本发明涉及erp等管理软件系统,特别是涉及一种系统中用户在信息交流单元的权限的设置方法。
背景技术
基于角色的访问控制(rbac)是近年来研究最多、思想最成熟的一种数据库权限管理机制,它被认为是替代传统的强制访问控制(mac)和自主访问控制(dac)的理想候选。基于角色的访问控制(rbac)的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色,将数据库资源的访问权限封装在角色中,用户通过被赋予不同的角色来间接访问数据库资源。
在大型应用系统中往往都建有大量的表和视图,这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库资源的存取和权限的收授是十分困难的,它需要用户对数据库结构的了解非常透彻,并且熟悉sql语言的使用,而且一旦应用系统结构或安全需求有所变动,都要进行大量复杂而繁琐的授权变动,非常容易出现一些意想不到的授权失误而引起的安全漏洞。因此,为大型应用系统设计一种简单、高效的权限管理方法已成为系统和系统用户的普遍需求。
基于角色的权限控制机制能够对系统的访问权限进行简单、高效的管理,极大地降低了系统权限管理的负担和代价,而且使得系统权限管理更加符合应用系统的业务管理规范。
然而,传统基于角色的用户权限管理方法均采用“角色对用户一对多”的关联机制,其“角色”为组/类性质,即一个角色可以同时对应/关联多个用户,角色类似于岗位/职位/工种等概念,这种关联机制下对用户权限的授权基本分为以下三种形式:1、如图1所示,直接对用户授权,缺点是工作量大、操作频繁且麻烦;2、如图2所示,对角色(类/组/岗位/工种性质)进行授权(一个角色可以关联多个用户),用户通过角色获得权限;3、如图3所示,以上两种方式结合。
以上的表述中,2、3均需要对类/组性质的角色进行授权,而通过类/组/岗位/工种性质的角色进行授权的方式有以下缺点:1、用户权限变化时的操作难:在实际的系统使用过程中,经常因为在运营过程中需要对用户的权限进行调整,比如:在处理员工权限变化的时候,角色关联的某个员工的权限发生变化,我们不能因该个别员工权限的变化而改变整个角色的权限,因为该角色还关联了其他权限未变的员工。因此为了应对该种情况,要么创建新角色来满足该权限发生变化的员工,要么对该员工根据权限需求直接授权(脱离角色)。以上两种处理方式,在角色权限较多的情况下对角色授权不仅所需时间长,而且容易犯错,使用方操作起来繁琐又麻烦,也容易出错导致对系统使用方的损失。
2、要长期记住角色包含的具体权限难:若角色的权限功能点比较多,时间一长,很难记住角色的具体权限,更难记住权限相近的角色之间的权限差别,若要关联新的用户,无法准确判断应当如何选择关联。
3、因为用户权限变化,则会造成角色创建越来越多(若不创建新角色,则会大幅增加直接对用户的授权),更难分清各角色权限的具体差别。
4、调岗时,若要将被调岗用户的很多个权限分配给另外几个用户承担,则处理时必须将被调岗用户的这些权限区分开来,分别再创建角色来关联另外几个用户,这样的操作不仅复杂耗时,而且还很容易发生错误。
在现有管理软件的信息交流单元(如知识库)中,设置有多个版块,每个版块涉及不同领域或不同部门信息,如果不能对系统中用户在信息交流单元的信息版块中的权限进行及时有效地管理,则容易导致系统的信息交流单元的信息版块无法正常有效的运行。现有的权限设置方式包括以下几种:第一,直接对用户进行权限设置。若采用直接对用户进行权限设置的方式,在用户的工作内容、岗位等发生变化时,如不能及时更改其在信息交流单元的信息版块中的权限会导致信息泄露。例如,在知识库单元中设有研发资料版块、销售资料版块和财务资料版块等,如果财务部的员工甲能够下载财务资料版块中的资料,若员工甲由财务部调岗至销售部后,如果不及时将员工甲在知识库单元中的权限进行修改,则会使得员工甲在调岗至销售部后仍然能够下载财务资料版块中的资料,而且还能够对财务资料版块后续增加的资料进行操作,从而造成财务资料的泄露;而且还导致员工甲不能下载销售资料版块中的资料,影响其正常工作。
但在实际中,一个系统可能会有很多用户,经常有用户的工作内容和岗位发生变化,很难保证全部及时修改这些用户在信息交流单元的信息版块中的权限,导致存在信息泄露的隐患;而且,每次用户的工作内容、岗位等发生变化都需要重新为该用户进行信息交流单元的信息版块的权限设置,导致权限设置的工作量巨大。
第二,以工种进行权限设置。采用以工种进行权限设置的方式同样容易导致信息泄露。例如,一个信息交流单元中有飞机事业部销售版块和家具事业部销售版块,若以销售工种来进行权限设置(以上两个版块设置为销售工种都能够查看),则会出现家具事业部的销售员可以查看飞机事业部销售版块的信息,从而导致信息泄露。
第三,以部门进行权限设置。采用以部门进行权限设置的方式同样容易导致信息泄露。例如,各部门可能存在多个工种,如销售部有销售工程师、协助销售工程师准备资料的文员等,生产部有组装工人、测试工人等,若以部门进行权限设置,则会导致不同工种的人员在信息交流单元中的权限一致,很容易导致信息泄露;又如,一个部门有职员、主管等,无法实现只让主管参与信息交流单元中的一个版块。
此外,现有的一些信息交流单元中并未进行进一步的版块划分,导致有权进入信息交流单元的人员能够对信息交流单元中的信息进行查看等操作,很容易造成信息的泄露。例如,一个销售人员能够查看信息交流单元中与自己工作内容无关的研发信息等,从而造成研发信息的泄露。
设置管理人员:若直接设置为人:现在张三从事的是销售管理工种,并负责了销售版块的管理,现在张三调去做生产去了,应该让另外一人来接替张三对该销售版块的管理;若未及时设置,则张三不仅能够看到公司后续的销售或市场信息资料,而且还能下载/修改/删除这些资料,会造成公司信息泄密损失;另外一方面,若该版块的版主需要审核上传的资料,因为张三都调离该岗位,知道自己不再负责该岗位,则没有必要再审核现在待审核的资料,则提交的待审核资料不能及时审核,即使新任版主的人在以后接手了该版块的工作也无法审核此前上传的待审核资料,因为该任务在张三那里去了。
技术实现要素:
本发明的目的在于克服现有技术的不足,提供一种系统中用户在信息交流单元的权限的设置方法,在员工的工作内容变化、岗位调动时,无需单独为员工在信息交流单元的信息版块中的权限进行设置。
本发明的目的是通过以下技术方案来实现的:
系统中用户在信息交流单元的权限的设置方法,包括:
(1)为信息交流单元设置一个或多个信息版块;
(2)分别为各信息版块设置参与角色,所述参与角色包括系统中的一个或多个角色,设置参与角色中的每个角色在该信息版块中的权限,每个角色是独立的个体,而非组/类,同一时段一个角色只能关联唯一的用户,而一个用户关联一个或多个角色;
(3)为系统中的用户和角色建立关联关系。
步骤(1)和步骤(2)顺序执行,步骤(3)可以在步骤(1)之前,或在步骤(1)之后、步骤(2)之前,或在步骤(2)之后执行。
优选的,所述角色在信息版块中的权限包括参与权限和/或管理权限。
优选的,所述参与权限包括查看资料(内容/信息)、上传资料(内容/信息)、下载资料(内容/信息)和资料(内容/信息)评价中的一种或多种。
优选的,所述管理权限包括查看资料(内容/信息)、上传资料(内容/信息)、修改资料(内容/信息)、下载资料(内容/信息)、资料(内容/信息)评价、封存资料(内容/信息)、解封资料(内容/信息)、资料(内容/信息)审核和删除资料(内容/信息)评价中的一种或多种。
优选的,所述管理权限包括至少一个层级。
优选的,在角色创建时或角色创建后为该角色选择一个部门,则该角色归属于该部门,根据角色的工作内容对角色进行授权,且该角色的名称在该部门下唯一,该角色的编号在系统中唯一。
优选的,所述用户调岗时,取消用户与原岗位对应角色的关联,将用户与新岗位对应角色进行关联。
优选的,一个员工对应一个用户,一个用户对应一个员工,员工通过其对应的用户关联的角色确定(获得)其在信息交流单元的权限;所述员工离职后冻结该员工对应的用户,当该员工再次入职后,解冻该员工此前的用户作为该员工当前的用户。用户在被冻结期间不能作为员工的对应用户。
优选的,在被授予管理权限的角色关联的用户对应的员工进行资料审核时,在指定时间内,资料通过率=已给出审核结果且审核结果为通过的人数/已给出审核结果的总人数。以上表述中的审核方式也可以为审批方式。
系统中用户在信息交流单元的权限的设置方法,包括:为信息交流单元设置一个或多个信息版块;设置系统中的角色在各信息版块的权限,每个角色是独立的个体,而非组/类,同一时段一个角色只能关联唯一的用户,而一个用户关联一个或多个角色;为系统中的用户和角色建立关联关系。
本发明的有益效果是:(1)本发明通过角色对用户在信息交流单元的信息版块的权限进行设置,在用户调岗时,取消用户与原岗位对应角色的关联,将用户与新岗位对应角色进行关联,在进行用户工作权限的更改的同时实现了用户在信息交流单元的信息版块的权限更改,无需再单独为用户更改在信息交流单元的信息版块的权限,不仅保证了用户在信息交流单元的信息版块的权限的及时更新,而且大大减少了对用户在信息交流单元的信息版块的权限进行设置的工作量。
例如,员工甲的工作内容包括产品开发和产品销售;角色1的工作内容为产品开发,角色1具有在研发资料版块查看资料、下载资料和上传资料的权限;角色2的工作内容为产品销售,角色2具有在销售资料版块查看资料、下载资料和上传资料的权限;角色3的工作内容为产品生产,角色3具有在产品生产资料版块查看资料、下载资料和上传资料的权限;只需要将角色1和角色2关联给员工甲对应的用户,则不仅实现员工甲的工作内容的授权,而且使得员工甲在研发资料版块和销售资料版块具有查看资料、下载资料和上传资料的权限。若员工甲的工作内容调整为只有产品开发,只需要取消员工甲对应用户和角色2之间的关联即可,同时实现员工甲的工作内容和在信息交流单元的信息版块中的权限调整;若员工甲调整为产品生产,则只需要取消员工甲对应用户和角色1、角色2之间的关联,并将为员工甲对应的用户关联角色3,同时实现员工甲的工作内容和在信息交流单元的信息版块中的权限调整。
(2)本发明中信息交流单元设有多个信息版块,分别设置角色在每个信息版块的权限,从而对每个信息版块的参与角色进行限制,进而实现用户在每个信息版块的参与权限的限制,保证每个信息版块内的信息不外泄给无关人员。
(3)传统的权限管理机制将角色定义为组、工种、类等性质,角色对用户是一对多的关系,在实际的系统使用过程中,经常因为在运营过程中需要对用户的权限进行调整,比如:在处理员工权限变化的时候,角色关联的某个员工的权限发生变化,我们不能因该个别员工权限的变化而改变整个角色的权限,因为该角色还关联了其他权限未变的员工。因此为了应对该种情况,要么创建新角色来满足该权限发生变化的员工,要么对该员工根据权限需求直接授权(脱离角色)。以上两种处理方式,在角色权限较多的情况下对角色授权不仅所需时间长,而且容易犯错,使用方操作起来繁琐又麻烦,也容易出错导致对系统使用方的损失。
但在本申请的方法下,因为角色是一个独立的个体,则可以选择改变角色权限即可达到目的。本申请的方法,虽然看起来在系统初始化时会增加工作量,但可以通过复制等方法,使其创建角色或授权的效率高于传统以组为性质的角色,因为不用考虑性质为组的角色在满足关联用户时的共通性,本申请方案会让权限设置清晰,明了;尤其是在系统使用一段时间后(用户/角色权限动态变化),该申请方案能为系统使用方大幅度提高系统使用中的权限管理效率,使动态授权更简单,更方便,更清晰、明了,提高权限设置的效率和可靠性。
(4)传统以组为性质的角色授权方法容易出错,本申请方法大幅降低了授权出错的几率,因为本申请方法只需考虑作为独立个体的角色,而不用考虑传统方法下关联该组性质角色的多个用户有哪些共通性。即使授权出错也只影响关联到该角色的那一个用户,而传统以组性质的角色则会影响关联到该角色的所有用户。即使出现权限授权错误,本申请的修正方法简单、时间短,而传统以组性质的角色在修正错误时需要考虑关联到该角色的所有用户的权限共通性,在功能点多的情况下不仅修改麻烦、复杂,非常容易出错,且很多情况下只能新创建角色才能解决。
(5)在传统以组为性质的角色授权方法下,若角色的权限功能点比较多,时间一长,很难记住角色的具体权限,更难记住权限相近的角色之间的权限差别,若要关联新的用户,无法准确判断应当如何选择关联。本申请方法的角色本身就具有岗位号/工位号的性质,选择一目了然。
(6)调岗时,若要将被调岗用户的很多个权限分配给另外几个用户承担,则处理时必须将被调岗用户的这些权限区分开来,分别再创建角色来关联另外几个用户,这样的操作不仅复杂耗时,而且还很容易发生错误。
本申请方法则为:被调岗用户关联了几个角色,在调岗时,首先取消用户与原部门内的角色的关联(被取消的这几个角色可以被重新关联给其他用户),然后将用户与新部门内的角色进行关联即可。操作简单,不会出错。
(7)创建角色时或角色创建后,需要选定一个部门,则在该角色归属于该部门后,部门不能被更换,角色为什么不能更换部门:理由1:因为本申请的角色性质等同于一个工位号/岗位号,不同的工位号/岗位号的工作内容/权限是不一样的,如销售部门下的销售员1角色和技术部门的开发人员1角色是完全不同的两个工位号/岗位号,其权限是不同的;理由2:若将销售员1角色的所属部门(销售部)更换为技术部,其销售人员1这个角色的权限不变,则在技术部存在拥有销售部权限的一个角色,这样会导致管理混乱及安全漏洞。
附图说明
图1为背景技术中系统直接对用户进行授权的方式示意图;
图2为背景技术中系统对组/类性质角色进行授权的方式示意图;
图3为背景技术中系统对用户直接授权和对组/类性质角色授权相结合的方式示意图;
图4为本发明的一个实施例的流程图;
图5为本发明系统通过独立个体性质角色对用户进行授权的方式示意图;
图6为本发明的又一个实施例的流程图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
【实施例一】如图4所示,系统中用户在信息交流单元的权限的设置方法,包括:为信息交流单元设置多个信息版块(或信息类别);例如,一个知识库中设置有电学版块、机械版块、化工版块、财务版块、管理版块等。
分别为各信息版块设置参与角色,所述参与角色包括系统中的一个或多个角色,设置参与角色中的每个角色在该信息版块中的权限,每个角色是独立的个体,而非组/类,同一时段一个角色只能关联唯一的用户,而一个用户关联一个或多个角色。即,对于每个信息版块,从系统的角色中选择一个或多个角色作为该信息版块的参与角色,并对该信息版块的参与角色中的每个角色在该信息版块中的权限进行设置。
如图5所示,所述角色是独立的个体,而非组/类,同一时段一个角色只能关联唯一的用户,而一个用户关联一个或多个角色。在角色创建时或角色创建后为该角色选择一个部门,则该角色归属于该部门,根据角色的工作内容对角色进行授权,且该角色的名称在该部门下唯一,该角色的编号在系统中唯一。
角色的定义:角色不具有组/类/类别/岗位/职位/工种等性质,而是一个非集合的性质,角色具有唯一性,角色是独立存在的独立个体;在企事业单位应用中相当于岗位号(此处的岗位号非岗位,一个岗位同时可能有多个员工,而同一时段一个岗位号只能对应一个员工)。
举例:某个公司系统中可创建如下角色:总经理、副总经理1、副总经理2、北京销售一部经理、北京销售二部经理、北京销售三部经理、上海销售工程师1、上海销售工程师2、上海销售工程师3、上海销售工程师4、上海销售工程师5……用户与角色的关联关系:若该公司员工张三任职该公司副总经理2,同时任职北京销售一部经理,则张三需要关联的角色为副总经理2和北京销售一部经理,张三拥有了这两个角色的权限。
传统角色的概念是组/类/岗位/职位/工种性质,一个角色能够对应多个用户。而本申请“角色”的概念相当于岗位号/工位号,也类同于影视剧中的角色:一个角色在同一时段(童年、少年、中年……)只能由一个演员来饰演,而一个演员可能会分饰多角。
所述用户调岗时,取消用户与原岗位对应角色的关联,将用户与新岗位对应角色进行关联。在创建角色之后,可以在创建用户的过程中关联角色,也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系,也可以随时建立与其他角色的关联关系。
所述角色在信息版块中的权限包括参与权限和/或管理权限,从而能够将信息版块的使用用户分为信息交流单元的信息版块中的参与者和管理者,为参与者和管理授予不同的权限(为参与者授予参与权限,为管理者授予管理权限),有利于维持信息交流单元的信息版块的正常运作。
所述参与权限包括查看资料、上传资料、下载资料和资料评价等中的一种或多种。进一步,参与权限至少包括查看资料的权限。
所述管理权限包括查看资料、上传资料、修改资料、下载资料、资料评价、封存资料、解封资料、资料审核和删除资料评价等中的一种或多种。
一个员工对应一个用户,一个用户对应一个员工,员工通过其对应的用户关联的角色确定(获得)权限。
所述管理权限包括至少一个层级。例如,管理权限包括两个层级,一个层级是普通管理权限,另一个层级是特殊管理权限,其中普通管理权限对应的员工进行相应信息版块的管理(如资料审核等),特殊管理权限对应的员工监督普通管理权限对应的员工对相应信息版块的管理质量。
在被授予管理权限的角色对应的员工进行资料审核时(例如在对上传资料进行审核时),在指定时间内(指定时间段的设置可以自己定义),资料通过率=已给出审核结果且审核结果为通过的人数/已给出审核结果的总人数。当资料通过率大于和/或等于设定值时,则审核通过,否则审核不通过,大大缩短了资料审核的周期。
进一步的,普通管理权限的权限内容包括查看资料,以及资料审核、删除资料和删除资料评价中的一种或多种,以及上传资料、下载资料和资料评价中的一种或多种;特殊管理权限包括查看资料、封存资料和解封资料,以及上传资料、下载资料、资料评价、资料审核、删除资料和删除资料评价中的一种或多种。其中封存资料是将资料(包括对资料的评价等相关信息)进行隐藏,资料封存后只有特殊管理权限对应的员工能够进行查看等操作,普通管理权限和参与权限对应的员工无法查看封存的资料。解封资料则是将封存的资料重新显示出来,解封后资料恢复到封存前的最后状态。
为系统中的用户和角色建立关联关系。
【实施例二】如图6所示,系统中用户在信息交流单元的权限的设置方法,包括:为信息交流单元设置多个信息版块(或信息类别);例如,一个知识库中设置有电学版块、机械版块、化工版块、财务版块、管理版块等。
设置系统中的角色在各信息版块的权限,每个角色是独立的个体,而非组/类,同一时段一个角色只能关联唯一的用户,而一个用户关联一个或多个角色。
所述角色是独立的个体,而非组/类,同一时段一个角色只能关联唯一的用户,而一个用户关联一个或多个角色。在角色创建时或角色创建后为该角色选择一个部门,则该角色归属于该部门,根据角色的工作内容对角色进行授权,且该角色的名称在该部门下唯一,该角色的编号在系统中唯一。
所述用户调岗时,取消用户与原岗位对应角色的关联,将用户与新岗位对应角色进行关联。在创建角色之后,可以在创建用户的过程中关联角色,也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系,也可以随时建立与其他角色的关联关系。
所述角色在信息版块中的权限包括参与权限和/或管理权限,从而能够将信息版块的使用用户分为信息交流单元的信息版块中的参与者和管理者,为参与者和管理授予不同/相应的权限(为参与者授予参与权限,为管理者授予管理权限),有利于维持信息交流单元的信息版块的正常运作。
所述参与权限包括查看资料、上传资料、下载资料和资料评价中的一种或多种。进一步,参与权限至少包括查看资料的权限。
所述管理权限包括查看资料、上传资料、修改资料、下载资料、资料评价、封存资料、解封资料、资料审核和删除资料评价中的一种或多种。
一个员工对应一个用户,一个用户对应一个员工,员工通过其对应的用户关联的角色确定(获得)权限。
所述管理权限包括至少一个层级。例如,管理权限包括两个层级,一个层级是普通管理权限,另一个层级是特殊管理权限,其中普通管理权限对应的员工进行相应信息版块的管理,特殊管理权限对应的员工监督普通管理权限对应的员工对相应信息版块的管理质量。
普通管理权限的权限内容包括查看资料、上传资料、下载资料、资料评价、资料审核、删除资料和删除资料评价中的一种或多种;特殊管理权限包括查看资料、上传资料、下载资料、资料评价、封存资料、解封资料、资料审核、删除资料和删除资料评价中的一种或多种。其中封存资料是将资料进行隐藏,资料封存后只有特殊管理权限对应的员工能够进行查看等操作,普通管理权限和参与权限的员工无法查看封存的资料。解封资料则是将封存的资料重新显示出来,解封后资料恢复到封存前的最后状态。
为系统中的用户和角色建立关联关系。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。