EA044529B1 - Способ предоставления прав на выполнение операций со значением поля формы - Google Patents

Description

Область техники

Настоящее изобретение относится к способу предоставления прав в отношении формы в системах административного программного обеспечения, таких как ERP, и, в частности, оно относится к способу предоставления прав на выполнение операций со значением поля формы.

Предпосылки изобретения

В традиционной программной системе право на просмотр формы может быть отдельно предоставлено на основе значения поля формы. Например, тип выбранной формы заказ; поля формы, с которыми необходимо осуществить управление правами, являются следующими: номер заказа, имя клиента, адрес клиента, номер телефона, контакт, отраслевая принадлежность клиента, модель продукции, количество продукции, цена единицы продукции и т.д. Это позволяет пользователям системы отдельно управлять правом на просмотр различной информации о заказах в форме заказа. Например, пользователю системы разрешено просматривать имя клиента, но не разрешено просматривать номер телефона в форме заказа. Однако традиционная программная система имеет следующие недостатки.

(1) При предоставлении права доступа в отношении значения поля формы невозможно отобразить авторизирующего оператора и время выполнения операции последнего предоставления прав; если во время предоставления прав в отношении формы обнаруживают ошибку, невозможно выполнить отслеживание или предоставить текущему авторизирующему оператору ссылку на время предоставления прав, что затрудняет использование.

(2) Для нескольких ролей невозможно осуществить групповое предоставление прав на выполнение операций со значением поля формы, а также не поддерживается функция предоставления прав в отношении шаблона. Для каждого предоставления прав необходимо отдельно настраивать каждое поле, что приводит к относительно низкой эффективности предоставления прав. В крупномасштабной программной системе, как правило, имеется чрезвычайно большое количество полей форм, и традиционный способ предоставления прав является весьма трудоемким.

Управление доступом на основе ролей (RBAC) является одним из наиболее изученных и совершенных механизмов управления доступом к базам данных в последние годы. Данный механизм считается идеальным кандидатом для замены традиционных систем мандатного управления доступом (MAC) и избирательного управления доступом (DAC). Традиционная система избирательного управления доступом обладает высокой гибкостью, но низкой безопасностью. Традиционная система мандатного управления доступом является высоко безопасной, но излишне ограничительной. Система управления доступом на основе ролей сочетает в себе элементы обеих вышеперечисленных систем: она не только легка в управлении, но в то же время снижает сложность, затраты и вероятность ошибок. Поэтому система управления доступом на основе ролей получила стремительное развитие в последние годы. Основная идея управления доступом на основе ролей (RBAC) состоит в том, чтобы разделить различные роли в соответствии с различными функциональными позициями в организационном представлении предприятия, инкапсулировать права доступа к ресурсам базы данных в ролях и разрешить пользователям косвенный доступ к ресурсам базы данных путем назначения различных ролей пользователям.

В крупномасштабные прикладные системы зачастую встроено большое количество таблиц и представлений, что значительно усложняет управление ресурсами базы данных и предоставление прав. Пользователю крайне сложно напрямую управлять предоставлением прав и ресурсами базы данных. Это требует от пользователя глубокого понимания структуры базы данных и знания языка SQL. С изменением структуры прикладной системы или требований к безопасности требуется большое количество сложных и объемных изменений прав, что весьма вероятно приводит к возникновению уязвимостей информационной безопасности, вызванных непредвиденными ошибками в предоставлении прав. Поэтому разработка простого и эффективного способа управления правами для крупномасштабных прикладных систем стала общим требованием для систем и пользователей систем.

Механизм управления доступом на основе ролей позволяет легко и эффективно управлять правами системы, что значительно снижает нагрузку и затраты на управление системными правами, а также делает управление системными правами более совместимым со спецификой оперативного управления прикладной системой.

Тем не менее традиционные способы управления правами пользователей на основе ролей и способы управления рабочим процессом используют механизм связи роль к пользователю один ко многим, где роль представляет собой группу/класс. Это означает, что одна роль может одновременно соответствовать или быть связана со многими пользователями; роль тождественна понятиям служебного положения, должности, рабочей специальности и т.п. В этом механизме связи предоставление прав пользователям в основном делится на три формы.

1. Как показано на фиг. 1, прямое предоставление прав пользователям, недостатком которого является высокая рабочая нагрузка, а также частота и объемность операций. Когда происходят изменения в сотруднике (например, перевод или увольнение), все связанные с сотрудником процессы должны быть соответствующим образом скорректированы. В частности, при смене сотрудника на руководящей должности предприятия задействованы многие процессы утверждения. Поскольку корректировка процессов сопряжена с большими рабочими нагрузками и является объемной, возможны ошибки или упущения,

- 1 044529 влияющие на нормальную деятельность предприятия и приводящие к непредсказуемым потерям.

2. Как показано на фиг. 2, при предоставлении прав роли со свойствами класса/группы/должности/рабочей специальности (одна роль может быть связана с несколькими пользователями) пользователь получает права посредством своей роли, а субъектом операции утверждения является роль со свойствами группы/класса.

3. Как показано на фиг. 3, указанные два способа сочетаются.

В вышеприведенных описаниях 2 и 3 необходимо проводить предоставление прав роли со свойствами класса/группы. Способ предоставления прав и управления рабочим процессом посредством роли со свойствами класса/группы/должности/рабочей специальности имеет следующие недостатки.

1. Возникновение сложностей с выполнением операций в случае изменения прав пользователя. В процессе реального использования системы права пользователя подвергаются частым изменениям. Например, в процессе изменения прав, когда изменились прав связанного с ролью сотрудника, является нецелесообразным изменять права всей роли по причине изменения прав отдельного сотрудника, поскольку роль также связана с другими сотрудниками, чьи права остались неизменными. В результате необходимо либо создать новую роль, соответствующую сотруднику, чьи права были изменены, либо непосредственно предоставить права сотруднику (исключенному из роли) на основании требований к правам. Вышеописанные два способа обработки не только занимают много времени, но также легко приводят к ошибкам в предоставлении прав роли в случае, если роль обладает большим количеством прав. Пользователю приходится выполнять объемную работу, в результате чего происходят ошибки, приводящие к потерям для системного пользователя.

При изменении прав сотрудника/пользователя на выполнение операций с формой либо сотрудник/пользователь исключается из роли, либо добавляется роль для удовлетворения рабочих требований. В первом случае недостаток такой же, как у вышеизложенного способа прямой авторизации пользователя. Во втором случае добавление новой роли включает создание, связь и предоставление прав роли. В частности, если имеется много ролей и много связанных с ролями пользователей, трудно запомнить, какие пользователи связаны с ролью.

2. Сложно удержать в памяти конкретные права, содержащиеся в роли, в течение длительного времени. Если у роли большой функционал прав, с течением времени сложно вспомнить конкретные права роли, и еще труднее вспомнить различия в правах ролей с идентичными правами. Права схожих ролей также легко перепутать друг с другом. Если нужно связать нового пользователя, невозможно точно определить, как установить связь.

3. Поскольку права пользователя изменяются, это приводит к созданию большего количества ролей (если новые роли не создаются, то значительно повышается прямое предоставление прав пользователю) и становится труднее различить конкретные различия прав разных ролей.

4. При переводе пользователя на другую должность и необходимости назначить другим пользователям большого количества прав переводимого пользователя, необходимо разделить права переводимого пользователя и создать роли для связи с другими пользователями. Такие операции не только сложны и трудоемки, но также подвержены ошибкам.

Краткое описание изобретения

Техническая задача.

Задача настоящего изобретения состоит в преодолении недостатков аналогов, известных из предшествующего уровня техники, и в предоставлении способа предоставления прав на выполнение операций со значением поля формы, достижении отдельного предоставления прав на выполнение операций со значением поля формы и повышении качества управления системой. В один и тот же период одну роль можно связать только с одним пользователем, в результате чего в процессе применения системы значительно повышается эффективность управления правами, упрощается динамическое предоставление прав, становится более удобным, более ясным и понятным, а также повышается эффективность и надежность предоставления прав.

Технические решения.

Задача настоящего изобретения решается следующими техническими решениями.

Способ предоставления прав на выполнение операций со значением поля формы включает этап предоставления прав на выполнение операций со значением поля формы и этап выбора авторизуемого лица, при этом порядок очередности между этапом предоставления прав на выполнение операций со значением поля формы и этапом выбора авторизуемого лица не является строгим;

этап предоставления прав на выполнение операций со значением поля формы включает следующие этапы:

S1) выбор формы, в отношении которой необходимо предоставить право доступа, и отображение полей формы, в отношении которых необходимо осуществить управление правами доступа на выполнение операций;

S2) отдельное предоставление прав на выполнение операций с каждым значением поля;

указанное авторизуемое лицо представляет собой одну или несколько ролей, указанная роль представляет собой отдельную сущность, а не группу/класс и в один и тот же период одну роль можно свя- 2 044529 зать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.

Указанные права на выполнение операций включают либо право на просмотр, либо право на изменение, либо права и на просмотр, и на изменение.

Режимы отображения значения поля, в отношении которого не имеется права на просмотр, включают (1) отображение поля, соответствующего значению поля, но скрытие значения поля посредством символа скрытия;

(2) не отображение ни значения поля, ни поля, соответствующего значению поля.

Выбирают одно и только одно авторизуемое лицо и при выборе формы, в отношении которой необходимо предоставить право доступа, отображают авторизующего оператора и время операции, связанные с последним предоставлением прав этому авторизуемому лицу в отношении этого значения поля формы.

Указанная роль относится к определенному отделу, роль является единственной в рамках отдела, при этом предоставление прав роли осуществляют на основании должностных обязанностей роли, и пользователь получает права посредством связанной с ним роли.

Название указанной роли является единственным в рамках отдела, а номер роли является единственным в системе.

При переводе пользователя в другой отдел связь пользователя с ролью в прежнем отделе удаляют и пользователя связывают с ролью в новом отделе.

Способ предоставления прав на выполнение операций со значением поля формы дополнительно включает этап предоставления прав в отношении шаблона для предоставления прав:

(1) выбор авторизуемого лица и формы, в отношении которой необходимо предоставить право доступа, при этом в качестве авторизуемого лица выбирают одну или несколько ролей;

(2) предоставление прав авторизуемому лицу, при этом выбирают существующую роль или созданный шаблон в качестве шаблона для предоставления прав и предоставляют авторизуемому лицу права на выполнение операций со значением поля формы в соответствии с этим шаблоном авторизации;

(3) сохранение измененных или не измененных прав и приобретение авторизуемым лицом прав на выполнение операций со значением поля формы.

Способ предоставления прав на выполнение операций со значением поля формы включает этап предоставления прав на выполнение операций со значением поля формы и этап выбора авторизуемого лица, при этом порядок очередности между этапом предоставления прав на выполнение операций со значением поля формы и этапом выбора авторизуемого лица не является строгим;

этап предоставления прав на выполнение операций со значением поля формы включает следующие этапы:

S1) выбор формы, в отношении которой необходимо предоставить право доступа;

S2) выбор прав на выполнение операций, в отношении которых предоставляют право доступа;

S3) установка выбранных прав на выполнение операций в отношении поля формы; таким образом в отношении установленного поля имеются выбранные права на выполнение операций;

указанное авторизуемое лицо представляет собой одну или несколько ролей, указанная роль представляет собой отдельную сущность, а не группу/класс и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.

Положительные эффекты.

Настоящее изобретение имеет следующие положительные эффекты.

1) Настоящее изобретение позволяет обеспечить отдельное предоставление прав на выполнение операций со значением поля формы, тем самым улучшая качество управления системой. Права на выполнение операций включают право на просмотр и право на изменение, что особенно актуально в ситуациях, когда необходимо провести отдельное предоставление права доступа в отношении значения поля формы. Например, в форме заказа определенной системной роли разрешено просматривать номер заказа, имя клиента, адрес клиента, отраслевая принадлежность клиента, модель продукции, количество продукции и цена единицы продукции, но не разрешено просматривать содержимое (т.е. значение поля) конфиденциальных полей, таких как номер телефона и контакт.

Этот способ позволяет быстро осуществить отдельное предоставление прав. Например, системной роли разрешено просматривать содержимое поля цена единицы продукции, но не разрешено изменять содержимое поля цена единицы продукции, и этот способ также позволяет быстро осуществить установку прав.

2) После того как выбраны одно и только одно авторизуемое лицо и форма, в отношении которой необходимо предоставить право доступа, отображают авторизирующего оператора и время операции, связанные с последним предоставлением права авторизуемому лицу на выполнение операций со значением поля формы. Отображение последнего авторизирующего оператора позволяет проводить отслеживание в случае обнаружения ошибки в предоставленных правах в отношении значения поля формы, а отображение времени последней операции позволяет определить необходимость повторного предостав-

- 3 044529 ления права доступа в отношении значения поля формы.

Например, Ли Сы последним предоставил права авторизуемому лицу Чжан Сань на выполнение операций со значением поля в форме договора 21 мая 2015 года в 11:00. В случае когда Чжан Сань выбран в качестве авторизуемого лица и договор выбран в качестве формы, в отношении которой необходимо предоставить право доступа, текущему авторизирующему оператору отображается, что Ли Сы выполнил последнее предоставление прав Чжан Саню в отношении формы договора 21 мая 2015 года в 11:00.

Если Чжан Сань не должен обладать правом на просмотр содержимого конфиденциального поля, но получил право на просмотр содержимого конфиденциального поля в результате последнего предоставления прав, то в последующем процессе отслеживания ответственные лица могут быть найдены посредством нахождения последнего авторизирующего оператора.

Кроме того, например, оператору необходимо предоставить права 100 авторизуемым лицам в отношении значений полей формы договора, однако в тот день оператор предоставил права лишь 70 авторизуемым лицам. Когда оператор на следующий день продолжает предоставление прав, оператор может просмотреть время последнего предоставления прав каждому авторизуемому лицу, чтобы определить, нуждается авторизуемое лицо в предоставлении прав или нет. Также могут быть найдены все авторизуемые лица, которым были предоставлены права в течение указанного периода времени. Просмотр времени последнего предоставления прав авторизуемому лицу позволяет узнать, как долго права авторизуемого лица оставались без изменений, что способствует определению необходимости повторного предоставления прав авторизуемому лицу.

3) Этот способ позволяет одновременно выбирать несколько авторизуемых ролей для проведения группового предоставления прав, что повышает эффективность предоставления прав; кроме того, этот способ поддерживает предоставление прав в отношении шаблона, т.е. выбирают существующую роль или созданный шаблон в качестве шаблона для предоставления прав и предоставляют (обновляют) авторизуемому лицу права на выполнение операций со значением поля формы в соответствии с этим шаблоном для предоставления прав (права доступа которого сохраняют после незначительного изменения). Операция предоставления прав является простой и эффективной. Способы двух видов сочетают, что значительно повышает эффективность предоставления прав на выполнение операций со значением поля формы в системе.

4) В этом изобретении роль связывают с пользователем по принципу один-к-одному. В один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями. Преимущество состоит в том, что для получения прав необходимо лишь связать пользователя с ролью (т.е. пользователь получает права связанной с ним роли) и изменения в правах роли намного меньше, чем изменения в правах пользователя в традиционном механизме. Незначительные изменения происходят в количестве ролей, каждая из которых представляет собой отдельную сущность (по сути номер должности или номер рабочей станции). Несмотря на большую текучесть кадров в номере должности/номере рабочего места изменения незначительны (вплоть до отсутствия изменений в определенный период времени, т.е. роль не изменяется). Это значительно упрощает управление правами пользователей и снижает накладные расходы системы.

5) Такие операции, как динамическое управление, набор и перевод персонала, являются простыми, удобными, эффективными и высоко надежными. Заявление о приеме на работу, увольнении или переводе в процессе утверждения является простым. При изменении сотрудника или пользователя процесс утверждения не требуется сбрасывать (достаточно отменить связь или связать пользователя с ролью). Для пользователя, который больше не отвечает за данную роль, связь с ролью отменяется, и пользователь, который принимает роль, становится связан с ролью номера должности. Связанный с ролью пользователь автоматически получает связанные с этой ролью задачи и права на выполнение операций без повторного предоставления прав роли, что значительно повышает эффективность, безопасность и надежность настройки процесса.

Например, в силу того что пользователь Чжан Сань перемещается или уходит с должности, Чжан Сань больше не работает в качестве роли покупатель 3 и связь Чжан Саня с ролью покупатель 3 отменяется. Между тем Ли Сы принимает на себя работу в роли покупатель 3, затем устанавливается связь Ли Сы с этой ролью, в результате чего Ли Сы автоматически приобретает права на выполнение операций со значением поля формы в роли покупатель 3.

6) Традиционный механизм управления правами определяет роль как свойство группы, рабочей специальности, класса и т.п. Роль к пользователю находится в отношении один ко многим. В процессе реального использования системы права пользователя подвергаются частым изменениям. Например, при обработке изменений в правах сотрудника, когда изменились права связанного с ролью сотрудника, является нецелесообразным изменять права всей роли по причине изменения прав отдельного сотрудника, поскольку роль также связана с другими сотрудниками, чьи права остались неизменными. В результате необходимо либо создать новую роль, соответствующую сотруднику, чьи права были изменены, либо непосредственно предоставить права сотруднику (исключенному из роли) на основании требований к правам. Вышеописанные два способа обработки не только занимают большое количество времени, но также легко приводят к ошибкам в предоставлении прав роли в случае, если роль обладает большим ко-

- 4 044529 личеством прав. Пользователю приходится выполнять объемную работу, в результате чего происходят ошибки, приводящие к потерям для системного пользователя.

Тем не менее согласно способу этого изобретения, поскольку роль представляет собой отдельную сущность, проблема может быть решена путем изменения прав этой роли. Несмотря на то что способ в данном изобретении, вероятно, увеличивает рабочую нагрузку во время инициализации системы посредством копирования или т.п., тем не менее создание роли и предоставление прав роли может быть выполнено более эффективно, чем в случае традиционных ролей со свойствами группы/класса. Поскольку при обеспечении связывания с пользователями нет необходимости учитывать общность ролей со свойствами группы/класса, предусмотренные в этом изобретении решения делают установку прав ясной и понятной. Особенно после того, как система была использована в течение определенного периода времени (после динамического изменения прав пользователей/ролей), предусмотренные в этом изобретении решения могут значительно повысить эффективность управления правами для пользователей системы, сделать динамическое предоставление прав более простым, более удобным, более ясным и понятным, а также повысить эффективность и надежность установки прав.

7) Традиционный способ предоставления прав на основе роли со свойством группы подвержен ошибкам. Предоставленный в этом изобретении способ значительно снижает вероятность ошибок в предоставлении прав, поскольку в способе этого изобретения роль рассматривается лишь в качестве отдельной сущности, без учета общности нескольких пользователей, связанных с ролью со свойством группы по традиционному способу. Даже если возникают ошибки в предоставлении прав, затрагивается только связанный с ролью пользователь. Однако в случае традиционной роли со свойством группы затрагиваются все связанные с ролью пользователи. Даже если возникают ошибки в предоставлении прав, способ исправления в этом изобретении прост и занимает непродолжительный период времени, в то время как в случае традиционной роли со свойством группы при исправлении ошибок необходимо учитывать общность прав всех связанных с ролью пользователей. Если у роли большой функционал, исправление является объемным, сложным и подверженным ошибкам, и во многих случаях проблема не может быть решена до тех пор, пока не будет создана новая роль.

8) В традиционном способе предоставления прав на основе роли со свойством группы, если у ролей большой функционал прав, с течением времени сложно сохранить в памяти конкретные права ролей, и еще труднее вспомнить различия в правах между ролями с идентичными правами. Если нужно связать нового пользователя, невозможно точно определить, как установить связь. В способе этого изобретения сама роль представляет собой свойство номера должности/номера рабочей станции, что значительно упрощает выбор.

9) При переводе пользователя на другую должность и необходимости назначить другим пользователям большого количества прав переводимого пользователя, необходимо разделить права переводимого пользователя и создать роли для связи с другими пользователями. Такие операции не только сложны и трудоемки, но также подвержены ошибкам.

Способ в этом изобретении заключается в следующем. Переводимый пользователь связан с несколькими ролями. При переводе пользователя сначала отменяется связь между пользователем и ролями в прежнем отделе (отмененные роли могут быть повторно связаны с другими пользователями) и затем устанавливается связь пользователя с ролью в новом отделе. Операция проста и не подвержена ошибкам.

Описание прилагаемых графических материалов

На фиг. 1 представлено схематическое изображение прямого предоставления прав пользователю в системе в предшествующем уровне техники.

На фиг. 2 представлено схематическое изображение предоставления прав роли со свойством группы/класса в предшествующем уровне техники.

На фиг. 3 представлено схематическое изображение прямого предоставления прав и пользователю, и роли со свойством группы/класса в системе в предшествующем уровне техники.

На фиг. 4 представлено схематическое изображение предоставления прав пользователю в системе посредством роли со свойством отдельной сущности согласно настоящему изобретению.

На фиг. 5 представлено схематическое изображение с выбором одного авторизуемого лица и формы согласно настоящему изобретению.

На фиг. 6 представлено схематическое изображение с выбором нескольких авторизуемых лиц и формы согласно настоящему изобретению.

На фиг. 7 представлено схематическое изображение предоставления прав авторизуемому лицу посредством шаблона для предоставления прав согласно настоящему изобретению.

На фиг. 8 представлено схематическое изображение формы заказа согласно варианту осуществления настоящего изобретения.

Варианты осуществления изобретения

Ниже технические решения согласно настоящему изобретению описаны более подробно со ссылкой на прилагаемые графические материалы, однако объем защиты настоящего изобретения изложенным ниже не ограничивается.

- 5 044529

Вариант осуществления 1.

Согласно этому варианту осуществления сначала устанавливаются поля, в отношении которых необходимо осуществить управление правами на выполнение операций, а затем устанавливаются права на выполнение соответствующих операций.

Способ предоставления прав на выполнение операций со значением поля формы включает этап предоставления прав на выполнение операций со значением поля формы и этап выбора авторизуемого лица, при этом порядок очередности между этапом предоставления прав на выполнение операций со значением поля формы и этапом выбора авторизуемого лица не является строгим;

этап предоставления прав на выполнение операций со значением поля формы включает следующие этапы:

S1) выбор формы, в отношении которой необходимо предоставить право доступа, и отображение полей формы, в отношении которых необходимо осуществить управление правами на выполнение операций;

S2) отдельное предоставление прав на выполнение операций с каждым значением поля (предоставление права доступа в отношении отображаемых в S1 полей, в отношении которых необходимо осуществить управление правами на выполнение операций; значения полей, которые не отображаются в S1 и не нуждаются в осуществлении управления правами, по умолчанию имеют права на просмотр и/или редактирование), где права на выполнение операций включают либо право на просмотр, либо право на редактирование, либо права и на просмотр, и на редактирование.

После завершения установок могут быть определены права авторизуемого лица на просмотр или редактирование содержимого (значения поля) каждого поля в форме.

Настоящее изобретение позволяет отдельно предоставлять права на выполнение операций со значением поля формы, что повышает качество управления системой. Права на выполнение операций включают право на просмотр и право на редактирование, что особенно актуально в ситуациях, когда необходимо провести соответствующее предоставления прав в отношении значения поля формы. Например, в форме заказа системной роли клерк 1 (Чжан Сань) разрешается просматривать номер заказа, название клиента, адрес клиента, отрасль клиента, модель продукции, количество продукции и цена единицы продукции, но не разрешается просматривать содержимое (т.е. значение полей) конфиденциальных полей, таких как номер телефона и контакт; этот способ позволяет быстро осуществить отдельное предоставление прав. Кроме того, например, клерку 1 разрешено просматривать содержимое поля цена единицы продукции, но не разрешено изменять содержимое поля цена единицы продукции; этот способ также позволяет быстро осуществить установку прав. Визуализация установок показана на фиг. 5.

В этом варианте осуществления, как показано на фиг. 4, авторизуемое лицо представляет собой одну или несколько ролей, указанная роль представляет собой отдельную сущность, а не группу/класс и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями. Роль относится к определенному отделу, роль является единственной в рамках отдела, при этом предоставление прав роли осуществляют на основании должностных обязанностей роли, и пользователь получает права посредством связанной с ним роли. Название указанной роли является единственным в рамках отдела и номер роли является единственным в системе. При переводе пользователя в другой отдел связь пользователя с ролью в прежнем отделе удаляют и пользователя связывают с ролью в новом отделе.

Далее проводится анализ преимуществ способа предоставления пользователю прав на выполнение операций со значением поля посредством роли со свойством отдельной сущности: пользователь определяет (получает) права посредством своей связи с ролью. Если необходимо изменить права пользователя, то принадлежащие роли права корректируют в соответствии с целью изменения прав связанного с ролью пользователя. После связывания пользователя с ролью, пользователь обладает всеми правами этой роли на выполнение операций.

Роль с пользователем находится в отношении один к одному: если роль связана с одним пользователем, другие пользователи больше не могут быть связаны с ролью; если роль не связана с конкретным пользователем, то роль может быть выбрана для связи с другим пользователем; т.е. в один и тот же период одна роль может быть связана только с одним пользователем. Пользователь к роли находится в отношении один ко многим (один пользователь одновременно может быть связан с несколькими ролями).

Определение роли. Роль характеризуется не свойствами группы/класса/категории/должности/служебного положения/рабочей специальности и т.п., а лишь свойством отсутствия коллективности. Роль уникальна и представляет собой отдельную сущность. Применяемая на предприятии или в учреждении, роль соответствует номеру должности (при этом номер должности не является должностью, одна должность может одновременно иметь несколько сотрудников, но один номер должности может соответствовать только одному сотруднику в течение одного и того же периода).

Например, в системе компании могут быть созданы следующие роли: генеральный директор, заместитель генерального менеджера 1, заместитель генерального директора 2, менеджер Пекинского отдела продаж I, менеджер Пекинского отдела продаж II, менеджер Пекинского отдела продаж III, Шанхайский инженер по продажам 1, Шанхайский инженер по продажам 2, Шанхайский инженер по продажам 3,

- 6 044529

Шанхайский инженер по продажам 4, Шанхайский инженер по продажам 5 и т.д. Отношение между пользователями и ролями выглядит следующим образом: если Чжан Сань, сотрудник компании, выступает в качестве заместителя генерального директора 2 и в то же время выступает в качестве менеджера

Пекинского отдела продаж I, то Чжан Сань должен быть связан с ролью заместителя генерального менеджера 2 и ролью менеджера Пекинского отдела продаж I, т.е. Чжан Сань обладает правами двух ролей.

Понятие традиционной роли предполагает свойства группы/класса/должности/служебного положения/рабочей специальности, при этом одна роль может соответствовать нескольким пользователям. В этом изобретении понятие роль соответствует номеру должности/номеру служебного положения, а также похоже на роль в кино и телесериалах: одна роль в один и тот же период (в детстве, юности, зрелом возрасте и т.д.) может быть исполнена лишь одним актером, а один актер может быть способен исполнить несколько ролей.

После создания роли роль может быть связана с пользователем в процессе создания пользователя или может быть связана с ним в любое время после создания пользователя. После того как пользователь связан с ролью, пользователь может быть освобожден от связи с ролью в любое время, и связь между пользователем и другой ролью может быть создана в любое время.

Роль состоит из название должности + номер должности. Например, производственный рабочий цеха 1, производственный рабочий цеха 2, производственный рабочий цеха 3 и т.д. Роль является независимым лицом и тождественна понятию номера должности или номера рабочей станции, но отличается от роли в традиционной системе управления правами. Роль в традиционных системах управления правами представляет собой свойства группы/класса (например, должность, служебное положение, рабочая специальность и т.п.).

В следующем примере показаны отношения между сотрудником, пользователем и ролью после того, как Чжан Сань, сотрудник, устраивается в компанию.

1. Рекрутинг. После найма сотрудника он непосредственно связан с ролью соответствующего номера должности или номера рабочей станции пользователя (сотрудника). Например, когда Чжан Сань присоединился к компании (в компания для Чжан Саня создается пользователь Чжан Сань) и работает в отделе продаж 1, отвечая за продажи холодильной техники в районе Пекина (соответствующая роль инженер по продажам 5 принадлежит отделу продаж 1), то пользователь Чжан Сань непосредственно выбирает и становится связан с ролью инженер по продажам 5.

2. Добавление должности. После того как Чжан Сань отработал определенный период времени, компания назначает Чжан Саня ответственным за продажи телевизионной продукции в районе Пекина (соответствующая роль инженер по продажам 8 принадлежит отделу продаж 1), а также руководителем отдела послепродажного обслуживания (роль, соответствующая руководителю отдела послепродажного обслуживания 1). Таким образом, две роли, а именно инженер по продажам 8 в отделе продаж 1 и руководитель отдела послепродажного обслуживания 1 в отделе послепродажного обслуживания, дополнительно связаны с пользователем Чжан Сань. В данном случае сотрудник Чжан Сань связан с тремя ролями: инженер по продажам 5, инженер по продажам 8 в отделе продаж 1 и руководитель отдела послепродажного обслуживания 1 в отделе послепродажного обслуживания. Таким образом, пользователь Чжан Сань обладает правами трех ролей.

3. Сокращение должности. Через некоторое время компания приняла решение назначить Чжан Саня менеджером отдела послепродажного обслуживания (соответствующая роль менеджер отдела послепродажного обслуживания в отделе послепродажного обслуживания) без совмещения с другими должностями. Таким образом, пользователь Чжан Сань становится связан с ролью менеджер отдела послепродажного обслуживания в отделе послепродажного обслуживания и освобождается от связи с предыдущими тремя ролями (инженер по продажам 5, инженер по продажам 8 в отделе продаж 1 и руководитель отдела послепродажного обслуживания 1 в отделе послепродажного обслуживания). В этом случае пользователь Чжан Сань обладает правами только роли менеджер отдела послепродажного обслуживания в отделе послепродажного обслуживания.

4. Настройка прав роли (настройка прав самой роли). Если компания решила добавить права менеджеру отдела послепродажного обслуживания, права должны быть добавлены только роли менеджера отдела послепродажного обслуживания. С добавлением прав роли менеджера отдела послепродажного обслуживания права пользователя Чжан Сань также добавляются.

5. Увольнение. Через год Чжан Сань уходит в отставку. Необходимо только отменить связь между пользователем Чжан Сань и ролью менеджер отдела послепродажного обслуживания в отделе послепродажного обслуживания.

Например, в процессе динамической деятельности компании рекрутинг и увольнение персонала зачастую происходят непрерывно, но номера должностей или номера рабочих станций изменяются редко (вплоть до отсутствия изменений в течение определенного периода времени).

Традиционный способ предоставления прав: в случае большого количества системных функций, традиционное предоставление прав ролям со свойствами группы/класса сочетается с большой и объемной рабочей нагрузкой, а также с высокой степенью подверженности ошибкам; в коротком промежутке времени ошибки нелегко обнаружить, что, как правило, приводит к потерям для системного пользователя.

- 7 044529

Способ предоставления прав согласно изобретению. В этом изобретении предоставляют права роли, которая по сути является номером должности или номером рабочей станции, и пользователя связывают с ролью для определения (получения) прав роли. Таким образом, управление правами пользователя осуществляется лишь посредством несложной связи пользователь-роль. Управление правами является простым, легко осуществимым, ясным и понятным, что значительно повышает эффективность и надежность предоставления прав.

Вариант осуществления 2.

В этом варианте осуществления могут быть выбраны один или несколько авторизуемых лиц, но может быть выбрана только одна форма, в отношении которой необходимо предоставить право доступа. При выборе одного и только одного авторизуемого лица, а также при выборе формы, в отношении которой необходимо предоставить право доступа, отображают авторизирующего оператора и время операции, связанные с последним предоставлением прав этому авторизуемому лицу в отношении этого значения поля формы.

Как показано на фиг. 5, в случае когда выбраны одно авторизуемое лицо и одна форма, в отношении которой необходимо предоставить право доступа, отображают авторизирующего оператора, предоставившего права на выполнение операций с этим значением поля формы, а также отображают время операции. Также отображают текущее состояние прав этого авторизуемого лица на выполнение операций со значением поля формы, после чего текущее состояние изменяют и сохраняют для получения новых прав на выполнение операций со значением поля.

Как показано на фиг. 6, если выбраны несколько авторизуемых лиц и форма, в отношении которой необходимо предоставить право доступа, то последнего авторизирующего оператора и время предоставления прав на выполнение операций со значением поля формы отображают как пустые, а также для всех выбранных авторизуемых лиц невозможно отобразить состояние прав на выполнение операций со значением поля формы.

Отображение последнего авторизирующего оператора позволяет найти ответственное лицо в случае обнаружения ошибки в предоставленных правах в отношении значения поля формы, а отображение времени последней операции позволяет определить необходимость повторного предоставления прав в отношении значения поля формы.

Например, Ли Сы последним предоставил права авторизуемому лицу Чжан Сань на выполнение операций со значением поля в форме договора 21 мая 2015 года в 11:00. В случае когда Чжан Сань выбран в качестве авторизуемого лица и договор выбран в качестве формы, в отношении которой необходимо предоставить право доступа, текущему авторизирующему оператору отображается, что Ли Сы выполнил последнее предоставление прав Чжан Саню в отношении формы договора 21 мая 2015 года в 11:00.

Если Чжан Сань не должен обладать правом на просмотр содержимого конфиденциального поля, но получил право на просмотр содержимого конфиденциального поля в результате последнего предоставления прав, то в последующем процессе отслеживания ответственные лица могут быть найдены посредством нахождения последнего авторизирующего оператора.

Кроме того, например, оператору необходимо предоставить права 100 авторизуемым лица в отношении значений полей формы договора, однако в тот день оператор предоставил права лишь 70 авторизуемым лицам. Когда оператор на следующий день продолжает предоставление прав, оператор может просмотреть время последнего предоставления прав каждому авторизуемому лицу, чтобы определить, нуждается авторизуемое лицо в предоставлении прав или нет. Также могут быть найдены все авторизуемые лица, которым были предоставлены права в течение указанного периода времени. Просмотр времени последнего предоставления прав авторизуемому лицу позволяет узнать, как долго права авторизуемого лица оставались без изменений, что способствует определению необходимости повторного предоставления прав авторизуемому лицу.

Вариант осуществления 3.

Согласно этому варианту осуществления режимы отображения значения поля, в отношении которого не имеется права на просмотр, включают (1) отображение поля, соответствующего значению поля, но скрытие значения поля посредством символа скрытия; например, как показано на фиг. 8, поля номер телефона и контакт отображают, но содержимое полей скрыто символом *;

(2) не отображение ни значения поля, ни поля, соответствующего значению поля.

Во время отображения значения поля с правом доступа и без права доступа на изменения также должны быть отделены. Например, как показано на фиг. 8, значение поля, в отношении которого нет права на изменение, отображают в виде серого оттенка.

В частности, одна форма включает основные поля и поля спецификации. Поля спецификации - это имена столбцов в списке спецификации в форме. Например, в форме заказа основные поля включают номер заказа, имя клиента, адрес клиента, номер телефона, контакт, отраслевую принадлежность клиента и т.д.; поля спецификации включают модель продукции, количество продукции, цену единицы продукции и т.д.

В предпочтительном варианте во время предоставления авторизующим оператором прав на выпол- 8 044529 нение операций со значением поля формы основные поля и поля спецификации отображают различно, что способствует их различению авторизирующим оператором во время предоставления прав. Как показано на фиг. 5-7, основные поля (номер заказа, имя клиента, адрес клиента, номер телефона, контакт и отраслевая принадлежность клиента) могут быть отображены обычным шрифтом, а поля спецификации (модель продукции, количество продукции и цена единицы продукции) могут быть отображены курсивом.

Вариант осуществления 4.

Согласно этому варианту осуществления способ предоставления прав на выполнение операций со значением поля формы дополнительно включает этап предоставления прав в отношении шаблона для предоставления прав:

(1) выбирают авторизуемое лицо и форму, в отношении которой необходимо предоставить право доступа, при этом в качестве авторизуемого лица выбирают одну или несколько ролей;

(2) предоставляют права авторизуемому лицу, при этом выбирают существующую роль или созданный шаблон в качестве шаблона для предоставления прав, и предоставляют авторизуемому лицу права на выполнение операций со значением поля формы в соответствии с этим шаблоном для предоставления прав;

(3) сохраняют измененные или не измененные права и авторизуемое лицо приобретает права на выполнение операций со значением поля формы.

Как показано на фиг. 7, сначала в способе шаблонного предоставления прав выбирают авторизуемое лицо клерк 1 (Чжан Сань) и форму форма заказа, в отношении которой необходимо предоставить право доступа; затем в качестве шаблона для предоставления прав выбирают созданный шаблон 1: права на выполнение операций со значением поля формы в созданном шаблоне 1 используют в качестве прав на выполнение операций со значением поля формы клерка 1 (Чжан Сань); и в завершение сохраняют измененные или не измененные права в созданном шаблоне 1 и клерк 1 (Чжан Сань) приобретает права на выполнение операций со значением поля формы.

Этот способ позволяет одновременно выбирать несколько авторизуемых ролей для проведения группового предоставления прав, что повышает эффективность предоставления прав; кроме того, этот способ поддерживает предоставление прав в отношении шаблона, т.е. выбирают существующую роль или созданный шаблон в качестве шаблона для предоставления прав и предоставляют (обновляют) авторизуемому лицу права на выполнение операций со значением поля формы в соответствии с этим шаблоном для предоставления прав (права доступа которого сохраняют после незначительного изменения). Операция предоставления прав является простой и эффективной. Способы двух видов сочетают, что значительно повышает эффективность предоставления прав на выполнение операций со значением поля формы в системе.

Вариант осуществления 5.

Согласно этому варианту осуществления сначала выбирают права на выполнение операций, а затем устанавливают поле, в отношении которого должны иметься эти права на выполнение операций.

Способ предоставления прав на выполнение операций со значением поля формы включает этап предоставления прав на выполнение операций со значением поля формы и этап выбора авторизуемого лица, при этом порядок очередности между этапом предоставления прав на выполнение операций со значением поля формы и этапом выбора авторизуемого лица не является строгим;

этап предоставления прав на выполнение операций со значением поля формы включает следующие этапы:

S1) выбор формы, в отношении которой необходимо предоставить право доступа;

S2) выбор прав на выполнение операций, в отношении которых предоставляют право доступа;

S3) установка выбранных прав на выполнение операций в отношении поля формы; таким образом в отношении установленного поля имеются выбранные права на выполнение операций (т.е. имеется соответствующие права на выполнение операций с этим значением поля);

указанное авторизуемое лицо представляет собой одну или несколько ролей, указанная роль представляет собой отдельную сущность, а не группу/класс и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями.

Рассмотренное выше представляет собой только предпочтительные варианты осуществления настоящего изобретения, и следует понимать, что настоящее изобретение вовсе не ограничивается вариантами, раскрытыми в этом документе, которые не должны рассматриваться как исключающие другие варианты осуществления, но могут применяться для любых других комбинаций, изменений и среды, поэтому без отклонения от рассмотренной сути настоящего изобретения в него можно вносить изменения на основании указанных выше идей или же технологий или знаний из смежных областей.

Кроме того, если не имеет места отступление от идеи и объема настоящего изобретения, изменения и модификации, предложенные специалистами в данной области техники, должны входить в объем защиты настоящего изобретения, определяемый прилагаемой формулой изобретения.

Claims (3)

1. Способ предоставления прав на выполнение операций со значением поля формы, отличающийся тем, что включает этап предоставления прав на выполнение операций со значением поля формы и этап выбора авторизуемого лица, при этом порядок очередности между этапом предоставления прав на выполнение операций со значением поля формы и этапом выбора авторизуемого лица не является строгим;

этап предоставления прав на выполнение операций со значением поля формы включает следующие этапы:

S1) выбор формы, в отношении которой необходимо предоставить право доступа, и отображение полей формы, в отношении которых необходимо осуществить управление правами доступа на выполнение операций;

S2) отдельное предоставление прав на выполнение операций с каждым значением поля;

указанное авторизуемое лицо представляет собой одну или несколько ролей, указанная роль представляет собой отдельную сущность, а не группу/класс и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями;

при этом указанные права на выполнение операций включают либо право на просмотр, либо право на изменение, либо права и на просмотр, и на изменение.

2. Способ предоставления прав на выполнение операций со значением поля формы по п.1, отличающийся тем, что режимы отображения значения поля, в отношении которого не имеется права на просмотр, включают (1 ) отображение поля, соответствующего значению поля, но скрытие значения поля посредством символа скрытия;

(2 ) не отображение ни значения поля, ни поля, соответствующего значению поля.

3. Способ предоставления прав на выполнение операций со значением поля формы по п.1, отличающийся тем, что выбирают одно и только одно авторизуемое лицо и при выборе формы, в отношении которой необходимо предоставить право доступа, отображают авторизующего оператора и время операции, связанные с последним предоставлением прав этому авторизуемому лицу в отношении этого значения поля формы.

4. Способ предоставления прав на выполнение операций со значением поля формы по п.1, отличающийся тем, что указанная роль относится к определенному отделу, роль является единственной в рамках отдела, при этом предоставление прав роли осуществляют на основании должностных обязанностей роли, и пользователь получает права посредством связанной с ним роли.

5. Способ предоставления прав на выполнение операций со значением поля формы по п.4, отличающийся тем, что название указанной роли является единственным в рамках отдела, а номер роли является единственным в системе.

6. Способ предоставления прав на выполнение операций со значением поля формы по п.4 или 5, отличающийся тем, что при переводе пользователя в другой отдел связь пользователя с ролью в прежнем отделе удаляют и пользователя связывают с ролью в новом отделе.

7. Способ предоставления прав на выполнение операций со значением поля формы по п.1, отличающийся тем, что дополнительно включает этап предоставления прав в отношении шаблона для предоставления прав:

(1) выбор авторизуемого лица и формы, в отношении которой необходимо предоставить право доступа, при этом в качестве авторизуемого лица выбирают одну или несколько ролей;

(2) предоставление прав авторизуемому лицу, при этом выбирают существующую роль или созданный шаблон в качестве шаблона для предоставления прав, и предоставляют авторизуемому лицу права на выполнение операций со значением поля формы в соответствии с этим шаблоном авторизации;

(3) сохранение измененных или не измененных прав и приобретение авторизуемым лицом прав на выполнение операций со значением поля формы.

8. Способ предоставления прав на выполнение операций со значением поля формы, отличающийся тем, что включает этап предоставления прав на выполнение операций со значением поля формы и этап выбора авторизуемого лица, при этом порядок очередности между этапом предоставления прав на выполнение операций со значением поля формы и этапом выбора авторизуемого лица не является строгим;

этап предоставления прав на выполнение операций со значением поля формы включает следующие этапы:

S1) выбор формы, в отношении которой необходимо предоставить право доступа;

S2) выбор прав на выполнение операций, в отношении которых предоставляют право доступа;

S3) установка выбранных прав на выполнение операций в отношении поля формы; таким образом в отношении установленного поля имеются выбранные права на выполнение операций;

указанное авторизуемое лицо представляет собой одну или несколько ролей, указанная роль представляет собой отдельную сущность, а не группу/класс и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими

- 10 044529 ролями;

при этом указанные права на выполнение операций включают либо право на просмотр, либо право на изменение, либо права и на просмотр, и на изменение.