JP7339634B2 - 時間帯に基づいて操作記録を閲覧する権限の設置方法 - Google Patents

時間帯に基づいて操作記録を閲覧する権限の設置方法 Download PDF

Info

Publication number
JP7339634B2
JP7339634B2 JP2020508333A JP2020508333A JP7339634B2 JP 7339634 B2 JP7339634 B2 JP 7339634B2 JP 2020508333 A JP2020508333 A JP 2020508333A JP 2020508333 A JP2020508333 A JP 2020508333A JP 7339634 B2 JP7339634 B2 JP 7339634B2
Authority
JP
Japan
Prior art keywords
time
role
user
approval
viewing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020508333A
Other languages
English (en)
Other versions
JP2020530630A (ja
JPWO2019034022A5 (ja
Inventor
陳達志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Qianniucao Information Technology Co Ltd
Original Assignee
Chengdu Qianniucao Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Qianniucao Information Technology Co Ltd filed Critical Chengdu Qianniucao Information Technology Co Ltd
Publication of JP2020530630A publication Critical patent/JP2020530630A/ja
Publication of JPWO2019034022A5 publication Critical patent/JPWO2019034022A5/ja
Application granted granted Critical
Publication of JP7339634B2 publication Critical patent/JP7339634B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/105Human resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/109Time management, e.g. calendars, reminders, meetings or time accounting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Business, Economics & Management (AREA)
  • Data Mining & Analysis (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Storage Device Security (AREA)
  • User Interface Of Digital Computer (AREA)
  • Lock And Its Accessories (AREA)

Description

本発明は、ERP等の管理ソフトウェアシステム中のデータを検分する権限の承認方法に関し、特に時間帯に基づいて操作記録を検分する権限の設置方法に関する。
ロールベースのアクセス制御(RBAC)は、近年最も多く研究されるし、最も成熟したデータベース権限管理メカニズムの一つであり、従来の強制アクセス制御(MAC)および自律アクセス制御(DAC)に代わる理想的な候補と考えられる。ロールベースのアクセス制御(RBAC)の基本的な考え方は、企業組織ビューのさまざまな機能的位置を分割して異なるロールを形成し、データベースリソースのアクセス権をロールにカプセル化するに従って、ユーザーは、異なるロールを割り当てられることにより、データベースリソースに間接的にアクセスする。
大量のテーブルとビューが大規模なアプリケーションシステムに組み込まれているため、データベースリソースの管理と承認が非常に複雑になる。ユーザーがデータベースリソースのアクセスと権限承認を直接管理することは非常に困難である。ユーザーはデータベース構造を十分に理解し、SQL言語の使用に精通している必要があり、アプリケーションシステム構造またはセキュリティ要件が変更されたら、大量の複雑かつ面倒な承認変更を実行するために、予期しない承認エラーに引き起こされるセキュリティ脆弱性が非常に発生しやすい。したがって、大規模なアプリケーションシステムのために簡単かつ効率的な権限の管理方法を設計することは、システムとシステムユーザーの共通の要件になっている。
ロールベースの権限制御メカニズムにより、システムのアクセス権が簡単かつ効率的に管理できる。これにより、システム権限管理の負担とコストが大幅に削減され、さらに、システム権限管理は、アプリケーションシステムのビジネス管理仕様とより一致している。
ただし、従来のロールベースのユーザー権限管理は、「ロール対ユーザー、1対多」の関連付けメカニズムを採用し、「ロール」はグループ/クラスの性質を有する。つまり、一つのロールは複数のユーザーが同時期に対応/関連付できる。ロールは、役職/職務/職位/職種の概念に似ている。この関連付けメカニズムに基づくユーザー権限の承認は、基本的に次の3つの形式と分けられる。1、図1に示すように、ユーザーが直接承認されるが、不利な点は、作業負荷が大きく、操作が頻繁且つ面倒である。2、図2に示すように、ロール(クラス/グループ/職位/役職/職種)は承認され(一つのロールは複数のユーザーを関連付けることができる)、ユーザーはロールを介して権限を取得する。3、図3に示すように、上記の2つの方法が組み合わされている。
上記の説明では、2と3の両方にクラス/グループの性質を有するロールを承認する必要があり、クラス/グループ/役職/職種の性質を有するロールを介する承認及びワークフロー制御の方法には次の欠点がある。1:ユーザーのアクセス権限が変わる場合、操作が難しくなる。実際のシステム使用プロセスでは、多くの場合、運用プロセス中にユーザーの権限を調整する必要がある。たとえば、従業員の権限の変更を処理する場合、ロールの関連付けた従業員の権限を変更するが、ロールは権限の変更されない他の従業員も関連付けたことで、個々の従業員の権限の変更により、ロール全体の権限を変更することができない。そのため、この状況に対応して、権限を変更した従業員に適うために新しいロールを設立するか、権限要件に基づいて従業員を直接承認(ロールからの離脱)する必要がある。上記の2つの処理方法は、ロールの権限が多数ある場合、ロールの承認に長い時間がかかるだけでなく、ミスを犯しやすく、ユーザーの操作がわずらわしく、面倒であり、システムユーザーの損失につながるエラーも発生しやすい。
2:ロールの含む特定の権限を長期的に覚えることは困難である。ロールに複数の権限機能がある場合、時間が経つにつれて、ロールの特定の権限を覚えることは困難になり、権限の類似したロール間の権限差異を覚えるのがより難しくなる。新しいユーザーを関連付けると、どうやって関連付けるかを正確に判断することはできない。
3:ユーザーの権限が変わるため、ロールをますます設立するのをもたらす(新しいロールを設立しない場合、ユーザーに対する直接的な承認が大幅に増加する)。各ロール間の特定の差異を区別することはより困難である。
4:役職を調整するときに、異動するユーザーの多くの権限を他の複数のユーザーに割り当てる場合、異動するユーザーの権限を区分し、他の複数のユーザーを関連付けるためにそれぞれロールを設立する必要があるが、このような操作は、複雑であり、時間がかかるだけでなく、エラーがより発生しやすい。
従来のERP等の管理ソフトウェアシステム中には、従業員/ユーザーはが自分の操作記録を検分する権限を取得した後、従業員/ユーザーは自分の全ての操作記録を検分することができるが、幾つかの場合に会社の情報を漏らすことにつながる。例えば、張三は販売経理から生産主任に異動した後、生産主任に就任した後に張三は販売承認操作記録を検分することに関わらず、ただし、張三が自分の承認操作記録の権限を有するため、張三は依然として自分の販売経理を以前務めた時の承認操作記録を検分することができる(例えば、販売契約の承認記録)。この時に、会社は有効的な制限措置を採ることができないので(張三に自分の承認操作記録を検分する権限を与えない場合に、自分の生産主任を現在務める承認操作記録を検分することができないのにつながり、張三が正常に作業を行わないことをもたらす)、従って、会社の情報を漏らすことにつながる。例えば、別の従業員Bの所定の時間帯にある操作記録を調査するのに某従業員Aを一時転任する時に、従業員Bの操作記録を検分する権限をその従業員Aに与える必要があり、権限を取得した後、その従業員Aは従業員Bの全ての操作記録を検分することができる。従って従業員Bの全ての操作記録中に調査を必要とする操作記録以外の操作記録が洩れるのにつながる。これから、操作記録を検分する権限の現有の承認方法は、幾つかの場合に権限制御を有効的に行うことができなく、会社の情報保護に不利であり、会社に損失をもたらし易い。
操作記録を検分する従来の承認方法は、「ロール(承認対象/検分対象)と其れの現在関連付けるユーザーの関連時点を参照時点とする」の方式/規則で動的な検分権限時間帯を設定することができない。例えば、企業は、一つのロールに幾つかのロールの操作記録を検分する権限を与えるのにその関連時点を参照時点として検分時間帯を設定しようとするが、その関連時点が動的であり(従業員の入職や異動や離職等の多くの要因は、それに対応するユーザーの関連付けたロールを変動させると、その関連時点を不確定にさせる)、全ての従来の方法に時間帯を動的に承認する方案がない。ただし、本発明の方法は十分に解決することができる。
本発明の目的は、現行技術の欠陥を克服し、時間帯に基づいて操作記録を検分する権限の設置方法を提供する。
本発明の目的は、以下の技術的手段により達成される。時間帯に基づいて操作記録を閲覧する権限の設置方法は、一つの承認対象を選定すること;承認対象ごとに一つ或は複数の閲覧対象を設置し、前記承認対象と閲覧対象がロール、ユーザー、従業員のうちの同じ種類であること;承認対象ごとに一つの閲覧権限時間帯を設定し、前記承認対象は、それに対応する閲覧対象がその承認対象の閲覧権限時間帯に操作記録を閲覧する権限を取得すること;前記閲覧権限時間帯は、現在時点から固定時間を逆にして得られた時点から、現在時点までの時間帯、開始時点から現在時点までの時間帯、終了時点からシステムの初期化時点までの時間帯、開始時点から終了時点までの時間帯、及び、システムの初期化時点から現在時点までの時間帯という5種類のうちの一つ或は複数を含むこと、を含む。
優先的に、承認対象と閲覧対象が全てロールである場合に、その閲覧対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールであり、承認対象と閲覧対象が全てユーザーである場合に、その閲覧対象は、承認対象とするユーザーであり、或は承認対象とするユーザー以外の全てのユーザーのうちの一人のユーザーであり、承認対象と閲覧対象が全て従業員である場合に、その閲覧対象は、承認対象とする従業員であり、或は承認対象とする従業員以外の全ての従業員のうちの一人の従業員である
前記ロールはグループ/クラスではなく、独立した個体であり、一つのロールは同時間に唯一のユーザーを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付け、ユーザーはそれの関連付けたロールの権限を取得する。
優先的に、ロールを作成した時或は後にそのロールのために一つの部門を選定すると、そのロールがその部門に属し、ロールの作業内容によりロールを承認し、且つそのロールの名称がその部門に唯一であり、そのロールの番号がシステムに唯一である。
時間帯に基づいて操作記録を閲覧する権限の設置方法は、一つの承認対象を選定すること;承認対象ごとに一つ或は複数の閲覧対象を設置し、前記承認対象と閲覧対象がロール、ユーザー、従業員のうちの同じ種類であること;閲覧対象ごとに一つの閲覧権限時間帯をそれぞれ設定し、前記承認対象は、それに対応する閲覧対象ごとが各閲覧対象の閲覧権限時間帯に操作記録を閲覧する権限を取得すること;前記閲覧権限時間帯は、現在時点から固定時間を逆にして得られた時点から現在時点までの時間帯、開始時点から現在時点までの時間帯、終了時点からシステムの初期化時点までの時間帯、開始時点から終了時点までの時間帯、システムの初期化時点から現在時点までの時間帯という5種類のうちの一つ或は複数を含むことを含む。
時間帯に基づいて操作記録を閲覧する権限の設置方法は、一つのロールを選択して一つの承認対象とすること;承認対象ごとに一つ或は複数の閲覧対象を設置し、前記閲覧対象がロールであること;承認対象ごとに一つの閲覧権限時間帯を設定し、前記承認対象は、それに対応する閲覧対象がその承認対象の閲覧権限時間帯に操作記録を閲覧する権限を取得すること;前記閲覧権限時間帯は、その承認対象及び其れの現在関連付けるユーザーの関連時点から固定時間を順にして得られた時点から現在時点までの時間帯、その承認対象及び其れの現在関連付けるユーザーの関連時点から固定時間を逆にして得られた時点からシステムの初期化時点までの時間帯、その承認対象及び其れの現在関連付けるユーザーの関連時点からシステムの初期化時点までの時間帯、その承認対象及び其れの現在関連付けるユーザーの関連時点から現在時点までの時間帯という4種類のうちの一つ或は複数を含むことを含む。
優先的に、前記閲覧対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールである
優先的に、承認対象ごとに一つの閲覧権限時間帯を設定する時、その承認対象及び其れの現在関連付けるユーザーの関連時点を表示する。
前記ロールはグループ/クラスではなく、独立した個体であり、一つのロールは同時間に唯一のユーザーを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付け、ユーザーはそれの関連付けたロールの権限を取得する。
時間帯に基づいて操作記録を閲覧する権限の設置方法は、一つのロールを選択して一つの承認対象とすること;承認対象ごとに一つ或は複数の閲覧対象を設置し、前記閲覧対象がロールであること;閲覧対象ごとに一つの閲覧権限時間帯をそれぞれ設定し、前記承認対象は、それに対応する閲覧対象ごとが各閲覧対象の閲覧権限時間帯に操作記録を閲覧する権限を取得すること;前記閲覧権限時間帯は、その閲覧対象及び其れの現在関連付けるユーザーの関連時点から固定時間を順にして得られた時点から現在時点までの時間帯、その閲覧対象及び其れの現在関連付けるユーザーの関連時点から固定時間を逆にして得られた時点からシステムの初期化時点までの時間帯、その閲覧対象及び其れの現在関連付けるユーザーの関連時点からシステムの初期化時点までの時間帯、その閲覧対象及び其れの現在関連付けるユーザーの関連時点から現在時点までの時間帯という4種類のうちの一つ或は複数を含むことを含む。

前記ロールはグループ/クラスではなく、独立した個体であり、一つのロールは同時間に唯一のユーザーを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付け、ユーザーはそれの関連付けたロールの権限を取得する。
優先的に、ロールはユーザーとの1対1の関係にある(そのロールは一人のユーザーと関連付ける時、他のユーザーがそのロールを再度関連付けることができない。そのロールがユーザーに関連付けられないと、他のユーザーに選択されて関連付けられる。つまり、同時期に一つのロールは一人のユーザーのみを関連付けることができる)。ユーザーはロールとの1対多の関係にある(一人のユーザーは同時期に複数のロールと関連付けることができる)。
優先的に、「承認対象及び其れの現在関連付けるユーザーの関連時点」、「検分対象及び其れの現在関連付けるユーザーの関連時点」のうちの「関連時点」は多くなると(その承認対象及び其れの現在関連付けるユーザーは曾て関連付けた可能性があり、又は、その検分対象及び其れの現在関連付けるユーザーは曾て関連付けた可能性がある)、前回の関連時点のみを自動的に採用する。
本発明の有益な効果は次のとおりである。(1)本発明は、実際の需要に応じて検分対象の所定の時間帯にある操作記録を検分する権限を承認対象に与えることができるが、検分対象の所定の時間帯以外にある操作記録を検分することができない。従って、時間制限に関わるいろいろな場合に検分対象の操作記録を検分する要求を満たし、操作記録の相関のない人員に知られる可能性を低減し、会社の情報安全を向上させる。
例えば、販売経理1というロールに販売員1及び販売員2という二つのロールの2016年以降にわたる操作記録のみを検分させようとすると、販売経理1の販売員1及び販売員2の操作記録に対する検分権限時間帯を2016年から今までと設定することができる(検分権限時間帯を販売経理1に対して設定する。従って、販売経理1は、自分の検分権限時間帯で検分対象とする販売員1と販売員2の操作記録を検分する)。内部監査人1というロールに調達経理1というロールの2014年5月~2017年5月にわたる操作記録のみを審査させようとすると、内部監査人1の調達経理1の操作記録を検分する検分権限時間帯の開始時点を2014年5月と設定し、終了時点を2017年5月と設定する(検分権限時間帯を内部監査人1に対して設定する。従って、内部監査人1は、自分の検分権限時間帯で検分対象とする調達経理1の操作記録を検分する)。
例えば、2016年5月1日に張三は販売経理から生産主任に異動し、張三の自分を検分する検分権限時間帯を2016年5月1日から今までと設定することができ、異動した後に張三に自分の販売経理とする時(2016年5月1日以前)の承認操作記録を検分させることができないが、2016年5月1日以降自分の生産主任とする操作記録を検分することができる。張三は正常に作業が行われながら会社の情報安全を保護させる。
(2)本発明に、ロール及び其れの現在関連付けたユーザーの関連時点に基づいて時間帯を設定することができ、ロールの以前関連付けたユーザーの操作記録とロールの現在関連付けるユーザーの操作記録を快速に区別することができる。
例えば、財務経理1というロールに対して、財務経理1を関連付けたユーザー(現在ユーザー)ごとに自分の操作記録のみを検分させようとすると、財務経理1の自分の操作記録に対する検分権限時間帯を財務経理1及びそれの現在関連付けるユーザーの関連時点から今までと設定することができる。
本発明の方法は、「ロール(承認対象/検分対象)と其れの現在関連付けるユーザーの関連時点を参照時点とする」の方式で動的な検分権限時間帯を設定することができ、詳細化管理にもっと有利である。
(3)承認対象/検分対象ごとに一つの検分権限時間帯を設定する時に、その承認対象/検分対象と其れの現在関連付けるユーザーの関連時点を表示し、承認対象/検分対象と其れの現在関連付けるユーザーの関連時点を承認操作者に速くて正確に知らせることができ、承認の正確性及び速度を向上させる。
(4)従来の権利管理メカニズムでは、ロールをグループ、職種、職位、クラスなどに定義し、ロールがユーザーとの1対多の関係にあり。実際にシステムを使用するプロセスでは、運用プロセス中にユーザーの権限を調整する必要がある。たとえば、従業員の権限変更を処理する場合、ロールを関連付ける従業員の権限が変更され、このロールは権限の変更しない他の従業員を関連付けるので、個々の従業員の権限を変更したため、全体のロールの権限が変更できない。そのため、この状況に対応して、権限の変更した従業員に適うために新しいロールを設立するか、権限要件に基づいて従業員を直接承認(ロールからの離脱)する。上記の2つの処理方法は、ロールの権限が多数ある場合、ロールの承認に長い時間がかかるだけでなく、ミスを犯しやすく、ユーザーの操作がわずらわしく、面倒であり、システムユーザーの損失につながるエラーも発生しやすい。
しかし、本発明の方法では、ロールが独立した個体であるため、ロール権限を変更して目標を達成することができる。本発明の方法は、システムの初期化時にワークロードを増加させるように見えるが、ロールの作成或は権限授与の効率は、コピーなどの方法によってグループの性質を有する従来のロールより高くさせる。ユーザーを関連つける時にグループの性質を有するロールの共通性を考慮しないため、この発明技術的手段は、承認設定を明確にさせる。特に、システムが一定期間使用された後(ユーザー/ロールの権限が動的に変化している)、この発明技術的手段は、システム使用時のシステム管理の効率を大幅に向上させ、動的認証をより簡単、便利、明確にさせ、権限設定の効率と信頼性を向上させる。
(5) 従来のグループの性質を有するロールの承認方法はエラーが発生しやすく、本発明の方法では、従来の方法でこのグループの性質を有するロールを関連付ける複数のユーザーにどのような共通性があるかを考慮することなく、ロールを独立した個体として考慮するだけでよいため、本発明の方法は権限エラーの確率を大幅に低減させる。承認エラーが発生した場合でも、ロールを関連付けるその一人のユーザーのみに影響するが、従来のグループの性質を有するロールはそのロールを関連付ける全部のユーザーに影響する。承認エラーが発生した場合でも、本発明の修正方法は簡単であり、時間が短く、従来のグループの性質を有するロールはエラーを修正する時にそのロールを関連付ける全部のユーザーの共通性を考えなければならない。機能ポイントが多い場合、変更が面倒且つ複雑であるだけでなく、非常にエラーが発生しやすく、且つ多くの場合、新しいロールを作成するだけで解決できる。
(6) 従来のグループの性質を有するロールの承認方法では、ロールの権限機能ポイントが多くある場合、時間が長くなると、ロールの具体的な権限を覚えにくく、権限の近付くロールの間の区別を覚えるのはより困難である。本発明の方法のロール自身は、役職番号/職務番号の性質を有しており、選択は明らかである。
(7) 異動するときに、異動されたユーザーの多くの権限を他のユーザーに割り当てる場合、処理する時に異動されたユーザーのこれ等の権限を区別して、他のユーザーを関連付けるようにロールをそれぞれ作成する必要がある。このような操作は、複雑であり、時間がかかるだけでなく、エラーが発生しやすくなる。
本発明の方法は次のとおりである。異動されたユーザーはいくつかのロールを関連付け、異動する場合、まず元の部門のロールとユーザーの関連を取り消し(これ等の取り消されたロールは他のユーザーに再度関連付けることができる)、ユーザーは新しい部門のロールを関連付けてもよい。操作は簡単であり、エラーが現れない。
(8)ロールを作成する時或は後、一つの部門を選定する必要としてそのロールがその部門に属した後、部門が変更できず、ロールは部門が変更できないのはなぜであるか?理由1:本発明のロールの性質は役職番号/職務番号と同等であるため、様々な役職番号/職務番号の作業内容/権限は異なる。例えば、販売部門の販売員1のロールと技術部門の開発者1のロールは、2つの役職番号/職務番号がまったく異なり、権限が違う。理由2:販売員1のロールの部門(販売部門)が技術部門に置き換えられる場合、販売員1のロールを変更しないと、技術部門には販売部門の権限を有するロールがある。これは、管理の混乱とセキュリティの脆弱性につながる可能性がある。
図1は、背景技術においてシステムがユーザーを直接承認する方法の概略図である。 図2は、背景技術においてシステムがグループ/クラスの性質を有するロールを承認する方法の概略図である。 図3は、背景技術においてシステムがユーザーを直接承認し、グループ/クラスの性質を有するロールを承認して組み合わせる方法の概略図である。 図4は、本発明の一種の実施状態のローチャートである。 図5は、本発明のシステムにおいて独立した個体の性質を有するロールを介してユーザーを承認する方法の概略図である。 図6は、本発明のもう一種の実施状態のローチャートである。
本発明の技術的手段は、添付の図面を参照して以下でさらに詳細に説明されるが、本発明の保護範囲は以下に限定されない。
図4に示すように、時間帯に基づいて操作記録を検分する権限の設置方法は、以下のステップを含む。
S11、一つの承認対象を選定する。
S12、承認対象ごとに一つ或は複数の検分対象を設置する。
前記承認対象と検分対象がロール、ユーザー、従業員のうちの同じ種類である。つまり、承認対象がロールである時に検分対象もロールであり、承認対象がユーザーである時に検分対象もユーザーであり、承認対象が従業員である時に検分対象も従業員である。
図5に示すように、前記ロールはグループ/クラスではなく、独立した個体であり、一つのロールは同時間に唯一のユーザーを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付け、ユーザーはそれの関連付けたロールの権限を取得する。ロールを作成した時或は後にそのロールのために一つの部門を選定すると、そのロールがその部門に属し、ロールの作業内容によりロールを承認し、且つそのロールの名称がその部門に唯一であり、そのロールの番号がシステムに唯一である。
ロールの定義:ロールは、グループ/クラス/カテゴリ/役職/職位/職務/職種の性質を有しないが、非集合の性質を有する。ロールは唯一性を有し、独立して存在している個体である。ロールは企業や機関の応用で役職番号と同等である(役職番号はここで役職ではなく、一つの役職に同時に複数の従業員がいるが、一つの役職番号は同時に一人の従業員にしか対応できない)。
たとえば、会社のシステムは次のロールを設立する可能性がある。総経理、副総経理1、副総経理2、北京販売部Iの経理、北京販売部IIの経理、北京販売部IIIの経理、上海販売エンジニア1、上海販売エンジニア2、上海販売エンジニア3、上海販売エンジニア4、上海販売エンジニア5 等。ユーザーとロールの関連関係:その会社の従業員である張三は、会社の副総経理2を務め、同時に北京販売部Iの経理を務める場合、張三は副総経理2及び北京販売部Iの経理というロールを関連付ける必要がある。張三は両方のロールに対する権限を持っている。
従来のロールの概念は、グループ/クラス/役職/職位/職務/職種の性質であり、一つのロールは複数のユーザーに対応できる。本発明の「ロール」(独立した個体の性質を有するロール)の概念は、役職番号/職務番号と同等であり、映画やテレビドラマのロールに似ている。一つのロールは一つの俳優のみに同時に(幼年、少年、中年...
)演じられ、一つの俳優は複数のロールを演じることができる。
前記ユーザーが異動する時、ユーザーと元の部門のロールの関連を取り消し、ユーザーを新しい部門のロールに関連付けると、ユーザーは元のロールの権限を自動的に失って新しいロールの権限を自動的に取得する。つまり、ユーザーはそれの関連付けたロールの権限を取得する。
従業員が入職する時、従業員に対応するユーザーにロールを関連付けた後、そのユーザーはそれの関連付けたロールの権限を自動的に取得する。従業員が離職する時、従業員に対応するユーザーとそのユーザーの関連付けたロールの関連関係を取り消した後、そのユーザーは元々関連付けたロールの権限を自動的に失う。
ロールを作成した後、ユーザーを作成するプロセスでロールを関連付けることができ、または、ユーザーを作成した後、いつでもロールを関連付けることができる。ユーザーは、ロールを関連付けた後ロールとの関係がいつでも解除でき、他のロールとの関係がいつでも確立できる。
一人の従業員が一人のユーザーに対応し、一人のユーザーが一人の従業員に対応し、従業員がそれに対応するユーザーの関連付けるロールにより権限を決定(取得)する。
更に、従業員がユーザーを一生結びつけ、ユーザーが従業員に対応した後、従ってそのユーザーがその従業員に属し、ユーザーが他のロールを関連付けることができない。その従業員が離職する場合、そのユーザーは他のロールにも対応することができない。従業員が再度入職した後、その従業員が依然として元のユーザーを使用する。
承認対象と検分対象が全てロールである場合に、その検分対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールを除き、承認対象と検分対象が全てユーザーである場合に、その検分対象は、承認対象とするユーザーであり、或は承認対象とするユーザー以外の全てのユーザーのうちの一人のユーザーを除き、承認対象と検分対象が全て従業員である場合に、その検分対象は、承認対象とする従業員であり、或は承認対象とする従業員以外の全ての従業員のうちの一人の従業員を除く。つまり、承認対象(ロール/ユーザー/従業員)のために他のロール/ユーザー/従業員の操作記録を検分する時間帯を設定することができるだけでなく、承認対象のために自分の操作記録を検分する時間帯を設定することもできる。
S13、承認対象ごとに一つの検分権限時間帯を設定し、前記承認対象は、それに対応する検分対象がその承認対象の検分権限時間帯に操作記録を検分する権限を取得する。
前記検分権限時間帯は、現在時点から固定時間を逆にして得られた時点から現在時点までの時間帯(現在時点は動的である)、開始時点から現在時点までの時間帯、終了時点からシステムの初期化時点までの時間帯、開始時点から終了時点までの時間帯、システムの初期化時点から現在時点までの時間帯という5種類のうちの一つ或は複数を含む。
検分権限時間帯を設置する単位は年、月、日、時、分、秒などである。
以下は、例を挙げて上記の5つの時間帯を説明する。現在時点から固定時間を逆にして得られた時点から現在時点までの時間帯は、例えば、2017年6月20日に、ロール1(承認対象)に対しては、2017年6月20日から6日間を逆にして得られた時点から2017年6月20日(即ち、現在時点、確定の時点ではない)までの時間帯にあるロール2(検分対象)の操作記録を検分する権限を与え、即ち、ロール1は、2017年6月20日に、2017年6月15日から2017年6月20日までのロール2の操作記録を即日検分することができ、2017年6月21日に、2017年6月16日から2017年6月21日までのロール2の操作記録を即日検分することができ、2017年6月22日に、2017年6月17日から2017年6月22日までのロール2の操作記録を即日検分することができ、その他もろもろ、枚挙にいとまがない。つまり、この時間帯の長さが固定になり、開始時点と終了時点は全て変化できる。
開始時点から現在時点までの時間帯(現在時点は動態的である)は、例えば、ロール1(承認対象)に対しては、2015年5月1日に2015年2月1日から即日(現在)までのロール2(検分対象)の操作記録を検分する権限を与えると、ロール1は、2015年2月1日から2015年5月1日までのロール2の操作記録を検分することができる。2015年5月2日に、ロール1は、2015年2月1日から2015年5月2日までのロール2の操作記録を検分することができる(更に、開始時点は開始時点を含まないと説明することもできる。開始時点を含まないと、ロール1は、2015年2月1日のロール2の操作記録を検分することができず、2015年2月1日以降のロール2の操作記録のみを検分することができる)。
終了時点からシステムの初期化時までの時間帯は、例えば、ロール1(承認対象)に対しては、2015年2月1日からシステムの初期化時までのロール2(検分対象)の操作記録を検分する権限を与えると、ロール1は、2015年2月1日からシステムの初期化時までのロール2の操作記録を検分することができる(つまり、ロール1は、2015年2月1日及びその時点以前のロール2の操作記録を検分することができる)(更に、終了時点は終了時点を含まないと説明することもできる。終了時点を含まないと、ロール1は、2015年2月1日のロール2の操作記録を検分することができず、2015年2月1日以前のロール2の操作記録のみを検分することができる。さらに、システムの初期化時点が設定できず、終了時点のみを設定すると、ロール1は、終了時点とその以前のロール2の操作記録を検分することができる。又は、ロール1は、終了時点以前のロール2の操作記録を検分することができる)。
開始時点から終了時点までの時間帯は、例えば、ロール1(承認対象)に対しては、2015年2月1日から2015年6月1日までのロール2(検分対象)の操作記録を検分する権限を与えると、ロール1は、2015年2月1日から2015年6月1日でのロール2の操作記録を検分することができる。
システムの初期化時から現在時点までの時間帯(現在時点は動態的である)は、例えば、2017年6月1日に、システムの初期化時点から現在時点までのロール2(検分対象)の操作記録を検分することができるようにロール1(承認対象)に権限を与えると、ロール1は、2017年6月1日に、システムの初期化時点から2017年6月1日までのロール2の操作記録を検分することができ、2017年6月2日に、システムの初期化時点から2017年6月2日までのロール2の操作記録を検分することができ、その他もろもろ、枚挙にいとまがない。
前記終了時点と開始時点は全て手動で設定される。
図6に示すように、時間帯に基づいて操作記録を検分する権限の設置方法は、以下のステップを含む。S21:一つの承認対象を選定する。
S22:承認対象ごとに一つ或は複数の検分対象を設置する。
前記承認対象と検分対象がロール、ユーザー、従業員のうちの同じ種類である。つまり、承認対象がロールである時に検分対象もロールであり、承認対象がユーザーである時に検分対象もユーザーであり、承認対象が従業員である時に検分対象も従業員である。
前記ロールはグループ/クラスではなく、独立した個体であり、一つのロールは同時間に唯一のユーザーを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付け、ユーザーはそれの関連付けたロールの権限を取得する。ロール(独立した個体の性質を有するロール)を作成した時或は後にそのロールのために一つの部門を選定すると、そのロールがその部門に属し、ロールの作業内容によりロールを承認し、且つそのロールの名称がその部門に唯一であり、そのロールの番号がシステムに唯一である。
前記ユーザーが異動する時、ユーザーと元の部門のロールの関連を取り消し、ユーザーを新しい部門のロールに関連付けると、ユーザーは元のロールの権限を自動的に失って新しいロールの権限を自動的に取得する。つまり、ユーザーはそれの関連付けたロールの権限を取得する。
従業員が入職する時、従業員に対応するユーザーにロールを関連付けた後、そのユーザーはそれの関連付けたロールの権限を自動的に取得する。従業員が離職する時、従業員に対応するユーザーとそのユーザーの関連付けたロールの関連関係を取り消した後、そのユーザーは元々関連付けたロールの権限を自動的に失う。
ロールを作成した後、ユーザーを作成するプロセスでロールを関連付けることができ、または、ユーザーを作成した後、いつでもロールを関連付けることができる。ユーザーは、ロールを関連付けた後ロールとの関係がいつでも解除でき、他のロールとの関係がいつでも確立できる。
一人の従業員が一人のユーザーに対応し、一人のユーザーが一人の従業員に対応し、従業員がそれに対応するユーザーの関連付けるロールにより権限を決定(取得)する。
更に、従業員がユーザーを一生結びつけ、ユーザーが従業員に対応した後、従ってそのユーザーがその従業員に属し、ユーザーが他のロールを関連付けることができない。その従業員が離職する場合、そのユーザーは他のロールにも対応することができない。従業員が再度入職した後、その従業員が依然として元のユーザーを使用する。
前記承認対象がロールである時、その検分対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールを除く。
承認対象と検分対象が全てロールである場合に、その検分対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールを除き、承認対象と検分対象が全てユーザーである場合に、その検分対象は、承認対象とするユーザーであり、或は承認対象とするユーザー以外の全てのユーザーのうちの一人のユーザーを除き、承認対象と検分対象が全て従業員である場合に、その検分対象は、承認対象とする従業員であり、或は承認対象とする従業員以外の全ての従業員のうちの一人の従業員を除く。つまり、承認対象(ロール/ユーザー/従業員)のために他のロール/ユーザー/従業員の操作記録を検分する時間帯を設定することができるだけでなく、承認対象のために自分の操作記録を検分する時間帯を設定することもできる。
S23:検分対象ごとに一つの検分権限時間帯をそれぞれ設定し、前記承認対象は、それに対応する検分対象ごとが各検分対象の検分権限時間帯に操作記録を検分する権限を取得する。
前記検分権限時間帯は、現在時点から固定時間を逆にして得られた時点から、現在時点までの時間帯、開始時点から現在時点までの時間帯、終了時点からシステムの初期化時点までの時間帯、開始時点から終了時点までの時間帯、及び、システムの初期化時点から現在時点までの時間帯という5種類のうちの一つ或は複数を含む。
検分権限時間帯を設置する単位は年、月、日、時、分、秒などである。
前記終了時点と開始時点は全て手動で設定される。
時間帯に基づいて操作記録を検分する権限の設置方法は、以下のステップを含む。S31、一つロールを選択して一つの承認対象をとする。
前記ロールはグループ/クラスではなく、独立した個体であり、一つのロールは同時間に唯一のユーザーを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付け、ユーザーはそれの関連付けたロールの権限を取得する。ロール(独立した個体の性質を有するロール)を作成した時或は後にそのロールのために一つの部門を選定すると、そのロールがその部門に属し、ロールの作業内容によりロールを承認し、且つそのロールの名称がその部門に唯一であり、そのロールの番号がシステムに唯一である。
前記ユーザーが異動する時、ユーザーと元の部門のロールの関連を取り消し、ユーザーを新しい部門のロールに関連付けると、ユーザーは元のロールの権限を自動的に失って新しいロールの権限を自動的に取得する。つまり、ユーザーはそれの関連付けたロールの権限を取得する。
従業員が入職する時、従業員に対応するユーザーにロールを関連付けた後、そのユーザーはそれの関連付けたロールの権限を自動的に取得する。従業員が離職する時、従業員に対応するユーザーとそのユーザーの関連付けたロールの関連関係を取り消した後、そのユーザーは元々関連付けたロールの権限を自動的に失う。
ロールを作成した後、ユーザーを作成するプロセスでロールを関連付けることができ、または、ユーザーを作成した後、いつでもロールを関連付けることができる。ユーザーは、ロールを関連付けた後ロールとの関係がいつでも解除でき、他のロールとの関係がいつでも確立できる。
一人の従業員が一人のユーザーに対応し、一人のユーザーが一人の従業員に対応し、従業員がそれに対応するユーザーの関連付けるロールにより権限を決定(取得)する。
更に、従業員がユーザーを一生結びつけ、ユーザーが従業員に対応した後、従ってそのユーザーがその従業員に属し、ユーザーが他のロールを関連付けることができない。その従業員が離職する場合、そのユーザーは他のロールにも対応することができない。従業員が再度入職した後、その従業員が依然として元のユーザーを使用する。
S32:承認対象ごとに一つ或は複数の検分対象を設置し、前記検分対象がロールである。
前記検分対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールを除く。
S33:承認対象ごとに一つの検分権限時間帯を設定し、前記承認対象は、それに対応する検分対象がその承認対象の検分権限時間帯に操作記録を検分する権限を取得する。
承認対象ごとに一つの検分権限時間帯を設定する時、その承認対象及び其れの現在関連付けるユーザーの関連時点を表示する。
前記検分権限時間帯は、その承認対象及び其れの現在関連付けるユーザーの関連時点から固定時間を順にして得られた時点から、現在時点までの時間帯、その承認対象及び其れの現在関連付けるユーザーの関連時点から固定時間を逆にして得られた時点から、システムの初期化時点までの時間帯、その承認対象及び其れの現在関連付けるユーザーの関連時点から、システムの初期化時点までの時間帯、及び、その承認対象及び其れの現在関連付けるユーザーの関連時点から、現在時点までの時間帯という4種類のうちの一つ或は複数を含む。
以下は、例を挙げて上記の4つの時間帯を説明する。その承認対象及び其れの現在関連付けるユーザーの関連時点から固定時間を順にして得られた時点から現在時点までの時間帯。例えば、ロール1及び其れの現在関連付けるユーザーの関連時点が2016年5月1日であり、ロール1のロール2に対する操作記録の検分権限時間帯を、そのロール1及び其れの現在関連付けるユーザーの関連時点から二か月間を順にして得られた時点から現在時点までの時間帯と設定する。従って、ロール1は、ロール2の2016年3月1日以降にわたる全ての操作記録を検分することができる。
その承認対象及び其れの現在関連付けるユーザーの関連時点から固定時間を逆にして得られた時点からシステムの初期化時点までの時間帯。例えば、ロール1の現在関連付けるユーザーの関連時点が2016年5月1日であり、ロール1のロール2に対する操作記録の検分権限時間帯を、ロール1及び其れの現在関連付けるユーザーの関連時点から二か月間を逆にして得られた時点からシステムの初期化時点までの時間帯と設定する。従って、ロール1は、ロール2の2016年7月1日以前にわたる全ての操作記録を検分することができる。
その承認対象及び其れの現在関連付けるユーザーの関連時点から、システムの初期化時点までの時間帯。例えば、ロール1の現在関連付けるユーザーの関連時点が2016年5月1日であり、ロール1のロール2に対する操作記録の検分権限時間帯を、ロール1及び其れの現在関連付けるユーザーの関連時点からシステムの初期化時点までの時間帯と設定する。従って、ロール1は、ロール2の2016年5月1日以前にわたる全ての操作記録を検分することができる。
その承認対象及び其れの現在関連付けるユーザーの関連時点から、現在時点までの時間帯。例えば、ロール1の現在関連付けるユーザーの関連時点が2016年5月1日であり、ロール1のロール2に対する操作記録の検分権限時間帯を、ロール1及び其れの現在関連付けるユーザーの関連時点から現在時点までの時間帯と設定する。従って、ロール1は、ロール2の2016年5月1日以降にわたる全ての操作記録を検分することができる。もう例えば、ロール1の現在関連付けるユーザーの関連時点が2016年5月1日であり、ロール1(承認対象)のロール1(検分対象、即ち、検分対象は承認対象の自身である)に対する操作記録の検分権限時間帯を、ロール1及び其れの現在関連付けるユーザーの関連時点から現在時点までの時間帯と設定する。従って、ロール1は、自分の2016年5月1日以降にわたる全ての操作記録を検分することができる。
検分権限時間帯を設置する単位は年、月、日、時、分、秒などである。
時間帯に基づいて操作記録を検分する権限の設置方法は、以下のステップを含む。S41:一つのロールを選択して一つの承認対象とする。
前記ロールはグループ/クラスではなく、独立した個体であり、一つのロールは同時間に唯一のユーザーを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付け、ユーザーはそれの関連付けたロールの権限を取得する。ロール(独立した個体の性質を有するロール)を作成した時或は後にそのロールのために一つの部門を選定すると、そのロールがその部門に属し、ロールの作業内容によりロールを承認し、且つそのロールの名称がその部門に唯一であり、そのロールの番号がシステムに唯一である。
前記ユーザーが異動する時、ユーザーと元の部門のロールの関連を取り消し、ユーザーを新しい部門のロールに関連付けると、ユーザーは元のロールの権限を自動的に失って新しいロールの権限を自動的に取得する。つまり、ユーザーはそれの関連付けたロールの権限を取得する。
従業員が入職する時、従業員に対応するユーザーにロールを関連付けた後、そのユーザーはそれの関連付けたロールの権限を自動的に取得する。従業員が離職する時、従業員に対応するユーザーとそのユーザーの関連付けたロールの関連関係を取り消した後、そのユーザーは元々関連付けたロールの権限を自動的に失う。
ロール(独立した個体の性質を有するロール)を作成した後、ユーザーを作成するプロセスでロールを関連付けることができ、または、ユーザーを作成した後、いつでもロールを関連付けることができる。ユーザーは、ロールを関連付けた後ロールとの関係がいつでも解除でき、他のロールとの関係がいつでも確立できる。
一人の従業員が一人のユーザーに対応し、一人のユーザーが一人の従業員に対応し、従業員がそれに対応するユーザーの関連付けるロールにより権限を決定(取得)する。
更に、従業員がユーザーを一生結びつけ、ユーザーが従業員に対応した後、従ってそのユーザーがその従業員に属し、ユーザーが他のロールを関連付けることができない。その従業員が離職する場合、そのユーザーは他のロールにも対応することができない。従業員が再度入職した後、その従業員が依然として元のユーザーを使用する。
S42:承認対象ごとに一つ或は複数の検分対象を設置し、前記検分対象がロールである。
前記検分対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールを除く。
S43:検分対象ごとに一つの検分権限時間帯を設定し、前記承認対象は、それに対応する検分対象ごとが各検分対象の検分権限時間帯に操作記録を検分する権限を取得する。
検分対象ごとに一つの検分権限時間帯をそれぞれ設定する時、その検分対象及び其れの現在関連付けるユーザーの関連時点を表示する。
前記検分権限時間帯は、その検分対象及び其れの現在関連付けるユーザーの関連時点から固定時間を順にして得られた時点から、現在時点までの時間帯、その検分対象及び其れの現在関連付けるユーザーの関連時点から固定時間を逆にして得られた時点から、システムの初期化時点までの時間帯、その検分対象及び其れの現在関連付けるユーザーの関連時点から、システムの初期化時点までの時間帯、及び、その検分対象及び其れの現在関連付けるユーザーの関連時点から、現在時点までの時間帯という4種類のうちの一つ或は複数を含む。
検分権限時間帯を設置する単位は年、月、日、時、分、秒などである。
上記は本発明の優先的な実施形態だけである。本発明は、本明細書に開示された形態に限定されないと理解され、他の実施形態を除くとみなされなく、却って様々な他の組み合わせや修正や環境に利用でき、本明細書のコンセプトの範囲内で、上記の教示または関連分野の技術または知識により修正を行うことができる。当業者に行われる修正及び変更は、本発明の趣旨及び範囲から逸脱するものではなく、全部と本発明に添付される請求項の範囲内にあるべきである。

Claims (8)

  1. 時間帯に基づいて操作記録を閲覧する権限の設置方法であって、
    前記操作記録を管理するシステムを制御する制御手段が、
    一つの承認対象の選定を受け付けること、
    前記承認対象ごとに一つ或は複数の閲覧対象の設置を受け付け、前記承認対象と前記閲覧対象が、ロールであること、
    前記承認対象ごとに一つの閲覧権限時間帯の設定を受け付けること、及び、
    前記承認対象に、前記承認対象に対応する閲覧対象ごとに前記承認対象の閲覧権限時間帯に操作記録を閲覧する権限を取得させること、を含み、
    前記閲覧権限時間帯は、
    現在時点から固定時間を逆にして得られた時点から、現在時点までの時間帯、開始時点から現在時点までの時間帯、
    終了時点から、システムの初期化時点までの時間帯、
    開始時点から、終了時点までの時間帯、及び、
    システムの初期化時点から、現在時点までの時間帯、という5種類のうちの一つ或は複数を含み、
    前記ロールはグループ/クラスではなく、唯一性を有する独立した個体であり、一つのロールは該ロールの全ての権限について同時間に唯一のユーザーのみを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付けることができ、
    前記制御手段は、前記ロールの作業内容によりロールの権限を承認し、前記ユーザーは前記制御手段によって関連付けが受け付けられたロールの権限を取得する、設置方法。
  2. 前記閲覧対象は、前記承認対象とするロールであり、或は前記承認対象とするロール以外の全てのロールのうちの一つのロールである、請求項1に記載の設置方法。
  3. ロールを作成した時或は作成した後に前記ロールのために一つの部門を選定すると、前記ロールがその部門に属し、且つ前記ロールの名称が前記部門に唯一であり、前記ロールの番号がシステムに唯一である、請求項1に記載の設置方法。
  4. 時間帯に基づいて操作記録を閲覧する権限の設置方法であって、
    前記操作記録を管理するシステムを制御する制御手段が、
    一つの承認対象の選定を受け付けること、
    前記承認対象ごとに一つ或は複数の閲覧対象の設置を受け付け、前記承認対象と前記閲覧対象がロールであること、
    前記閲覧対象ごとに一つの閲覧権限時間帯の設定をそれぞれ受け付けること、及び、
    前記承認対象に、前記承認対象に対応する閲覧対象ごとに各閲覧対象の閲覧権限時間帯に操作記録を閲覧する権限を取得させること、を含み、
    前記閲覧権限時間帯は、
    現在時点から固定時間を逆にして得られた時点から、現在時点までの時間帯、
    開始時点から、現在時点までの時間帯、
    終了時点から、システムの初期化時点までの時間帯、
    開始時点から、終了時点までの時間帯、及び、
    システムの初期化時点から、現在時点までの時間帯、という5種類のうちの一つ或は複数を含み、
    前記ロールはグループ/クラスではなく、唯一性を有する独立した個体であり、一つのロールは該ロールの全ての権限について同時間に唯一のユーザーのみを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付けることができ、
    前記制御手段は、前記ロールの作業内容によりロールの権限を承認し、前記ユーザーは前記制御手段によって関連付けが受け付けられたロールの権限を取得する、設置方法。
  5. 時間帯に基づいて操作記録を閲覧する権限の設置方法であって、
    前記操作記録を管理するシステムを制御する制御手段が、
    一つのロールの選択を受け付けて一つの承認対象とすること、
    前記承認対象ごとに一つ或は複数の閲覧対象の設置を受け付け、前記閲覧対象がロールであること、
    前記承認対象ごとに一つの閲覧権限時間帯の設定を受け付けること、及び、
    前記承認対象に、前記承認対象に対応する閲覧対象ごとに前記承認対象の閲覧権限時間帯に操作記録を閲覧する権限を取得させること、を含み、
    前記閲覧権限時間帯は、
    前記承認対象及び其れに現在関連付けられているユーザーが関連付けられた時点から固定時間を順にして得られた時点から、現在時点までの時間帯、
    前記承認対象及び其れに現在関連付けられているユーザーが関連付けられた時点から固定時間を逆にして得られた時点から、システムの初期化時点までの時間帯、
    前記承認対象及び其れに現在関連付けられているユーザーが関連付けられた時点から、システムの初期化時点までの時間帯、及び、
    前記承認対象及び其れに現在関連付けられているユーザーが関連付けられた時点から、現在時点までの時間帯、という4種類のうちの一つ或は複数を含み、
    前記ロールはグループ/クラスではなく、唯一性を有する独立した個体であり、一つのロールは該ロールの全ての権限について同時間に唯一のユーザーのみを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付けることができ、
    前記制御手段は、前記ロールの作業内容によりロールの権限を承認し、前記ユーザーは前記制御手段によって関連付けが受け付けられたロールの権限を取得する、設置方法。
  6. 前記閲覧対象は、承認対象とするロールであり、或は承認対象とするロール以外の全てのロールのうちの一つのロールである、請求項5に記載の設置方法。
  7. 前記制御手段が前記承認対象ごとに一つの閲覧権限時間帯の設定を受け付ける時、前記承認対象及び其れに現在関連付けられているユーザーが関連付けられた時点を表示する、請求項5に記載の設置方法。
  8. 時間帯に基づいて操作記録を閲覧する権限の設置方法であって、
    前記操作記録を管理するシステムを制御する制御手段が、
    一つのロールの選択を受け付けて一つの承認対象とすること、
    前記承認対象ごとに一つ或は複数の閲覧対象の設置を受け付け、前記閲覧対象がロールであること、
    前記閲覧対象ごとに一つの閲覧権限時間帯の設定をそれぞれ受け付けること、及び、
    前記承認対象に、前記承認対象に対応する閲覧対象ごとに各閲覧対象の閲覧権限時間帯に操作記録を閲覧する権限を取得させること、を含み、
    前記閲覧権限時間帯は、
    前記閲覧対象及び其れに現在関連付けられているユーザーが関連付けられた時点から固定時間を順にして得られた時点から、現在時点までの時間帯、
    前記閲覧対象及び其れに現在関連付けられているユーザーが関連付けられた時点から固定時間を逆にして得られた時点から、システムの初期化時点までの時間帯、
    前記閲覧対象及び其れに現在関連付けられているユーザーが関連付けられた時点から、システムの初期化時点までの時間帯、及び、
    前記閲覧対象及び其れに現在関連付けられているユーザーが関連付けられた時点から、現在時点までの時間帯、という4種類のうちの一つ或は複数を含み、
    前記ロールはグループ/クラスではなく、唯一性を有する独立した個体であり、一つのロールは該ロールの全ての権限について同時間に唯一のユーザーのみを関連付けることができ、一人のユーザーは一つ或は複数のロールを関連付けることができ、
    前記制御手段は、前記ロールの作業内容によりロールの権限を承認し、前記ユーザーは前記制御手段によって関連付けが受け付けられたロールの権限を取得する、設置方法。
JP2020508333A 2017-08-14 2018-08-13 時間帯に基づいて操作記録を閲覧する権限の設置方法 Active JP7339634B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710694053.1 2017-08-14
CN201710694053.1A CN107370748A (zh) 2017-08-14 2017-08-14 基于时间段的操作记录查看权限的设置方法
PCT/CN2018/100310 WO2019034022A1 (zh) 2017-08-14 2018-08-13 基于时间段的操作记录查看权限的设置方法

Publications (3)

Publication Number Publication Date
JP2020530630A JP2020530630A (ja) 2020-10-22
JPWO2019034022A5 JPWO2019034022A5 (ja) 2022-10-03
JP7339634B2 true JP7339634B2 (ja) 2023-09-06

Family

ID=60309561

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020508333A Active JP7339634B2 (ja) 2017-08-14 2018-08-13 時間帯に基づいて操作記録を閲覧する権限の設置方法

Country Status (13)

Country Link
US (1) US11586747B2 (ja)
EP (1) EP3672188A4 (ja)
JP (1) JP7339634B2 (ja)
KR (1) KR20200033343A (ja)
CN (2) CN107370748A (ja)
AU (1) AU2018318803A1 (ja)
BR (1) BR112020003040A2 (ja)
CO (1) CO2020001639A2 (ja)
EA (1) EA202190497A1 (ja)
MX (1) MX2020001722A (ja)
PE (1) PE20200633A1 (ja)
PH (1) PH12020500145A1 (ja)
WO (1) WO2019034022A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107358093A (zh) * 2017-07-11 2017-11-17 成都牵牛草信息技术有限公司 通过第三方字段对表单字段的字段值进行授权的方法
CN107508798A (zh) * 2017-07-28 2017-12-22 成都牵牛草信息技术有限公司 系统中邮箱账号和即时通讯账号内容操作权限的授权方法
CN107370748A (zh) * 2017-08-14 2017-11-21 成都牵牛草信息技术有限公司 基于时间段的操作记录查看权限的设置方法
US11341838B1 (en) * 2019-04-11 2022-05-24 United Services Automobile Association (Usaa) Security sharing systems and methods
CN111027032B (zh) * 2019-11-13 2022-07-26 北京字节跳动网络技术有限公司 一种权限管理的方法、装置、介质和电子设备
CN112115489A (zh) * 2020-07-28 2020-12-22 苏宁云计算有限公司 系统权限管理方法、装置、计算机设备和存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007249912A (ja) 2006-03-20 2007-09-27 Fujitsu Ltd 共用資源管理システム、共用資源管理方法、およびコンピュータプログラム
JP2008299702A (ja) 2007-06-01 2008-12-11 Fuji Xerox Co Ltd 情報処理プログラム及び情報処理システム
US20110231322A1 (en) 2010-03-16 2011-09-22 Copyright Clearance Center, Inc. Automated rules-based rights resolution
US20120317621A1 (en) 2011-06-09 2012-12-13 Canon Kabushiki Kaisha Cloud system, license management method for cloud service
US20130246470A1 (en) 2012-03-14 2013-09-19 International Business Machines Corporation Rule-based access control list management
JP2013257705A (ja) 2012-06-12 2013-12-26 Ntt Data Corp 電子決裁装置、電子決裁方法、及びプログラム
US20150040234A1 (en) 2013-07-31 2015-02-05 International Business Machines Corporation Implementing Role Based Security in an Enterprise Content Management System
US20150180833A1 (en) 2012-07-27 2015-06-25 Safelyfiled. Com, Llc System for the unified organization, secure storage and secure retrieval of digital and paper documents
US20160294881A1 (en) 2012-07-03 2016-10-06 Salesforce.Com, Inc. Delegating administration rights using application containers
US20170126681A1 (en) 2015-10-30 2017-05-04 Raytheon Company Dynamic runtime field-level access control using a hierarchical permission context structure

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101510238B (zh) * 2008-02-15 2011-12-28 北京书生国际信息技术有限公司 一种文档库安全访问方法及系统
US8918425B2 (en) 2011-10-21 2014-12-23 International Business Machines Corporation Role engineering scoping and management
US8934754B2 (en) * 2012-11-13 2015-01-13 International Business Machines Corporation Providing emergency access to surveillance video
CN104050401B (zh) * 2013-03-12 2018-05-08 腾讯科技(深圳)有限公司 用户权限管理方法及系统
CN103455763B (zh) 2013-07-29 2016-08-31 孙伟力 一种保护用户个人隐私的上网日志记录系统及方法
CN104463005A (zh) * 2013-09-25 2015-03-25 天津书生投资有限公司 一种控制电子文档的访问权限的方法
CN103605916A (zh) 2013-12-06 2014-02-26 山东高速信息工程有限公司 一种基于组织的rbac访问控制模型
CN104537488A (zh) 2014-12-29 2015-04-22 中国南方电网有限责任公司 企业级信息系统功能权限统一管理方法
CN104660599B (zh) * 2015-02-14 2016-02-10 张晓� 一种基于角色的访问控制方法
CN105423481B (zh) * 2015-10-30 2018-02-06 广东美的制冷设备有限公司 一种基于临时操作权限的空调控制方法及系统
CN105741084A (zh) 2016-02-02 2016-07-06 成都市泰牛科技股份有限公司 一种业务权限管理系统及方法
CN105721487B (zh) 2016-03-07 2019-07-26 联想(北京)有限公司 信息处理方法及电子设备
CN106570406A (zh) * 2016-10-27 2017-04-19 深圳前海微众银行股份有限公司 数据级权限配置方法及装置
CN106934243A (zh) 2017-03-17 2017-07-07 北京好运到信息科技有限公司 一种电子病历管理方法及系统
CN106918542B (zh) * 2017-04-22 2023-03-14 河南理工大学 热冷冲击下煤体渗透率测试装置及测试方法
CN107508798A (zh) * 2017-07-28 2017-12-22 成都牵牛草信息技术有限公司 系统中邮箱账号和即时通讯账号内容操作权限的授权方法
CN107370748A (zh) 2017-08-14 2017-11-21 成都牵牛草信息技术有限公司 基于时间段的操作记录查看权限的设置方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007249912A (ja) 2006-03-20 2007-09-27 Fujitsu Ltd 共用資源管理システム、共用資源管理方法、およびコンピュータプログラム
JP2008299702A (ja) 2007-06-01 2008-12-11 Fuji Xerox Co Ltd 情報処理プログラム及び情報処理システム
US20110231322A1 (en) 2010-03-16 2011-09-22 Copyright Clearance Center, Inc. Automated rules-based rights resolution
US20120317621A1 (en) 2011-06-09 2012-12-13 Canon Kabushiki Kaisha Cloud system, license management method for cloud service
US20130246470A1 (en) 2012-03-14 2013-09-19 International Business Machines Corporation Rule-based access control list management
JP2013257705A (ja) 2012-06-12 2013-12-26 Ntt Data Corp 電子決裁装置、電子決裁方法、及びプログラム
US20160294881A1 (en) 2012-07-03 2016-10-06 Salesforce.Com, Inc. Delegating administration rights using application containers
US20150180833A1 (en) 2012-07-27 2015-06-25 Safelyfiled. Com, Llc System for the unified organization, secure storage and secure retrieval of digital and paper documents
US20150040234A1 (en) 2013-07-31 2015-02-05 International Business Machines Corporation Implementing Role Based Security in an Enterprise Content Management System
US20170126681A1 (en) 2015-10-30 2017-05-04 Raytheon Company Dynamic runtime field-level access control using a hierarchical permission context structure

Also Published As

Publication number Publication date
MX2020001722A (es) 2020-11-06
US20200202024A1 (en) 2020-06-25
CO2020001639A2 (es) 2020-06-09
KR20200033343A (ko) 2020-03-27
PH12020500145A1 (en) 2020-11-09
EP3672188A4 (en) 2021-10-06
PE20200633A1 (es) 2020-03-13
US11586747B2 (en) 2023-02-21
BR112020003040A2 (pt) 2020-08-04
JP2020530630A (ja) 2020-10-22
CN107370748A (zh) 2017-11-21
EP3672188A1 (en) 2020-06-24
CN109104425B (zh) 2022-02-01
EA202190497A1 (ru) 2021-05-25
CN109104425A (zh) 2018-12-28
AU2018318803A1 (en) 2020-03-19
WO2019034022A1 (zh) 2019-02-21

Similar Documents

Publication Publication Date Title
JP7339634B2 (ja) 時間帯に基づいて操作記録を閲覧する権限の設置方法
JP7164091B2 (ja) 管理システム内のインスタントメッセージアカウントの管理方法
JP7211593B2 (ja) フォーム関連情報の承認方法
JP2020521224A (ja) ワークフローとその承認ノードのフォームフィールド操作権限の設定方法
JP7272344B2 (ja) システム内にユーザーの情報交換ユニットにある権限を設定する方法
JP7318894B2 (ja) 統計列表の操作権限の承認方法
JP7233654B2 (ja) ロール間の通信関係によりインスタントメッセージアカウント連絡先及びディレクトリを前もってセットする方法
JP7365609B2 (ja) 全てのシステム使用者の最近の権限状態を表示する承認方法
JP7475608B2 (ja) ロールに基づいてフォームのデータを取得する承認方法
JP7231910B2 (ja) フォームデータの操作権限を承認する方法
JP2020520034A (ja) ロール対ユーザーに基づく1対1の権限承認方法とシステム
JP7194391B2 (ja) システム中にメールボックアカウントとインスタントメッセージアカウントの内容の操作権限を与える方法
JP7429390B2 (ja) 使用者に承認プロセスとその承認ノードの権限を与える方法
JP2020528172A (ja) フォームフィールド値によりフォーム操作権限をそれぞれ与える方法
JP7329218B2 (ja) 第三者フィールドを介してフォームフィールドのフィールド値を承認する方法
JP7178014B2 (ja) システム中にユーザー/従業員がメールボックスアカウントを取得する方法
JP7355320B2 (ja) フォーム中の時間特性フィールドに基づくフォームを閲覧する権限の承認方法
WO2018205940A1 (zh) 基于角色对用户的一对一的组织结构图生成及应用方法
JP7231911B2 (ja) 列値に基づいて統計一覧の操作権限をそれぞれ承認する方法
JP2020530616A (ja) システムにおいて承認操作者を承認する方法
JPWO2019011255A5 (ja)
EA044529B1 (ru) Способ предоставления прав на выполнение операций со значением поля формы
EA045255B1 (ru) Способ установки права на просмотр рабочих записей на основании периода времени
EA046035B1 (ru) Способ отдельного предоставления прав на выполнение операций с формой в соответствии со значением поля формы

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220921

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20220921

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230426

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20230426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20230426

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20230519

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230817

R150 Certificate of patent or registration of utility model

Ref document number: 7339634

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150