一种统一用户权限管理平台及运行方法与流程

本发明涉及权限管理领域，尤其涉及一种统一用户权限管理平台及运行方法。

背景技术：

随着企业信息水平的不断进步，企业新增了需要应用系统，也随之出现了用户统一管理的相关问题。由于各应用系统独立分散，架构标准不一，造成重复开发且难以集中安全管控的问题。

而且各系统需要分别申请过程繁琐，手动创建账号及分配，运营效率有待提升；

存在遗留、僵尸账号、权限过剩及安全隐患；

无法满足用户账号授权审批记录、用户访问行为的合规及审计要求。

技术实现要素：

为了解决上述技术问题，本发明的目的在于提供一种统一用户权限管理平台及运行方法。

根据本发明的一个方面，提供了一种统一用户权限管理平台的运行方法，包括以下步骤：

所述管理平台建立用户信息库；

所述管理平台与多个应用系统关联，设置用户在各应用系统的角色，形成该用户的角色集合；

根据该用户在各应用系统的角色定义相应的权限，将该用户的各个角色对应的权限合并为该用户的权限集合，建立用户、角色、权限的关联关系；

将该用户在各应用系统的权限与用户的岗位/职位进行关联；

当前用户通过管理平台发出登录请求，访问与之关联的应用系统，依用户的权限在应用系统进行操作。

进一步的，管理平台关联人员主数据库，该人员主数据库关联用户数据库。

用户信息库是平台运作时访问的数据库；而人员主数据是用户信息库的输入，其来自公司内部的人事管理系统。

进一步的，人员主数据库包括用户身份识别信息、岗位信息、工作网点信息、员工离职信息。

进一步的，所述管理平台与多个应用系统关联，包括：

多个应用系统在管理平台共享一个身份认证系统；

身份认证系统将用户的登录信息和用户信息库相比较，对用户进行登录认证；

用户登录成功后，对各关联应用系统进行访问。

进一步的，登录信息包括用户工号、密码。

进一步的，将该用户在各应用系统的权限与用户的岗位/职位进行关联，包括：

与用户岗位/职位相应的权限，管理平台自动授权给用户；

与用户的岗位/职位不对应的权限，经申请后，管理平台授权给用户；

岗位/职位变化后，管理平台自动调整用户权限；

离职后，用户的权限收回。

进一步的，与用户岗位/职位相应的权限，管理平台自动授权给用户，包括：

管理平台根据用户信息库获取用户的岗位/职位；

将用户的岗位/职位与相应的授权规则匹配，进行赋权运算；

根据运算结果更新权限数据表；

管理平台自动赋权，用户获取相应的权限。

具体为：

新员工入职时，更新人员主数据库的人员主数据；

管理平台每日获取人员主数据的增量记录，并将其维护到平台的用户信息库中，包括了该用户唯一的工号(既账号)及岗位编码；

管理平台根据授权规则，按照岗位给对应的工号进行授权操作(更新平台的权限记录)，并将开通的操作指令推给接入的系统；

接入系统获得操作指令后，完成授权操作，权限生效。

进一步的，与用户的岗位/职位不对应的权限，经申请后，管理平台授权给用户，包括：

用户自行申请权限；

审批通过后，管理平台授权给用户。

进一步的，用户自行申请权限；审批通过后，管理平台授权给用户，包括：

用户通过申请系统提交申请访问的应用系统及申请获取的相应权限；

用户直属上级及该类权限审批人审批通过后，申请系统将上述申请信息推送至管理平台；

管理平台根据授权规则，运算权限信息并更新权限表；

管理平台赋权，用户获取相应的权限。

进一步的，与用户的岗位/职位不对应的权限，经申请后，管理平台授权给用户，包括：

他人代用户申请权限；

审批通过后，管理平台授权给用户。

进一步的，他人代用户申请权限；审批通过后，管理平台授权给用户，包括：

用户确定申请访问的应用系统及申请获取的相应权限；

由自行申请权限、他人申请权限的审批人通过申请系统提交上述申请；

用户直属上级及自行申请权限、他人申请权限的审批人审批通过后，申请系统将上述申请信息推送至管理平台；

管理平台根据授权规则，运算权限信息并更新权限表；

管理平台赋权，用户获取相应的权限。

进一步的，离职后，用户的权限收回，包括：

管理平台通过人员主数据库获取用户离职信息；

识别离职用户工号；

收回用户的权限。

用户离职后，更新人员主数据的员工状态，标记员工离职信息为离职，平台每日获取人员主数据增量部分的记录，识别为离职的用户账号(用户工号)，对其权限记录进行删除操作(更新平台的权限记录)，并将删除操作的指令推给接入的各系统。

接入的各系统获取指令执行删除操作，用户权限失效。

进一步的，管理平台关联下游系统。

进一步的，管理平台关联下游系统包括：

用户发出登录请求，经管理平台验证且通过后，用户登入下游系统；和/或，

用户的更新权限数据表同步更新至下游系统。

进一步的，所述的统一用户权限管理平台的运行方法，还包括记录日志。

进一步的，所述的统一用户权限管理平台的运行方法，还包括提供用户权限管理报表。

根据本发明的另一个方面，提供了一种统一用户权限管理平台，包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行：

建立用户信息库；

与多个应用系统关联，设置用户在各应用系统的角色，形成该用户的角色集合；

根据该用户在各应用系统的角色定义相应的权限，将该用户的各个角色对应的权限合并为该用户的权限集合，建立用户、角色、权限的关联关系；

将该用户在各应用系统的权限与用户的岗位/职位进行关联；

当前用户发出登录请求，访问与之关联的应用系统，依用户的权限在应用系统进行操作。

与现有技术相比，本发明具有以下有益效果：

1、本发明示例的统一用户权限管理平台的运行方法，建立用户、角色、权限的关联关系；将用户在各应用系统的权限与该用户的岗位/职位进行关联，避免权限过剩，与用户岗位/职位相应的权限，管理平台自动授权给用户；与用户的岗位/职位不对应的权限，经申请后，管理平台授权给用户；岗位/职位变化后，管理平台自动调整用户权限，无需人工干预，改变了原通过线上、线下等进行权限申请与审批的方式，在集中的授权与访问管理平台进行权限申请与审批，使申请渠道统一化，改变了原由管理员在各个应用系统创建用户与分配权限的方式，离职后，用户权限收回，用户账号及时禁用，规避风险，使风险最小化，避免遗留、僵尸账号及安全隐患；用户通过管理平台发出登录请求，访问与之关联的应用系统，依用户的权限在应用系统进行操作，实现全部应用的单点登录，避免了原各系统需要分别申请过程繁琐，手动创建账号及分配，运营效率低的弊端，有效提高了应用系统的安全性和用户使用的方便性。

2、本发明示例的统一用户权限管理平台的运行方法，建立授权规则、日志，授权记录、权限明细可查，对用户权限进行了划分，低风险权限无需申请，员工入职自动配置，自动授权，高风险权限需要申请授权，对权限获取方式进行区分对待，大大提高了该管理平台的安全性，用户权限管理合规，满足合规审计要求，提升内部风险防范水平。

3.本发明示例的统一用户权限管理平台，通过存储有计算机程序的计算机可读介质,所述程序被运行用于建立用户、角色、权限的关联关系；将用户在各应用系统的权限与该用户的岗位/职位进行关联，岗位/职位变化后，管理平台自动调整用户权限，无需人工干预，离职后，用户权限收回，用户账号及时禁用，有效提高其安全性和方便性。

附图说明

图1为本发明实施例一的流程图；

图2为本发明实施例一管理平台授权流程图；

图3为本发明实施例一统一用户权限管理平台的逻辑结构。

具体实施方式

为了更好的了解本发明的技术方案，下面结合具体实施例、说明书附图对本发明作进一步说明。

实施例一：

如图1所示，本实施的统一用户权限管理平台的运行方法，包括以下步骤：

s1、所述管理平台建立用户信息库，管理平台关联人员主数据库，该人员主数据库关联用户数据库，其中，人员主数据库包括用户身份识别信息、岗位信息、工作网点信息、员工离职信息、组织信息，用户身份识别信息包括工号、姓名，组织信息包括组织代码、组织名称，岗位信息包括职位id、职位名称、岗位id、岗位名称、员工类型、职位属性，工作网点信息包括所属网点，员工离职信息包括员工状态、离职日期。管理平台建立以hr为权威数据源的人员主数据，对不同维度的用户，包括自有用户、外部用户、人力外包等，实现实名制的全生命周期管理。通过sap、pmp、hos软件管理人员主数据。用户信息库是平台运作时访问的数据库；而人员主数据是用户信息库的输入，其来自公司内部的人事管理系统。

s2、所述管理平台与多个应用系统关联，设置用户在各应用系统的角色，形成该用户的角色集合，并提供基于角色的权限管理机制(rbac)，

具体包括：

s21、多个应用系统在管理平台共享一个身份认证系统；

s22、身份认证系统将用户的登录信息和用户信息库相比较，对用户进行登录认证；

s23、用户登录成功后，对各关联应用系统进行访问。

登录信息包括用户工号、密码。

s3、根据该用户在各应用系统的角色定义相应的权限，将该用户的各个角色对应的权限合并为该用户的权限集合，建立用户、角色、权限的关联关系，rbac是实施面向企业安全策略的一种有效的访问控制方式。rbac的基本思想为：对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限，一旦用户被分配了适当的角色后，该用户就拥有所述角色的所有操作权限。

s4、将该用户在各应用系统的权限与用户的岗位/职位进行关联及对用户的权限进行划分，岗位/职位变化后，管理平台自动调整用户权限，离职后，用户权限收回，用户离职时，账号会被自动禁用，同时所有的权限被自动回收。

具体包括：

s41、管理平台建立授权规则；

s42、基于用户的岗位/职位通过该授权规则，将用户的岗位/职位与相应权限进行关联；

s43、根据授权规则对用户的权限进行划分，

将用户的岗位与系统的权限进行关联和分级管理：所有权限都以用户工号、密码作为登录凭证，基于职位与授权规则相关联。

该过程具体包括：

s431、管理平台获取用户的岗位/职位；

s432、若管理平台根据授权规则自动赋权的，则为自动授权权限，否则则为申请权限，申请权限包括自行申请权限、他人申请权限。当用户职位变动时，旧权限会自动被回收，新岗位对应的自动授权权限自动开通；

自行申请权限、他人申请权限则需要通过ecp流程申请。

管理平台关联下游系统，具体包括：

(1)用户发出登录请求，经管理平台验证且通过后，用户登入下游系统；和/或，

(2)用户的更新权限数据表同步更新至下游系统。

自动授权权限的开通，包括：

当用户入职时，管理平台同步人员主数据信息后，根据其“职位名称”、“所属网点”，匹配到权限规则后开始进行赋权运算，更新权限数据表；下游系统同步管理平台更新后的权限数据表，该用户即获得相应系统的权限。

即，新员工入职时，更新人员主数据库的人员主数据；

管理平台每日获取人员主数据的增量记录，并将其维护到平台的用户信息库中，包括了该用户唯一的工号(既账号)及岗位编码；

管理平台根据授权规则，按照岗位给对应的工号进行授权操作(更新平台的权限记录)，并将开通的操作指令推给接入的系统；

接入系统获得操作指令后，完成授权操作，权限生效。

其中，自行申请权限的开通，包括：

(1)用户通过申请系统提交申请访问的应用系统及申请获取的相应权限；

(2)用户直属上级及该类权限审批人审批通过后，申请系统将上述申请信息推送至管理平台；

(3)管理平台根据授权规则，运算权限信息并更新权限表；

(4)管理平台赋权，用户获取相应的权限。

具体为：

(1)用户自己提交自行申请权限的ecp申请流程，先选择所需要的系统，再选择“功能权限”、“数据权限”提交申请。

(2)自行申请权限类的ecp流程流转到用户直属上级审批，之后到自行申请权限类权限审批人审批。

(3)当ecp流程审批通过，ecp会根据申请内容推送相应的权限信息到管理平台。

(4)管理平台接收到来自ecp的信息后，根据各系统事先定义好的授权规则，运算权限信息并更新权限表。

(5)下游系统定期同步管理平台的数据，将新增的用户和权限数据同步至下游系统。

(6)用户访问下游系统时，先会跳转到管平台的单点登录界面。

(7)通过单点登录认证后成功进入系统。

他人申请权限的开通，包括：

(1)用户选择所需要的系统，再选择“功能权限”、“数据权限”提交申请。由自行申请权限类、他人申请权限类审批人代为提交申请。

(2)他人申请权限类的ecp流程先流转到使用人直属上级，再到自行申请权限类审批人，最后到他人申请权限类类审批人。

(3)当ecp流程审批通过，ecp会根据申请内容推送相应的权限信息到管理平台。

(4)管理平台接收到来自ecp的信息后，根据各系统事先定义好的授权规则，运算权限信息并更新权限表。

(5)下游系统定期同步管理平台的数据，将新增的用户和权限数据同步至下游系统。

(6)用户访问下游系统时，先会跳转到管理平台的单点登录界面。

(7)通过单点登录认证后成功进入系统。

上述用户的更新权限数据表同步更新至下游系统，该下游系统与管理平台关联，下游系统通过管理平台进入应用系统。

用户确定申请访问的应用系统及申请获取的相应权限；

由自行申请权限、他人申请权限的审批人通过申请系统提交上述申请；

用户直属上级及自行申请权限、他人申请权限的审批人审批通过后，申请系统将上述申请信息推送至管理平台；

管理平台根据授权规则，运算权限信息并更新权限表；

管理平台赋权，用户获取相应的权限，

三级权限的授权规则为：

(1)自动授权权限为开展岗位/职位职责内的工作所需；

申请方式：(合规)无需申请，入职后自动开通。

(2)自行申请权限为在满足内控要求的前提下，因特殊工作安排所需；

申请方式：(受限)用户通过it007自行申请。

(3)他人申请权限为存在较大风险的权限，非自动授权权限、自行申请权限。

申请方式：(严控)需要由地区或总部的系统管理人员代用户申请，用户无法自行申请。

不同岗位/职位的用户可通过不同的方式获得相应的功能权限和数据权限，如表1所示：

表1：用户授权规则

上述授权过程记录在日志中，该日志数据可以输出。授权记录、权限明细可查；自动标识高风险权限，自动标识违规权限记录。

离职后，用户的权限收回，包括：

管理平台通过人员主数据库获取用户离职信息；

识别离职用户工号；

收回用户的权限。

用户离职后，更新人员主数据的员工状态，标记员工离职信息为离职，平台每日获取人员主数据增量部分的记录，识别为离职的用户账号(用户工号)，对其权限记录进行删除操作(更新平台的权限记录)，并将删除操作的指令推给接入的各系统。

接入的各系统获取指令执行删除操作，用户权限失效。

s5、当前用户通过管理平台发出登录请求，访问与之关联的应用系统，依用户的权限在应用系统进行操作。

所述的统一用户权限管理平台的运行方法，还包括提供用户权限管理报表。管理平台内嵌审计视图功能，可以提供用户权限管理报表，满足企业内外部合规审计需求。

本实施通过规划方案设计，重新搭建完整身份安全管理平台：统一用户权限管理平台，实现内部账号单点登录。

本实施的统一用户权限管理平台，包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行：

建立用户信息库；

与多个应用系统关联，设置用户在各应用系统的角色，形成该用户的角色集合；

根据该用户在各应用系统的角色定义相应的权限，将该用户的各个角色对应的权限合并为该用户的权限集合，建立用户、角色、权限的关联关系；

将该用户在各应用系统的权限与用户的岗位/职位进行关联，岗位/职位变化后，管理平台自动调整用户权限；

当前用户发出登录请求，访问与之关联的应用系统，依用户的权限在应用系统进行操作。

该管理平台的逻辑结构包括用户权限管理、用户登录信息管理、授权规则管理、人员主数据，人员主数据关联用户登录信息管理，用户权限管理、用户登录信息管理关联，用户登录信息管理、授权规则管理相关联，授权规则管理分别与oa审批流程(ecp审批)、权限自动运算引擎关联，用户经oa系统web进入oa审批流程，用户登录信息管理与统一认证源(身份认证系统)关联，权限自动运算引擎运算后，更新权限表，将该增量授权数据同步至各类接入系统(下游系统、应用系统)，各类接入系统的全量权限数据传至管理平台，管理平台还可以输出日志数据、输出审计报表。

实施例二

本实施例与实施例一相同的特征不再赘述，本实施例与实施例一不同的特征在于：

不同岗位/职位的用户可通过不同的方式获得相应的功能权限和数据权限，如表2所示：

表2：用户授权规则

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能。