EA044830B1 - METHOD OF GRANTING RIGHTS TO PERFORM OPERATIONS WITH A STATISTICAL TABLE - Google Patents
METHOD OF GRANTING RIGHTS TO PERFORM OPERATIONS WITH A STATISTICAL TABLE Download PDFInfo
- Publication number
- EA044830B1 EA044830B1 EA202190480 EA044830B1 EA 044830 B1 EA044830 B1 EA 044830B1 EA 202190480 EA202190480 EA 202190480 EA 044830 B1 EA044830 B1 EA 044830B1
- Authority
- EA
- Eurasian Patent Office
- Prior art keywords
- rights
- time
- role
- statistical table
- perform operations
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 53
- 238000004519 manufacturing process Methods 0.000 description 17
- 238000012546 transfer Methods 0.000 description 12
- 230000008859 change Effects 0.000 description 11
- 230000000694 effects Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000009467 reduction Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010304 firing Methods 0.000 description 2
- 230000008092 positive effect Effects 0.000 description 2
- 230000007115 recruitment Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000005057 refrigeration Methods 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Description
Область техникиField of technology
Настоящее изобретение относится к способу предоставления прав на выполнение операций со статистической таблицей в системах административного программного обеспечения, таких как ERP и CRM.The present invention relates to a method for granting rights to perform statistical table operations in administrative software systems such as ERP and CRM.
Предпосылки изобретенияBACKGROUND OF THE INVENTION
Понятие статистической таблицы и понятие формы различаются: (1) предоставление прав доступа в отношении формы в основном характеризуется предоставлением прав на операции добавления/удаления/изменения/просмотра данных базы данных/данных формы, однако в статистической таблице данные базы данных/данные формы не изменяют, а лишь запрашивают данные в соответствии с определенной потребностью; (2) форма представляет собой определенный объект деятельности, такой как заказ, договор, клиент и т.д., и каждая форма соответствует единственному объекту деятельности; например, клиент 001 в форме клиента представляет собой одного единственного клиента 001 (клиент 001 представляет собой один объект/элемент данных формы); однако статистическая таблица в основном используется для вывода статистики определенных/нескольких форм в соответствии с определенной потребностью, и данные строки в статистической таблице представляют собой не объект деятельности, а статистический результат; например, статистику договоров купли-продажи выводят посредством отдела подписания договоров, и статистические данные каждой строки представляют собой статистику всех договоров купли-продажи, соответствующих одному отделу, и эти статистические данные могут включать статистику количества подписанных договоров, статистику суммы по подписанным договорам, статистику суммы полученных платежей, статистику количества заказов и т.п.The concept of a statistical table and the concept of a form are different: (1) granting access rights on a form is mainly characterized by granting rights to add/delete/modify/view operations of database data/form data, but in a statistical table the database data/form data does not change , but only request data in accordance with a specific need; (2) a form represents a specific activity object, such as an order, contract, client, etc., and each form corresponds to a single activity object; for example, client 001 on a client form represents one single client 001 (client 001 represents a single form object/data element); however, the statistical table is mainly used to output statistics of certain/multiple forms according to a certain need, and the row data in the statistical table does not represent an activity object, but a statistical result; For example, statistics of sales contracts are output by the contract signing department, and the statistics of each line represent the statistics of all sales contracts corresponding to one department, and these statistics may include statistics of the number of signed contracts, statistics of the amount of signed contracts, statistics of the amount payments received, statistics on the number of orders, etc.
Статистические таблицы применяются для сбора статистики и отображения определенного содержания или определенных данных в системе. В традиционных системах программного обеспечения предусмотрена функция отображения и просмотра статистических таблиц, однако, что касается авторизуемых объектов, то они либо могут просматривать содержание всех столбцов статистической таблицы, либо вся таблица не может быть просмотрена, то есть в традиционных системах не может быть осуществлено детализированное управление правами на выполнение операций с каждым столбцом статистической таблицы, в результате чего в процессе применения системы имеются значительные ограничения. Например, в статистической таблице статистическая таблица результатов торговой деятельности имеются следующие наименования столбцов: номер сотрудника, Ф.И.О., отдел сотрудника, должность, сумма по подписанным договорам, сумма полученных платежей, сумма отчислений и состояние выплат. Если сотрудник финансового отдела Чжан Сань должен проверить данные о сумме полученных платежей, Чжан Саню должно быть предоставлено право на просмотр этой статистической таблицы, и после предоставления прав Чжан Сань сможет просматривать содержание всех столбцов этой статистической таблицы, включая сумму по подписанным договорам, сумму отчислений и прочие конфиденциальные/частные данные (но в компании не нужно, чтобы Чжан Сань просматривал сумму по подписанным договорам, сумму отчислений и прочие конфиденциальные/частные данные).Statistical tables are used to collect statistics and display certain content or certain data in the system. Traditional software systems have the function of displaying and browsing statistical tables, but as for authorized objects, they either can view the contents of all columns of the statistical table, or the entire table cannot be viewed, that is, detailed control cannot be carried out in traditional systems rights to perform operations with each column of the statistical table, as a result of which there are significant restrictions in the process of using the system. For example, in a statistical table, a statistical table of trading activity results, there are the following column names: employee number, full name, employee department, position, amount of signed contracts, amount of payments received, amount of deductions and status of payments. If the financial department employee Zhang San needs to check the data on the amount of payments received, Zhang San must be granted the right to view this statistical table, and after granting the rights, Zhang San will be able to view the contents of all columns of this statistical table, including the amount of signed contracts, the amount of deductions and other confidential/private data (but the company does not need Zhang San to view the amount of signed contracts, the amount of deductions and other confidential/private data).
Кроме того, в традиционных системах программного обеспечения также присутствуют следующие недостатки: (1) в процессе предоставления прав не могут быть отображены авторизирующий оператор и время операции, связанные с последним предоставлением прав, и во время обнаружения ошибок в предоставленных правах невозможно найти ответственное лицо, а также невозможно предоставить текущему авторизирующему оператору ссылку на время последнего предоставления прав, что усложняет применение системы. (2) права на выполнение операций со статистической таблицей не могут быть предоставлены группе авторизуемых объектов, а также не поддерживается функция шаблонного предоставления прав, в результате чего эффективность предоставления прав относительно низка; а также в крупномасштабных системах программного обеспечения имеется большое количество статистических таблиц, и предоставление прав по традиционным способам сопряжено с большой рабочей нагрузкой.In addition, traditional software systems also have the following disadvantages: (1) in the process of granting rights, the authorizing operator and transaction time associated with the last grant of rights cannot be displayed, and when errors in the granted rights are detected, the responsible person cannot be found, and It is also impossible to provide the current authorizing operator with a reference to the last time rights were granted, which complicates the use of the system. (2) the rights to perform statistical table operations cannot be granted to a group of authorized objects, and the template rights granting function is not supported, resulting in the efficiency of granting rights is relatively low; and large-scale software systems have a large number of statistical tables, and granting rights using traditional methods involves a large workload.
Управление доступом на основе ролей (RBAC) является одним из наиболее изученных и совершенных механизмов управления доступом к базам данных в последние годы. Этот механизм считается идеальным кандидатом для замены традиционных систем мандатного управления доступом (MAC) и избирательного управления доступом (DAC). Традиционная система избирательного управления доступом обладает высокой гибкостью, но низкой безопасностью. Традиционная система мандатного управления доступом является высоко безопасной, но излишне ограничительной. Система управления доступом на основе ролей сочетает в себе элементы обеих вышеперечисленных систем: она не только легка в управлении, но в то же время снижает сложность, затраты и вероятность ошибок. Поэтому система управления доступом на основе ролей получила стремительное развитие в последние годы. Основная идея управления доступом на основе ролей (RBAC) состоит в разделении должностей с различными функциями в соответствии с организационным представлением предприятия, инкапсуляции прав доступа к ресурсам базы данных в ролях и предоставлении пользователям косвенного доступа к ресурсам базы данных посредством назначения пользователям различных ролей.Role-based access control (RBAC) is one of the most studied and advanced database access control mechanisms in recent years. This mechanism is considered an ideal candidate to replace traditional mandatory access control (MAC) and selective access control (DAC) systems. The traditional selective access control system has high flexibility but low security. Traditional mandatory access control systems are highly secure but overly restrictive. A role-based access control system combines elements of both of the above systems: it is not only easy to manage, but at the same time reduces complexity, costs and the likelihood of errors. Therefore, role-based access control has developed rapidly in recent years. The basic idea of role-based access control (RBAC) is to separate jobs with different functions according to the organizational view of the enterprise, encapsulate access rights to database resources in roles, and provide users with indirect access to database resources by assigning different roles to users.
Крупномасштабные прикладные системы зачастую содержат большое количество форм и таблиц, что значительно усложняет управление ресурсами базы данных и предоставление прав. Пользователям крайне сложно напрямую управлять ресурсами базы данных и предоставлением прав, это требует от пользователей глубокого понимания структуры базы данных и знания языка SQL. С изменением струк- 1 044830 туры прикладной системы или требований к безопасности требуется большое количество сложных и запутанных изменений прав доступа, что весьма вероятно приводит к возникновению уязвимостей информационной безопасности, вызванных непредвиденными ошибками в предоставленных правах. Поэтому разработка простого и эффективного способа управления правами в крупномасштабных прикладных системах стала общей потребностью для систем и пользователей систем.Large-scale application systems often contain a large number of forms and tables, which makes managing database resources and granting rights significantly more complex. It is extremely difficult for users to directly manage database resources and permissions, which requires users to have a deep understanding of the database structure and knowledge of the SQL language. As application system design or security requirements change, a large number of complex and confusing access rights changes are required, which is very likely to result in information security vulnerabilities caused by unexpected errors in the granted rights. Therefore, developing a simple and effective way to manage rights in large-scale application systems has become a common need for systems and system users.
Механизм управления доступом на основе ролей позволяет легко и эффективно управлять правами системы, что значительно снижает нагрузку и затраты на управление системными правами, а также делает управление системными правами более совместимым со стандартами оперативного управления прикладной системой.The role-based access control mechanism allows you to manage system rights easily and efficiently, which greatly reduces the burden and cost of system rights management, and makes system rights management more compatible with application system operational management standards.
Тем не менее, в традиционных способах управления правами пользователей на основе ролей используют механизм связи роль к пользователю - один ко многим, при этом роль представляет собой группу/класс. Это означает, что одна роль может одновременно соответствовать/быть связана со многими пользователями, и роль соответствует понятиям служебного положения/должности/ рабочей специальности и т.п. В этом механизме связи предоставление прав пользователям в основном делится на три формы:However, traditional role-based user rights management uses a one-to-many role-to-user relationship mechanism, with the role representing a group/class. This means that one role can simultaneously correspond to/be associated with many users, and the role corresponds to the concepts of official position/position/work specialty, etc. In this communication mechanism, granting rights to users is mainly divided into three forms:
1. Как показано на фиг. 1, права напрямую предоставляют пользователям, среди недостатков такого способа предоставления прав можно отметить высокую рабочую нагрузку, а также частоту и объемность операций; когда происходят изменения с сотрудником (например, перевод или увольнение), все связанные с сотрудником процессы должны быть соответствующим образом скорректированы. В частности, при смене руководителя в компании, имеющего отношение к большому количеству прав доступа, изменение прав является сложным и сопряжено с большой рабочей нагрузкой, в результате чего возможны ошибки или упущения, влияющие на нормальную деятельность предприятия и приводящие к непредсказуемым потерям.1. As shown in FIG. 1, rights are directly granted to users; among the disadvantages of this method of granting rights, one can note the high workload, as well as the frequency and volume of operations; When changes occur to an employee (for example, transfer or dismissal), all employee-related processes must be adjusted accordingly. In particular, when there is a change in management in a company that deals with a large number of access rights, changing rights is complex and involves a large workload, resulting in possible errors or omissions that affect the normal operation of the enterprise and lead to unpredictable losses.
2. Как показано на фиг. 2, права предоставляют (одна роль может быть связана с несколькими пользователями) роли (со свойствами класса/группы/ должности/рабочей специальности) и пользователь получает права посредством роли, при этом субъектом предоставления прав является роль со свойствами группы/класса.2. As shown in FIG. 2, rights are granted (one role can be associated with several users) to a role (with the properties of a class/group/position/job specialty) and the user receives rights through the role, while the subject of granting rights is the role with the properties of the group/class.
3. Как показано на фиг. 3, два рассмотренных выше способа сочетаются.3. As shown in FIG. 3, the two methods discussed above are combined.
В рассмотренных выше описаниях 2 и 3 права необходимо предоставлять роли со свойством класса/группы. Способ предоставления прав и управления рабочим процессом посредством роли со свойством класса/группы/ должности/рабочей специальности имеет следующие недостатки:In the descriptions 2 and 3 discussed above, rights must be granted to roles with a class/group property. The method of granting rights and managing the work process through a role with a class/group/position/work specialty property has the following disadvantages:
1. Возникновение сложностей с выполнением операций в случае изменения прав пользователя. В процессе реального использования системы права пользователя подвергаются частым изменениям. Например, в процессе изменения прав, когда изменились права связанного с ролью сотрудника, является нецелесообразным изменять права всей роли по причине изменения прав отдельного сотрудника, поскольку роль также связана с другими сотрудниками, чьи права остались неизменными. В результате необходимо либо создать новую роль, соответствующую сотруднику, чьи права были изменены, либо непосредственно предоставить права сотруднику (исключенному из роли) на основании потребности в правах. Вышеописанные два способа обработки не только занимают много времени, но также легко приводят к ошибкам в предоставленных роли правах в случае, если роль обладает большим количеством прав. Пользователю приходится выполнять сложные и запутанные операции, в результате чего происходят ошибки, приводящие к потерям для системного пользователя.1. Difficulties in performing operations if user rights change. During actual use of the system, user rights are subject to frequent changes. For example, in the process of changing rights, when the rights of an employee associated with a role have changed, it is inappropriate to change the rights of the entire role because the rights of an individual employee have changed, since the role is also associated with other employees whose rights have remained unchanged. As a result, you must either create a new role corresponding to the employee whose rights have been changed, or directly grant rights to the employee (removed from the role) based on the need for rights. The above two processing methods not only take a long time, but also easily lead to errors in the rights granted to the role in case the role has a large number of rights. The user has to perform complex and confusing operations, resulting in errors that result in losses for the system user.
При изменении прав сотрудника/пользователя на операции с формой, для решения этой проблемы либо сотрудника/пользователя исключают из роли, либо добавляют новую роль. В первом случае недостаток такой же, как у рассмотренного выше способа прямое предоставление прав пользователю. Во втором случае добавление новой роли включает создание, связывание и предоставление прав; в частности, если имеется много ролей и много связанных с ролями пользователей, трудно сохранить в памяти, какие именно пользователи связаны с ролью.When changing the rights of an employee/user to perform operations with a form, to solve this problem either the employee/user is removed from the role or a new role is added. In the first case, the disadvantage is the same as that of the method discussed above - directly granting rights to the user. In the second case, adding a new role involves creating, associating, and granting rights; in particular, if there are many roles and many users associated with the roles, it is difficult to remember which users are associated with the role.
2. В течение длительного периода времени сложно сохранить в памяти конкретные содержащиеся в ролях права. Если у роли большой набор функций прав, с течением времени сложно запомнить конкретные права роли, и еще сложнее запомнить различия в правах ролей с идентичными правами; права идентичных ролей также легко перепутать друг с другом. Если нужно связать нового пользователя, невозможно точно определить, каким образом установить связь.2. It is difficult to remember specific rights contained in roles over a long period of time. If a role has a large set of rights functions, it is difficult to remember the specific rights of the role over time, and even more difficult to remember the differences in rights of roles with identical rights; rights of identical roles are also easy to confuse with each other. If you need to associate a new user, it is impossible to determine exactly how to establish the association.
3. Поскольку в правах пользователей происходят изменения, это приводит к созданию все большего количества ролей (если новые роли не создавать, значительно повышается прямое предоставление прав пользователям), и становится более сложно различить конкретные различия в правах ролей.3. As changes occur in user rights, more and more roles are created (if new roles are not created, direct granting of rights to users increases significantly), and it becomes more difficult to discern specific differences in role rights.
4. При переводе пользователя на другую должность и необходимости назначить другим пользователям большого количества прав переводимого пользователя, необходимо разделить права переводимого пользователя и отдельно создать роли для связывания с другими пользователями. Такие операции не только сложны и трудоемки, но также подвержены ошибкам.4. When transferring a user to another position and the need to assign a large number of rights of the transferred user to other users, it is necessary to separate the rights of the transferred user and separately create roles for linking with other users. Such operations are not only complex and time-consuming, but also error-prone.
- 2 044830- 2 044830
Краткое описание изобретения Техническая задачаBrief description of the invention Technical problem
Задача настоящего изобретения состоит в преодолении недостатков аналогов, известных из предшествующего уровня техники, и в предоставлении способа предоставления прав на выполнение операций со статистической таблицей, обеспечивающего осуществление отдельного предоставления прав на выполнение операций в отношении каждого столбца статистической таблицы, расширяющего область применения статистических таблиц, повышающего качество управления системой, а также удовлетворяющего потребностям применения в реальном процессе оперативного управления на предприятиях и в учреждениях.The object of the present invention is to overcome the disadvantages of analogues known from the prior art, and to provide a method for granting rights to perform operations on a statistical table, providing a separate grant of rights to perform operations in relation to each column of the statistical table, expanding the scope of application of statistical tables, increasing quality of system management, as well as meeting the needs of application in the real process of operational management in enterprises and institutions.
Технические решенияTechnical solutions
Задача настоящего изобретения решается следующими техническими решениями: способ предоставления прав на выполнение операций со статистической таблицей, включающий этап предоставления прав на выполнение операций со статистической таблицей и этап выбора авторизуемого объекта, при этом порядок очередности между этапом предоставления прав на выполнение операций со статистической таблицей и этапом выбора авторизуемого объекта не является строгим; этап предоставления прав на выполнение операций со статистической таблицей включает следующие этапы:The problem of the present invention is solved by the following technical solutions: a method for granting rights to perform operations with a statistical table, including the stage of granting rights to perform operations with a statistical table and the stage of selecting an authorized object, with the order of priority between the stage of granting rights to perform operations with a statistical table and the stage the choice of the authorized object is not strict; The stage of granting rights to perform operations with a statistical table includes the following stages:
S1: выбор одной статистической таблицы, в отношении которой необходимо предоставить право доступа, и отображение наименований столбцов, с которыми необходимо выполнить управление правами на выполнение операций;S1: select one statistical table for which you want to grant access rights, and display the names of the columns on which you want to manage permissions to perform operations;
S2: отдельное предоставление прав на выполнение операций в отношении каждого столбца; указанный этап выбора авторизуемого объекта состоит в выборе одного или нескольких авторизуемых объектов.S2: separate permission to perform operations on each column; This step of selecting an authorizable object consists of selecting one or more authorizable objects.
Способ предоставления прав на выполнение операций со статистической таблицей, дополнительно включающий этап установки периода времени, в отношении которого предоставляют право доступа, для столбца со свойством времени, при этом выбирают один столбец со свойством времени, после чего авторизирующему оператору для выполнения соответствующей установки временного периода отображается шесть видов форматов установки периода времени, в отношении которого предоставляют право доступа; указанные шесть видов форматов установки периода времени, в отношении которого предоставляют право доступа, в частности, включают: период времени от момента времени, определяемого путем обратного отсчета фиксированного отрезка времени от текущего момента времени, до текущего момента времени; период времени от времени начала до текущего момента времени; период времени от времени окончания до времени внедрения системы; период времени от времени начала до времени окончания; период времени, в котором значение столбца времени представляет собой пустое значение; и период времени от времени внедрения системы до текущего момента времени, при этом указанный период времени от времени внедрения системы до текущего момента времени включает период времени, в котором значение столбца времени представляет собой пустое значение.A method for granting rights to perform operations on a statistical table, further including the step of setting a time period in respect of which the access right is granted for a column with a time property, selecting one column with a time property, after which the authorizing operator to perform the corresponding setting of the time period is displayed six types of formats for setting the time period for which access rights are granted; these six types of formats for setting the time period in respect of which the access right is granted, in particular, include: a period of time from a point in time determined by counting down a fixed period of time from the current point in time to the current point in time; the period of time from the start time to the current point in time; the period of time from the time of completion to the time of implementation of the system; the period of time from the start time to the end time; the time period in which the time column value is a null value; and a period of time from the time of implementation of the system to the current point in time, wherein said period of time from the time of implementation of the system to the current point in time includes a period of time in which the value of the time column is a blank value.
Указанные права на выполнение операций включают право на просмотр/запрос.The specified operation rights include the view/query right.
Режим отображения столбца, в отношении которого не имеется права на просмотр, включает следующие один или несколько видов: (1) отображение наименования этого столбца, но скрытие соответствующего содержания столбца посредством символа скрытия; (2) в равной мере не отображение ни наименования этого столбца, ни соответствующего содержания столбца.The display mode of a column for which you do not have view permission includes one or more of the following: (1) displaying the name of that column but hiding the corresponding content of the column using a hide character; (2) equally does not display either the name of this column or the corresponding content of the column.
При выборе одного указанного авторизуемого объекта, а также статистической таблицы, в отношении которой необходимо предоставить право доступа, отображают состояние ранее предоставленных авторизуемому объекту прав на выполнение операций в отношении каждого столбца статистической таблицы, с которым необходимо выполнить управление правами на выполнение операций.When you select one specified authorizable object, as well as the statistical table in respect of which you want to grant access rights, display the status of the previously granted operation rights to the authorized object in relation to each column of the statistical table on which you want to manage the rights to perform operations.
При выборе двух или более указанных авторизуемых объектов, а также статистической таблицы, в отношении которой необходимо предоставить право доступа, отображают столбцы в этой статистической таблице, с которыми необходимо выполнить управление правами на выполнение операций, но состояние ранее предоставленных прав в отношении каждого столбца, с которым необходимо выполнить управление правами на выполнение операций, не отображают.Selecting two or more of the specified authorizable objects, as well as the statistical table on which you want to grant access rights, displays the columns in that statistical table on which you want to manage permissions to perform operations, but the status of previously granted rights on each column, with that need to manage permissions to perform operations are not displayed.
При выборе одного указанного авторизуемого объекта, а также статистической таблицы, в отношении которой необходимо предоставить право доступа, отображают авторизирующего оператора и время операции, связанные с последним предоставлением этому авторизуемому объекту прав в отношении этой статистической таблицы.When you select one specified authorizable object, as well as the statistical table in respect of which you want to grant access, the authorizing operator and the transaction time associated with the last grant of rights to this authorizable object in relation to this statistical table are displayed.
Способ предоставления прав на выполнение операций со статистической таблицей, дополнительно включающий этап шаблонного предоставления прав, который, в частности, включает: (1) выбор авторизуемого объекта и статистической таблицы, в отношении которой необходимо предоставить право доступа, при этом выбирают один или несколько авторизуемых объектов, а также выбирают одну статистическую таблицу, в отношении которой необходимо предоставить право доступа; (2) предоставление прав авторизуемому объекту, при этом в качестве шаблона для предоставления прав выбирают один авторизованный объект или созданный шаблон, и в соответствии с этим шаблоном для предоставления прав предоставляют этому авторизуемому объекту права на выполнение операций с этой статистической таб- 3 044830 лицей; (3) внесение изменений и сохранение, после чего этот авторизуемый объект приобретает права на выполнение операций с этой статистической таблицей.A method for granting rights to perform operations on a statistical table, further including a stage of template granting of rights, which, in particular, includes: (1) selecting an authorized object and a statistical table in respect of which it is necessary to grant access rights, while selecting one or more authorized objects , and also select one statistical table for which access rights must be granted; (2) granting rights to an authorized object, selecting one authorized object or a created template as a template for granting rights, and in accordance with this template for granting rights, granting this authorized object the rights to perform operations with this statistical table; (3) making changes and saving, after which this authorized entity acquires the rights to perform operations on this statistical table.
Способ предоставления прав на выполнение операций со статистической таблицей, включающий этап предоставления прав на выполнение операций со статистической таблицей и этап выбора авторизуемой роли, при этом порядок очередности между этапом предоставления прав на выполнение операций со статистической таблицей и этапом выбора авторизуемой роли не является строгим; указанный этап предоставления прав на выполнение операций со статистической таблицей включает следующие этапы: S1: выбор одной статистической таблицы, в отношении которой необходимо предоставить право доступа, и отображение наименований столбцов, с которыми необходимо выполнить управление правами на выполнение операций; S2: отдельное предоставление прав на выполнение операций в отношении каждого столбца; указанный этап выбора авторизуемой роли состоит в выборе одной или нескольких ролей, при этом указанная авторизуемая роль представляет собой роль со свойством отдельной сущности, а не группы/класса, и в один и тот же период одну роль со свойством отдельной сущности можно связать лишь с одним пользователем, тогда как пользователя связывают с одной или несколькими ролями со свойством отдельной сущности.A method for granting rights to perform operations with a statistical table, including the stage of granting rights to perform operations with a statistical table and the stage of selecting an authorized role, while the order of priority between the stage of granting rights to perform operations with a statistical table and the stage of selecting an authorized role is not strict; the specified stage of granting rights to perform operations on a statistical table includes the following steps: S1: selecting one statistical table for which you want to grant access rights, and displaying the names of the columns with which you want to manage rights to perform operations; S2: separate permission to perform operations on each column; the specified stage of selecting an authorized role consists of selecting one or more roles, while the specified authorized role is a role with the property of an individual entity, and not a group/class, and in the same period one role with the property of an individual entity can be associated with only one user, whereas a user is associated with one or more roles with a separate entity property.
Если пользователя необходимо перевести на другую должность, дополнительно предусмотрен этап управления переводом пользователя, который, в частности, включает:If the user needs to be transferred to another position, an additional step is provided for managing the user's transfer, which, in particular, includes:
(1) отмену связи пользователя с предыдущей ролью;(1) unlinking the user from the previous role;
(2) связывание пользователя с новой ролью, соответствующей новым должностным обязанностям, в результате чего пользователь автоматически приобретает права этой роли на выполнение операций со статистическими таблицами.(2) associating the user with a new role corresponding to the new job responsibilities, as a result of which the user automatically acquires the rights of this role to perform operations with statistical tables.
Способ предоставления прав на выполнение операций со статистической таблицей, дополнительно включающий этап шаблонного предоставления прав, который, в частности, включает:A method for granting rights to perform operations with a statistical table, additionally including a stage of template granting rights, which, in particular, includes:
(1) выбор авторизуемой роли и статистической таблицы, в отношении которой необходимо предоставить право доступа, при этом выбирают одну или несколько авторизуемых ролей, а также выбирают одну статистическую таблицу, в отношении которой необходимо предоставить право доступа;(1) selecting an authorized role and a statistical table in respect of which access rights must be granted, selecting one or more authorized roles, and also selecting one statistical table in respect of which access rights must be granted;
(2) предоставление прав авторизуемой роли, при этом в качестве шаблона для предоставления прав выбирают одну имеющуюся роль или созданный шаблон и в соответствии с этим шаблоном предоставляют этой авторизуемой роли права на выполнение операций с этой статистической таблицей;(2) granting rights to an authorized role, in which case one existing role or a created template is selected as a template for granting rights and, in accordance with this template, grants this authorized role the rights to perform operations with this statistical table;
(3) внесение изменений и сохранение, после чего эта авторизуемая роль приобретает права на выполнение операций с этой статистической таблицей.(3) making changes and saving, after which this authorized role acquires the rights to perform operations on this statistical table.
Положительные эффектыPositive effects
Настоящее изобретение имеет следующие положительные эффекты:The present invention has the following positive effects:
1. настоящее изобретение позволяет осуществлять отдельное предоставление прав на выполнение операций в отношении каждого столбца статистической таблицы, расширяет область применения статистических таблиц, повышает качество управления системой, а также удовлетворяет потребностям применения в реальном процессе оперативного управления на предприятиях и в учреждениях.1. The present invention allows for separate granting of rights to perform operations in relation to each column of the statistical table, expands the scope of application of statistical tables, improves the quality of system management, and also meets the needs of application in the real process of operational management in enterprises and institutions.
Например, в статистической таблице статистическая таблица результатов торговой деятельности имеются следующие наименования столбцов: номер сотрудника, Ф.И.О., отдел сотрудника, должность, сумма по подписанным договорам, сумма полученных платежей, сумма отчислений и состояние выплат. Если сотрудник финансового отдела Чжан Сань должен проверить данные о сумме полученных платежей, Чжан Саню может быть предоставлено право на просмотр содержания следующих столбцов в этой статистической таблице: номер сотрудника, Ф.И.О., отдел сотрудника, должность и сумма полученных платежей; в результате Чжан Сань может просматривать содержание только этих нескольких столбцов, в отношении которых ему предоставлено право доступа, а сумма по подписанным договорам, сумма отчислений и прочие конфиденциальные/частные данные не могут быть просмотрены Чжан Санем.For example, in a statistical table, a statistical table of trading activity results, there are the following column names: employee number, full name, employee department, position, amount of signed contracts, amount of payments received, amount of deductions and status of payments. If financial department employee Zhang San needs to check the data on the amount of payments received, Zhang San can be given the right to view the contents of the following columns in this statistical table: employee number, full name, employee department, position and amount of payments received; As a result, Zhang San can only view the contents of these few columns for which he has been granted access rights, and the amount of signed contracts, the amount of royalties and other confidential/private data cannot be viewed by Zhang San.
2. При выборе одного авторизуемого лица, а также статистической таблицы, в отношении которой необходимо предоставить право доступа, могут быть отображены авторизирующий оператор и время операции, связанные с последним предоставлением этому авторизуемому объекту прав на выполнение операций с этой статистической таблицей. Отображение последнего авторизирующего оператора позволяет найти ответственного в случае обнаружения ошибок в предоставленных правах, а отображение времени последней операции предоставления прав способствует определению необходимости повторного предоставления прав на выполнение операций со статистической таблицей.2. By selecting one authorizable entity, as well as the statistical table to which you want to grant access, the authorizing operator and transaction time associated with the last authorization to perform operations on that statistical table can be displayed. Displaying the last authorizing operator allows you to find the person responsible if errors are detected in the rights granted, and displaying the time of the last authorization operation helps determine the need to re-grant rights to perform operations with the statistical table.
Например, 21 мая 2015 г. в 11:00 Ли Сы последним предоставил авторизуемому объекту Чжан Сань права на выполнение операций со статистической таблицей статистическая таблица результатов торговой деятельности. При выборе Чжан Саня в качестве авторизуемого объекта, а также выборе статистической таблицы статистическая таблица результатов торговой деятельности, в отношении которой необходимо предоставить право доступа, текущему авторизирующему оператору отображается, что 21 мая 2015 г. в 11:00 Ли Сы предоставил Чжан Саню права на выполнение операций со статистической таблицей статистическая таблица результатов торговой деятельности.For example, on May 21, 2015 at 11:00 am, Li Si was the last to grant the authorized entity Zhang San the rights to perform operations with the statistical table, the statistical table of trading results. When you select Zhang San as the authorized object, and select the statistical table Trading Results Statistical Table for which you want to grant access rights, the current authorizing operator is shown that on May 21, 2015 at 11:00 am, Li Si granted Zhang San the rights to performing operations with a statistical table; statistical table of trading activity results.
Если Чжан Сань не должен обладать правом на просмотр содержания определенного конфиденциального/частного столбца, но в результате последнего предоставления прав получил право на просмотрIf Zhang San should not have the right to view the contents of a certain confidential/private column, but as a result of the last grant of rights he has received the right to view
- 4 044830 содержания этого конфиденциального/частного столбца то впоследствии ответственное лицо может быть найдено посредством поиска последнего авторизирующего оператора.- 4 044830 the contents of this confidential/private column, then the responsible person can subsequently be found by searching for the last authorizing operator.
Кроме того, например, определенному оператору необходимо предоставить 100 авторизуемым объектам права на выполнение операций с определенной статистической таблицей, однако в тот день оператор предоставил права лишь 70 авторизуемым объектам. Когда на следующий день оператор продолжает предоставление прав, оператор может просмотреть время последнего предоставления прав каждому авторизуемому объекту, таким образом определяя необходимость предоставления прав авторизуемым объектам. Также могут быть найдены все авторизованные объекты, которым предоставили права в пределах определенного периода времени. Просмотр времени последнего предоставления прав авторизуемому объекту позволяет определить, как долго права этого авторизуемого объекта оставались неизменными, что способствует определению необходимости повторного предоставления прав авторизуемому объекту.Additionally, for example, a certain operator needs to grant 100 authorizable entities the rights to perform operations on a certain statistical table, but on that day the operator only granted rights to 70 authorizable entities. When the operator continues to grant rights the next day, the operator can view the last time each authorizable object was granted rights, thereby determining whether to grant rights to authorized objects. All authorized objects that have been granted rights within a specified time period can also be found. Viewing the last time rights were granted to an authorizable entity allows you to determine how long the authorizable entity's rights remained unchanged, which helps determine whether the authorizable entity needs to be granted rights again.
3. Этот способ позволяет предоставлять права группе авторизуемых лиц, что повышает эффективность предоставления прав; кроме того, этот способ поддерживает шаблонное предоставление прав, то есть в качестве шаблона для предоставления прав выбирают имеющийся объект/имеющуюся роль или созданный шаблон, и в соответствии с шаблоном для предоставления прав напрямую предоставляют (обновляют) этому авторизуемому объекту права на выполнение операций с этой статистической таблицей (сохранение после внесения небольших изменений), таким образом операция предоставления прав является простой и высокоэффективной. Сочетание двух способов значительно повышает эффективность предоставления прав на выполнение операций со статистической таблицей.3. This method allows you to grant rights to a group of authorized persons, which increases the efficiency of granting rights; In addition, this method supports template granting of rights, that is, an existing object/existing role or a created template is selected as a template for granting rights, and in accordance with the template for granting rights, they directly grant (update) this authorized object the rights to perform operations with this statistical table (save after making small changes), so the operation of granting rights is simple and highly efficient. The combination of the two methods significantly increases the efficiency of granting rights to perform operations with a statistical table.
4. Согласно настоящему изобретению авторизуемый объект представляет собой независимую роль со свойством отдельной сущности, и при увольнении или переводе на другую должность сотрудника, права на выполнение операций со статистической таблицей могут быть обновлены посредством связывания/отмены связи пользователя с ролью, что позволяет осуществлять последовательную передачу прав на выполнение операций, гарантировать своевременное обновление прав пользователя на выполнение операций со статистической таблицей, предотвращать задержки и упущения в обновлении прав на выполнение операций, избегать риска утечки конфиденциальной информации, при этом не оказывая негативного влияния на нормальную деятельность предприятия.4. According to the present invention, the authorized object is an independent role with the property of a separate entity, and when an employee is fired or transferred to another position, the rights to perform operations with the statistical table can be updated by associating/unlinking the user with the role, which allows for sequential transfer rights to perform operations, ensure timely updating of user rights to perform operations with a statistical table, prevent delays and omissions in updating rights to perform operations, avoid the risk of leakage of confidential information, without having a negative impact on the normal activities of the enterprise.
Пример увольнения: соответствующий сотруднику Чжан Сань пользователь связан с ролью производственный рабочий 1; во время увольнения Чжан Саня системный администратор (или соответствующий руководитель) непосредственно удаляет связь соответствующего Чжан Саню пользователя с ролью производственный рабочий 1, и Чжан Сань автоматически теряет соответствующие роли производственный рабочий 1 права на выполнение операций со статистическими таблицами, что позволяет избежать утечки информации в ситуации, когда в результате задержки передачи прав на выполнение операций со статистическими таблицами Чжан Сань после увольнения по-прежнему обладает правом на просмотр определенной конфиденциальной информации; во время вступления в должность сотрудника Ли Сы на место Чжан Саня, соответствующего Ли Сы пользователя непосредственно связывают с ролью производственный рабочий 1, и Ли Сы автоматически получает права роли производственный рабочий 1 на выполнение операций со статистическими таблицами, то есть отсутствует необходимость заново устанавливать сотруднику Ли Сы права на выполнение операций со статистическими таблицами, в результате чего упрощается и ускоряется операция предоставления прав, а также значительно сокращается рабочая нагрузка.Example of dismissal: the user corresponding to the employee Zhang San is associated with the role Production Worker 1; At the time of Zhang San's dismissal, the system administrator (or the corresponding manager) directly removes the association of Zhang San's corresponding user with the role of Production Worker 1, and Zhang San automatically loses the corresponding role of Production Worker 1's rights to perform operations on statistical tables, which avoids information leakage in the situation when, as a result of the delay in the transfer of rights to perform statistical table operations, Zhang San still has the right to view certain confidential information after dismissal; When employee Li Si takes over the position of Zhang San, the corresponding Li Si user is directly associated with the role of production worker 1, and Li Si automatically receives the rights of the role production worker 1 to perform operations with statistical tables, that is, there is no need to re-install employee Li You have the rights to perform operations on statistical tables, resulting in a simplified and faster entitlement operation and a significant reduction in workload.
Пример перевода на другую должность: сотрудника Чжан Сань переводят из производственного отдела в отдел послепродажного обслуживания, системный администратор (или соответствующий руководитель) удаляет связь соответствующего Чжан Саню пользователя с ролью производственный рабочий 1 и связывает его с новой ролью работник послепродажного обслуживания 3 в отделе послепродажного обслуживания, в результате чего Чжан Сань автоматически получает соответствующие роли работник послепродажного обслуживания 3 права на выполнение операций со статистическими таблицами.Example of a transfer: Employee Zhang San is transferred from the production department to the after-sales department, the system administrator (or the corresponding manager) removes the association of Zhang San's corresponding user with the role Production worker 1 and associates him with the new role After-sales worker 3 in the after-sales department , as a result of which Zhang San automatically receives the corresponding role of after-sales service worker 3 rights to perform operations with statistical tables.
5. Согласно настоящему документу роль связывают с пользователем один к одному, и в один и тот же период одну роль можно связать лишь с одним пользователем, тогда как одного пользователя связывают с одной или несколькими ролями. Преимущество состоит в том, что для получения прав необходимо лишь связать пользователя с ролью (то есть пользователь получает права связанной с ним роли), и изменения в правах роли намного меньше, чем изменения в правах пользователя в традиционном механизме. Изменения в количестве независимых ролей со свойством отдельной сущности (со свойством номера должности/номера рабочей станции) не значительны; несмотря на большую текучесть кадров, в номере должности/номере рабочего места изменения не значительны (вплоть до отсутствия изменений в определенный период времени, то есть роль не изменяется). В результате управление правами пользователей значительно упрощается, а также снижаются накладные расходы системы.5. According to this document, a role is associated with a user one to one, and in the same period, one role can be associated with only one user, while one user is associated with one or more roles. The advantage is that all that is required to obtain rights is to associate a user with a role (that is, the user gains the rights of the associated role), and the changes to the role's rights are much smaller than the changes to the user's rights in the traditional mechanism. Changes in the number of independent roles with the property of a separate entity (with the property of position number/workstation number) are not significant; Despite the high turnover of personnel, changes in the position number/workplace number are not significant (up to the absence of changes in a certain period of time, that is, the role does not change). As a result, user rights management is greatly simplified and system overhead is reduced.
6. Такие операции, как динамическое управление, найм и перевод персонала просты, удобны, эффективны и высоко надежны. В процессе найма/увольнения/перевода управление правами является простым. При изменении сотрудника/пользователя не требуется заново устанавливать права, достаточно удалить связь или связать пользователя с ролью: удаляют связь с ролью пользователя, больше не выпол-6. Operations such as dynamic management, recruitment and transfer of personnel are simple, convenient, efficient and highly reliable. During the hiring/firing/transfer process, rights management is simple. When changing an employee/user, there is no need to re-establish rights; it is enough to delete the connection or associate the user with a role: the connection with the user role is deleted;
- 5 044830 няющего должностные обязанности этой роли, и принимающего обязанности этой роли пользователя связывают с ролью этого номера должности, в результате чего связанный с ролью пользователь автоматически приобретает права этой роли на выполнение операций со статистическими таблицами, без необходимости заново предоставлять роли права. Таким образом значительно повышается безопасность, надежность и эффективность настройки системы.- 5 044830 The incumbent of this role, and the user who assumes the responsibilities of that role, are associated with the role of that job number, causing the user associated with the role to automatically acquire the rights of that role to perform operations on statistical tables, without having to re-grant the rights to the role. This significantly improves the safety, reliability and efficiency of system setup.
Например, вследствие увольнения или перевода на другую должность Чжан Сань больше не выполняет работу роли закупщик 3, и связь Чжан Саня с ролью закупщик 3 удаляют. Кроме того, Ли Сы принимает работу роли закупщик 3, и необходимо лишь связать Ли Сы с этой ролью, в результате чего Ли Сы автоматически приобретает права роли закупщик 3 на выполнение операций со статистическими таблицами.For example, due to termination or reassignment, Zhang San no longer performs the work of the Buyer 3 role, and Zhang San's association with the Buyer 3 role is removed. In addition, Li Si accepts the work of the Buyer 3 role, and you only need to associate Li Si with this role, as a result of which Li Si automatically acquires the rights of the Buyer 3 role to perform operations on statistical tables.
7. Согласно традиционному механизму управления правами роль определяется как свойство группы, рабочей специальности, класса и т.д., и роль связывают с пользователем по принципу один ко многим. В процессе оперативного управления права пользователей приходится часто изменять. Например, если изменились права связанного с ролью определенного сотрудника, нецелесообразно изменять права целой роли в связи с изменением в правах отдельного сотрудника, поскольку эта роль также связана с другими сотрудниками с не измененными правами. В результате необходимо либо создать новую роль, соответствующую сотруднику с измененными правами, либо в соответствии с потребностью в правах непосредственно удалить связь этого сотрудника с ролью (исключить из роли). Рассмотренные выше два способа решения проблемы не только занимают продолжительный период времени, но также легко приводят к ошибкам в предоставленных роли правах в случае, если у роли большое количество прав. Пользователям приходится выполнять сложные и запутанные операции, в результате чего происходят ошибки, приводящие к потерям для пользователей системы.7. According to the traditional rights management mechanism, a role is defined as a property of a group, job specialty, class, etc., and the role is associated with a user on a one-to-many basis. During operational management, user rights often have to be changed. For example, if the rights of a specific employee associated with a role have changed, it is not appropriate to change the rights of the entire role due to a change in the rights of an individual employee, since that role is also associated with other employees with the same rights. As a result, you must either create a new role corresponding to the employee with the changed rights, or, in accordance with the need for rights, directly remove the association of this employee with the role (exclude from the role). The two solutions discussed above not only take a long period of time, but also easily lead to errors in the rights granted to the role if the role has a large number of rights. Users have to perform complex and confusing operations, resulting in errors that result in losses for system users.
Тем не менее, в способе, представленном в этом документе, для решения этой проблемы достаточно выборочно изменить права роли, поскольку роль представляет собой одну отдельную сущность. В способе, представленном в этом документе, несмотря на то что кажется, что при инициализации системы увеличится объем работы, тем не менее, за счет копирования и т.д., его эффективность в создании ролей и предоставлении прав может быть выше, чем в случае традиционных ролей со свойствами группы/класса; поскольку не нужно учитывать общность ролей со свойством группы/класса при обеспечении связывания с пользователями; представленное в этом документе решение делает установку прав ясной и понятной; в частности, после применения системы определенное время (динамическое изменение прав пользователей/ролей) представленное в этом документе решение может значительно повысить для пользователей системы эффективность управления правами при применении системы, что делает динамическое предоставление прав более простым, более удобным, а также более ясным и понятным и повышает эффективность и надежность установки прав.However, in the method presented in this document, selectively changing the role's permissions is sufficient to solve this problem, since the role is one separate entity. In the method presented in this document, although it seems that the amount of work will increase when initializing the system, nevertheless, due to copying, etc., its efficiency in creating roles and granting rights can be higher than in the case traditional roles with group/class properties; because there is no need to consider the commonality of roles with the group/class property when providing association with users; the solution presented in this document makes the installation of rights clear and understandable; In particular, after applying the system for a certain time (dynamically changing user rights/roles), the solution presented in this document can greatly improve the efficiency of rights management for system users when applying the system, which makes dynamic rights granting easier, more convenient, and also clearer and clear and increases the efficiency and reliability of setting rights.
8. В традиционных способах на основе ролей со свойством группы/класса при предоставлении прав легко допустить ошибки, тогда как в представленном в этом документе способе вероятность допустить ошибки в предоставлении прав значительно снижается, поскольку в представленном в этом документе способе необходимо учитывать только роль, которая представляет собой отдельную сущность, и не надо учитывать, какими общностями характеризуются несколько пользователей, которые связываются с ролью со свойством группы в традиционных способах. То есть допущенные ошибки в предоставлении прав также будут касаться только того одного пользователя, с которым связана эта роль, тогда как в случае традиционной роли со свойством группы они будут касаться всех пользователей, с которыми связана эта роль. Даже если возникнут ошибки в предоставлении прав, то представленный в этом документе способ исправления является простым и требует мало времени, тогда как в случае традиционной роли со свойством группы при исправлении ошибок необходимо учитывать общность прав всех пользователей, с которыми связана эта роль, и в случае большого количества функций внесение изменений является трудоемким и сложным, легко допустить ошибки и во многих ситуациях решением может служить только возможность создания новой роли.8. In traditional role-based methods with a group/class property, it is easy to make mistakes in granting rights, while in the method presented in this document, the likelihood of making mistakes in granting rights is greatly reduced, since in the method presented in this document, only the role that represents a separate entity, and there is no need to consider what commonalities characterize multiple users who associate a role with a group property in traditional ways. That is, errors made in granting rights will also affect only the one user with whom this role is associated, whereas in the case of a traditional role with a group property, they will affect all users with whom this role is associated. Even if errors occur in granting rights, the correction method presented in this document is simple and takes little time, whereas in the case of a traditional role with a group property, when correcting errors, it is necessary to take into account the commonality of rights of all users with which this role is associated, and in the case With a large number of functions, making changes is time-consuming and complex, it is easy to make mistakes, and in many situations the solution can only be the possibility of creating a new role.
9. В традиционных способах предоставления прав на основе ролей со свойством группы, если функций прав роли относительно много, то долгое время сохранять в памяти конкретные права очень тяжело и еще труднее не забыть разницу в правах ролей со схожими правами, и если надо связать с ролью нового пользователя, то невозможно точно решить, как выбрать роль, с которой его связать. Роли, используемые в представленном в этом документе способе, сами по себе содержат свойство в виде номера должности/номера рабочей станции, поэтому то, как выбирать, понятно сразу.9. In traditional methods of granting rights based on roles with a group property, if there are relatively many role rights functions, then it is very difficult to remember specific rights for a long time, and it is even more difficult not to forget the difference in the rights of roles with similar rights, and if you need to associate them with a role new user, it is impossible to decide exactly how to choose the role to associate him with. The roles used in the method presented in this document themselves contain a property in the form of job number/workstation number, so how to select is immediately clear.
10. При переводе пользователя на другую должность и необходимости назначить другим пользователям большого количества прав переводимого пользователя, необходимо разделить права переводимого пользователя и создать роли для связи с другими пользователями. Такие операции не только сложны и трудоемки, но также подвержены ошибкам.10. When transferring a user to another position and the need to assign a large number of rights of the transferred user to other users, it is necessary to separate the rights of the transferred user and create roles for communication with other users. Such operations are not only complex and time-consuming, but also error-prone.
В представленном в этом документе способе предусмотрено следующее: переводимый пользователь связан с несколькими ролями, и при переводе сначала удаляют связь пользователя с ролью в прежнем отделе (удаленные роли могут быть заново связаны с другими пользователями), а затем связывают пользователя с ролью в новом отделе. Такие операции являются простыми и не подверженными ошибкам.The method presented in this document involves the following: the user being transferred is associated with multiple roles, and the transfer first removes the user's association with the role in the previous department (deleted roles can be reassociated with other users), and then associates the user with the role in the new department. Such operations are simple and error-free.
- 6 044830- 6 044830
Описание прилагаемых графических материаловDescription of the attached graphic materials
На фиг. 1 представлено схематическое изображение прямого предоставления прав пользователю в системе согласно предшествующему уровню техники;In fig. 1 is a schematic illustration of direct granting of rights to a user in a system according to the prior art;
на фиг. 2 представлено схематическое изображение предоставления прав роли со свойством группы/класса согласно предшествующему уровню техники;in fig. 2 is a schematic illustration of granting rights to a role with a group/class property according to the prior art;
на фиг. 3 представлено схематическое изображение способа, сочетающего в себе прямое предоставления прав пользователю и предоставление прав роли со свойством группы/класса, согласно предшествующему уровню техники;in fig. 3 is a schematic illustration of a method combining direct granting of rights to a user and granting of rights to a role with a group/class property, according to the prior art;
на фиг. 4 представлено схематическое изображение предоставления прав пользователю посредством роли со свойством отдельной сущности согласно настоящему изобретению;in fig. 4 is a schematic illustration of granting rights to a user through a role with a separate entity property according to the present invention;
на фиг. 5 представлено схематическое изображение выбора статистической таблицы при выборе одного авторизуемого объекта согласно настоящему изобретению;in fig. 5 is a schematic diagram of a statistical table selection when selecting a single authorizable object according to the present invention;
на фиг. 6 представлено схематическое изображение режима отображения статистической таблицы согласно настоящему изобретению;in fig. 6 is a schematic diagram of a statistical table display mode according to the present invention;
на фиг. 7 представлено схематическое изображение еще одного режима отображения статистической таблицы согласно настоящему изобретению;in fig. 7 is a schematic diagram of another statistical table display mode according to the present invention;
на фиг. 8 представлено схематическое изображение выбора статистической таблицы при выборе нескольких авторизуемых объектов согласно настоящему изобретению;in fig. 8 is a schematic diagram of statistical table selection when selecting multiple authorizable objects according to the present invention;
на фиг. 9 представлено схематическое изображение отображения авторизирующего оператора и времени операции, связанных с последним предоставлением прав, согласно настоящему изобретению;in fig. 9 is a schematic diagram of an authorization operator display and operation time associated with the last grant of rights according to the present invention;
на фиг. 10 представлено схематическое изображение предоставления прав авторизуемому объекту с применением шаблона для предоставления прав согласно настоящему изобретению.in fig. 10 is a schematic illustration of granting rights to an authorizable entity using a template for granting rights according to the present invention.
Варианты осуществления изобретенияEmbodiments of the Invention
Ниже технические решения согласно настоящему изобретению описаны более подробно со ссылкой на прилагаемые графические материалы, однако объем защиты настоящего изобретения изложенным ниже не ограничивается.Below, the technical solutions according to the present invention are described in more detail with reference to the accompanying drawings, however, the scope of protection of the present invention is not limited to the following.
Вариант осуществления 1.Option 1.
Способ предоставления прав на выполнение операций со статистической таблицей включает этап предоставления прав на выполнение операций со статистической таблицей и этап выбора авторизуемого объекта; авторизуемый объект может представлять собой сотрудника, пользователя, роль со свойством группы/класса и т.п.; этап предоставления прав на выполнение операций со статистической таблицей включает следующие этапы:The method for granting rights to perform operations with a statistical table includes the stage of granting rights to perform operations with a statistical table and the stage of selecting an authorized object; the authorized object can be an employee, user, role with a group/class property, etc.; The stage of granting rights to perform operations with a statistical table includes the following stages:
S1: выбор одной статистической таблицы, в отношении которой необходимо предоставить право доступа, и отображение наименований столбцов, с которыми необходимо выполнить управление правами на выполнение операций;S1: select one statistical table for which you want to grant access rights, and display the names of the columns on which you want to manage permissions to perform operations;
S2: как показано на фиг. 5, отдельное предоставление прав на выполнение операций в отношении каждого столбца; указанный этап выбора авторизуемого объекта состоит в выборе одного или нескольких авторизуемых объектов.S2: As shown in FIG. 5, separate permission to perform operations on each column; This step of selecting an authorizable object consists of selecting one or more authorizable objects.
Согласно этому варианту осуществления указанные права на выполнение операций включают право на просмотр.According to this embodiment, said operation rights include a viewing right.
Режим отображения столбца, в отношении которого не имеется права на просмотр, включает следующие один или несколько видов: (1) как показано на фиг. 6, отображение наименования этого столбца, но скрытие соответствующего содержания столбца посредством символа скрытия; (2) как показано на фиг. 7, в равной мере не отображение ни наименования этого столбца, ни соответствующего содержания столбца (в равной мере не отображение также может быть сформулировано как ничего не отображается; как показано на фиг. 7, в строке с символом ...... ничего не отображается, то есть эта строка не отображается или исчезает).The display mode of a column for which there is no view right includes one or more of the following: (1) as shown in FIG. 6, displaying the name of this column, but hiding the corresponding content of the column with a hide character; (2) as shown in Fig. 7, equally does not display either the name of this column or the corresponding content of the column (equally, no display can also be formulated as nothing is displayed; as shown in Fig. 7, in the line with the symbol ...... nothing is displayed, that is, this line is not displayed or disappears).
Настоящее изобретение позволяет осуществлять отдельное предоставление прав на выполнение операций в отношении каждого столбца статистической таблицы, расширяет область применения статистических таблиц, повышает качество управления системой, а также удовлетворяет потребностям применения в реальном процессе оперативного управления на предприятиях и в учреждениях.The present invention allows for separate granting of rights to perform operations in relation to each column of the statistical table, expands the scope of application of statistical tables, improves the quality of system management, and also meets the needs of application in the actual process of operational management in enterprises and institutions.
Например, в статистической таблице статистическая таблица результатов торговой деятельности имеются следующие наименования столбцов: номер сотрудника, Ф.И.О., отдел сотрудника, должность, сумма по подписанным договорам, сумма полученных платежей, сумма отчислений и состояние выплат. Если сотрудник финансового отдела Чжан Сань должен проверить данные о сумме полученных платежей, Чжан Саню может быть предоставлено право на просмотр содержания следующих столбцов в этой статистической таблице: номер сотрудника, Ф.И.О., отдел сотрудника, должность и сумма полученных платежей; в результате Чжан Сань может просматривать содержание только этих нескольких столбцов, в отношении которых ему предоставлено право доступа, а сумма по подписанным договорам, сумма отчислений и прочие конфиденциальные/частные данные не могут быть просмотрены Чжан Санем.For example, in a statistical table, a statistical table of trading activity results, there are the following column names: employee number, full name, employee department, position, amount of signed contracts, amount of payments received, amount of deductions and status of payments. If financial department employee Zhang San needs to check the data on the amount of payments received, Zhang San can be given the right to view the contents of the following columns in this statistical table: employee number, full name, employee department, position and amount of payments received; As a result, Zhang San can only view the contents of these few columns for which he has been granted access rights, and the amount of signed contracts, the amount of royalties and other confidential/private data cannot be viewed by Zhang San.
Вариант осуществления 2.Embodiment 2.
Выбирают один указанный авторизуемый объект, а также статистическую таблицу, в отношенииSelect one specified authorized object, as well as a statistical table, in relation to
- 7 044830 которой необходимо предоставить право доступа, и отображают состояние ранее предоставленных авторизуемому объекту прав на выполнение операций в отношении каждого столбца статистической таблицы, с которым необходимо выполнить управление правами на выполнение операций (как показано на фиг. 5).- 7 044830 to which the access right must be granted, and display the status of the previously granted operation rights to the authorized object in relation to each column of the statistical table on which the operation rights need to be managed (as shown in Fig. 5).
Вариант осуществления 3.Embodiment 3.
Выбирают два или более указанных авторизуемых объекта, а также статистическую таблицу, в отношении которой необходимо предоставить право доступа, и отображают столбцы в этой статистической таблице, с которыми необходимо выполнить управление правами на выполнение операций, но состояние ранее предоставленных прав в отношении каждого столбца, с которым необходимо выполнить управление правами на выполнение операций, не отображают (как показано на фиг. 8).Select two or more specified authorizable objects, as well as the statistical table on which you want to grant access rights, and display the columns in that statistical table on which you want to control the rights to perform operations, but the status of the previously granted rights with respect to each column, with which need to perform operation rights management are not displayed (as shown in FIG. 8).
Вариант осуществления 4.Embodiment 4.
Как показано на фиг. 9, выбирают один указанный авторизуемый объект, а также статистическую таблицу, в отношении которой необходимо предоставить право доступа, и отображают авторизирующего оператора и время операции, связанные с последним предоставлением этому авторизуемому объекту прав в отношении этой статистической таблицы.As shown in FIG. 9, selects one specified authorizable entity as well as the statistical table over which the access right is to be granted, and displays the authorizing operator and transaction time associated with the last authorization entity being granted rights with respect to the statistical table.
Отображение последнего авторизирующего оператора позволяет найти ответственного в случае обнаружения ошибок в предоставленных правах, а отображение времени последней операции предоставления прав способствует определению необходимости повторного предоставления прав на выполнение операций со статистической таблицей.Displaying the last authorizing operator allows you to find the person responsible if errors are detected in the rights granted, and displaying the time of the last authorization operation helps determine the need to re-grant rights to perform operations with the statistical table.
Например, 21 мая 2015 г. в 11:00 Ли Сы последним предоставил авторизуемому объекту Чжан Сань права на выполнение операций со статистической таблицей статистическая таблица результатов торговой деятельности. При выборе Чжан Саня в качестве авторизуемого объекта, а также выборе статистической таблицы статистическая таблица результатов торговой деятельности, в отношении которой необходимо предоставить право доступа, текущему авторизирующему оператору отображается, что 21 мая 2015 г. в 11:00 Ли Сы предоставил Чжан Саню права на выполнение операций со статистической таблицей статистическая таблица результатов торговой деятельности.For example, on May 21, 2015 at 11:00 am, Li Si was the last to grant the authorized entity Zhang San the rights to perform operations with the statistical table, the statistical table of trading results. When you select Zhang San as the authorized object, and select the statistical table Trading Results Statistical Table for which you want to grant access rights, the current authorizing operator is shown that on May 21, 2015 at 11:00 am, Li Si granted Zhang San the rights to performing operations with a statistical table; statistical table of trading activity results.
Если Чжан Сань не должен обладать правом на просмотр содержания определенного конфиденциального/частного столбца, но в результате последнего предоставления прав получил право на просмотр содержания этого конфиденциального/частного столбца, то впоследствии ответственное лицо может быть найдено посредством поиска последнего авторизирующего оператора.If Zhang San should not have the right to view the contents of a certain confidential/private column, but as a result of the last grant of rights obtained the right to view the contents of that confidential/private column, then the responsible person can subsequently be found by searching for the last authorizing operator.
Кроме того, например, определенному оператору необходимо предоставить 100 авторизуемым объектам права на выполнение операций с определенной статистической таблицей, однако в тот день оператор предоставил права лишь 70 авторизуемым объектам. Когда на следующий день оператор продолжает предоставление прав, оператор может просмотреть время последнего предоставления прав каждому авторизуемому объекту, таким образом определяя необходимость предоставления прав авторизуемым объектам. Также могут быть найдены все авторизованные объекты, которым предоставили права в пределах определенного периода времени. Просмотр времени последнего предоставления прав авторизуемому объекту позволяет определить, как долго права этого авторизуемого объекта оставались неизменными, что способствует определению необходимости повторного предоставления прав авторизуемому объекту.Additionally, for example, a certain operator needs to grant 100 authorizable entities the rights to perform operations on a certain statistical table, but on that day the operator only granted rights to 70 authorizable entities. When the operator continues to grant rights the next day, the operator can view the last time each authorizable object was granted rights, thereby determining whether to grant rights to authorized objects. All authorized objects that have been granted rights within a specified time period can also be found. Viewing the last time rights were granted to an authorizable entity allows you to determine how long the authorizable entity's rights remained unchanged, which helps determine whether the authorizable entity needs to be granted rights again.
Вариант осуществления 5.Embodiment 5.
Способ предоставления прав на выполнение операций со статистической таблицей дополнительно включает этап шаблонного предоставления прав, который, в частности, включает:The method for granting rights to perform operations with a statistical table additionally includes the stage of template granting rights, which, in particular, includes:
(1) выбор авторизуемого объекта и статистической таблицы, в отношении которой необходимо предоставить право доступа, при этом выбирают один или несколько авторизуемых объектов, а также выбирают одну статистическую таблицу, в отношении которой необходимо предоставить право доступа;(1) selecting an authorized object and a statistical table in respect of which it is necessary to grant access rights, while selecting one or more authorized objects, and also selecting one statistical table in respect of which it is necessary to grant access rights;
(2) предоставление прав авторизуемому объекту, при этом в качестве шаблона для предоставления прав выбирают один авторизованный объект или созданный шаблон, и в соответствии с этим шаблоном для предоставления прав предоставляют этому авторизуемому объекту права на выполнение операций с этой статистической таблицей;(2) granting rights to an authorized object, selecting one authorized object or a created template as a template for granting rights, and in accordance with this template for granting rights, granting this authorized object the rights to perform operations with this statistical table;
(3) внесение изменений и сохранение, после чего этот авторизуемый объект приобретает права на выполнение операций с этой статистической таблицей.(3) making changes and saving, after which this authorized entity acquires the rights to perform operations on this statistical table.
Например, как показано на фиг. 10, в качестве шаблона для предоставления прав выбирают права Чжан Саня на выполнение операций со статистической таблицей результатов торговой деятельности, и в соответствии с этим шаблоном предоставляют права Ли Эру.For example, as shown in FIG. 10, Zhang San's rights to perform operations with the statistical table of trading results are selected as a template for granting rights, and in accordance with this template, rights are granted to Li Er.
Этот способ позволяет предоставлять права группе авторизуемых лиц, что повышает эффективность предоставления прав; кроме того, этот способ поддерживает шаблонное предоставление прав, то есть в качестве шаблона для предоставления прав выбирают имеющийся объект/имеющуюся роль или созданный шаблон, и в соответствии с этим шаблоном для предоставления прав напрямую предоставляют (обновляют) этому авторизуемому объекту права на выполнение операций с этой статистической таблицей (сохранение после внесения небольших изменений), таким образом операция предоставления прав является простой и высокоэффективной. Сочетание двух способов значительно повышает эффективность предоставления прав на выполнение операций со статистической таблицей.This method allows you to grant rights to a group of authorized persons, which increases the efficiency of granting rights; In addition, this method supports template granting of rights, that is, an existing object/existing role or a created template is selected as a template for granting rights, and in accordance with this template for granting rights, they directly grant (update) this authorized object the rights to perform operations with this statistical table (save after making small changes), so the entitlement operation is simple and highly efficient. The combination of the two methods significantly increases the efficiency of granting rights to perform operations with a statistical table.
- 8 044830- 8 044830
Вариант осуществления 6.Embodiment 6.
Способ предоставления прав на выполнение операций со статистической таблицей включает этап предоставления прав на выполнение операций со статистической таблицей и этап выбора авторизуемой роли, при этом порядок очередности между этапом предоставления прав на выполнение операций со статистической таблицей и этапом выбора авторизуемой роли не является строгим; указанный этап предоставления прав на выполнение операций со статистической таблицей включает следующие этапы:The method for granting rights to perform operations with a statistical table includes the stage of granting rights to perform operations with a statistical table and the stage of selecting an authorized role, and the order of priority between the stage of granting rights to perform operations with a statistical table and the stage of selecting an authorized role is not strict; The specified stage of granting rights to perform operations with a statistical table includes the following stages:
S1: выбор одной статистической таблицы, в отношении которой необходимо предоставить право доступа, и отображение наименований столбцов, с которыми необходимо выполнить управление правами на выполнение операций;S1: select one statistical table for which you want to grant access rights, and display the names of the columns on which you want to manage permissions to perform operations;
S2: отдельное предоставление прав на выполнение операций в отношении каждого столбца; кроме того, указанный столбец включает такие наименования столбцов со свойством времени, как время заключения договора, время получения платежа, время отпуска товаров со склада и т.д., и после установления права на просмотр определенного столбца со свойством времени, также могут быть установлены временные границы статистики/запроса. В частности, выбирают один столбец со свойством времени, после чего авторизирующему оператору для выполнения соответствующей установки временного периода отображается шесть видов форматов установки периода времени, в отношении которого предоставляют право доступа; указанные шесть видов форматов установки периода времени, в отношении которого предоставляют право доступа, в частности, включают: период времени от момента времени, определяемого путем обратного отсчета фиксированного отрезка времени от текущего момента времени, до текущего момента времени (текущий момент времени изменяется); период времени от времени начала до текущего момента времени; период времени от времени окончания до времени внедрения системы; период времени от времени начала до времени окончания; период времени, в котором значение столбца времени представляет собой пустое значение; и период времени от времени внедрения системы до текущего момента времени, при этом указанный период времени от времени внедрения системы до текущего момента времени включает период времени, в котором значение столбца времени представляет собой пустое значение. Указанные время начала и время окончания устанавливаются авторизирующим оператором; период времени, в котором значение столбца времени представляет собой пустое значение, и период времени от времени внедрения системы до текущего момента времени могут представлять собой выборочные опции, и они выбираются авторизирующим оператором.S2: separate permission to perform operations on each column; in addition, the specified column includes such column names with a time property, such as the time of concluding a contract, the time of receipt of payment, the time of release of goods from the warehouse, etc., and after establishing the right to view a specific column with a time property, temporary ones can also be set statistics/query boundaries. Specifically, one column with a time property is selected, and then six kinds of formats for setting the time period for which the access right is granted are displayed to the authorizing operator to perform the corresponding setting of the time period; these six kinds of formats for setting the time period in respect of which the access right is granted, in particular, include: a time period from a point in time determined by counting down a fixed period of time from the current point in time to the current point in time (the current point in time is changing); the period of time from the start time to the current point in time; the period of time from the time of completion to the time of implementation of the system; the period of time from the start time to the end time; the time period in which the time column value is a null value; and a period of time from the time of implementation of the system to the current point in time, wherein said period of time from the time of implementation of the system to the current point in time includes a period of time in which the value of the time column is a blank value. The specified start time and end time are set by the authorizing operator; the period of time in which the value of the time column is a blank value and the period of time from the time of implementation of the system to the current point in time may be optional options, and they are selected by the authorizing operator.
Указанный этап выбора авторизуемой роли состоит в выборе одной или нескольких ролей. Как показано на фиг. 4, указанная авторизуемая роль представляет собой роль со свойством отдельной сущности, а не группы/класса, и в один и тот же период одну роль со свойством отдельной сущности можно связать лишь с одним пользователем, тогда как пользователя связывают с одной или несколькими ролями со свойством отдельной сущности (как показано на фиг. 4, предоставление прав роли осуществляют в соответствии с должностными обязанностями роли, и пользователь получает права связанной с ним роли).This stage of selecting an authorized role consists of selecting one or more roles. As shown in FIG. 4, the specified authorized role is a role with the property of an individual entity, not a group/class, and in the same period, one role with the property of an individual entity can only be associated with one user, while a user is associated with one or more roles with the property separate entity (as shown in Fig. 4, the granting of rights to a role is carried out in accordance with the job responsibilities of the role, and the user receives the rights of the associated role).
Далее во время создания роли или после ее создания для роли выбирают отдел, и созданная роль относится к этому отделу, затем роли предоставляют права на основании соответствующих должностных обязанностей, при этом название роли в этом отделе является единственным, а номер роли является единственным в системе; при переводе указанного пользователя на другую должность связь пользователя с прежней ролью отменяют и связывают пользователя с новой ролью.Next, during the creation of a role or after its creation, a department is selected for the role, and the created role belongs to this department, then the roles are granted rights based on the corresponding job responsibilities, and the role name in this department is the only one, and the role number is the only one in the system; When the specified user is transferred to another position, the connection of the user with the previous role is canceled and the user is associated with the new role.
Если пользователя необходимо перевести на другую должность, дополнительно предусмотрен этап управления переводом пользователя, который, в частности, включает:If the user needs to be transferred to another position, an additional step is provided for managing the user's transfer, which, in particular, includes:
(1) отмену связи пользователя с предыдущей ролью;(1) unlinking the user from the previous role;
(2) связывание пользователя с новой ролью, соответствующей новым должностным обязанностям, в результате чего пользователь автоматически приобретает права этой роли на выполнение операций со статистическими таблицами.(2) associating the user with a new role corresponding to the new job responsibilities, as a result of which the user automatically acquires the rights of this role to perform operations with statistical tables.
Этот вариант осуществления дополнительно включает этап шаблонного предоставления прав, который, в частности, включает:This embodiment further includes a template entitlement step, which specifically includes:
(1 ) выбор авторизуемой роли и статистической таблицы, в отношении которой необходимо предоставить право доступа, при этом выбирают одну или несколько авторизуемых ролей, а также выбирают одну статистическую таблицу, в отношении которой необходимо предоставить право доступа;(1) selecting an authorized role and a statistical table in respect of which access rights must be granted, selecting one or more authorized roles, and also selecting one statistical table in respect of which access rights must be granted;
(2 ) предоставление прав авторизуемой роли, при этом в качестве шаблона для предоставления прав выбирают одну имеющуюся роль или созданный шаблон, и в соответствии с этим шаблоном предоставляют этой авторизуемой роли права на выполнение операций с этой статистической таблицей; (3) внесение изменений и сохранение, после чего эта авторизуемая роль приобретает права на выполнение операций с этой статистической таблицей.(2) granting rights to an authorized role, while one existing role or a created template is selected as a template for granting rights, and in accordance with this template, this authorized role is granted the rights to perform operations with this statistical table; (3) making changes and saving, after which this authorized role acquires the rights to perform operations on this statistical table.
Согласно этому варианту осуществления авторизуемый объект представляет собой независимую роль со свойством отдельной сущности, и при увольнении или переводе на другую должность сотрудника, права на выполнение операций со статистической таблицей могут быть обновлены посредством связывания/отмены связи пользователя с ролью, что позволяет осуществлять последовательную передачу прав на выполнение операций, гарантировать своевременное обновление прав пользователя на выполне- 9 044830 ние операций со статистической таблицей, предотвращать задержки и упущения в обновлении прав на выполнение операций, избегать риска утечки конфиденциальной информации, при этом не оказывая негативного влияния на нормальную деятельность предприятия.In this embodiment, the authorized object is an independent role with a separate entity property, and when an employee leaves or is transferred to another position, the rights to perform statistical table operations can be updated by associating/unassociating the user with the role, allowing for sequential transfer of rights to perform operations, guarantee timely updating of user rights to perform operations with the statistical table, prevent delays and omissions in updating rights to perform operations, avoid the risk of leakage of confidential information, without having a negative impact on the normal activities of the enterprise.
Пример увольнения: соответствующий сотруднику Чжан Сань пользователь связан с ролью производственный рабочий 1; во время увольнения Чжан Саня системный администратор (или соответствующий руководитель) непосредственно удаляет связь соответствующего Чжан Саню пользователя с ролью производственный рабочий 1, и Чжан Сань автоматически теряет соответствующие роли производственный рабочий 1 права на выполнение операций со статистическими таблицами, что позволяет избежать утечки информации в ситуации, когда в результате задержки передачи прав на выполнение операций со статистическими таблицами Чжан Сань после увольнения по прежнему обладает правом на просмотр определенной конфиденциальной информации; во время вступления в должность сотрудника Ли Сы на место Чжан Саня, соответствующего Ли Сы пользователя непосредственно связывают с ролью производственный рабочий 1, и Ли Сы автоматически получает права роли производственный рабочий 1 на выполнение операций со статистическими таблицами, то есть отсутствует необходимость заново устанавливать сотруднику Ли Сы права на выполнение операций со статистическими таблицами, в результате чего упрощается и ускоряется операция предоставления прав, а также значительно сокращается рабочая нагрузка.Example of dismissal: the user corresponding to the employee Zhang San is associated with the role Production Worker 1; At the time of Zhang San's dismissal, the system administrator (or the corresponding manager) directly removes the association of Zhang San's corresponding user with the role of Production Worker 1, and Zhang San automatically loses the corresponding role of Production Worker 1's rights to perform operations on statistical tables, which avoids information leakage in the situation when, as a result of the delay in the transfer of rights to perform statistical table operations, Zhang San still has the right to view certain confidential information after dismissal; When employee Li Si takes over the position of Zhang San, the corresponding Li Si user is directly associated with the role of production worker 1, and Li Si automatically receives the rights of the role production worker 1 to perform operations with statistical tables, that is, there is no need to re-install employee Li You have the rights to perform operations on statistical tables, resulting in a simplified and faster entitlement operation and a significant reduction in workload.
Пример перевода на другую должность: сотрудника Чжан Сань переводят из производственного отдела в отдел послепродажного обслуживания, системный администратор (или соответствующий руководитель) удаляет связь соответствующего Чжан Саню пользователя с ролью производственный рабочий 1 и связывает его с новой ролью работник послепродажного обслуживания 3 в отделе послепродажного обслуживания, в результате чего Чжан Сань автоматически получает соответствующие роли работник послепродажного обслуживания 3 права на выполнение операций со статистическими таблицами.Example of a transfer: Employee Zhang San is transferred from the production department to the after-sales department, the system administrator (or the corresponding manager) removes the association of Zhang San's corresponding user with the role Production worker 1 and associates him with the new role After-sales worker 3 in the after-sales department , as a result of which Zhang San automatically receives the corresponding role of after-sales service worker 3 rights to perform operations with statistical tables.
Далее проводится анализ преимуществ способа предоставления прав пользователю посредством роли со свойством отдельной сущности: права пользователя определяются (приобретаются) посредством его связи с ролью; если необходимо изменить права пользователя, то относящиеся к роли права изменяют в соответствии с целью изменения прав связанного с ролью пользователя. Как только пользователь связан с ролью, он незамедлительно приобретает права этой роли на выполнение операций со статистическими таблицами.The following is an analysis of the advantages of the method of granting rights to a user through a role with the property of a separate entity: the user’s rights are determined (acquired) through his connection with the role; if it is necessary to change the user's rights, then the rights associated with the role are changed in accordance with the purpose of changing the rights of the user associated with the role. Once a user is associated with a role, they immediately acquire the rights of that role to perform operations on statistical tables.
[0 081] Роль с пользователем связывают по принципу один к одному (если роль связана с одним пользователем, другие пользователи не могут быть связаны с этой ролью; если роль не связана с пользователем, роль может быть выбрана для связи с другим пользователем; то есть в один и тот же период роль может быть связана лишь с одним пользователем). Пользователя с ролью связывают по принципу один ко многим (один пользователь одновременно может быть связан с несколькими ролями).[0 081] A role is associated with a user on a one-to-one basis (if a role is associated with one user, other users cannot be associated with that role; if a role is not associated with a user, the role can be chosen to associate with another user; that is a role can only be associated with one user at a time). A user is associated with a role on a one-to-many basis (one user can be associated with several roles at the same time).
Определение роли: роль характеризуется не свойствами группы/класса/категории/должности/служебного положения/рабочей специальности и т.п., а лишь свойством отсутствия коллективности, для роли характерна уникальность, и роль представляет собой независимую отдельную сущность, существующую независимо; при применении на предприятиях и в учреждениях она соответствует номеру должности (в этом документе номер должности не является должностью, одну должность одновременно может занимать несколько сотрудников, но в один и тот же период один номер должности может соответствовать лишь одному сотруднику).Definition of a role: a role is characterized not by the properties of a group/class/category/position/official position/job specialty, etc., but only by the property of the absence of collectivity, the role is characterized by uniqueness, and the role is an independent separate entity that exists independently; when used in enterprises and institutions, it corresponds to the position number (in this document, the position number is not a position; one position can be occupied by several employees at the same time, but in the same period one position number can correspond to only one employee).
Например, в системе компании могут быть созданы следующие роли: генеральный директор, заместитель генерального директора 1, заместитель генерального директора 2, управляющий отделом продаж в Пекине 1, управляющий отделом продаж в Пекине 2, управляющий отделом продаж в Пекине 3, специалист по организации сбыта в Шанхае 1, специалист по организации сбыта в Шанхае 2, специалист по организации сбыта в Шанхае 3, специалист по организации сбыта в Шанхае 4, специалист по организации сбыта в Шанхае 5 и т.д. Отношение связи пользователя с ролью: если сотрудник этой компании Чжан Сань назначен на должность заместителя генерального директора 2 и одновременно назначен на должность управляющего отделом продаж в Пекине 1, то роли, с которыми Чжан Саня необходимо связать, являются заместитель генерального директора 2 и управляющий отделом продаж в Пекине 1, и Чжан Сань будет обладать правами этих двух ролей.For example, the following roles can be created in the company's system: general director, deputy general director 1, deputy general director 2, sales department manager in Beijing 1, sales department manager in Beijing 2, sales department manager in Beijing 3, sales organization specialist in Beijing Shanghai 1, Shanghai Sales Specialist 2, Shanghai Sales Specialist 3, Shanghai Sales Specialist 4, Shanghai Sales Specialist 5, etc. User-role association relationship: If this company's employee Zhang San is assigned to the position of Deputy General Manager 2 and at the same time assigned to the position of Beijing Sales Manager 1, then the roles Zhang San needs to be associated with are Deputy General Manager 2 and Sales Manager in Beijing 1, and Zhang San will have the rights of these two roles.
Понятие традиционной роли предполагает свойства группы/класса/должности/служебного положения/рабочей специальности, при этом одна роль может соответствовать нескольким пользователям. В настоящем документе понятие роль соответствует номеру должности/номеру рабочей станции, а также похоже на роль в кино и телесериалах: одна роль в один и тот же период (в детстве, юности, зрелом возрасте и т.д.) может быть исполнена лишь одним актером, а один актер может быть способен исполнить несколько ролей.The concept of a traditional role presupposes the properties of a group/class/position/job position/job specialty, while one role can correspond to several users. In this document, the concept of role corresponds to the position number/workstation number, and is also similar to the role in films and television series: one role at the same period (in childhood, adolescence, adulthood, etc.) can be performed by only one actor, and one actor may be able to play several roles.
После создания роли роль можно связывать в процессе создания пользователя, а также ее можно связывать в любое время после создания пользователя. После связывания пользователя с ролью отношение связи с ролью можно в любое время удалить и также можно в любое время создать отношение связи с другими ролями.Once a role is created, the role can be associated during the user creation process, and it can also be associated at any time after the user is created. After you associate a user with a role, you can delete the link relationship to the role at any time, and you can also create a link relationship with other roles at any time.
- 10 044830- 10 044830
Структура указанной роли: название должности + номер должности. Например, производственный рабочий цеха 1, производственный рабочий цеха 2, производственный рабочий цеха 3 и т.д. Роль представляет собой отдельную сущность и соответствует понятиям номера должности и номера рабочей станции, но отличается от роли в традиционных системах управления правами. Понятие роли в традиционных системах представляет собой должность/служебное положение/рабочую специальность и прочие свойства группы/класса.The structure of the specified role: position title + position number. For example, production worker of workshop 1, production worker of workshop 2, production worker of workshop 3, etc. A role is a separate entity and corresponds to the concepts of job number and workstation number, but is different from a role in traditional rights management systems. The concept of a role in traditional systems represents a position/official position/job specialty and other properties of a group/class.
В следующем примере показаны отношения связи между сотрудником, пользователем и ролью после того, как сотрудник Чжан Сань устраивается в компанию: 1. Найм персонала: после найма сотрудника, этого пользователя (сотрудник) непосредственно связывают с ролью соответствующего номера должности/номера рабочей станции. Например, если после найма Чжан Саня (в компании для Чжан Саня создают пользователя Чжан Сань) он работает в отделе продаж 1, отвечая за продажу холодильной техники в районе Пекина (соответствующая роль специалист по организации сбыта 5 относится к отделу продаж 1), то для пользователя Чжан Сань непосредственно выбирают роль специалист по организации сбыта 5 и связывают его с этой ролью.The following example shows the association relationship between employee, user and role after employee Zhang San joins the company: 1. Staff Recruitment: After hiring an employee, this user (employee) is directly associated with the role of the corresponding position number/workstation number. For example, if after hiring Zhang San (the company creates the user Zhang San for Zhang San), he works in sales department 1, responsible for the sale of refrigeration equipment in the Beijing area (the corresponding role of sales specialist 5 belongs to sales department 1), then for user Zhang San directly selects the role Sales Specialist 5 and associates him with this role.
2. Добавление должности: после того как Чжан Сань отработал определенный период времени, компания дополнительно назначает Чжан Саня ответственным за продажу телевизионной продукции в районе Пекина (соответствующая роль специалист по организации сбыта 8 относится к отделу продаж 1), а также руководителем отдела послепродажного обслуживания (роль, соответствующая руководителю отдела послепродажного обслуживания 1). Таким образом, с пользователем Чжан Сань дополнительно связывают две роли, а именно специалист по организации сбыта 8 в отделе продаж 1 и руководитель отдела послепродажного обслуживания 1 в отделе послепродажного обслуживания. Таким образом, сотрудник Чжан Сань связан с тремя ролями: специалист по организации сбыта 5, специалист по организации сбыта 8 в отделе продаж 1 и руководитель отдела послепродажного обслуживания 1 в отделе послепродажного обслуживания, то есть пользователь Чжан Сань обладает правами этих трех ролей.2. Addition of position: After Zhang San has worked for a certain period of time, the company additionally appoints Zhang San to be in charge of the sales of television products in the Beijing area (the corresponding role of Sales Specialist 8 belongs to Sales Department 1), as well as the head of the after-sales service department ( Role corresponding to Head of After Sales Service 1). Thus, the user Zhang San is additionally associated with two roles, namely sales manager 8 in sales department 1 and after-sales service manager 1 in after-sales service department. Thus, employee Zhang San is associated with three roles: Sales Executive 5, Sales Executive 8 in Sales Department 1, and After-Sales Service Manager 1 in After-Sales Service, meaning user Zhang San has the rights of these three roles.
3. Сокращение должности: через определенное время в компании решили назначить Чжан Саня директором отдела послепродажного обслуживания (соответствующая роль директор отдела послепродажного обслуживания в отделе послепродажного обслуживания), без совмещения с другими должностями. Таким образом, пользователя Чжан Сань связывают с ролью директор отдела послепродажного обслуживания в отделе послепродажного обслуживания и удаляют его связь с тремя предыдущими ролями (специалист по организации сбыта 5, специалист по организации сбыта 8 в отделе продаж 1 и руководитель отдела послепродажного обслуживания 1 в отделе послепродажного обслуживания). Таким образом, пользователь Чжан Сань обладает лишь правами роли директор отдела послепродажного обслуживания в отделе послепродажного обслуживания.3. Position reduction: After a certain time, the company decided to appoint Zhang San as the director of the after-sales service department (the corresponding role is the director of the after-sales service department in the after-sales service department), without combining with other positions. Thus, the user Zhang San is associated with the role of After Sales Director in the After Sales Department and removes his association with the three previous roles (Sales Executive 5, Sales Executive 8 in Sales 1, and After Sales Manager 1 in After Sales). service). Therefore, the user Zhang San only has the rights of the role of Director of After-Sales Service in the After-Sales Department.
4. Настройка прав роли (настройка всех имеющихся прав роли): если в компании решили добавить права директору отдела послепродажного обслуживания, достаточно добавить права роли директора отдела послепродажного обслуживания. При добавлении прав роли директора отдела послепродажного обслуживания права связанного с этой ролью пользователя Чжан Сань также добавляются.4. Setting up role rights (setting up all existing role rights): if the company decided to add rights to the director of the after-sales service department, it is enough to add the rights to the role of the director of the after-sales service department. When you add the rights of the After-Sales Service Director role, the rights of the user Zhang San associated with this role are also added.
5. Увольнение: через год Чжан Сань увольняется, и необходимо лишь удалить связь пользователя Чжан Сань с ролью директор отдела послепродажного обслуживания в отделе послепродажного обслуживания.5. Resignation: After one year, Zhang San resigns, and it is only necessary to delete the user Zhang San's association with the role of After-sales Service Director in the After-sales department.
К примеру, в процессе динамической деятельности компании найм и увольнение персонала происходят часто и непрерывно, тогда как номера должностей/номера рабочих станций изменяются редко (вплоть до отсутствия изменений в течение определенного периода времени).For example, in the process of dynamic company activity, hiring and firing of personnel occurs frequently and continuously, while job numbers/workstation numbers change rarely (up to no change for a certain period of time).
В традиционных способах предоставления прав, если у системы большой набор функций, предоставление прав посредством традиционных ролей со свойством группы/класса не только сочетается с большой рабочей нагрузкой, но также является сложным и подверженным ошибкам, при этом в течение короткого периода времени ошибки сложно обнаружить, что в результате приводит к потерям для пользователей системы.In traditional entitlement methods, if the system has a large set of functions, entitlement through traditional roles with a group/class property is not only combined with a large workload, but is also complex and error-prone, and errors are difficult to detect within a short period of time. which ultimately leads to losses for system users.
Согласно способу предоставления прав в настоящем документе права предоставляют роли со свойством номера должности/номера рабочей станции, и права пользователя определяются посредством связывания пользователя с ролью (пользователь приобретает права связанной с ним роли). Таким образом, управление правами пользователей осуществляется посредством простого отношения связи пользователь-роль, что является ясным и понятным, упрощает управление правами и выполнение операций, а также значительно повышает эффективность и надежность предоставления прав.According to the rights granting method herein, rights are granted to roles with a job number/workstation number property, and user rights are defined by associating a user with a role (the user acquires the rights of the associated role). In this way, user rights are managed through a simple user-role relationship, which is clear and understandable, simplifies rights management and operations, and greatly improves the efficiency and reliability of granting rights.
Рассмотренное выше представляет собой только предпочтительные варианты осуществления настоящего изобретения, и следует понимать, что настоящее изобретение вовсе не ограничивается вариантами, раскрытыми в этом документе, которые не должны рассматриваться как исключающие другие варианты осуществления, но могут применяться для любых других комбинаций, изменений и среды, поэтому без отклонения от рассмотренной сути настоящего изобретения в него можно вносить изменения на основании указанных выше идей или же технологий или знаний из смежных областей. Кроме того, если не имеет места отступление от идеи и объема настоящего изобретения, изменения и модификации,The above are only preferred embodiments of the present invention, and it should be understood that the present invention is not at all limited to the embodiments disclosed herein, which should not be construed as exclusive of other embodiments, but can be applied to any other combinations, variations and environments, Therefore, without deviating from the discussed essence of the present invention, changes can be made to it based on the above ideas or technologies or knowledge from related fields. Moreover, unless there are departures, changes or modifications from the spirit and scope of the present invention,
--
Claims (6)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710668230.9 | 2017-08-07 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EA044830B1 true EA044830B1 (en) | 2023-10-04 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230419265A1 (en) | Method based on form fields for arranging examination and approval roles at workflow examination and approval nodes | |
| CN108764833B (en) | Method for setting approval roles according to departments by workflow approval nodes | |
| EP3661119A1 (en) | Method for managing instant messaging account in management system | |
| JP7540660B2 (en) | How to approve the operation of form field values | |
| CN109032458B (en) | Form data authorization method based on role acquisition | |
| US11475142B2 (en) | Method for authorizing operation permission of a statistical list | |
| KR20190141226A (en) | How to Set Form Field Manipulation Permissions for Workflows and Their Approval Nodes | |
| CN108550029B (en) | Method for setting approval roles according to department levels by workflow approval nodes | |
| JP7504384B2 (en) | How to grant form operation permissions depending on form field values | |
| CN109104425B (en) | Method for setting operation record viewing authority based on time period | |
| KR20200035122A (en) | How to grant permission to display the current status of the status of all system users | |
| JP2020528603A (en) | How to approve form data manipulation permissions | |
| US11775687B2 (en) | Method for authorizing field value of form field by means of third party field | |
| US11232226B2 (en) | Column value-based separate authorization method for statistical list operations | |
| US11632348B2 (en) | Method for acquiring mail box account in system | |
| EA044830B1 (en) | METHOD OF GRANTING RIGHTS TO PERFORM OPERATIONS WITH A STATISTICAL TABLE | |
| EA044529B1 (en) | METHOD OF GRANTING RIGHTS TO PERFORM OPERATIONS WITH FORM FIELD VALUE | |
| EA046035B1 (en) | METHOD OF SEPARATELY GRANTING RIGHTS TO PERFORM OPERATIONS WITH A FORM IN ACCORDANCE WITH THE VALUE OF A FORM FIELD | |
| EA045744B1 (en) | METHOD OF GRANTING RIGHTS BASED ON DISPLAYING THE CURRENT STATE OF RIGHTS OF ALL SYSTEM USERS | |
| EA044438B1 (en) | METHOD AND SYSTEM FOR MANAGING WORK FLOW BASED ON THE CORRESPONDENCE OF ONE ROLE TO ONE USER | |
| EA044262B1 (en) | METHOD OF GRANTING RIGHTS WITH RESPECT TO FORM DATA OBTAINED BASED ON THE ROLE | |
| EA045814B1 (en) | METHOD AND SYSTEM FOR GRANTING RIGHTS BASED ON A ONE-TO-ONE RELATIONSHIP OF A ROLE WITH A USER | |
| OA19299A (en) | Method for managing instant messaging account in management system. | |
| EA044188B1 (en) | METHOD OF GRANTING RIGHTS WITH RESPECT TO LINKED FORM INFORMATION | |
| EA045932B1 (en) | METHOD OF GRANTING RIGHTS WITH RESPECT TO FORM FIELDS VALUES THROUGH THIRD PARTY FIELDS |