные права, что приводит к огромным рабочим нагрузкам в предоставлении прав, усложнению и возникновению ошибок.- 1 044262 property of an employee, if there is a relatively large number of employees (for example, 500 employees), situations such as dismissal, taking on a position, transfer of employees, etc. continuously arise, which makes the operation of granting rights extremely complex, and is also associated with heavy workloads. In addition, changes must be made to the corresponding original entitlements when employees leave, reassign, or transfer, resulting in enormous entitlement workloads, complexity, and errors.

В традиционном управлении предоставлением прав в отношении данных формы на основе поля со свойством пользователя, поскольку традиционная система между пользователями и сотрудниками не устанавливает фиксированной связи один к одному, существует возможность входа в систему нескольких сотрудников в качестве одного пользователя. При сохранении данных формы значение поля со свойством пользователя может быть записано только как пользователь, но невозможно различить, соответствующий пользователю сотрудник является Чжан Санем или Ли Сы, что при последующем просмотре данных затрудняет ясное и точное определение соответствующего пользователю сотрудника, выполнившего данную операцию.In traditional form data entitlement management based on a user property field, since the traditional system does not establish a fixed one-to-one relationship between users and employees, it is possible for multiple employees to log in as one user. When saving form data, the value of the user property field can only be recorded as a user, but it is impossible to distinguish whether the corresponding user's employee is Zhang San or Li Si, which makes it difficult to clearly and accurately identify the user's corresponding employee who performed the operation when viewing the data later.

В традиционном способе предоставления прав динамическое предоставление прав не может быть выполнено исключительно для просмотра связанной рабочей деятельности текущих сотрудников/пользователей с определенными номерами должностей, без возможности просмотра связанной рабочей деятельности предыдущих сотрудников/пользователей с этими номерами должностей; или, наоборот, динамическое предоставление прав может быть выполнено исключительно для просмотра связанной рабочей деятельности предыдущих сотрудников/пользователей с определенными номерами должностей, без возможности просмотра связанной рабочей деятельности текущих сотрудников/пользователей с этими номерами должностей.In the traditional entitlement method, dynamic entitlement cannot be performed solely to view the related work activity of current employees/users with certain job numbers, without being able to view the related work activity of previous employees/users with those job numbers; or, conversely, dynamic entitlement may be performed solely to view the related work activity of previous employees/users with certain job numbers, without the ability to view the related work activity of current employees/users with those job numbers.

Краткое описание изобретенияBrief description of the invention

Техническая задачаTechnical problem

Задача настоящего изобретения состоит в преодолении недостатков аналогов, известных из предшествующего уровня техники, и в предоставлении способа предоставления прав в отношении полученных на основе роли данных формы с целью обеспечения динамического предоставления прав в отношении данных формы, что позволяет автоматически корректировать соответствующие права покидающих должность, переводимых на другую должность и вступающих в должность сотрудников, таким образом снижая рабочую нагрузку операций предоставления прав и вероятность возникновения ошибок.It is an object of the present invention to overcome the shortcomings of the prior art and to provide a method for granting rights to role-derived form data to enable dynamic granting of rights to form data so that the corresponding rights of leaving or transferring employees are automatically adjusted. to another position and incoming employees, thereby reducing the workload of entitlement operations and the likelihood of errors.

Технические решенияTechnical solutions

Задача настоящего изобретения решается следующими техническими решениями:The problem of the present invention is solved by the following technical solutions:

способ предоставления прав в отношении полученных на основе роли данных формы, включающий:a method for granting rights to role-derived form data, comprising:

(1) выбор одного или более авторизуемых объектов;(1) selection of one or more authorized objects;

(2) выбор формы и отображения используемого для поиска данных формы авторизуемого поля, при этом указанное авторизуемое поле представляет собой поле, значение которого включает пользователя или сотрудника;(2) selecting a form and displaying an authorized field used to search the form data, wherein said authorized field is a field whose value includes a user or employee;

(3) отдельное предоставление прав в отношении каждого авторизуемого поля:(3) separate grant of rights for each authorized field:

отображают все роли в системе, при этом указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями; определяют используемую для поиска данных формы роль в качестве целевой роли, при этом одна целевая роль соответствует одной роли; отдельно выбирают целевой объект для каждой целевой роли, при этом указанный целевой объект представляет собой текущий объект, предыдущие объекты или все объекты; указанный текущий объект представляет собой в настоящее время связанного с ролью пользователя или соответствующего пользователю сотрудника, указанные предыдущие объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников за исключением в настоящее время связанного с ролью пользователя, и указанные все объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников;display all roles in the system, wherein the specified role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user is associated with one or more roles; defining a role used to search the form data as a target role, wherein one target role corresponds to one role; separately selecting a target object for each target role, wherein said target object is the current object, previous objects, or all objects; said current object represents the currently associated user or user-matched employee, said previous objects represents all role-associated users or user-matched employees excluding the currently associated user, and said all objects represent all associated the role of users or employees corresponding to users;

(4) для каждой целевой роли каждого авторизуемого поля отдельное получение совокупности данных конкретного значения авторизуемого поля в указанной форме и осуществление предоставления прав на операции в отношении полученной совокупности данных, при этом значение авторизуемого поля включает любого пользователя или сотрудника в целевом объекте этой целевой роли.(4) for each target role of each authorizable field, separately obtaining the data set of a specific authorizable field value in a specified form and effecting the granting of rights to operate on the resulting data set, the authorizable field value including any user or employee in the target object of that target role.

Этапы (2), (3) и (4) выполняют последовательно, а этап (1) выполняют либо до этапа (2), либо между этапами (2) и (3), либо между этапами (3) и (4), либо после этапа (4).Steps (2), (3) and (4) are performed sequentially, and step (1) is performed either before step (2), or between steps (2) and (3), or between steps (3) and (4), or after step (4).

Способ предоставления прав в отношении полученных на основе роли данных формы, включающий:A method for granting rights to role-derived form data, comprising:

(1) выбор одного или более авторизуемых объектов;(1) selection of one or more authorized objects;

(2) выбор формы и отображения используемого для поиска данных формы авторизуемого поля, при этом указанное авторизуемое поле представляет собой поле, значение которого включает роль и пользователя или роль и сотрудника;(2) selecting a form and displaying an authorized field used to search the form data, wherein said authorized field is a field whose value includes a role and a user or a role and an employee;

- 2 044262 (3) отдельное предоставление прав в отношении каждого авторизуемого поля:- 2 044262 (3) separate grant of rights in relation to each authorized field:

отображают все роли в системе, при этом указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями; определяют используемую для поиска данных формы роль в качестве целевой роли, при этом одна целевая роль соответствует одной роли; отдельно выбирают целевой объект для каждой целевой роли, при этом указанный целевой объект представляет собой текущий объект, предыдущие объекты или все объекты; указанный текущий объект представляет собой в настоящее время связанного с ролью пользователя или соответствующего пользователю сотрудника, указанные предыдущие объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников за исключением в настоящее время связанного с ролью пользователя, и указанные все объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников; определяют целевую роль и пользователя или сотрудника в целевом объекте этой целевой роли в качестве предельного значения целевой роли;display all roles in the system, wherein the specified role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user is associated with one or more roles; defining a role used to search the form data as a target role, wherein one target role corresponds to one role; separately selecting a target object for each target role, wherein said target object is the current object, previous objects, or all objects; said current object represents the currently associated user or user-matched employee, said previous objects represents all role-associated users or user-matched employees excluding the currently associated user, and said all objects represent all associated the role of users or employees corresponding to users; defining a target role and a user or employee in the target object of this target role as a limit value of the target role;

(4) для каждой целевой роли каждого авторизуемого поля отдельное получение совокупности данных конкретного значения авторизуемого поля в указанной форме и осуществление предоставления прав на операции в отношении полученной совокупности данных, при этом значение авторизуемого поля включает любое предельное значение этой целевой роли.(4) for each target role of each authorizable field, separately obtaining the data set of a specific value of the authorizable field in a specified form and granting rights to operations in relation to the received data set, wherein the value of the authorizable field includes any limit value of that target role.

Этапы (2), (3) и (4) выполняют последовательно, а этап (1) выполняют либо до этапа (2), либо между этапами (2) и (3), либо между этапами (3) и (4), либо после этапа (4).Steps (2), (3) and (4) are performed sequentially, and step (1) is performed either before step (2), or between steps (2) and (3), or between steps (3) and (4), or after step (4).

В предпочтительно варианте указанные права на операции включают одну или более операций просмотра, изменения, добавления, удаления и печати данных формы.Preferably, said operation rights include one or more of the operations of viewing, modifying, adding, deleting, and printing form data.

В предпочтительно варианте указанный пользователь определяет (приобретает) права посредством своей связи с ролью, один сотрудник соответствует одному пользователю и один пользователь соответствует одному сотруднику.Preferably, said user defines (acquires) rights through his association with a role, one employee corresponds to one user and one user corresponds to one employee.

В предпочтительно варианте указанная роль относится к определенному отделу, права предоставляют роли в соответствии с должностными обязанностями роли, название роли является единственным в рамках отдела и номер роли является единственным в системе.Preferably, the specified role relates to a specific department, rights are granted to the role in accordance with the job responsibilities of the role, the role name is unique within the department and the role number is unique in the system.

В предпочтительно варианте при переводе указанного пользователя в другой отдел связь пользователя с ролью в прежнем отделе удаляют и пользователя связывают с ролью в новом отделе.Preferably, when the specified user is transferred to another department, the user's association with the role in the previous department is removed and the user is associated with the role in the new department.

В предпочтительно варианте при отображении всех ролей в системе присутствует опция пустого значения, и если выбрана опция пустого значения, то осуществляют предоставление прав на операции с данными в указанной форме с пустым значением авторизуемого поля.Preferably, when displaying all roles in the system, there is an empty value option, and if the empty value option is selected, then rights to operate on data in the specified form are granted with an empty value of the authorized field.

В предпочтительно варианте при отображении всех ролей в системе присутствует опция без ограничений, и если выбрана опция без ограничений, то осуществляют предоставление прав на операции с данными в указанной форме с любым значением авторизуемого поля.Preferably, when displaying all roles in the system, there is an option without restrictions, and if the option without restrictions is selected, then rights to operate on data in the specified form are granted with any value of the authorized field.

В предпочтительно варианте указанный авторизуемый объект представляет собой одно или более из человека, пользователя, группы, класса и роли; указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями.Preferably, said authorizable entity is one or more of a person, a user, a group, a class, and a role; a specified role is a single entity rather than a group/class, and one role can only be associated with one user at a time, while one user can be associated with one or more roles.

Способ предоставления прав в отношении полученных на основе роли данных формы, включающий:A method for granting rights to role-derived form data, comprising:

(1) выбор одного или более авторизуемых объектов;(1) selection of one or more authorized objects;

(2) выбор формы и отображения используемого для поиска данных формы авторизуемого поля, при этом указанное авторизуемое поле представляет собой поле, значение которого включает роль; указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями;(2) selecting a form and displaying an authorized field used to search the form data, wherein said authorized field is a field whose value includes a role; the specified role is a separate entity, not a group/class, and at the same time one role can be associated with only one user, while one user is associated with one or more roles;

(3) отдельное предоставление прав в отношении каждого авторизуемого поля:(3) separate grant of rights for each authorized field:

отображают все роли в системе, при этом указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями; определяют используемую для поиска данных формы роль в качестве целевой роли, при этом одна целевая роль соответствует одной роли; для каждой целевой роли каждого авторизуемого поля отдельно получают совокупность данных конкретного значения авторизуемого поля в указанной форме и осуществляют предоставление прав на операции для полученной совокупности данных, при этом значение авторизуемого поля включает эту целевую роль.display all roles in the system, wherein the specified role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user is associated with one or more roles; defining a role used to search the form data as a target role, wherein one target role corresponds to one role; for each target role of each authorized field, a set of data of a specific value of the authorized field is separately obtained in the specified form and rights to operations are granted for the obtained set of data, while the value of the authorized field includes this target role.

Этапы (2) и (3) выполняют последовательно, а этап (1) выполняют либо до этапа (2), либо между этапами (2) и (3), либо после этапа (3).Steps (2) and (3) are performed sequentially, and step (1) is performed either before step (2), or between steps (2) and (3), or after step (3).

Положительные эффектыPositive effects

Настоящее изобретение имеет следующие положительные эффекты.The present invention has the following beneficial effects.

(1) Настоящее изобретение обеспечивает динамическое предоставление прав в отношении данных формы, что позволяет автоматически корректировать соответствующие права покидающих должность, переводимых на другую должность и вступающих в должность сотрудников, таким образом снижая ра(1) The present invention enables dynamic granting of rights to form data, allowing the corresponding rights of leaving, transferring, and incoming employees to be automatically adjusted, thereby reducing the cost of

- 3 044262 бочую нагрузку операций предоставления прав и вероятность возникновения ошибок.- 3 044262 sideload of entitlement operations and the possibility of errors.

Например, руководителю 1 отдела продаж 1 предоставлены права на просмотр (просмотр по подотчетному лицу) личной отчетной ведомости сотрудника, в настоящее время соответствующего определенному номеру должности в этом отделе. Если в настоящее время связанного с номером должности сотрудника Чжан Сань заменяют на Ли Сы, то руководитель 1 автоматически может просматривать только отчетную ведомость последнего связанного с номером должности сотрудника Ли Сы (подотчетным лицом является Ли Сы) и автоматически не может просматривать отчетную ведомость первоначально связанного с номером должности сотрудника Чжан Сань (подотчетным лицом является Чжан Сань). Или, например, руководителю 1 административно-хозяйственной деятельности компании предоставлены права только на просмотр (просмотр по подотчетному лицу) личной отчетной ведомости предыдущих связанных с определенным номером должности сотрудников, с целью проведения соответствующего анализа всех сотрудников (за исключением связанного в настоящее время сотрудника), которые были связаны с этим номером должности. Если в настоящее время связанный с номером должности сотрудник Чжан Сань прекращает выполнение рабочей деятельности с этим номером должности (связь Чжан Саня с этим номером должности/ролью удаляют), то руководитель 1 административно-хозяйственной деятельности автоматически может просматривать отчетную ведомость Чжан Саня и проводить соответствующий анализ. Или, например, генеральному директору 1 компании предоставлены права на просмотр (просмотр по подотчетному лицу) подотчетной ведомости всех связанных с определенным номером должности сотрудников. Если в настоящее время связанного с номером должности сотрудника Чжан Сань заменяют на Ли Сы, то генеральный директор 1 автоматически может просматривать подотчетные ведомости как Ли Сы, так и Чжан Саня.For example, head 1 of sales department 1 is granted rights to view (view by reporting person) the personal reporting sheet of an employee currently corresponding to a certain position number in this department. If the currently associated employee Zhang San is replaced by Li Si, then Manager 1 can automatically only view the report sheet of the last employee associated with the position number, Li Si (the reporting person is Li Si), and automatically cannot view the report sheet of the originally associated employee. Zhang San's employee position number (reporting person is Zhang San). Or, for example, the head of the 1st administrative and economic activity of the company is granted the rights only to view (view by accountable person) the personal reporting sheet of previous employees associated with a certain position number, in order to conduct an appropriate analysis of all employees (with the exception of the currently associated employee), that were associated with this job number. If Zhang San's currently associated job number ceases to perform a work activity with that job number (Zhang San's association with that job number/role is deleted), then Operations Manager 1 can automatically view Zhang San's report sheet and perform appropriate analysis. . Or, for example, the general director of 1 company is granted the rights to view (view by reporting person) the reporting sheet of all employees associated with a certain position number. If the currently associated employee Zhang San is replaced by Li Si, then General Manager 1 can automatically view both Li Si's and Zhang San's reporting statements.

Традиционный способ предоставления прав является сложным и не позволяет реализовать совместное предоставление прав в отношении данных, соответствующих в настоящее время работающему с номером должности сотруднику, работавшим с номером должности в прошлом или всем работавшим и работающему с номером должности сотрудникам, не говоря уже об автоматической динамичности. Данное изобретение позволяет легко и быстро обеспечить коллективное предоставление прав посредством модели с текущим объектом, предыдущими объектами и всеми объектами, а также позволяет реализовать автоматическую функцию динамического соответствия.The traditional way of entitlement is complex and does not allow for shared entitlement of data corresponding to the current employee of the job number, the past employee of the job number, or all employees of the job number, let alone automatic dynamism. The present invention makes it possible to easily and quickly provide collective entitlement through a model with the current object, previous objects and all objects, and also allows the implementation of an automatic dynamic matching function.

(2) В настоящем изобретении роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями, один пользователь связан с одним сотрудником и один сотрудник связан с одним пользователем. В процессе функционирования предприятия или учреждения роль изменяется редко, и даже остается неизменной в течение относительно длительного периода времени. В случае увольнения, перевода и вступления в должность сотрудника предоставление прав может быть выполнено путем удаления связи с соответствующей ролью или связывания с новой ролью. Операция предоставления прав является простой, удобной и высокоэффективной, что значительно повышает эффективность предоставления прав.(2) In the present invention, a role is a single entity rather than a group/class, and one role can only be associated with one user at a time, while one user is associated with one or more roles, one user is associated with one employee and one employee is associated with one user. During the functioning of an enterprise or institution, the role rarely changes, and even remains unchanged for a relatively long period of time. In the event of an employee leaving, transferring, or joining a position, entitlement can be accomplished by deleting the association with the relevant role or associating it with a new role. The operation of granting rights is simple, convenient and highly efficient, which greatly improves the efficiency of granting rights.

(3) В настоящем изобретении данные формы, в отношении которых предоставляют права доступа, получают посредством роли и связанного с ролью пользователя или роли и сотрудника, который соответствует связанному с ролью пользователю, что позволяет во время предоставления прав в отношении данных формы эффективно различать права, связанные с различными обязанностями сотрудника. Например, Чжан Сань в настоящее время связан с ролью 1 в авиационном отделе и ролью 2 в отделе бытовой техники. Необходимо руководителю 1 отдела бытовой техники предоставить права на просмотр форм договоров бытовой техники сотрудника Чжан Сань, и поле подписавшего договор лица выбирают в качестве авторизуемого поля. Если предоставлени прав руководителю 1 проводят в соответствии с традиционным способом предоставления прав на основе сотрудника и значением поля подписавшего договор лица является Чжан Сань, то руководитель 1 отдела бытовой техники может просматривать все договоры по бытовой технике и все договоры по воздушным судам, подписанные Чжан Санем. В результате руководитель 1 отдела бытовой техники может просматривать подписанные Чжан Санем договоры по воздушным судам, что приводит к утечке информации о договорах по воздушным судам. Если предоставление прав руководителю 1 отдела бытовой техники проводят с использованием способа согласно настоящему изобретению и значением поля подписавшего договор лица является Чжан Сань (роль 2), то руководитель 1 отдела бытовой техники может просматривать только договоры по бытовой технике, подписанные Чжан Санем (роль 2), но не может просматривать подписанные Чжан Санем (роль 1) договоры по воздушным судам. Таким образом реализуется детализированное управление и обеспечивается информационная безопасность компании.(3) In the present invention, the form data on which access rights are granted are obtained by a role and a role-associated user or a role and an employee that corresponds to a role-associated user, which allows the rights to be effectively differentiated at the time of granting rights on the form data. associated with various employee responsibilities. For example, Zhang San is currently associated with Role 1 in the Aviation Department and Role 2 in the Home Appliances Department. It is necessary to grant the head of the 1st department of household appliances the rights to view contract forms for household appliances of employee Zhang San, and the field of the person who signed the contract is selected as the authorized field. If manager 1's entitlement is done according to the traditional employee-based entitlement method, and the signatory field value is Zhang San, then home appliance department manager 1 can view all the home appliance contracts and all the aircraft contracts signed by Zhang San. As a result, the head of the 1st Home Appliances Department can view the aircraft contracts signed by Zhang San, which leads to leakage of information about the aircraft contracts. If the granting of rights to the head of the home appliance department 1 is carried out using the method according to the present invention, and the value of the signatory field is Zhang San (role 2), then the head of the home appliance department 1 can only view the home appliance contracts signed by Zhang San (role 2). , but cannot view the aircraft contracts signed by Zhang San (role 1). In this way, detailed management is implemented and the company’s information security is ensured.

(4) В традиционном механизме управления правами роль характеризуют как свойство группы, рабочей специальности, класса и т. п. Роль с пользователем связывают по принципу один ко многим. В процессе реального использования системы права пользователей подвергаются частым изменениям. Например, в процессе изменения прав, когда изменились права связанного с ролью сотрудника, является нецелесообразным изменять права всей роли по причине изменения прав отдельного сотрудника, поскольку роль также связана с другими сотрудниками, чьи права остались неизменными. В результате(4) In the traditional rights management mechanism, a role is characterized as a property of a group, work specialty, class, etc. A role is associated with a user on a one-to-many basis. During actual use of the system, user rights are subject to frequent changes. For example, in the process of changing rights, when the rights of an employee associated with a role have changed, it is inappropriate to change the rights of the entire role because the rights of an individual employee have changed, since the role is also associated with other employees whose rights have remained unchanged. As a result

- 4 044262 необходимо либо создать новую роль, соответствующую сотруднику, чьи права были изменены, либо напрямую предоставить права сотруднику (исключенному из роли) на основании требований к правам. Вышеописанные два способа обработки не только занимают много времени, но также легко приводят к ошибкам в предоставленных роли правах в случае, если роль обладает большим количеством прав. Пользователю приходится выполнять объемную работу, в результате чего происходят ошибки, приводящие к потерям для системного пользователя.- 4 044262 you must either create a new role corresponding to the employee whose rights have been changed, or directly grant rights to the employee (excluded from the role) based on the rights requirements. The above two processing methods not only take a long time, but also easily lead to errors in the rights granted to the role in case the role has a large number of rights. The user has to do a lot of work, resulting in errors that result in losses for the system user.

Однако, согласно способу этой заявки, поскольку роль представляет собой отдельную сущность, цель может быть достигнута путем изменения прав этой роли. Несмотря на то, что способ в этой заявке, вероятно, увеличивает рабочую нагрузку во время инициализации системы посредством копирования и т. п., тем не менее, создание и предоставление прав роли может быть выполнено более эффективно, чем в случае традиционных ролей со свойством группы. Поскольку при связывании пользователей нет необходимости учитывать общность ролей со свойством группы, предусмотренные в этой заявке решения делают настройку прав ясной и понятной. Особенно после того, как система была использована в течение определенного периода времени (после динамического изменения прав пользователей/ролей), предусмотренные в этой заявке решения могут значительно повысить эффективность управления правами для системных пользователей, сделать динамическое предоставление прав более простым, более удобным, ясным и понятным, а также повысить эффективность и надежность настройки прав.However, according to the method of this application, since a role is a separate entity, the goal can be achieved by changing the rights of that role. Although the method in this application is likely to increase the workload during system initialization through copying and the like, however, creating and granting role rights can be done more efficiently than in the case of traditional roles with the group property . Since there is no need to consider the commonality of roles with the group property when associating users, the solutions provided in this application make setting up rights clear and understandable. Especially after the system has been used for a certain period of time (after dynamically changing user rights/roles), the solutions provided in this application can greatly improve the efficiency of rights management for system users, making dynamic rights provision simpler, more convenient, clearer and understandable, and also improve the efficiency and reliability of setting rights.

(5) Традиционный способ предоставления прав на основе роли со свойством группы подвержен ошибкам. Предоставленный в этой заявке способ значительно снижает вероятность ошибок в предоставленных правах, поскольку в способе этой заявки роль рассматривается лишь в качестве отдельной сущности, без учета общности нескольких пользователей, связанных с ролью со свойством группы по традиционному способу. Если в предоставленных правах обнаруживают ошибки, затрагивается только связанный с ролью пользователь, однако в случае традиционной роли со свойством группы затрагиваются все связанные с ролью пользователи. Даже если в предоставленных правах обнаруживают ошибки, способ исправления согласно этой заявке является простым и занимает непродолжительный период времени, в то время как в случае традиционной роли со свойством группы при исправлении ошибок необходимо учитывать общность прав всех связанных с ролью пользователей. Если у роли большой функционал, исправление является объемным, сложным и подверженным ошибкам, и во многих случаях проблема не может быть решена, пока не будет создана новая роль.(5) The traditional way of granting rights based on a role with a group property is error prone. The method provided in this application significantly reduces the likelihood of errors in the rights granted, since in the method of this application the role is considered only as a separate entity, without taking into account the commonality of several users associated with the role with the group property in the traditional way. If errors are detected in the granted rights, only the user associated with the role is affected, but in the case of a traditional role with a group property, all users associated with the role are affected. Even if errors are found in the granted rights, the correction method according to this application is simple and takes a short period of time, while in the case of a traditional role with a group property, the commonality of rights of all users associated with the role must be taken into account when correcting errors. If a role has large functionality, the fix is large, complex, and error-prone, and in many cases the problem cannot be resolved until a new role is created.

(6) В традиционном способе предоставления прав роли со свойством группы, если у роли большой функционал прав, с течением времени сложно сохранить в памяти конкретные права роли, и еще труднее запомнить различия в правах разных ролей с идентичными правами. Если нужно связать нового пользователя, невозможно точно определить, каким образом установить связь. В способе этой заявки сама роль представляет собой номер должности/номер рабочей станции, что значительно упрощает выбор.(6) In the traditional way of granting rights to a role with a group property, if the role has a large functionality of rights, over time it is difficult to remember the specific rights of the role, and it is even more difficult to remember the differences in rights of different roles with identical rights. If you need to associate a new user, it is impossible to determine exactly how to establish the association. In this application method, the role itself is the job number/workstation number, making selection much easier.

(7) При переводе пользователя на другую должность и необходимости назначить другим пользователям большого количества прав переводимого пользователя, необходимо разделить права переводимого пользователя и создать роли для связи с другими пользователями. Такие операции не только сложны и трудоемки, но также подвержены ошибкам.(7) When transferring a user to another position and need to assign a large number of rights of the transferred user to other users, it is necessary to separate the rights of the transferred user and create roles for communication with other users. Such operations are not only complex and time-consuming, but also error-prone.

Способ в этой заявке заключается в следующем: переводимый пользователь связан с несколькими ролями. При переводе пользователя сначала удаляют связь между пользователем и ролями в прежнем отделе (отмененные роли можно повторно связать с другими пользователями), и затем устанавливают связь пользователя с ролью в новом отделе. Операция проста и не подвержена ошибкам.The method in this application is as follows: the transferred user is associated with multiple roles. When you transfer a user, you first remove the association between the user and the roles in the previous department (unlinked roles can be reassociated with other users), and then associate the user with the role in the new department. The operation is simple and error-free.

(8) Роль относится к определенному отделу и отдел, к которому относится роль, не может быть изменен. Причины, по которым отдел, к которому относится роль, не может быть изменен, заключаются в следующем. Причина 1: поскольку роль в этой заявке по сути представляет собой номер рабочей станции/номер должности, различные номера рабочих станций/номера должностей имеют разное содержание работы или права. Например, роль продавца 1 в отделе продаж и роль разработчика 1 в техническом отделе - это два совершенно разных номера рабочих станций/номера должностей и они имеют различные права. Причина 2: если отдел (отдел продаж), к которому относится роль продавца 1, заменяют техническим отделом без изменения прав роли продавца 1, то в техническом отделе существует роль с правами, относящимися к отделу продаж. Это приводит к беспорядку в управлении и уязвимостям безопасности.(8) The role belongs to a specific department and the department to which the role belongs cannot be changed. The reasons why the department to which a role belongs cannot be changed are as follows. Reason 1: Because the role in this requisition is essentially a workstation number/job number, different workstation numbers/job numbers have different job content or rights. For example, sales role 1 in the sales department and developer role 1 in the technical department are two completely different workstation numbers/position numbers and they have different rights. Reason 2: If the department (sales department) to which the salesperson 1 role belongs is replaced by the technical department without changing the rights of the salesperson 1 role, then a role exists in the technical department with rights related to the sales department. This leads to management confusion and security vulnerabilities.

Описание прилагаемых графических материаловDescription of the attached graphic materials

На фиг. 1 представлено схематическое изображение прямого предоставления прав пользователю в системе согласно предшествующему уровню техники.In fig. 1 is a schematic illustration of direct granting of rights to a user in a system according to the prior art.

На фиг. 2 представлено схематическое изображение предоставления прав роли со свойствами группы/класса в системе согласно предшествующему уровню техники;.In fig. 2 is a schematic representation of granting rights to a role with group/class properties in a system according to the prior art;

На фиг. 3 представлено схематическое изображение прямого предоставления прав и пользователю, и роли со свойствами группы/класса в системе согласно предшествующему уровню техники.In fig. 3 is a schematic representation of direct granting of rights to both a user and a role with group/class properties in a prior art system.

На фиг. 4 представлена схема последовательности действий согласно одному варианту осуществления настоящего изобретения.In fig. 4 is a flow chart of one embodiment of the present invention.

На фиг. 5 представлено схематическое изображение предоставления прав пользователю в системе посредством роли со свойством отдельной сущности согласно настоящему изобретению.In fig. 5 is a schematic illustration of granting rights to a user in a system through a role with a separate entity property according to the present invention.

- 5 044262- 5 044262

На фиг. 6 представлено схематическое изображение формы согласно настоящему изобретению.In fig. 6 is a schematic diagram of a mold according to the present invention.

На фиг. 7 представлена схема последовательности действий согласно еще одному варианту осуществления настоящего изобретения.In fig. 7 is a flowchart according to another embodiment of the present invention.

На фиг. 8 представлено схематическое изображение формы с отмеченным заголовком.In fig. Figure 8 shows a schematic representation of the form with the title marked.

На фиг. 9 представлена схема последовательности действий согласно еще одному варианту осуществления настоящего изобретения.In fig. 9 is a flowchart according to another embodiment of the present invention.

На фиг. 10 представлено схематическое изображение формы при выборе роли для проведения предоставления прав.In fig. 10 is a schematic representation of the form when selecting a role for granting rights.

Варианты осуществления изобретенияEmbodiments of the Invention

Ниже технические решения согласно настоящему изобретению описаны более подробно со ссылкой на прилагаемые графические материалы, однако объем защиты настоящего изобретения изложенным ниже не ограничивается.Below, the technical solutions according to the present invention are described in more detail with reference to the accompanying drawings, however, the scope of protection of the present invention is not limited to the following.

Вариант осуществления 1. Как показано на фиг. 4, способ предоставления прав в отношении полученных на основе роли данных формы включает: выбор одного или более авторизуемых объектов. Указанный авторизуемый объект представляет собой одно или более из человека, пользователя, группы, класса и роли.Embodiment 1 As shown in FIG. 4, a method for granting rights to role-derived form data includes: selecting one or more authorized objects. The specified authorizable entity is one or more of a person, a user, a group, a class, and a role.

Как показано на фиг. 5, роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.As shown in FIG. 5, a role is a single entity rather than a group/class, and one role can only be associated with one user at a time, while one user can be associated with one or more roles.

Роль относится к определенному отделу, права роли предоставляют в соответствии с должностными обязанностями роли, имя роли является единственным в рамках отдела и номер роли является единственным в системе. Пользователь определяет (приобретает) права посредством своей связи с ролью, один сотрудник соответствует одному пользователю и один пользователь соответствует одному сотруднику.The role belongs to a specific department, the rights of the role are granted in accordance with the job responsibilities of the role, the name of the role is unique within the department and the role number is unique in the system. A user defines (acquires) rights through his association with a role, one employee corresponds to one user, and one user corresponds to one employee.

Определение роли: роль характеризуется не свойствами группы/ класса/ категории/ должности/ служебного положения/ рабочей специальности и т.п., а лишь свойством отсутствия коллективности, для роли характерна уникальность, и роль представляет собой отдельную сущность, существующую независимо. Применяемая на предприятии или в учреждении, роль тождественна номеру должности (при этом номер должности не является должностью, одна должность может одновременно иметь несколько сотрудников, но один номер должности в один и тот же период может соответствовать только одному сотруднику).Definition of a role: a role is characterized not by the properties of a group/class/category/position/official position/work specialty, etc., but only by the property of the absence of collectivity, the role is characterized by uniqueness, and the role is a separate entity that exists independently. Applied in an enterprise or institution, the role is identical to the position number (in this case, the position number is not a position; one position can simultaneously have several employees, but one position number in the same period can correspond to only one employee).

Например, в системе компании могут быть созданы следующие роли: генеральный директор, заместитель генерального директора 1, заместитель генерального директора 2, менеджер Пекинского отдела продаж I, менеджер Пекинского отдела продаж 2, менеджер Пекинского отдела продаж 3, Шанхайский инженер по продажам 1, Шанхайский инженер по продажам 2, Шанхайский инженер по продажам 3, Шанхайский инженер по продажам 4, Шанхайский инженер по продажам 5 и т. д. Отношения между пользователями и ролями выглядит следующим образом: если сотрудник компании Чжан Сань выступает в качестве заместителя генерального директора 2 и в то же время выступает в качестве менеджера Пекинского отдела продаж 1, то Чжан Сань должен быть связан с ролью заместителя генерального менеджера 2 и ролью менеджера Пекинского отдела продаж 1, то есть Чжан Сань обладает правами двух ролей.For example, the following roles can be created in the company's system: General Director, Deputy General Director 1, Deputy General Director 2, Beijing Sales Manager I, Beijing Sales Manager 2, Beijing Sales Manager 3, Shanghai Sales Engineer 1, Shanghai Engineer Sales Engineer 2, Shanghai Sales Engineer 3, Shanghai Sales Engineer 4, Shanghai Sales Engineer 5, etc. The relationship between users and roles is as follows: if a company employee Zhang San acts as Deputy General Manager 2 and then At the same time, he acts as the manager of Beijing Sales Department 1, then Zhang San should be associated with the role of deputy general manager 2 and the role of manager of Beijing Sales Department 1, that is, Zhang San has the rights of two roles.

Понятие традиционных ролей характеризуется свойствами группы/класса/должности/служебного положения/рабочей специальности, и одна роль может соответствовать нескольким пользователям. Однако в этой заявке понятие роль соответствует номеру должности/номеру рабочего места, а также похоже на роль в кино и телесериалах: одна роль (в детстве, юности, зрелом возрасте и т. д.) может одновременно исполняться только одним актером, но один актер может исполнять несколько ролей.The concept of traditional roles is characterized by the properties of a group/class/position/position/job specialty, and one role can correspond to several users. However, in this application, the concept of a role corresponds to a position number/job number, and is also similar to a role in films and television series: one role (in childhood, adolescence, adulthood, etc.) can only be performed by one actor at a time, but one actor can perform multiple roles.

При переводе пользователя в другой отдел связь пользователя с ролью в прежнем отделе удаляют и пользователя связывают с ролью в новом отделе. После создания роли пользователь может быть связан с ролью в процессе создания пользователя или может быть связан с ролью в любое время после создания пользователя. После связывания пользователя с ролью пользователь может быть освобожден от связи с ролью в любое время, и связь между пользователем и другой ролью может быть создана в любое время.When a user is transferred to another department, the user's association with a role in the previous department is removed and the user is associated with a role in the new department. Once a role is created, a user can be associated with the role during the user creation process, or can be associated with a role at any time after the user is created. Once a user is associated with a role, the user can be unassociated from the role at any time, and an association between the user and another role can be created at any time.

Выбирают форму и отображают используемое для поиска данных формы авторизуемое поле, где указанное авторизуемое поле представляет собой поле, значение которого включает пользователя или сотрудника. Как показано на фиг. 6, авторизуемое поле -создатель.A form is selected and an authorized field used to search the form data is displayed, where the specified authorized field is a field whose value includes the user or employee. As shown in FIG. 6, authorization field - creator.

Права в отношении каждого авторизуемого поля предоставляют отдельно: отображают все роли в системе, при этом роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями; используемую для поиска данных формы роль определяют в качестве целевой роли, при этом одна целевая роль соответствует одной роли (например, если для поиска данных формы необходимо использовать 5 ролей, значит, соответственно, имеется 5 целевых ролей); отдельно выбирают целевой объект для каждой целевой роли, при этом целевой объект представляет собой текущий объект, предыдущие объекты или все объекты; указанный текущий объект представляет собой вRights in relation to each authorized field are provided separately: they display all roles in the system, while the role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user is associated with one or more roles; the role used to search for form data is defined as a target role, with one target role corresponding to one role (for example, if 5 roles need to be used to search for form data, then there are 5 target roles); separately selecting a target object for each target role, wherein the target object is the current object, previous objects, or all objects; the specified current object represents in

- 6 044262 настоящее время связанного с ролью пользователя или соответствующего пользователю сотрудника, указанные предыдущие объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников за исключением в настоящее время связанного с ролью пользователя, и указанные все объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников.- 6 044262 currently associated with the role of the user or the employee corresponding to the user, the specified previous objects represent all associated users or the employee associated with the user except the currently associated user, and the specified all objects represent all associated users or employees employees corresponding to the users.

Как показано на фиг. 6, в качестве целевого объекта для продавца 1 (роль) выбирают текущий объект, в качестве целевых объектов для продавца 2 (роль) выбирают предыдущие объекты и в качестве целевых объектов для продавца 3 (роль) выбирают все объекты. Если продавец 1 в настоящее время связан с пользователем А и ранее был связан с пользователем В, то целевым объектом продавца 1 является пользователь А; если продавец 2 в настоящее время связан с пользователем С и ранее был связан с пользователем D и пользователем Е, то целевыми объектами продавца 2 являются пользователь D и пользователь Е; если продавец 3 в настоящее время связан с пользователем F и ранее был связан с пользователем G, то целевыми объектами продавца 3 являются пользователь F и пользователь G.As shown in FIG. 6, the current object is selected as the target object for salesman 1 (role), previous objects are selected as targets for salesman 2 (role), and all objects are selected as targets for salesman 3 (role). If Merchant 1 is currently associated with User A and was previously associated with User B, then Merchant 1's target is User A; If Merchant 2 is currently associated with User C and was previously associated with User D and User E, then Merchant 2's targets are User D and User E; If seller 3 is currently associated with user F and was previously associated with user G, then seller 3's targets are user F and user G.

Для каждой целевой роли каждого авторизуемого поля отдельно получают совокупность данных конкретного значения авторизуемого поля в указанной форме и выполняют предоставление прав на операции в отношении полученной совокупности данных, при этом значение авторизуемого поля включает любого пользователя или сотрудника в целевом объекте этой целевой роли. В соответствии с настройкой целевых объектов в приведенном выше примере, предоставление прав на операции выполняют в отношении данных формы, значение поля создателя в форме договора которых включает пользователя А; предоставление прав на операции выполняют в отношении данных формы, значение поля создателя в форме договора которых включает пользователя D и пользователя Е; и предоставление прав на операции выполняют в отношении данных формы, значение поля создателя в форме договора которых включают пользователя F и пользователя G.For each target role of each authorized field, a set of data of a specific value of the authorized field is separately obtained in the specified form and rights to operations are granted in relation to the obtained set of data, wherein the value of the authorized field includes any user or employee in the target object of this target role. According to the target object setup in the example above, granting operation rights is performed on form data whose creator field value in the contract form includes user A; granting rights to operations is performed in relation to form data, the value of the creator field in the contract form of which includes user D and user E; and the granting of rights to operations is performed in relation to the form data, the value of the creator field in the contract form of which includes user F and user G.

Права на операции включают одну или более операций просмотра, изменения, добавления, удаления и печати данных формы.Operation rights include one or more of the operations to view, edit, add, delete, and print form data.

Вариант осуществления 2. Как показано на фиг. 7, способ предоставления прав в отношении полученных на основе роли данных формы включает: выбор одного или более авторизуемых объектов. Авторизуемый объект представляет собой одно или более из человека, пользователя, группы, класса и роли; указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.Embodiment 2 As shown in FIG. 7, a method for granting rights with respect to role-derived form data includes: selecting one or more authorized objects. An authorized entity is one or more of a person, a user, a group, a class, and a role; a specified role is a single entity rather than a group/class, and one role can only be associated with one user at a time, while one user can be associated with one or more roles.

Роль относится к определенному отделу, права роли предоставляют в соответствии с должностными обязанностями роли, имя роли является единственным в рамках отдела и номер роли является единственным в системе. Пользователь определяет (приобретает) права посредством своей связи с ролью, один сотрудник соответствует одному пользователю и один пользователь соответствует одному сотруднику.The role belongs to a specific department, the rights of the role are granted in accordance with the job responsibilities of the role, the name of the role is unique within the department and the role number is unique in the system. A user defines (acquires) rights through his association with a role, one employee corresponds to one user, and one user corresponds to one employee.

При переводе пользователя в другой отдел связь пользователя с ролью в прежнем отделе отменяют и пользователя связывают с ролью в новом отделе. После создания роли пользователь может быть связан с ролью в процессе создания пользователя или может быть связан с ролью в любое время после создания пользователя. После связывания пользователя с ролью пользователь может быть освобожден от связи с ролью в любое время, и связь между пользователем и другой ролью может быть создана в любое время.When a user is transferred to another department, the user's association with the role in the previous department is canceled and the user is associated with the role in the new department. Once a role is created, a user can be associated with the role during the user creation process, or can be associated with a role at any time after the user is created. Once a user is associated with a role, the user can be unassociated from the role at any time, and an association between the user and another role can be created at any time.

Выбирают форму и отображают используемое для поиска данных формы авторизуемое поле, при этом указанное авторизуемое поле представляет собой поле, значение которого включает роль и пользователя или роль и сотрудника; то есть авторизуемым полем может быть поле, значение которого включает роль и пользователя, а также авторизуемым полем может быть поле, значение которого включает роль и сотрудника.A form is selected and an authorized field used to search for form data is displayed, wherein the specified authorized field is a field whose value includes a role and a user or a role and an employee; that is, an authorized field can be a field whose value includes a role and a user, and an authorized field can also be a field whose value includes a role and an employee.

Права предоставляют отдельно в отношении каждого авторизуемого поля: отображают все роли в системе, при этом роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями; используемую для поиска данных формы роль определяют в качестве целевой роли, при этом одна целевая роль соответствует одной роли (например, если для поиска данных формы необходимо использовать 5 ролей, значит, соответственно, имеется 5 целевых ролей); отдельно выбирают целевой объект для каждой целевой роли, при этом целевой объект представляет собой текущий объект, предыдущие объекты или всем объекты; указанный текущий объект представляет собой в настоящее время связанного с ролью пользователя или соответствующего пользователю сотрудника, указанные предыдущие объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников за исключением в настоящее время связанного с ролью пользователя, и указанные все объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников; целевую роль и пользователя или сотрудника в целевом объекте этой целевой роли определяют в качестве предельного значения этой целевой роли, и если целевой объект этой целевой роли включает несколько пользователей или сотрудников, то целевую роль и пользователей/сотрудников в целевом объекте этой целевой роли определяют как несколько предельных зна- 7 044262 чений.Rights are granted separately in relation to each authorized field: they display all roles in the system, while the role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user is associated with one or more roles; the role used to search for form data is defined as a target role, with one target role corresponding to one role (for example, if 5 roles need to be used to search for form data, then there are 5 target roles); separately selecting a target object for each target role, wherein the target object is the current object, previous objects, or all objects; said current object represents the currently associated user or user-matched employee, said previous objects represents all role-associated users or user-matched employees excluding the currently associated user, and said all objects represent all associated the role of users or employees corresponding to users; the target role and the user or employee in the target of that target role are defined as the limit value of that target role, and if the target of that target role includes multiple users or employees, then the target role and the users/employees in the target of that target role are defined as multiple limit values 7 044262.

Например, целевой объект целевой роли А включает трех пользователей: пользователь 1, пользователь 2 и пользователь 3. В таком случае целевая роль А и пользователь 1 составляют предельное значение целевая роль А (пользователь 1), целевая роль А и пользователь 2 составляют предельное значение целевая роль А (пользователь 2), и целевая роль А и пользователь 3 составляют предельное значение целевая роль А (пользователь 3).For example, the target of target role A includes three users: user 1, user 2 and user 3. In such a case, target role A and user 1 constitute the limit target role A (user 1), target role A and user 2 constitute the limit target role A (user 2), and target role A and user 3 constitute the limit value of target role A (user 3).

При выборе для роли целевого объекта, если выбирают имя столбца любого из текущего объекта, предыдущих объектов и всех объектов (например, на фиг. 8 выбран текущий объект), то целевыми объектами всех ролей (включая добавляемые впоследствии роли) являются соответствующие выбранному имени столбца объекты (один из типов текущего объекта, предыдущих объектов и всех объектов). Например, на фиг. 8 имя столбца выбрано как текущий объект, и целевые объекты являются текущими объектами, соответствующими продавцу 1, продавцу 2, продавцу 3 и т. д. Когда все роли авторизуемого поля (включая добавляемые впоследствии роли) являются целевыми ролями, а целевые объекты этих целевых ролей имеют один и тот же тип (то есть все целевые объекты являются текущим объектом, предыдущими объектами или всеми объектами), одноэтапный выбор может быть реализован посредством выбора соответствующего имени столбца (выбор имени столбца - это своеобразная форма проявления, суть этого проявления также может быть достигнута другими способами), что значительно снижает рабочую нагрузку по выбору целевых объектов для целевых ролей и повышает эффективность операции предоставления прав.When selecting a target object for a role, if the column name of any of the current object, previous objects and all objects is selected (for example, in Fig. 8 the current object is selected), then the target objects of all roles (including roles added subsequently) are the objects corresponding to the selected column name (one of the types of the current object, previous objects and all objects). For example, in FIG. 8, the column name is selected as the current object, and the target objects are the current objects corresponding to seller 1, seller 2, seller 3, etc. When all the roles of the authorized field (including roles added subsequently) are target roles, and the targets of these target roles have the same type (that is, all target objects are the current object, previous objects or all objects), one-step selection can be realized by selecting the corresponding column name (selecting a column name is a kind of manifestation form, the essence of this manifestation can also be achieved other means), which significantly reduces the workload of selecting targets for target roles and improves the efficiency of the entitlement operation.

Как показано на фиг. 6, текущий объект выбран в качестве целевого объекта для продавца 1 (роль), предыдущие объекты выбраны в качестве целевых объектов для продавца 2 (роль) и все объекты выбраны в качестве целевых объектов для продавца 3 (роль). Если продавец 1 в настоящее время связан с пользователем А и ранее был связан с пользователем В, то целевым объектом продавца 1 является пользователь А; если продавец 2 в настоящее время связан с пользователем С и ранее был связан с пользователем D и пользователем Е, то целевыми объектами продавца 2 являются пользователь D и пользователь Е; если продавец 3 в настоящее время связан с пользователем F и ранее был связан с пользователем G, то целевыми объектами продавца 3 являются пользователь F и пользователь G. Продавец 1 и пользователь А, продавец 2 и пользователь D, продавец 2 и пользователь Е, продавец 3 и пользователь F, а также продавец 3 и пользователь G составляют предельное значение соответствующей целевой роли.As shown in FIG. 6, the current object is selected as the target for salesman 1 (role), the previous objects are selected as targets for salesman 2 (role), and all objects are selected as targets for salesman 3 (role). If Merchant 1 is currently associated with User A and was previously associated with User B, then Merchant 1's target is User A; If Merchant 2 is currently associated with User C and was previously associated with User D and User E, then Merchant 2's targets are User D and User E; if Merchant 3 is currently associated with User F and was previously associated with User G, then Merchant 3's targets are User F and User G. Merchant 1 and User A, Merchant 2 and User D, Merchant 2 and User E, Merchant 3 and user F as well as salesperson 3 and user G constitute the limit value of the corresponding target role.

Для каждой целевой роли каждого авторизуемого поля отдельно получают совокупность данных конкретного значения авторизуемого поля в указанной форме и выполняют предоставление прав на операции для полученной совокупности данных, при этом значение авторизуемого поля включает любое предельное значение этой целевой роли. В соответствии с настройкой целевых объектов в приведенном выше примере, продавец 1 и пользователь А составляют первое предельное значение, продавец 2 и пользователь D составляют второе предельное значение, продавец 2 и пользователь Е составляют третье предельное значение, продавец 3 и пользователь F составляют четвертое предельное значение, продавец 3 и пользователь G составляют четвертое предельное значение. В таком случае предоставление прав на операции выполняют в отношении данных формы, в которых значение поля создателя в форме договора включает первое предельное значение (также может быть выражено как продавец 1 (А)); предоставление прав на операции выполняют в отношении данных формы, в которых значение поля создателя в форме договора включает второе предельное значение (также может быть выражено как продавец 2 (D)) или третье предельное значение (также может быть выражено как продавец 2 (Е)); и предоставление прав на операции выполняют в отношении данных формы, в которых значение поля создателя в форме договора включает четвертое предельное значение (также может быть выражено как продавец 3 (F)) или пятое предельное значение (также может быть выражено как продавец 3 (G)). Как показано на фиг. 6, клерк 1 может просматривать договоры, создателем которых является продавец 1 (А) (если пользователь, связанный с ролью продавец 1, изменяется с А на K, то после изменения клерк 1 автоматически может просматривать договоры, созданные продавцом 1 (K), и не может просматривать договоры, созданные продавцом 1 (А), так как после изменения связанной роли пользователя А, А становится предыдущим связанным пользователем продавца 1), клерк 1 может просматривать договоры, создателями которых являются продавец 2 (D) и продавец 2 (Е), а также клерк 1 может изменять договоры, создателями которых являются продавец 3 (F) и продавец 3 (G).For each target role of each authorized field, a set of data of a specific value of the authorized field is separately obtained in the specified form and rights to operations are granted for the resulting set of data, wherein the value of the authorized field includes any limit value of this target role. According to the target setup in the example above, Merchant 1 and User A make up the first limit, Merchant 2 and User D make up the second limit, Merchant 2 and User E make up the third limit, Merchant 3 and User F make up the fourth limit , seller 3 and user G constitute the fourth limit value. In such a case, the grant of transaction rights is performed on the form data in which the value of the creator field in the contract form includes the first limit value (can also be expressed as seller 1 (A)); granting transaction rights is performed on form data in which the value of the creator field on the contract form includes a second limit value (can also be expressed as seller 2 (D)) or a third limit value (can also be expressed as seller 2 (E)) ; and the grant of transaction rights is performed on the form data in which the value of the creator field in the contract form includes a fourth limit value (also expressed as seller 3 (F)) or a fifth limit value (also expressed as seller 3 (G) ). As shown in FIG. 6, clerk 1 can view contracts created by salesman 1 (A) (if the user associated with the role salesman 1 changes from A to K, then after the change, clerk 1 can automatically view contracts created by salesman 1 (K), and cannot view contracts created by salesperson 1 (A) because after changing the associated role of user A, A becomes the previous associated user of seller 1), clerk 1 can view contracts created by salesperson 2 (D) and salesperson 2 (E) , and also clerk 1 can change contracts created by seller 3 (F) and seller 3 (G).

Права на операции включают одну или более операций просмотра, изменения, добавления, удаления и печати данных формы.Operation rights include one or more of the operations to view, edit, add, delete, and print form data.

В еще одном варианте осуществления, при отображении всех ролей в системе присутствуют опция пустого значения и опция без ограничений; если выбрана опция пустого значения, то выполняют предоставление прав на операции с данными в указанной форме с пустым значением авторизуемого поля; если выбрана опция без ограничений, то выполняют предоставление прав на операции с данными в указанной форме с любым значением (включая пустое значение) авторизуемого поля. В настоящем изобретении возможна установка опции без ограничений, и если выбрана опция без ограничений, то выполняют предоставление прав на операции с данными в указанной форме с любым значением авторизуемого поля, что повышает эффективность предоставления прав авторизуемому объекту, обладающемуIn yet another embodiment, when displaying all roles in the system, a blank option and an unrestricted option are present; if the empty value option is selected, then granting rights to operate on data in the specified form with an empty value of the authorized field; if the option without restrictions is selected, then rights to operate on data in the specified form are granted with any value (including an empty value) of the authorized field. In the present invention, it is possible to set the option without restrictions, and if the option without restrictions is selected, then the granting of rights to operate on data in the specified form with any value of the authorized field is performed, which improves the efficiency of granting rights to the authorized object having

- 8 044262 правами на операции со всеми данными формы указанного авторизуемого поля.- 8 044262 rights to operate with all form data of the specified authorized field.

При наличии одного авторизуемого объекта, после выбора формы отображают текущие права на операции с формой этого авторизуемого лица.If there is one authorized object, after selecting a form, the current rights to operate with the form of this authorized person are displayed.

Вариант осуществления 3. Как показано на фиг. 9, способ предоставления прав в отношении полученных на основе роли данных формы включает: выбор одного или более авторизуемых объектов. Авторизуемый объект представляет собой одно или более из человека, пользователя, группы, класса и роли; указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.Embodiment 3 As shown in FIG. 9, a method for granting rights with respect to role-derived form data includes: selecting one or more authorized objects. An authorized entity is one or more of a person, a user, a group, a class, and a role; a specified role is a single entity rather than a group/class, and one role can only be associated with one user at a time, while one user can be associated with one or more roles.

Роль относится к определенному отделу, права роли предоставляют в соответствии с должностными обязанностями роли, имя роли является единственным в рамках отдела и номер роли является единственным в системе. Пользователь определяет (приобретает) права посредством своей связи с ролью, один сотрудник соответствует одному пользователю и один пользователь соответствует одному сотруднику.The role belongs to a specific department, the rights of the role are granted in accordance with the job responsibilities of the role, the name of the role is unique within the department and the role number is unique in the system. A user defines (acquires) rights through his association with a role, one employee corresponds to one user, and one user corresponds to one employee.

При переводе пользователя в другой отдел связь пользователя с ролью в прежнем отделе удаляют и пользователя связывают с ролью в новом отделе. После создания роли пользователь может быть связан с ролью в процессе создания пользователя или может быть связан с ролью в любое время после создания пользователя. После связывания пользователя с ролью пользователь может быть освобожден от связи с ролью в любое время, и связь между пользователем и другой ролью может быть создана в любое время.When a user is transferred to another department, the user's association with a role in the previous department is removed and the user is associated with a role in the new department. Once a role is created, a user can be associated with the role during the user creation process, or can be associated with a role at any time after the user is created. Once a user is associated with a role, the user can be unassociated from the role at any time, and an association between the user and another role can be created at any time.

Выбирают форму и отображают используемое для поиска данных формы авторизуемое поле, при этом указанное авторизуемое поле представляет собой поле, значение которого включает роль, указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.Selecting a form and displaying an authorized field used to search the form data, wherein said authorized field is a field whose value includes a role, wherein said role represents a single entity rather than a group/class, and one role can be associated in the same period with only one user, whereas one user is associated with one or more roles.

Права предоставляют отдельно в отношении каждого авторизуемого поля: отображают все роли в системе, при этом указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.; используемую для поиска данных формы роль определяют в качестве целевой роли, при этом одна целевая роль соответствует одной роли; для каждой целевой роли каждого авторизуемого поля отдельно получают совокупность данных конкретного значения авторизуемого поля в указанной форме и выполняют предоставление прав на операции в отношении полученной совокупности данных, при этом значение авторизуемого поля включает эту целевую роль. Как показано на фиг. 10, авторизуемое поле создатель включает целевые роли продавец 1, продавец 2, продавец 3; получают совокупность данных формы, создателем которой является продавец 1, и выполняют предоставление прав на просмотр в отношении полученной совокупности данных; получают совокупность данных формы, создателем которой является продавец 2, и выполняют предоставление прав на просмотр в отношении полученной совокупности данных; получают совокупность данных формы, создателем которой является продавец 3, и выполняют предоставление прав на изменение в отношении полученной совокупности данных.Rights are granted separately in relation to each authorized field: they display all roles in the system, while the specified role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user associated with one or more roles.; the role used to search the form data is defined as a target role, with one target role corresponding to one role; for each target role of each authorized field, a set of data of a specific value of the authorized field is separately obtained in the specified form and rights to operations are granted in relation to the received set of data, while the value of the authorized field includes this target role. As shown in FIG. 10, the authorized field creator includes the target roles seller 1, seller 2, seller 3; receiving a set of data from a form, the creator of which is seller 1, and granting viewing rights in relation to the received set of data; receiving a set of data from a form, the creator of which is seller 2, and granting viewing rights in relation to the received set of data; receiving a set of data from a form, the creator of which is the seller 3, and granting rights to change in relation to the received set of data.

Права на операции включают одну или более операций просмотра, изменения, добавления, удаления и печати данных формы.Operation rights include one or more of the operations to view, edit, add, delete, and print form data.

Рассмотренное выше представляет собой только предпочтительные варианты осуществления настоящего изобретения, и следует понимать, что настоящее изобретение вовсе не ограничивается вариантами, раскрытыми в этом документе, которые не должны рассматриваться как исключающие другие варианты осуществления, но могут применяться для любых других комбинаций, изменений и среды, поэтому без отклонения от рассмотренной сути настоящего изобретения в него можно вносить изменения на основании указанных выше идей или же технологий или знаний из смежных областей. Кроме того, если не имеет места отступление от идеи и объема настоящего изобретения, изменения и модификации, предложенные специалистами в данной области техники, должны входить в объем защиты настоящего изобретения, определяемый прилагаемой формулой изобретения.The above are only preferred embodiments of the present invention, and it should be understood that the present invention is not at all limited to the embodiments disclosed herein, which should not be construed as exclusive of other embodiments, but can be applied to any other combinations, variations and environments, Therefore, without deviating from the discussed essence of the present invention, changes can be made to it based on the above ideas or technologies or knowledge from related fields. Moreover, unless there is a departure from the spirit and scope of the present invention, changes and modifications suggested by those skilled in the art are intended to be within the scope of protection of the present invention as defined by the appended claims.

--

Claims (7)

ФОРМУЛА ИЗОБРЕТЕНИЯCLAIM 1. Способ предоставления прав в отношении полученных на основе роли данных формы, отличающийся тем, что включает:1. A method for granting rights in relation to form data obtained based on a role, characterized in that it includes: выбор одного или более авторизуемых объектов;selecting one or more authorized objects; выбор формы и отображения используемого для поиска данных формы авторизуемого поля, при этом указанное авторизуемое поле представляет собой поле, значение которого включает пользователя или сотрудника;selecting a form and displaying an authorized field used to search the form data, wherein said authorized field is a field whose value includes a user or employee; отдельное предоставление прав в отношении каждого авторизуемого поля: отображают все роли в системе, при этом указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями; определяют используемую для поиска данных формы роль в качестве целевой роли, при этом одна целевая роль соответствует одной роли; отдельно выбирают целевой объект для каждой целевой роли, при этом указанный целевой объект представляет собой текущий объект, предыдущие объекты или все объекты; указанный текущий объект представляет собой в настоящее время связанного с ролью пользователя или соответствующего пользователю сотрудника, указанные предыдущие объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников за исключением в настоящее время связанного с ролью пользователя, и указанные все объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников;separate grant of rights in relation to each authorized field: display all roles in the system, while the specified role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user associated with one or more roles; defining a role used to search the form data as a target role, wherein one target role corresponds to one role; separately selecting a target object for each target role, wherein said target object is the current object, previous objects, or all objects; said current object represents the currently associated user or user-matched employee, said previous objects represents all role-associated users or user-matched employees excluding the currently associated user, and said all objects represent all associated the role of users or employees corresponding to users; для каждой целевой роли каждого авторизуемого поля отдельное получение совокупности данных конкретного значения авторизуемого поля в указанной форме и осуществление предоставления прав на операции в отношении полученной совокупности данных, при этом значение авторизуемого поля включает любого пользователя или сотрудника в целевом объекте этой целевой роли.for each target role of each authorizable field, separately obtaining a data set of a specific authorizable field value in a specified form and granting rights to operate on the resulting data set, wherein the authorization field value includes any user or employee in the target object of that target role. 2. Способ предоставления прав в отношении полученных на основе роли данных формы, отличающийся тем, что включает:2. A method for granting rights in relation to form data obtained based on a role, characterized in that it includes: выбор одного или более авторизуемых объектов;selecting one or more authorized objects; выбор формы и отображения используемого для поиска данных формы авторизуемого поля, при этом указанное авторизуемое поле представляет собой поле, значение которого включает роль и пользователя или роль и сотрудника;selecting a form and displaying an authorized field used for searching form data, wherein said authorized field is a field whose value includes a role and a user or a role and an employee; отдельное предоставление прав в отношении каждого авторизуемого поля: отображают все роли в системе, при этом указанная роль представляет собой отдельную сущность, а не группу/класс, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или более ролями; определяют используемую для поиска данных формы роль в качестве целевой роли, при этом одна целевая роль соответствует одной роли; отдельно выбирают целевой объект для каждой целевой роли, при этом указанный целевой объект представляет собой текущий объект, предыдущие объекты или все объекты; указанный текущий объект представляет собой в настоящее время связанного с ролью пользователя или соответствующего пользователю сотрудника, указанные предыдущие объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников за исключением в настоящее время связанного с ролью пользователя, и указанные все объекты представляют собой всех связанных с ролью пользователей или соответствующих пользователям сотрудников; определяют целевую роль и пользователя или сотрудника в целевом объекте этой целевой роли в качестве предельного значения целевой роли;separate grant of rights in relation to each authorized field: display all roles in the system, while the specified role represents a separate entity, and not a group/class, and in the same period one role can be associated with only one user, while one user associated with one or more roles; defining a role used to search the form data as a target role, wherein one target role corresponds to one role; separately selecting a target object for each target role, wherein said target object is the current object, previous objects, or all objects; said current object represents the currently associated user or user-matched employee, said previous objects represents all role-associated users or user-matched employees excluding the currently associated user, and said all objects represent all associated the role of users or employees corresponding to users; defining a target role and a user or employee in the target object of this target role as a limit value of the target role; для каждой целевой роли каждого авторизуемого поля отдельное получение совокупности данных конкретного значения авторизуемого поля в указанной форме и осуществление предоставления прав на операции в отношении полученной совокупности данных, при этом значение авторизуемого поля включает любое предельное значение этой целевой роли.for each target role of each authorized field, separately obtaining a set of data of a specific value of the authorized field in the specified form and granting rights to operations in relation to the received set of data, wherein the value of the authorized field includes any limit value of this target role. 3. Способ предоставления прав в отношении полученных на основе роли данных формы по п.2, отличающийся тем, что указанные права на операции включают одну или более операций просмотра, изменения, добавления, удаления и печати данных формы.3. The method for granting rights with respect to role-derived form data according to claim 2, wherein said operation rights include one or more operations of viewing, modifying, adding, deleting and printing form data. 4. Способ предоставления прав в отношении полученных на основе роли данных формы по п.2, отличающийся тем, что указанный пользователь определяет права посредством своей связи с ролью, один сотрудник соответствует одному пользователю и один пользователь соответствует одному сотруднику.4. The method for granting rights with respect to role-derived form data according to claim 2, wherein said user defines rights through his association with the role, one employee corresponds to one user and one user corresponds to one employee. 5. Способ предоставления прав в отношении полученных на основе роли данных формы по п.2, отличающийся тем, что указанная роль относится к определенному отделу, права предоставляют роли в соответствии с должностными обязанностями роли, название роли является единственным в рамках отдела и номер роли является единственным в системе.5. A method for granting rights in relation to form data obtained based on a role according to claim 2, characterized in that the specified role relates to a specific department, the rights are granted to the role in accordance with the job responsibilities of the role, the name of the role is unique within the department and the role number is the only one in the system. 6. Способ предоставления прав в отношении полученных на основе роли данных формы по п.5, отличающийся тем, что при переводе указанного пользователя в другой отдел связь пользователя с ролью в прежнем отделе удаляют и пользователя связывают с ролью в новом отделе.6. The method for granting rights in relation to form data obtained based on a role according to claim 5, characterized in that when the specified user is transferred to another department, the user’s association with the role in the previous department is deleted and the user is associated with the role in the new department. 7. Способ предоставления прав в отношении полученных на основе роли данных формы по п.2, от-7. The method of granting rights in relation to the form data obtained based on the role according to claim 2, from - --
EA202090284 2017-07-13 2018-07-12 METHOD OF GRANTING RIGHTS WITH RESPECT TO FORM DATA OBTAINED BASED ON THE ROLE EA044262B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710571694.8 2017-07-13

Publications (1)

Publication Number Publication Date
EA044262B1 true EA044262B1 (en) 2023-08-09

Family

ID=

Similar Documents

Publication Publication Date Title
US11586758B2 (en) Authorization method for form data acquired based on role
US20200143328A1 (en) Method for setting up approval role according to department by approval node in workflow
BR112020000169A2 (en) method for authorizing operation permissions for form field values
US11507679B2 (en) Authorization method for form related information
US11599656B2 (en) Method for authorizing form data operation authority
CA3068930A1 (en) Method for setting approval procedure based on base fields
US11586747B2 (en) Method for setting operating record viewing right based on time period
US11303650B2 (en) Method for authorizing permission to operate content of mailbox account and instant messaging account in system
EP3667538A1 (en) Authorization method for displaying current permissions status of all system users
US11750616B2 (en) Method for authorizing approval processes and approval nodes thereof for user
US11775687B2 (en) Method for authorizing field value of form field by means of third party field
WO2018205940A1 (en) Organizational structure chart generation method based on one-to-one correspondence between roles and users, and application method
US11824865B2 (en) Method for authorizing authorization operator in system
WO2018224023A1 (en) Method for displaying permission after employee logs into account thereof in system
US11632348B2 (en) Method for acquiring mail box account in system
WO2019001322A1 (en) Role-based menu authorization method
EA044262B1 (en) METHOD OF GRANTING RIGHTS WITH RESPECT TO FORM DATA OBTAINED BASED ON THE ROLE
EA045932B1 (en) METHOD OF GRANTING RIGHTS WITH RESPECT TO FORM FIELDS VALUES THROUGH THIRD PARTY FIELDS
EA044529B1 (en) METHOD OF GRANTING RIGHTS TO PERFORM OPERATIONS WITH FORM FIELD VALUE
EA044188B1 (en) METHOD OF GRANTING RIGHTS WITH RESPECT TO LINKED FORM INFORMATION
EA046035B1 (en) METHOD OF SEPARATELY GRANTING RIGHTS TO PERFORM OPERATIONS WITH A FORM IN ACCORDANCE WITH THE VALUE OF A FORM FIELD
OA19448A (en) Role acquisition-based method for authorizing form data.
EA045744B1 (en) METHOD OF GRANTING RIGHTS BASED ON DISPLAYING THE CURRENT STATE OF RIGHTS OF ALL SYSTEM USERS
EA044830B1 (en) METHOD OF GRANTING RIGHTS TO PERFORM OPERATIONS WITH A STATISTICAL TABLE
EA045255B1 (en) METHOD FOR SETTING THE RIGHT TO VIEW WORK RECORDS BASED ON TIME PERIOD