一种权限精细化配置方法、系统、设备及介质与流程

本发明涉及计算机，具体涉及一种权限精细化配置方法、系统、设备及介质。

背景技术：

1、云计算能够同时为多个个人或者企业用户提供按需即取的资源(包括计算资源、存储资源等)，使得个人或者企业可以共享同一套服务，而服务的开发和运维等可以由服务提供平台提供，从而可以降低个人或者企业的运维成本，同时也能够提高资源的利用率。申请资源的个人或者企业统称为租户，多租户是云平台中常见场景。

2、以现有的saas服务学习平台为例，学习平台将提供学习功能服务以及学习资源服务，而在企业级用户场景下，需同时构建企业组内多级用户间的权限体系及学习服务的权限体系，现有技术中saas平台通过权限直接关联用户角色，将平台权限授予具体用户，而忽略权限分配的复杂度问题，难以实现更小颗粒度的权限管控，无法满足多租户多企业组织下精细化权限配置的需求。

技术实现思路

1、针对现有技术的不足，本发明提出一种权限精细化配置方法、系统、设备及介质。

2、本发明第一方面公开了一种权限精细化配置方法，应用于云平台，所述云平台为saas服务平台，方法包括：

3、预配置所述saas多租户服务平台上子用户的基础权限；

4、saas服务平台接收所述租户的注册请求，以代表所述租户最小组织架构单元的角色为架构子节点自动生成所述租户架构树；

5、采用rbac模型的权限管理系统匹配所述租户架构树，获得以角色对应子用户的用户组，通过所述租户架构关系对应管理所述子用户的功能权限，建立所述用户组中管理员-子用户、管理员-角色、子用户-角色、角色-功能权限的关系，获得租户功能权限树；

6、获取所述租户的数据访问需求，根据数据访问需求生成所述租户的数据树形分类，基于所述数据树形分类对应管理所述子用户的数据权限，建立所述用户组中子用户-角色、角色-数据权限的关系，获得租户数据权限树；

7、响应于所述子用户的访问请求，通过交叉配置的所述租户架构树、租户功能权限树以及租户数据权限树间的关系确定所述子用户进行访问控制的权限配置。

8、在一个可选的实施例中，所述saas服务平台接收所述租户的注册请求，以代表所述租户最小组织架构单元的角色为架构子节点自动生成所述租户架构树包括：

9、在接收到所述租户注册请求，获取租户信息；

10、根据所述租户信息匹配待配置状态的角色，生成所述租户架构树内单角色模板、角色组模板、管理角色模板的多级关联关系，配置租户架构内的权限管理。

11、在一个可选的实施例中，所述租户架构树、租户功能权限树以及租户数据权限树间的关系包括：

12、所述租户架构树，描述所述租户内单角色对应的员工信息、单角色对应的管理员信息、角色间的管理信息以及角色的分级信息；

13、所述租户功能权限树，描述所述租户内角色对应的租户架构树分配的子用户功能权限，所述功能权限可由上级管理员对下级子用户进行添加、修改及删除；

14、所述租户数据权限树，描述所述租户内子用户可分配的访问数据，且所述访问数据与功能权限关联，并由上级管理员对下级子用户进行添加、修改及删除。

15、在一个可选的实施例中，所述通过交叉配置的所述租户架构树、租户功能权限树以及租户数据权限树间的关系确定所述子用户进行访问控制的权限配置包括：

16、通过所述租户数据权限树确定包含不同数据权限的子用户及所述子用户的数据访问需求；

17、通过所述租户功能权限树确定包含不同功能权限的子用户及所述子用户的功能访问需求；

18、分别基于所述数据访问需求、功能访问需求以及租户架构树中所述管理员配置的业务需求，进行所述子用户的权限配置，且所述子用户的权限配置可由所述管理员进行添加、修改及删除。

19、在一个可选的实施例中，所述功能权限为所述saas服务平台某个特定领域中业务功能合集的使用权限，所述管理员可根据业务需求管理所述子用户的功能权限。

20、在一个可选的实施例中，所述数据权限为所述saas服务平台某个特定领域中业务资源集合的访问权限，所述管理员可根据业务需求管理所述子用户的数据权限。

21、在一个可选的实施例中，所述基础权限为所述saas服务平台内子用户对应角色的服务通用权限，可用于执行除功能权限及数据权限之外的其他服务平台应用权限，所述应用权限以服务平台管理为准。

22、本发明第二方面公开了一种权限精细化配置系统，所述系统包括：

23、基础权限模块,用于预配置所述saas多租户服务平台上子用户的基础权限；

24、架构树模块，用于saas服务平台接收所述租户的注册请求，以代表所述租户最小组织架构单元的角色为架构子节点自动生成所述租户架构树；

25、功能权限树模块，用于采用rbac模型的权限管理系统匹配所述租户架构树，获得以角色对应子用户的用户组，通过所述租户架构关系对应管理所述子用户的功能权限，建立所述用户组中管理员-子用户、管理员-角色、子用户-角色、角色-功能权限的关系，获得租户功能权限树；

26、数据权限树模块，用于获取所述租户的数据访问需求，根据数据访问需求生成所述租户的数据树形分类，基于所述数据树形分类对应管理所述子用户的数据权限，建立所述用户组中子用户-角色、角色-数据权限的关系，获得租户数据权限树；

27、权限配置模块，用于响应于所述子用户的访问请求，通过交叉配置的所述租户架构树、租户功能权限树以及租户数据权限树间的关系确定所述子用户进行访问控制的权限配置。

28、本发明第三方面公开了一种权限精细化配置设备，包括：

29、至少一个处理器，以及，

30、与所述至少一个处理器通信连接的存储器；其中，

31、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如本发明第一方面公开的任一项所述的权限精细化配置方法。

32、本发明第四方面公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行如本发明第一方面公开的任一项所述的权限精细化配置方法。

33、与现有技术相比，本发明具有以下优点：

34、本发明通过接收的租户注册请求收集租户企业组织架构信息，并从组织架构底部自下而上的生成包括基础子节点的租户架构树，可以用于表达租户企业中对应用户角色的服务需求，再结合rbac模型完成租户企业的用户组构建，且构建过程包含了租户企业内用户角色间的管理关系，由数据树形分类完成对子用户的数据权限配置，通过租户架构树、租户功能权限树以及租户数据权限树间的关系确定子用户的访问控制权限，从而完成租户企业的全部用户权限配置，构建出多层次、多架构的权限管理，便于对租户企业不同部门或层级复杂的组织进行管理，进一步细化了企业权限配置的颗粒度，提高管理效率，满足多租户多企业组织下精细化权限配置的需求。

35、