EA044265B1 - METHOD OF SETTING USER POWERS IN THE INFORMATION EXCHANGE BLOCK IN THE SYSTEM - Google Patents
METHOD OF SETTING USER POWERS IN THE INFORMATION EXCHANGE BLOCK IN THE SYSTEM Download PDFInfo
- Publication number
- EA044265B1 EA044265B1 EA202090361 EA044265B1 EA 044265 B1 EA044265 B1 EA 044265B1 EA 202090361 EA202090361 EA 202090361 EA 044265 B1 EA044265 B1 EA 044265B1
- Authority
- EA
- Eurasian Patent Office
- Prior art keywords
- role
- user
- data
- permissions
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 36
- 238000004891 communication Methods 0.000 claims description 14
- 238000011157 data evaluation Methods 0.000 claims description 9
- 238000007689 inspection Methods 0.000 claims description 4
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000013524 data verification Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000007726 management method Methods 0.000 description 24
- 238000013475 authorization Methods 0.000 description 20
- 230000008859 change Effects 0.000 description 16
- 238000012552 review Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 238000012827 research and development Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000012356 Product development Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008092 positive effect Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Description
Область техникиField of technology
Изобретение относится к системам управляющего программного обеспечения, таким как ERP (Enterprise Resource Planning, Планирование ресурсов предприятия), и, в частности, к способу установки полномочий пользователя в блоке обмена информацией в системе.The invention relates to management software systems, such as ERP (Enterprise Resource Planning), and, in particular, to a method for setting user permissions in a communication unit in the system.
Предшествующий уровень техникиPrior Art
Управление доступом на основе ролей (RBAC, Role-Based Access Control) является одним из наиболее изученных и развитых в последние годы механизмов управления полномочиями для баз данных. Он считается идеальным вариантом для замены общепринятого мандатного управления доступом (MAC, Mandatory Access Control) и избирательного управления доступом (DAC, Discretionary Access Control). Основная идея управления доступом на основе ролей (RBAC) состоит в том, чтобы разделять разные роли в соответствии с различными функциональными позициями в рамках организации предприятия, инкапсулировать разрешение доступа к ресурсам базы данных в ролях, и разрешать пользователям опосредованный доступ к ресурсам базы данных путем назначения разных ролей пользователям.Role-Based Access Control (RBAC) is one of the most studied and developed permission management mechanisms for databases in recent years. It is considered an ideal option to replace the conventional Mandatory Access Control (MAC) and Discretionary Access Control (DAC). The basic idea of role-based access control (RBAC) is to separate different roles according to different functional positions within an enterprise organization, encapsulate access permission to database resources in roles, and allow users indirect access to database resources by assigning different roles for users.
В крупномасштабные прикладные системы зачастую встроено большое количество таблиц и представлений, что значительно усложняет управление ресурсами базы данных и авторизацию. Пользователю очень сложно напрямую управлять доступом и полномочиями ресурсов базы данных. Это требует от пользователя глубокого понимания структуры базы данных и знания языка SQL. С изменением структуры прикладной системы или требований к безопасности требуется большое количество сложных и объемных изменений полномочий, что весьма вероятно приводит к возникновению уязвимостей информационной безопасности, вызванных непредвиденными ошибками авторизации. Поэтому разработка простого и эффективного способа управления полномочиями для крупномасштабных прикладных систем стала общим требованием для систем и пользователей систем.Large-scale application systems often have a large number of tables and views built into them, making database resource management and authorization significantly more complex. It is very difficult for the user to directly control access and permissions of database resources. This requires the user to have a deep understanding of the database structure and knowledge of the SQL language. As application system design or security requirements change, a large number of complex and extensive permission changes are required, which is very likely to result in information security vulnerabilities caused by unexpected authorization errors. Therefore, developing a simple and effective way to manage permissions for large-scale application systems has become a common requirement for systems and system users.
Механизм управления полномочиями на основе ролей позволяет легко и эффективно управлять полномочиями системы, что значительно снижает нагрузку и затраты на управление системными правами, а также делает управление системными правами более совместимым с техническими требованиями к управлению бизнесом прикладной системы.The role-based permission management mechanism makes it easy and efficient to manage system permissions, which greatly reduces the burden and cost of system rights management, and makes system rights management more compatible with the technical requirements of application system business management.
Однако традиционный способ управления полномочиями пользователей на основе ролей использует механизм связи роль к пользователю один-ко-многим, где роль представляет собой группу/класс. Это означает, что одна роль может одновременно соответствовать нескольким пользователям или может быть связана с ними, и роль аналогична положению/должности/виду работы или другим понятиям. В соответствии с этим механизмом связи авторизация полномочий для пользователя в основном выполняется следующими тремя способами: 1. Как показано на фиг. 1, прямая авторизация полномочий пользователя, имеет недостаток, заключающийся в высокой рабочей нагрузке и частоте, и объемности операций. 2. Как показано на фиг. 2, роль (представляющая собой класс/группу/положение/вид работы) авторизована (одна роль может быть связана с несколькими пользователями), и пользователь получает полномочия посредством своей роли. 3. Как показано на фиг. 3, вышеуказанные два способа сочетаются.However, the traditional way of managing user permissions based on roles uses a one-to-many role-to-user relationship mechanism, where the role represents a group/class. This means that one role can simultaneously correspond to or be associated with multiple users, and the role is similar to a position/title/type of work or other concepts. According to this communication mechanism, authority authorization for a user is mainly performed in the following three ways: 1. As shown in FIG. 1, direct user authorization has the disadvantage of high workload and frequency and volume of operations. 2. As shown in FIG. 2, a role (representing a class/group/position/job type) is authorized (one role can be associated with multiple users), and the user gains authority through his role. 3. As shown in FIG. 3, The above two methods are combined.
В вышеприведенных описаниях 2 и 3 необходимо проводить авторизацию роли типа класса/группы. Способ авторизации посредством роли типа класса/группы/ должности/вида работы, имеет следующие недостатки:In the above descriptions 2 and 3, it is necessary to carry out authorization of the class/group type role. The authorization method through a class/group/position/job type role has the following disadvantages:
1. Возникновение сложностей с выполнением операций в случае изменения полномочий пользователя. В процессе реального использования системы полномочия пользователя подвергаются частым изменениям. Например, в процессе обработки изменений полномочий сотрудника, при изменении полномочий сотрудника, связанных с ролью, является нецелесообразным изменение полномочий всей роли изза изменения полномочий отдельного сотрудника, поскольку эта роль также связана с другими сотрудниками, чьи полномочия остались неизменными. В результате, либо создается новая роль, соответствующая сотруднику, чьи полномочия были изменены, либо полномочия непосредственно предоставляются сотруднику (не связаны с ролью) на основе требований к полномочиям. Два вышеупомянутых способа обработки не только трудоемкие, но и легко приводят к ошибкам при авторизации роли в случае, если роль обладает большими полномочиями. Пользователю приходится выполнять объемную работу, в результате чего происходят ошибки, приводящие к потерям для пользователя системы.1. Difficulties in performing operations if user permissions change. During actual use of the system, user permissions are subject to frequent changes. For example, when processing changes to an employee's permissions, when the employee's permissions associated with a role change, it is not practical to change the permissions of the entire role because an individual employee's permissions change because that role is also associated with other employees whose permissions remain the same. As a result, either a new role is created corresponding to the employee whose permissions were changed, or the permissions are directly granted to the employee (not associated with the role) based on the permission requirements. The above two processing methods are not only time-consuming, but also easily lead to errors in role authorization in case the role has high authority. The user has to do a lot of work, which results in errors that lead to losses for the system user.
2. Сложно удержать в памяти конкретные полномочия, содержащиеся в роли, в течение длительного времени. Если у роли имеется много функциональных полномочий, с течением времени сложно вспомнить конкретные полномочия роли, а еще труднее вспомнить различия в полномочиях между ролями с аналогичными полномочиями. Если нужно связать нового пользователя, невозможно точно определить, как выбрать связь.2. It is difficult to retain the specific powers contained in the role in memory for a long time. If a role has many functional authorities, over time it is difficult to remember the role's specific authorities, and even more difficult to remember the differences in authority between roles with similar authorities. If you need to associate a new user, it is not possible to know exactly how to select an association.
3. Поскольку полномочия пользователей изменяются, будет создано больше ролей (если новые роли не будут созданы, непосредственная авторизация для пользователя существенно увеличится), и будет сложнее находить конкретные отличия между полномочиями ролей.3. As user permissions change, more roles will be created (if new roles are not created, the immediate authorization for the user will increase significantly), and it will be more difficult to find specific differences between role permissions.
4. При переводе пользователя на другую должность и необходимости назначать другим пользователям большое количество полномочий переведенного пользователя, необходимо разделять полномочия переведенного пользователя и создавать роли для связи с другими пользователями, соответственно, необходимые при обработке. Такие операции не только сложны и трудоемки, но и предрасположены к4. When transferring a user to another position and the need to assign a large number of powers of the transferred user to other users, it is necessary to separate the powers of the transferred user and create roles for communication with other users, respectively, necessary for processing. Such operations are not only complex and time-consuming, but also prone to
- 1 044265 ошибкам.- 1 044265 errors.
В блоке обмена информацией (таком как база знаний) существующего программного обеспечения управления установлено множество разделов. Каждый раздел содержит информацию о другой области или другом отделе. Если полномочия пользователя в информационном разделе блока обмена информацией в системе не могут быть эффективно управляемыми со временем, информационный раздел блока обмена информацией в системе легко перестает работать нормально и эффективно. Установка полномочий выполняется следующими существующими способами. Первый способ заключается в том, чтобы напрямую устанавливать полномочия для пользователя. В случае использования способа для прямой установки полномочий для пользователя, когда содержание работы, должность или другая информация пользователя изменилась, произойдет утечка информации, если полномочия пользователя в информационном разделе блока обмена информацией не будут своевременно изменены. Например, раздел данных исследований и разработок, раздел данных о продажах, раздел финансовых данных и т. п. устанавливаются в блоке базы знаний. Если сотрудник А в финансовом отделе может загружать данные из раздела финансовых данных, а полномочия сотрудника А в блоке базы знаний не изменяются во времени после перевода сотрудника А из финансового отдела в отдел продаж, сотрудник А по-прежнему сможет загружать данные из раздела финансовых данных после перевода в отдел продаж, а также может выполнять операции с данными, которые впоследствии добавляются в раздел финансовых данных, что приводит к утечке финансовых данных. Кроме того, сотруднику А также запрещено загружать данные из раздела данных о продажах, что влияет на его нормальную работу.There are many sections installed in the information exchange unit (such as the knowledge base) of existing management software. Each section contains information about a different area or a different department. If the user's authority in the information section of the system communication unit cannot be effectively managed over time, the information section of the system communication unit easily stops working normally and efficiently. Setting permissions is done using the following existing methods. The first way is to directly set permissions for the user. If the method is used to directly set the user's authority when the user's work content, position or other information has changed, information leakage will occur if the user's authority in the information section of the information exchange block is not changed in a timely manner. For example, research and development data section, sales data section, financial data section, etc. are set in the knowledge base block. If employee A in the finance department can load data from the financial data section, and employee A's permissions in the knowledge base block do not change over time after employee A moves from the finance department to the sales department, employee A will still be able to load data from the financial data section after transfer to the sales department, and may also perform operations on data that is subsequently added to the financial data section, resulting in financial data leakage. In addition, Employee A is also prohibited from downloading data from the sales data section, which affects his normal work.
Однако при практическом применении в одной системе может существовать много пользователей, и содержание работы и должности пользователей часто изменяются. Таким образом, сложно гарантировать, что все полномочия этих пользователей в информационном разделе блока обмена информацией изменяются во времени, что приводит к скрытым рискам утечки информации. Кроме того, всякий раз, когда изменяется содержание работы, должность и т. п. пользователя, полномочия пользователя в информационном разделе блока обмена информацией должны устанавливаться снова, что приводит к огромной рабочей нагрузке для установки полномочий.However, in practical application, there may be many users in one system, and the work content and positions of users change frequently. Thus, it is difficult to ensure that all the permissions of these users in the information section of the information exchange block change over time, which leads to hidden risks of information leakage. In addition, whenever the job content, position, etc. of the user changes, the user's authority in the information section of the information exchange unit must be set again, resulting in a huge workload for setting authority.
Второй способ состоит в том, чтобы устанавливать полномочия на основе типа работы. Такой способ установки полномочий в зависимости от типа работы также может вызвать утечку информации. Например, когда блок обмена информацией содержит раздел продаж авиационного подразделения и раздел продаж мебельного подразделения. Если полномочия установлены в зависимости от типа работ по продажам (вышеупомянутые два раздела устанавливаются как доступные для сотрудников, относящихся к типу работ по продажам), продавец в отделе мебельной подразделения может просматривать информацию раздела продаж авиационного подразделения, что приводит к утечке информации.The second way is to set permissions based on the type of work. This way of setting permissions depending on the type of work can also cause information leakage. For example, when an information exchange unit contains a sales section for an aviation division and a sales section for a furniture division. If the permissions are set based on the sales job type (the above two sections are set as available to employees belonging to the sales job type), a salesperson in the furniture division can view the aviation division's sales section information, resulting in information leakage.
Третий способ состоит в том, чтобы устанавливать полномочия на основе отдела. Такой способ установки полномочий на основе отдела также может вызвать утечку информации. Например, в каждом отделе может существовать несколько видов работ. Например, отдел продаж включает следующие виды работ, такие как инженер по продажам и служащий, который помогает инженеру по продажам в подготовке данных; а производственный отдел включает в себя следующие виды работ, такие как сборщики и испытатели. Если разрешения установлены на основе отдела, сотрудники, относящиеся к различным видам работ, могут иметь одинаковые полномочия в блоке обмена информацией, что упрощает утечку информации. В другом примере, когда отдел включает следующие виды работы, такие как сотрудники и руководитель, невозможно разрешить руководителю участвовать только в одном разделе в блоке обмена информацией.The third way is to set authority on a department basis. This method of setting authority on a department basis can also cause information leakage. For example, there may be several types of work in each department. For example, a sales department includes the following jobs, such as a sales engineer and a clerk who assists the sales engineer in preparing data; and the production department includes the following types of work such as assemblers and testers. If permissions are set on a department basis, employees belonging to different types of work can have the same permissions in the information exchange block, making information leakage easier. In another example, when a department includes the following types of work, such as employees and a manager, it is not possible to allow a manager to participate in only one section in the information exchange block.
Кроме того, некоторые существующие блоки обмена информацией дополнительно не делятся на разделы. Следовательно, любое лицо, которому разрешено входить в блок обмена информацией, может выполнять операции с информацией в блоке обмена информацией, такие как просмотр информации, что повышает вероятность ее утечки. Например, продавец может просматривать информацию об исследованиях и разработках и т. п., которая не связана с содержанием его работы, в блоке обмена информацией, что приводит к утечке информации об исследованиях и разработках.In addition, some existing information exchange blocks are not further divided into sections. Therefore, any person who is allowed to enter the information exchange unit can perform operations on the information in the information exchange unit, such as viewing information, which increases the likelihood of information leakage. For example, a salesperson may view research and development information, etc., which is not related to the content of his work, in the information sharing unit, resulting in leakage of research and development information.
Установка управленческого персонала: В случае если субъект назначен непосредственно в качестве управленческого персонала, предполагая, что Чжан Сань в настоящее время относится к типу работы по управлению продажами и отвечает за управление отделом продаж, после перевода Чжан Саня на производственную должность, другой сотрудник должен занять место Чжан Саня для управления отделом продаж. Если полномочия не установлены своевременно, Чжан Сань может не только просматривать последующие данные о продажах или рыночную информацию компании, но также загружать/изменять/удалять данные, что приведет к утечке информации и другим потерям для компании. С другой стороны, если модератору этого отдела необходимо проверить загруженные данные, поскольку Чжан Сань был переведен с этой должности, и прекратил свою ответственность за эту должность, то Чжан Сань не должен проверять подлежащие проверке данные, и, следовательно, данные, представленные на проверку, не могут быть проверены вовремя. Даже если новый модератор возьмет на себя работу этого отдела в будущем, новый модератор лишен возможности проверять данные, ранее загруженные для проверки, поскольку задача проверки остается за Чжан Санем.Installation of management personnel: In case the subject is appointed directly as management personnel, assuming that Zhang San is currently a sales management job type and is in charge of managing the sales department, after Zhang San is transferred to a production position, another employee must take the place Zhang San to manage the sales department. If the authority is not set in a timely manner, Zhang San may not only view the company's subsequent sales data or market information, but also download/modify/delete data, resulting in information leakage and other losses for the company. On the other hand, if the moderator of this department needs to verify the uploaded data because Zhang San has been transferred from this position and has ceased to be responsible for this position, then Zhang San does not need to verify the data to be verified, and therefore the data submitted for verification, cannot be checked in time. Even if a new moderator takes over the work of this department in the future, the new moderator is deprived of the ability to verify the data previously uploaded for verification, since the task of verification remains with Zhang San.
- 2 044265- 2 044265
Раскрытие сущности изобретенияDisclosure of the invention
Технические задачи.Technical tasks.
Настоящее изобретение направлено на преодоление недостатков предшествующего уровня техники и обеспечение способ установки полномочий пользователя в блоке обмена информацией в системе. При изменении содержания работы или должности сотрудника нет необходимости отдельно устанавливать полномочия сотрудника в информационном разделе блока обмена информацией.The present invention is aimed at overcoming the disadvantages of the prior art and providing a method for setting user permissions in a communication unit in a system. When changing the content of an employee's work or position, there is no need to separately set the employee's permissions in the information section of the information exchange block.
Решение задач. Технические решения.Problem solving. Technical solutions.
Цель настоящего изобретения реализуется с помощью следующих технических решений.The purpose of the present invention is realized using the following technical solutions.
Способ установки полномочий пользователя в блоке обмена информацией в системе включает в себя:The method for setting user permissions in the information exchange block in the system includes:
(1) установку одного или более информационных разделов для блока обмена информацией;(1) setting up one or more information sections for the information exchange unit;
(2) установку ролей участников соответственно для каждого информационного раздела, причем упомянутая роль участника включает в себя одну или более ролей в системе; и установку полномочий каждой из ролей участия в информационном разделе, при этом каждая роль представляет собой независимый субъект, а не группу/класс, одна роль может быть связана только с уникальным пользователем в течение одного периода, а один пользователь связан с одной или более ролей; и (3) создание связей между пользователями и ролями в системе.(2) setting participant roles respectively for each information section, said participant role including one or more roles in the system; and setting the authority of each of the participation roles in the information section, with each role representing an independent subject rather than a group/class, one role can only be associated with a unique user for one period, and one user is associated with one or more roles; and (3) creating connections between users and roles in the system.
Этап (1) и этап (2) выполняют последовательно, и этап (3) может выполняться перед этапом (1), после этапа (1), перед этапом (2) или после этапа (2).Step (1) and step (2) are performed sequentially, and step (3) may be performed before step (1), after step (1), before step (2), or after step (2).
Предпочтительно, полномочия указанной роли в информационном разделе включают в себя полномочия на участие и/или полномочия на управление.Preferably, the authority of said role in the information section includes participation authority and/or control authority.
Предпочтительно указанные полномочия на участие включают в себя один или несколько типов проверяемых данных (содержание/информация), загружаемых данных (содержание/информация), выгружаемых данных (содержание/ информация) и оцениваемых данных (содержание/информация).Preferably, said participation credentials include one or more types of verifiable data (content/information), downloadable data (content/information), uploadable data (content/information), and evaluated data (content/information).
Предпочтительно упомянутые полномочия на управление включают в себя один или несколько типов оценки просматриваемых данных (содержания/ информации), загружаемых данных (содержания/информации), изменяемых данных (содержания/информации), выгружаемых данных (содержания/информации), оцениваемых данных (содержания/информации), архивируемых данных (содержания/ информации), разархивируемых данных (содержания/информации), проверяемых данных (содержания/информации) и удаляемых данных (содержания/информации).Preferably, said control authority includes one or more types of evaluation of viewed data (content/information), downloaded data (content/information), modified data (content/information), uploaded data (content/information), evaluated data (content/information). information), archived data (content/information), unarchived data (content/information), verifiable data (content/information) and deleted data (content/information).
Предпочтительно, указанные полномочия на управление включают в себя по меньшей мере один уровень.Preferably, said control authority includes at least one level.
Предпочтительно, если отдел выбран для роли, при создании роли или после ее создания, роль принадлежит отделу, роль авторизована в соответствии с содержанием работы роли, название роли уникально в отделе, а номер роли уникален в системе.Preferably, if a department is selected for a role, when the role is created or after it is created, the role is owned by the department, the role is authorized according to the role's job content, the role name is unique within the department, and the role number is unique within the system.
Предпочтительно, когда указанного пользователя переводят с должности, связь пользователя с ролью, соответствующей исходной должности, отменяется, а пользователя связывают с ролью, соответствующей новой должности.Preferably, when the specified user is transferred from a position, the user's association with the role corresponding to the original position is canceled, and the user is associated with the role corresponding to the new position.
Предпочтительно, один сотрудник совпадает с одним пользователем, один пользователь совпадает с одним сотрудником, и сотрудник определяет (получает) свои полномочия в блоке обмена информацией на основе роли, связанной с пользователем, совпадающим с сотрудником; после ухода сотрудника с должности пользователь, совпадающий с сотрудником, замораживается; а когда сотрудника снова принимают на работу, пользователь, ранее совпадающий с этим сотрудником, размораживается и служит в качестве текущего пользователя, совпадающего с этим сотрудником. В течение периода замораживания пользователь не может служить в качестве пользователя, совпадающего с сотрудником.Preferably, one employee matches one user, one user matches one employee, and the employee determines (gets) his authority in the information exchange block based on the role associated with the user matching the employee; after an employee leaves his position, the user matching the employee is frozen; and when an employee is rehired, the user previously matched with that employee is unfrozen and serves as the current user matched with that employee. During the freeze period, the user cannot serve as a user matching with an employee.
Предпочтительно, когда сотрудник, совпадающий с пользователем, связанным с ролью, которой назначены полномочия на управление, проверяет данные, скорость передачи данных в течение заданного времени получают путем деления числа лиц, представивших результаты проверки и сдавших проверку, на общее количество лиц, представивших результаты проверки. Описанный выше способ проверки также может быть способом проверки и утверждения.Preferably, when an employee who is the same as a user associated with a role assigned management authority reviews the data, the data transfer rate over a given time is obtained by dividing the number of persons who submitted the results of the review and passed the test by the total number of persons who submitted the results of the review . The verification method described above can also be a verification and approval method.
Способ установки полномочий пользователя в блоке обмена информацией в системе, включает в себя: настройку одного или более информационных разделов для блока обмена информацией; установку полномочий роли в каждом информационном разделе в системе, при этом каждая роль представляет собой независимый субъект, а не группу/класс, причем одна роль может быть связана только с уникальным пользователем в течение одного периода, а один пользователь связан с одной или более ролей; и создание связей между пользователями и ролями в системе.A method for setting user permissions in an information exchange block in a system includes: setting up one or more information sections for an information exchange block; setting the permissions of a role in each information section in the system, with each role representing an independent subject rather than a group/class, where one role can only be associated with a unique user for one period, and one user is associated with one or more roles; and creating connections between users and roles in the system.
Положительные эффекты изобретения. Положительные эффекты.Positive effects of the invention. Positive effects.
Настоящее изобретение имеет следующие положительные эффекты.The present invention has the following beneficial effects.
(1) В настоящем изобретении полномочия пользователя в информационном разделе блока обмена информацией устанавливаются на основе роли. Когда пользователя переводят с должности, связь пользователя с ролью, соответствующей исходной должности, отменяется, а пользователя связывают с ролью, соответствующей новой должности. Полномочия пользователя в информационном разделе блока(1) In the present invention, the user's authority in the information section of the communication block is set based on role. When a user is transferred from a position, the user's association with the role corresponding to the original position is unassigned, and the user is associated with the role corresponding to the new position. User permissions in the information section of the block
- 3 044265 обмена информацией изменяются при изменении рабочих полномочий пользователя, и полномочия в информационном разделе блока обмена информацией не требуют отдельного изменения для пользователя. Это не только гарантирует, что полномочия пользователя в информационном разделе блока обмена информацией обновляются вовремя, но также значительно снижает нагрузку для установки полномочий пользователя в информационном разделе блока обмена информацией.- 3 044265 information exchanges change when the user's operating permissions change, and the permissions in the information section of the information exchange block do not require a separate change for the user. This not only ensures that the user permissions in the information section of the communication unit are updated in time, but also greatly reduces the burden for setting the user permissions in the information section of the communication unit.
Например, содержание работы сотрудника А включает разработку продукта и продажу продукта. Содержание работы для роли 1 представляет собой разработку продукта, и роль 1 имеет полномочия на просмотр данных, загрузку данных и выгрузку данных в разделе данных исследований и разработок. Содержание работы для роли 2 представляет собой продажу продукта, и роль 2 имеет полномочия на просмотр данных, загрузку данных и выгрузку данных в разделе данных о продажах. Содержание работы для роли 3 представляет собой производство продукта, и роль 3 имеет полномочия на просмотр данных, загрузку данных и выгрузку данных в разделе данных производства продукта. При связывании роли 1 и роли 2 только с пользователем, совпадающим с сотрудником А, санкционирован не только доступ к содержанию работы сотрудника А, но сотруднику А также разрешено просматривать данные, загружать данные и выгружать данные в разделе данных исследований и разработок и разделе данных о продажах. Чтобы настроить содержание работы сотрудника А только для разработки продукта, необходимо только отменить связь пользователя 2 с пользователем, совпадающим с сотрудником А, а вместе с тем, настраивается содержание работы сотрудника А и его полномочия в информационном разделе блока обмена информацией. Чтобы настроить содержание работы сотрудника А для производства продукта, необходимо только отменить связь роли 1 и роли 2 с пользователем, совпадающим с сотрудником А, и связать пользователя, совпадающего с сотрудником А, с ролью 3, а вместе с тем настраивается содержание работы сотрудника А и его полномочия в информационном разделе блока обмена информацией.For example, Employee A's job content includes product development and product sales. The work content for role 1 is product development, and role 1 has the authority to view data, load data, and upload data in the research and development data section. The job content for role 2 is selling a product, and role 2 has the authority to view data, load data, and upload data in the sales data section. The work content for role 3 is product manufacturing, and role 3 has the authority to view data, load data, and upload data in the product manufacturing data section. By associating Role 1 and Role 2 with only the user matching Employee A, not only is Employee A's work content authorized, but Employee A is also allowed to view data, download data, and upload data in the R&D data section and the sales data section . To configure the content of the work of employee A only for product development, you only need to cancel the connection of user 2 with the user that matches employee A, and at the same time, the content of the work of employee A and his powers in the information section of the information exchange block are configured. To configure the work content of employee A to produce a product, you only need to unlink role 1 and role 2 from the user matching employee A, and associate the user matching employee A with role 3, and at the same time setting up the work content of employee A and his powers in the information section of the information exchange block.
(2) Блок обмена информацией в настоящем изобретении включает в себя множество информационных разделов. Полномочия для роли в каждом информационном разделе устанавливаются соответственно, чтобы ограничить роли участия в каждом информационном разделе и дополнительно ограничить полномочия на участие пользователя в каждом информационном разделе, и предотвратить утечку информации в каждом информационном разделе к не имеющим отношения лицам.(2) The information exchange section of the present invention includes a plurality of information sections. The role permissions in each information section are set accordingly to limit the participation roles in each information section and further limit the user's participation authority in each information section, and prevent information in each information section from leaking to unrelated persons.
(3) Традиционный механизм управления полномочиями определяет роль как характер группы, вила работы, класса или т. п. Роль находится в связи один ко многим с пользователем. В процессе реального использования системы полномочия пользователя подвергаются частым изменениям. Например, в процессе обработки изменения полномочий сотрудника, при изменении полномочий сотрудника, связанных с ролью, является нецелесообразным изменение полномочий всей роли из-за изменения полномочий отдельного сотрудника, поскольку эта роль также связана с другими сотрудниками, чьи полномочия остались неизменными. В результате, либо создается новая роль, соответствующая сотруднику, чьи полномочия были изменены, либо полномочия непосредственно предоставляются сотруднику (не связаны с ролью) на основе требований к полномочиям. Два вышеупомянутых способа обработки не только трудоемкие, но и легко приводят к ошибкам при авторизации роли в случае, если роль обладает большими полномочиями. Пользователю приходится выполнять объемную работу, в результате чего происходят ошибки, приводящие к потерям для пользователя системы.(3) The traditional authority management mechanism defines a role as the nature of a group, job, class, or the like. A role is in a one-to-many relationship with a user. During actual use of the system, user permissions are subject to frequent changes. For example, during the process of processing a change in employee permissions, when the employee permissions associated with a role change, it is not practical to change the permissions of the entire role because of a change in the permissions of an individual employee because the role is also associated with other employees whose permissions remain the same. As a result, either a new role is created corresponding to the employee whose permissions were changed, or the permissions are directly granted to the employee (not associated with the role) based on the permission requirements. The above two processing methods are not only time-consuming, but also easily lead to errors in role authorization in case the role has high authority. The user has to do a lot of work, which results in errors that lead to losses for the system user.
Однако в соответствии со способом, предложенным в настоящей заявке, поскольку роль представляет собой независимый субъект, цель может быть достигнута путем изменения полномочий роли. Хотя способ согласно настоящей заявке, по-видимому, увеличивает рабочую нагрузку во время инициализации системы, посредством копирования или т. п., роль может быть создана или авторизована более эффективно, чем обычные роли, имеющие характер группы. Поскольку нет необходимости учитывать общность ролей, имеющих характер группы, при удовлетворении связанных пользователей, решения, предложенные в настоящей заявке, делают настройку полномочий ясной и однозначной. В особенности, после использования системы в течение определенного периода времени (после динамического изменения полномочий пользователя/роли), решения согласно настоящей заявке могут значительно повысить эффективность управления полномочиями для пользователя системы при использовании системы, сделать динамическую авторизацию проще, удобнее, яснее и понятнее, а также повысить эффективность и надежность установки полномочий.However, according to the method proposed in this application, since the role is an independent entity, the goal can be achieved by changing the authority of the role. Although the method of the present application appears to increase the workload during system initialization, by copying or the like, a role can be created or authorized more efficiently than conventional roles having a group nature. Since there is no need to consider the commonality of roles having a group nature when satisfying associated users, the solutions proposed in this application make the setting of permissions clear and unambiguous. In particular, after using the system for a certain period of time (after dynamically changing the user/role permissions), the solutions according to the present application can significantly improve the efficiency of authority management for the system user when using the system, make dynamic authorization simpler, more convenient, clearer and more understandable, and also improve the efficiency and reliability of setting permissions.
(4) Обычный способ авторизации роли с характером группы предрасположен к ошибкам. Способ, обеспечиваемый настоящей заявкой, значительно снижает вероятность ошибок авторизации, поскольку способ, описанный в настоящей заявке, должен рассматривать роль только как независимый субъект, без учета общности нескольких пользователей, связанных с ролью, имеющей характер группы, по общепринятому способу. Даже если возникают ошибки авторизации, затрагивается только пользователь, связанный с ролью. Хотя в случае общепринятой роли, имеющей характер группы, затрагиваются все пользователи, связанные с этой ролью. Даже если возникают ошибки авторизации, способ исправления согласно настоящей заявке прост и занимает немного времени, в то время как в случае обычной роли, имеющей характер группы, при исправлении ошибок должна учитываться общность полномочий всех пользователей, связанных с потребностями роли. При наличии большого количества функциональных точек модификация является громоздкой, сложной и предрасположенной к ошибкам, и во многих случаях проблема(4) The usual way of authorizing a role with the nature of a group is prone to error. The method provided by the present application significantly reduces the likelihood of authorization errors, since the method described in this application must consider the role only as an independent entity, without taking into account the commonality of multiple users associated with the role having a group nature in the conventional method. Even if authorization errors occur, only the user associated with the role is affected. However, in the case of a generic role that is in the nature of a group, all users associated with that role are affected. Even if authorization errors occur, the correction method according to the present application is simple and takes little time, while in the case of a normal role having the nature of a group, the commonality of authority of all users related to the needs of the role must be taken into account when correcting errors. With a large number of function points, modification is cumbersome, complex and error-prone, and in many cases the problem
- 4 044265 не может быть решена без создания новой роли.- 4 044265 cannot be resolved without creating a new role.
(5) В традиционном способе авторизации роли на основе группы, если роль имеет много функциональных полномочий, с течением времени сложно вспомнить конкретные полномочия роли, а еще труднее вспомнить различия в полномочиях между ролями с аналогичными полномочиями. Если нужно связать нового пользователя, невозможно точно определить, как выбрать связь. В способе согласно настоящей заявке сама роль имеет характер номера положения/номера станции, так что выбор может быть сделан легко.(5) In the traditional group-based role authorization method, if a role has many functional powers, over time it is difficult to remember the specific powers of the role, and even more difficult to remember the differences in powers between roles with similar powers. If you need to associate a new user, it is not possible to know exactly how to select an association. In the method of the present application, the role itself has the character of a position number/station number so that the selection can be made easily.
(6) При переводе пользователя на другую должность и необходимости назначить другим пользователям большого количества полномочий переведенного пользователя, при обработке необходимо разделить полномочия переводимого пользователя и создать роли для связи с другими пользователями, соответственно. Такие операции сложные, трудоемкие, а также предрасположены к ошибкам.(6) When transferring a user to another position and need to assign a large number of powers of the transferred user to other users, during processing it is necessary to separate the powers of the transferred user and create roles to communicate with other users accordingly. Such operations are complex, time-consuming, and prone to errors.
Способ согласно настоящей заявке состоит в следующем: переведенный пользователь связан с несколькими ролями. Когда пользователя переводят с должности, связь пользователя с ролями в исходном отделе сначала отменяется (отмененные роли могут быть связаны с другими пользователями), а затем пользователь связывается с ролью в новом отделе. Операция проста и не предрасположена к ошибкам.The method according to the present application is as follows: the transferred user is associated with several roles. When a user is transferred from a position, the user's association with roles in the original department is first unassigned (unselected roles may be associated with other users), and then the user is associated with a role in the new department. The operation is simple and not prone to errors.
(7) При создании роли или после него необходимо выбрать отдел, и тогда отдел, которому принадлежит роль, не может быть заменен. Причины, по которым отдел, которому принадлежит роль, не может быть заменен, заключаются в следующем. Причина 1: Поскольку роль согласно данной заявке, по сути, эквивалентна номеру рабочей станции или номеру должности, различные номера станций или номера должностей имеют разное содержание работы или полномочия. Например, роль продавца 1 в отделе продаж и роль разработчика 1 в техническом отделе имеют два совершенно разных номера станции или номера должности, и имеют разные полномочия. Причина 2: Если отдел (отдел продаж), которому принадлежит роль продавца 1, заменяется техническим отделом без изменения полномочий роли продавца 1, то в техническом отделе существует роль, которой принадлежат полномочия отдела продаж. Это приводит к беспорядку в управлении и уязвимостям безопасности.(7) When creating a role or after it, you must select a department, and then the department to which the role belongs cannot be changed. The reasons why the department that owns the role cannot be replaced are as follows. Reason 1: Since the role of this application is essentially equivalent to a workstation number or job number, different station numbers or job numbers have different job content or authority. For example, sales role 1 in the sales department and developer role 1 in the technical department have two completely different station numbers or job numbers, and have different authorities. Reason 2: If the department (sales department) that owns the role of salesperson 1 is replaced by the technical department without changing the authority of the salesperson 1 role, then a role exists in the technical department that owns the sales department authority. This leads to management confusion and security vulnerabilities.
Краткое описание графических материаловBrief description of graphic materials
Описание графических материалов.Description of graphic materials.
На фиг. 1 представлено схематическое изображение непосредственной авторизации пользователя системой в предшествующем уровне техники.In fig. 1 is a schematic representation of direct user authorization by the system in the prior art.
На фиг. 2 представлено схематическое изображение авторизации в системе роли группового или классового характера в предшествующем уровне техники.In fig. 2 shows a schematic representation of authorization in a system of a group or class role in the prior art.
На фиг. 3 представлено схематическое изображение непосредственной авторизации в системе и пользователя, и роли группового или классового характера в предшествующем уровне техники.In fig. 3 shows a schematic representation of direct authorization in the system of both the user and the role of a group or class nature in the prior art.
На фиг. 4 приведена последовательность операций согласно настоящему изобретению.In fig. 4 shows a sequence of operations according to the present invention.
На фиг. 5 приведена принципиальная схема, авторизации пользователя в системе на основе роли, имеющей характер независимого субъекта, согласно настоящему изобретению.In fig. 5 shows a schematic diagram of user authorization in the system based on a role having the nature of an independent subject, according to the present invention.
На фиг. 6 приведена последовательность операций другого варианта осуществления согласно настоящему изобретению.In fig. 6 is a flowchart of another embodiment according to the present invention.
Осуществление изобретенияCarrying out the invention
Описание вариантов реализации изобретения.Description of embodiments of the invention.
Технические решения данного изобретения будут описаны ниже более подробно со ссылкой на прилагаемые фигуры, но объем защиты настоящего изобретения не ограничивается нижеследующим описанием.The technical solutions of the present invention will be described below in more detail with reference to the accompanying figures, but the scope of protection of the present invention is not limited to the following description.
[Вариант осуществления 1][Embodiment 1]
Как показано на фиг. 4, способ установки полномочий пользователя в блоке обмена информацией в системе включает в себя: установку множества информационных разделов (или информационных категорий) для блока обмена информацией, например, установку электрического раздела, механического раздела, раздела химической промышленности, финансового раздела, раздела управления и т. п. в базе знаний; и установку ролей участия для каждого информационного раздела, соответственно, причем роль участия включает в себя одну или более ролей в системе; и установку полномочий каждой из ролей участия в информационном разделе, при этом каждая роль представляет собой независимый субъект, а не группу/класс, одна роль может быть связана только с уникальным пользователем в течение одного периода, а один пользователь связан с одной или более ролей; то есть для каждого информационного раздела выбирают одну или более ролей из ролей в системе в качестве ролей участия информационного раздела и устанавливают полномочия для каждой из ролей участия в информационном разделе.As shown in FIG. 4, the method for setting the user authority in the communication unit in the system includes: setting a plurality of information sections (or information categories) for the communication unit, such as setting the electrical section, mechanical section, chemical industry section, financial section, management section, etc. item in the knowledge base; and setting participation roles for each information section, respectively, wherein the participation role includes one or more roles in the system; and setting the authority of each of the participation roles in the information section, with each role representing an independent subject rather than a group/class, one role can only be associated with a unique user for one period, and one user is associated with one or more roles; that is, for each information topic, select one or more roles from the roles in the system as the information topic participation roles, and set the permissions for each of the information topic participation roles.
Как показано на фиг. 5, роль представляет собой независимый субъект, а не группу/класс. Одна роль может быть связана только с уникальным пользователем в течение одного периода, а один пользователь связан с одной или более ролей. При создании роли или после него для роли выбирают отдел, так что роль принадлежит отделу. Авторизация роли выполняется в соответствии с ее рабочим содержанием, имя роли уникально в отделе, а номер роли уникален в системе.As shown in FIG. 5, the role represents an independent entity, not a group/class. One role can only be associated with a unique user for one period, and one user can be associated with one or more roles. When or after a role is created, a department is selected for the role, so the role belongs to the department. Authorization of a role is done according to its work content, the role name is unique in the department, and the role number is unique in the system.
Определение роли: роль по своей сути не является группой/ классом/ категорией/ должностью/ положением/ типом работы или тому подобным, но носит не коллективный характер. Роль уникальна иRole Definition: A role is not inherently a group/class/category/position/position/job type or the like, but is not collective in nature. The role is unique and
- 5 044265 представляет собой независимый субъект. Применяемая на предприятии или в учреждении, роль эквивалентна номеру должности (при этом номер должности не является должностью, и одна должность может одновременно иметь несколько сотрудников, но один номер должности может соответствовать только одному сотруднику в течение одного периода).- 5 044265 is an independent entity. When used in an enterprise or institution, a role is equivalent to a position number (a position number is not a position, and one position can have several employees at the same time, but one position number can correspond to only one employee during one period).
Например, в системе компании могут быть созданы следующие роли: генеральный менеджер, заместитель генерального менеджера 1, заместитель генерального менеджера 2, менеджер Пекинского отдела продаж I, менеджер Пекинского отдела продаж II, менеджер Пекинского отдела продаж III, Шанхайский инженер по продажам 1, Шанхайский инженер по продажам 2, Шанхайский инженер по продажам 3, Шанхайский инженер по продажам 4, Шанхайский инженер по продажам 5 и так далее. Связь между пользователями и ролями выглядит следующим образом: если Чжан Сань, сотрудник компании, выступает в качестве заместителя генерального менеджера 2 и в то же время выступает в качестве менеджера Пекинского отдела продаж I, то Чжан Сань должен быть связан с ролью заместителя генерального менеджера 2 и ролью менеджера Пекинского отдела продаж I, то есть Чжан Сань обладает полномочиями двух ролей.For example, the following roles can be created in the company's system: General Manager, Deputy General Manager 1, Deputy General Manager 2, Beijing Sales Manager I, Beijing Sales Manager II, Beijing Sales Manager III, Shanghai Sales Engineer 1, Shanghai Engineer Sales 2, Shanghai Sales Engineer 3, Shanghai Sales Engineer 4, Shanghai Sales Engineer 5 and so on. The relationship between users and roles is as follows: if Zhang San, an employee of a company, acts as deputy general manager 2 and at the same time acts as a manager of Beijing Sales Department I, then Zhang San should be associated with the role of deputy general manager 2 and the role of Beijing Sales Department Manager I, that is, Zhang San has the authority of two roles.
Концепция традиционных ролей, по сути, представляет собой группу/ класс/ должность/ положение/ вид работы, и одна роль может соответствовать нескольким пользователям. Однако в настоящей заявке понятие роль эквивалентно номеру должности/номеру рабочего места, а также аналогично роли в кино и телевизионной драме: одна роль (в детстве, юности, среднем возрасте...) может одновременно исполняться только одним актером или актрисой, но один актер или актриса могут играть несколько ролей.The concept of traditional roles is essentially a group/class/position/position/job type, and one role can correspond to multiple users. However, in this application, the concept of a role is equivalent to a job number/job number, and is also similar to a role in film and television drama: one role (in childhood, adolescence, middle age...) can only be performed by one actor or actress at a time, but one actor or an actress can play several roles.
Когда пользователя переводят с должности, связь пользователя с ролью в исходном отделе отменяется, а пользователя связывают с ролью в новом отделе. После создания роли, пользователь может быть связан с ролью в процессе создания пользователя, или может быть связан с ролью в любое время после создания пользователя. После того как пользователь связан с ролью, пользователь может быть освобожден от связи с ролью в любое время, и связь между пользователем и другой ролью может быть создана в любое время.When a user is transferred from a position, the user's association with the role in the original department is unassigned, and the user is associated with the role in the new department. Once a role is created, a user can be associated with the role during the user creation process, or can be associated with a role at any time after the user is created. Once a user is associated with a role, the user can be released from the role's association at any time, and an association between the user and another role can be created at any time.
Полномочия роли в информационном разделе включают в себя полномочия на участие и/или полномочия на управление, так что пользователи в информационном разделе могут быть разделены на участников и менеджеров в информационном разделе блока обмена информацией. Разные полномочия назначаются участникам и менеджерам соответственно (полномочия на участие назначаются участнику, а полномочия на управление назначаются менеджеру), что помогает поддерживать нормальную работу информационного раздела блока обмена информацией.The role permissions in the information section include participation authority and/or management authority, so that users in the information section can be divided into participants and managers in the information section of the information exchange block. Different authorities are assigned to members and managers respectively (participation authority is assigned to the participant and management authority is assigned to the manager), which helps maintain the normal operation of the information section of the information exchange block.
Указанные полномочия на участие включают в себя один или более типов просмотра данных, загрузки данных, выгрузки данных, оценки данных и т. п. Кроме того, полномочия на участие включают в себя по меньшей мере полномочия на просмотр данных.Said participation rights include one or more types of viewing data, loading data, uploading data, evaluating data, etc. In addition, the participation rights include at least rights to view data.
Указанные полномочия на управление включают в себя один или более типов просмотра данных, загрузки загружаемых данных, изменения данных, выгрузки данных, оценки данных, архивирования данных, разархивирования данных, проверки данных, удаления оценки данных и т. п.Said management permissions include one or more types of view data, download downloadable data, modify data, upload data, evaluate data, archive data, unarchive data, validate data, delete data evaluation, etc.
Один сотрудник совпадает с одним пользователем, один пользователь совпадает с одним сотрудником, и сотрудник определяет (получает) полномочия на основе роли, связанной с пользователем, совпадающим с сотрудником.One employee matches one user, one user matches one employee, and the employee assigns (gains) permissions based on the role associated with the user matched to the employee.
Указанные полномочия на управление включают в себя по меньшей мере один уровень. Например, полномочия на управление включают два уровня, один из которых - обычные полномочия на управление, а другой - специальные полномочия на управление. Сотрудник, соответствующий обычным полномочиям на управление, управляет соответствующим информационным разделом (например, проверяет данные), а сотрудник, соответствующий специальным полномочиям на управление, контролирует качество управления, выполняемого сотрудником, соответствующим обычным полномочиям на управление в соответствующем информационном разделе.Said control authority includes at least one level. For example, management authority includes two levels, one of which is ordinary management authority and the other is special management authority. An employee with normal management authority manages the relevant information section (eg, verifies data), and an employee with special management authority monitors the quality of management performed by the employee with normal management authority in the corresponding information section.
Когда сотрудник, соответствующий роли, которой назначены полномочия на управление, проверяет данные (например, загруженные данные), скорость передачи данных в течение заданного времени (заданное время определяется пользователем) получают путем деления числа лиц, представивших результаты проверки и сдавших проверку, на общее количество лиц, представивших результаты проверки. Когда скорость передачи данных больше заданного значения или равна ему, проверка считается пройденной. В противном случае проверка не удалась. Это значительно сокращает период проверки данных.When a person corresponding to a role assigned management authority reviews data (for example, downloaded data), the data transfer rate within a specified time (the specified time is user defined) is obtained by dividing the number of persons who submitted the results of the review and passed the review by the total number persons who presented the results of the inspection. When the data transfer rate is greater than or equal to the specified value, the test is passed. Otherwise the check failed. This significantly reduces the data verification period.
Кроме того, содержание обычных полномочий на управление включает в себя один или более типов просмотра данных, проверки данных, удаления данных и удаления оценки данных, а также один или более типов загрузки данных, выгрузки данных и оценки данных. Содержимое специальных полномочий на управление включает в себя один или более типов просмотра данных, архивирования данных, разархивирования данных, загрузки данных, выгрузки данных, оценки данных, проверки данных, удаления данных и удаления оценки данных. Архивирование данных предназначено для сокрытия данных (включая соответствующую информацию об оценке данных и т. п.). После того как данные заархивированы, только сотрудники, соответствующие специальным полномочиям на управление, могут выполнять такиеIn addition, the contents of ordinary management authority include one or more types of data viewing, data checking, data deletion, and data evaluation deletion, as well as one or more types of data loading, data uploading, and data evaluation. The contents of special management permissions include one or more types of view data, archive data, unarchive data, load data, upload data, evaluate data, validate data, delete data, and delete data evaluation. Data archiving is intended to conceal data (including related data evaluation information, etc.). Once data is archived, only employees with special management authority can perform such
- 6 044265 операции, как просмотр данных, а сотрудники, соответствующие обычным полномочиям на управление и участие, не могут просматривать заархивированные данные. Разархивирование данных служит для возобновления отображения архивных данных, и разархивированные данные восстанавливаются до последнего состояния перед архивированием.- 6 044265 operations such as viewing data, and employees with normal management and participation permissions cannot view archived data. Unarchiving data restores display of archived data, and the unarchived data is restored to its last state before archiving.
Способ дополнительно включает в себя этап создания связей между пользователями и ролями в системе.The method further includes the step of creating relationships between users and roles in the system.
[Вариант осуществления 2][Embodiment 2]
Как показано на фиг. 6, способ установки полномочий пользователя в блоке обмена информацией в системе включает в себя: установку множества информационных разделов (или информационных категорий) для блока обмена информацией, например, установку электрического раздела, механического раздела, раздела химической промышленности, финансового раздела, раздела управления и т. п. в базе знаний; и установку полномочий роли в системе в каждом информационном разделе, причем каждая роль представляет собой независимый субъект, а не группу/класс, при этом одна роль может быть связана только с уникальным пользователем в течение одного периода, и один пользователь связан с одной или более ролей.As shown in FIG. 6, the method for setting the user authority in the communication unit in the system includes: setting a plurality of information sections (or information categories) for the communication unit, such as setting the electrical section, mechanical section, chemical industry section, financial section, management section, etc. item in the knowledge base; and setting the authority of a role in the system in each information section, with each role representing an independent subject rather than a group/class, where one role can only be associated with a unique user for one period, and one user is associated with one or more roles .
Роль представляет собой независимый субъект, а не группу/класс. Одна роль может быть связана только с уникальным пользователем в течение одного периода, а один пользователь связан с одной или более ролей. При создании роли или после него для роли выбирают отдел, так что роль принадлежит отделу. Авторизация роли выполняется в соответствии с содержанием ее работы, имя роли уникально в отделе, а номер роли уникален в системе.The role represents an independent entity, not a group/class. One role can only be associated with a unique user for one period, and one user can be associated with one or more roles. When or after a role is created, a department is selected for the role, so the role belongs to the department. The authorization of a role is done according to the scope of its work, the role name is unique in the department, and the role number is unique in the system.
Когда пользователя переводят с должности, связь пользователя с ролью в исходном отделе отменяется, а пользователя связывают с ролью в новом отделе. После создания роли пользователь может быть связан с ролью в процессе создания пользователя, или может быть связан с ролью в любое время после создания пользователя. После того как пользователь связан с ролью, пользователь может быть освобожден от связи с ролью в любое время, и связь между пользователем и другой ролью может быть создана в любое время.When a user is transferred from a position, the user's association with the role in the original department is unassigned, and the user is associated with the role in the new department. After a role is created, a user can be associated with the role during the user creation process, or can be associated with a role at any time after the user is created. Once a user is associated with a role, the user can be released from the role's association at any time, and an association between the user and another role can be created at any time.
Полномочия роли в информационном разделе включают в себя полномочия на участие и/или полномочия на управление, так что пользователи в информационном разделе могут быть разделены на участников и менеджеров в информационном разделе блока обмена информацией. Разные/соответствующие полномочия назначаются участникам и менеджерам соответственно (полномочия на участие назначаются участнику, а полномочия на управление назначаются менеджеру), что помогает поддерживать нормальную работу информационного раздела блока обмена информацией.The role permissions in the information section include participation authority and/or management authority, so that users in the information section can be divided into participants and managers in the information section of the information exchange block. Different/corresponding authorities are assigned to members and managers respectively (participation authority is assigned to the participant and management authority is assigned to the manager), which helps to maintain the normal operation of the information section of the information exchange block.
Указанные полномочия на участие включают в себя один или более типов просмотра данных, загрузки данных, выгрузки данных и оценки данных. Кроме того, полномочия на участие включают в себя по меньшей мере полномочия на просмотр данных.Specified participation permissions include one or more of the types of viewing data, loading data, uploading data, and evaluating data. In addition, the participation authority includes at least the authority to view the data.
Указанные полномочия на управление включают в себя один или более типов просмотра данных, загрузки загружаемых данных, изменения данных, выгрузки данных, оценки данных, архивирования данных, разархивирования данных, проверки данных и удаления оценки данных.The specified management permissions include one or more of the types of view data, load downloadable data, modify data, upload data, evaluate data, archive data, unarchive data, validate data, and delete data evaluation.
Один сотрудник совпадает с одним пользователем, один пользователь совпадает с одним сотрудником, и сотрудник определяет (получает) полномочия на основе роли, связанной с пользователем, совпадающим с сотрудником.One employee matches one user, one user matches one employee, and the employee assigns (gains) permissions based on the role associated with the user matched to the employee.
Указанные полномочия на управление включают в себя по меньшей мере один уровень. Например, полномочия на управление включают два уровня, один из которых - обычные полномочия на управление, а другой - специальные полномочия на управление. Сотрудник, соответствующий обычным полномочиям на управление, управляет соответствующим информационным разделом, а сотрудник, соответствующий специальным полномочиям на управление, контролирует качество управления, выполняемого сотрудником, соответствующим обычным полномочиям на управление в соответствующем информационном разделе.Said control authority includes at least one level. For example, management authority includes two levels, one of which is ordinary management authority and the other is special management authority. An employee corresponding to the normal management authority manages the corresponding information section, and an employee corresponding to the special management authority monitors the quality of management performed by the employee corresponding to the normal management authority in the corresponding information section.
Содержимое обычных полномочий на управление включает в себя один или более типов просмотра данных, загрузки данных, выгрузки данных, оценки данных, проверки данных, удаления данных и удаления оценки данных. Содержимое специальных полномочий на управление включает в себя один или более типов просмотра данных, загрузки данных, выгрузки данных, оценки данных, архивирования данных, разархивирования данных, проверки данных, удаления данных и удаления оценки данных. Заархивированные данные служат для сокрытия данных. После того как данные заархивированы, только сотрудники, соответствующие специальным полномочиям на управление, могут выполнять такие операции, как просмотр данных, а сотрудники, соответствующие обычным полномочиям на управление и участие, не могут просматривать заархивированные данные. Разархивирование данных служат для возобновления отображения архивных данных, и разархивированные данные восстанавливаются до последнего состояния перед архивированием.The contents of normal management permissions include one or more types of view data, load data, upload data, evaluate data, validate data, delete data, and delete data evaluation. The contents of special management permissions include one or more types of view data, load data, upload data, evaluate data, archive data, unarchive data, validate data, delete data, and delete data evaluation. Archived data serves to hide data. Once data is archived, only employees with special management permissions can perform operations such as viewing the data, and employees with regular management and participation permissions cannot view the archived data. Unarchive data is used to resume display of archived data, and the unarchived data is restored to its last state before archiving.
Способ дополнительно включает в себя этап создания связей между пользователями и ролями в системе.The method further includes the step of creating relationships between users and roles in the system.
Вышеизложенное представляет собой только предпочтительные варианты осуществления данногоThe foregoing represents only the preferred embodiments of this
--
Claims (9)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710608633.4 | 2017-07-24 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EA044265B1 true EA044265B1 (en) | 2023-08-09 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11928233B2 (en) | Distributed data rights management for peer data pools | |
| US11423128B2 (en) | Method for setting permission of user in information exchange unit in system | |
| US8819068B1 (en) | Automating creation or modification of database objects | |
| US20200143328A1 (en) | Method for setting up approval role according to department by approval node in workflow | |
| CN111935131A (en) | SaaS resource access control method based on resource authority tree | |
| US11586758B2 (en) | Authorization method for form data acquired based on role | |
| US11599656B2 (en) | Method for authorizing form data operation authority | |
| JP7339634B2 (en) | How to set permissions to view operation records based on time zone | |
| US11775687B2 (en) | Method for authorizing field value of form field by means of third party field | |
| CN113067871B (en) | Digital file management method based on blockchain technology | |
| CN114143069B (en) | Authority management system and method applied to microservice | |
| CN109033861B (en) | Method for authorizing authorized operator in system | |
| JP7355320B2 (en) | How to authorize permission to view a form based on time characteristic fields in the form | |
| CN116472695A (en) | Scene-based access control | |
| EA044265B1 (en) | METHOD OF SETTING USER POWERS IN THE INFORMATION EXCHANGE BLOCK IN THE SYSTEM | |
| Lebed | Research and improvement of administration algorithms of “Navi” network database | |
| EA043942B1 (en) | METHOD OF OBTAINING AN EMAIL ACCOUNT BY A USER/EMPLOYEE IN THE SYSTEM | |
| JPWO2019011255A5 (en) | ||
| Liu et al. | A Temporal Multi-Tenant RBAC Model for Collaborative Cloud Services. | |
| CN114282195A (en) | Application authority management method and device, computer equipment and storage medium | |
| CN112965692A (en) | Small decoration company customer relationship management system and method based on template configuration | |
| Yovish et al. | Technical Report for the Integrated Requirements Support System (IRSS) | |
| EA044188B1 (en) | METHOD OF GRANTING RIGHTS WITH RESPECT TO LINKED FORM INFORMATION | |
| Wostbrock et al. | Joint C4ISR Architecture Planning/Analysis System (JCAPS) | |
| Madnick | Data security and data processing |