使用权限簇分析的角色发现的制作方法
【专利说明】
[0001] 版权声明
[0002] 本专利文献的公开的一部分含有受到版权保护的材料。版权所有人不反对任何人 对本专利文献或专利公开进行复制,如其在专利和商标局的专利文件或记录中一样,但是 在其它情况下版权所有人保留所有的版权。
技术领域
[0003] 本公开涉及人力资源安全管理和身份管理系统的领域,更具体地讲,涉及通过分 析许可簇进行角色挖掘以发现行为角色的紧致集的技术。
【背景技术】
[0004] 本公开的一些实施例涉及基于实际职务行为角色相对于它们各自的许可簇来管 理许可的改进方法。
[0005] 许多中到大型公司使用人力资源管理系统作为企业软件应用在其企业范围使用 的组件。历史上,雇员在特定部门或其它组织结构(例如,应付账款部门、采购部门等)内 会承担特定头衔(例如,经理、主管等)。承担特定头衔或职务的雇员承担一个或多个职责 (例如,录入发票、审批采购订单等)。在使用企业软件应用的企业环境中,通过授权特定雇 员使用企业软件执行某些特定活动或操作来实施组织规则和制衡。
[0006] 传统技术仅仅基于作为个体权限或许可的代理的雇员的职务或头衔向雇员授予 这些授权(例如,审批付款的授权、审批采购订单的授权)。然而,采用企业软件大大增强了 任何单个雇员的生产力,因此希望给定单个雇员在日益增加的责任和控制范围内执行。此 外,许多企业已经制定了矩阵管理的方面,其中,希望给定单个雇员承担跨传统组织边界的 责任。另外,大多数中到大型公司制定对新雇员的培训,并且许多公司还通过在首选人员不 能够执行的情况下分派辅助或备用人员代替来实现组织弹性,辅助员工必须能够(至少暂 时地)承担首选人员的责任,因此辅助员工必须被授予适当的授权。
[0007] 此外,使用企业软件执行操作所需的特有授权的数量和特有许可的数量正爆发性 增长。向雇员分派许可的传统技术已变得不实用。
[0008] 组织结构的上述趋势连同快速采用企业软件应用的效果一起加剧了传统技术的 局限性。需要新的方法。
[0009] 此外,上述技术没有采用任何用于角色发现或权限簇数量最小化、或权限簇覆盖 最大化或权限簇的评级的技术。因此,需要改进的方法。
【发明内容】
[0010] 本公开提供了适于解决传统方法的上述问题的改进的方法、系统和计算机程序产 品。更具体地,本公开提供了对在使用权限簇分析进行角色发现的方法、系统和计算机程序 产品中使用的技术的详细描述。
[0011] 本文中公开了人力资源管理系统中使用的系统和方法。该方法优化对职务的许可 (例如,写入数据库的能力、创建新账户的能力等)的分派。该方法通过访问层次组织图表 来发现职务、职责和权限之间的关系,层次组织图表将多个职务、在给定职务的范围内执行 的多个特定职责、和对职务的相应职责的多个许可关联。该方法接着将层次组织图表扁平 化,以列举由职务继承的许可。该方法继续跨职务挖掘被继承许可,以优化许可集合。这些 集合可被优化(例如,最小化集的数量、最大化覆盖等)并且命名以被方便地分派(例如, 通过HR人员)给职务(例如,在新雇员的情况下)。
[0012] 在一些实施例中,本发明涉及使用许可簇分析进行角色发现的计算机实现的方 法、系统或计算机程序产品,所述方法包括以下步骤:访问包括组织图表的图表数据结构, 其中,具有所述组织图表的所述图表数据结构包括记录信息,所述记录信息关于一个或多 个职务的构成职责和所述职责的相应许可;映射所述记录信息,以将所述职责的许可与相 应职务关联;以及分析与其相应职务关联的职责的许可,以针对软件应用确定多个许可集 合,其中,所述多个许可集合中的个体集合与至少一个职务的构成职责的许可对应。
[0013] 在一些实施例中,所述组织图表可被实现为层次组织图表。所述多个许可集合中 的特定个体集合可与至少两个职务的构成职责的许可对应。所述方法还可包括命名所述多 个许可集合中的至少一个。
[0014] 可使用目标优化函数对所述多个许可集合中的至少一些执行评级。所述目标优化 函数可包括最小化函数。另外,所述目标优化函数可包括最大化函数。还可至少部分地基 于计算出的在所述多个职务上的覆盖程度,对所述多个许可集合中的至少一些执行评级。
[0015] 所述方法可执行将所述多个许可集合中的至少一个集合与职务的映射存储在简 档记录中。本发明的方法可检索所述简档记录,以确定与所述简档记录对应的相应雇员是 否被授予特定许可。
[0016] 在一些实施例中,描述了一种在发现向职务授予许可和授权的最佳角色之后更新 员工简档的系统。作为选项,本系统可在本文中描述的实施例的架构和功能的上下文中实 现。另外,系统或本文中的任何方面可在任何希望的环境中实现。
[0017] 所述系统分析授权和/或许可簇并且发现随后被视为成为虚拟角色的候选的最 高效的授权和/或许可簇。更具体地,这些被发现的许可簇被按优先次序排列,成为考虑的 候选。按优先次序排列可以基于若干定量因素。例如:(a)基于需要接受管理的相对较少 数量的角色、授予和角色层次成员关系;和/或(b)被发现的许可簇恰好授予与发现许可簇 的处理之前存在的相同的授予职务的权限的集合。作为进一步的示例,在一些实施例中,基 于诸如以下的两个或更多个量的函数(例如,算术乘积),将许可簇按优先次序排列以考虑 作为候选角色:(a)它包含的权限的数量;和/或(b)被授权具有簇中所有权限的职务的数 量。进一步地,可基于一个或多个限制,选择或拒绝许可簇,以考虑作为候选角色,这些限制 可被编码并且存储在限制数据库中并且能由系统内的模块进行访问。严格意义上,作为示 例,限制可被编码为:(a)不将在预先存在的角色层次中未被授权的任何权限授权给任何 职务、(或人员);或(b)不应该创建会包含构成职责分离违背的权限组合的候选角色。例 如,这个限制将防止"创建供应商"和"授权支付供应商"这对权限被授予同一实体。在企 业环境中,限制数据库可包括这种职责分离限制的广泛集合,以描述和实施企业内和企业 外的制衡。
[0018] 根据一些实施例的系统包括职务描述引擎、简档产生器和安全引擎,这些模块相 互通信。职务描述引擎包括:职务描述数据库,其用于存储和检索一个或多个职务描述;职 责描述数据库,其用于存储和检索一个或多个职责描述;以及许可描述数据库,其用于存储 和检索一个或多个许可描述。职务描述(或职务描述的任何方面)连同职责描述(或职责 描述的任何方面)一起,并且连同许可描述(或许可描述的任何方面)一起可被形成为组 织图表(例如,层次示图)。这种组织图表或示图是计算机可读的,并且可被计算机处理器 遍历以执行分析(例如,本文中讨论的分析)。分析结果的应用可用于满足上述目标。
[0019] 简档产生器用于从职务描述引擎接受输入,以执行分析,并且输出简档记录,以便 有可能存储在员工数据库中,并且以便以后在执行职务或角色期间进行检索。简档记录可 被存储在员工记录数据库中,并且简档记录可包括任何形式的以人力资源或以员工为中心 的数据。例如,简档记录(例如,雇员或承包人或代理人的简档记录)可包括雇员或承包人 或代理人的头衔和/或被分派的职务。简档记录还可包括诸如联系方式和人口统计信息的 员工数据。在一些实施例中,简档记录可包含或参考(例如,直接地或间接地)对应的职责、 角色和/或虚拟角色。
[0020] 在一些情况下的操作中,用户操作人力资源管理系统的模块,具体地,面试模块。 在操作期间,用户可修改现有员工的简档记录,并且可使用面试模块来产生新雇员的新简 档记录。产生新雇员的新简档记录的一种可能的操作可以是建立新雇员的头衔和/或职务 (例如,使用职务选择器),然后列举对应的职责。通过职责列举器帮助对应职责的列举,这 样进而可通过分析职务描述、职责描述、和/或许可描述中的任一个,或通过读取层次示图 来确定与特定职务对应的职责。为了帮助以方便系统的形式(例如,层次示图)存储和/ 或检索职务描述、职责描述、和/或许可描述,层次管理器用于从职务描述引擎读取任何数 据项,并且操纵与面试模块之间和与发现引擎之间的输入/输出,如所示出的。
[0021] 发现引擎用于对许可和职责执行分析,以减轻带给用户的负担。例如,一种方法执 行簇分析,以提供虚拟角色的紧致集,使得当用户正与面试模块交互时,每个实际上使用的 职务与许可集合的映射可被呈现给用户。层次管理器可向扁平化器提供层次(例如,层次 示图),分簇引擎可使用扁平化器的结果来对许可集合进行分簇,并且通过许可分派引擎将 被分簇的许可集合映射到职责或虚拟角色。被分簇的许可集合可被存储在任何存储位置中 (例如,许可簇数据库中)。另外,具有被分簇的许可集合帮助简档验证器授权将一个或多 个特定许可集合(例如,许可簇)记录在雇员的简档记录中的操作。
[0022] -旦简档记录得到验证,它就可被存储在人员记录数据库中,可使用任何本领域 已知的技术(可以使用安全引擎)来形成可在企业软件应用环境的上下文中使用的验证 表。例如,可使用特定雇员的身份来检索简档记录,该简档记录包括授予特定雇员的许可集 合。可实时使用简档记录和/或任何形式的导出的验证表。另外,严格意义上,作为示例,在 执行关于特定职责的操作的过程期间,可检索对特定雇员的许可的授权,并且将它与执行 该特定职责所需的许可进行匹配,并且如果所需的许可没有被授予,则拒绝执行操作(或 者,相反地,如果所需的许可被授予特定雇员,则允许执行操作)。
[0023] 多个角色可按角色层次进行布置。例如,角色层次可由角色(命名角色和/或虚拟 角色)构成,其中,角色层次的叶子是许可。这个层次描述可提供方便和容易的理解,因为 在角色层次的上层,角色有可能对应于职务(但这种可能性只是一种可能而非必要条件)。 在角色层次的下层,角色有可能对应于关于职务描述(例如,职责)的行。
[0024] 可采用在通过分析许可簇发现向职务授予许可和授权的最佳角色之后分派许可 集合的系统。该系统可被分割使得一些步骤实现扁平化器的功能,和/或可被分割使得一 些步骤实现分簇引擎的功能,和/或可被分割使得一些步骤实现许可分派引擎的功能。这 些步骤开始于读取层次(例如,层次示图),然后将层次扁平化以识别许可全域,其中,在全 域中映射到任何职责或职务的每个许可出现至少一次。然后,因具有许可全域,操作可使用 任何已知的技术来穷尽地列举所有可能