权限服务平台、方法和系统与流程

1.本发明涉及数据安全技术领域，具体涉及一种权限服务平台、方法和系统。


背景技术：

2.随着政府、企业信息化程度的提高，应用系统数量逐步增长，应用系统权限管理成为非常棘手的问题。当前业务系统用户认证/权限授权生态复杂，没有统一的认证/授权完整流程。如何有效规范业务系统用户管理，提高业务人员权限规范意识，加速新业务系统用户认证和权限管理功能开发，促进推动信息化系统权限服务建设，成为急需解决的问题。


技术实现要素：

3.本发明的主要目的是，提供一种权限服务平台、方法和系统，用于解决的现有技术问题。
4.本发明第一方面，提供一种权限服务平台，包括：应用管理模块、角色管理模块、组织管理模块和用户管理模块；应用管理模块，用于管理应用系统实体；应用系统实体是针对实际应用系统对应创建的，起隔离作用；角色管理模块，用于管理角色实体，并提供用户授权功能；角色实体是应用系统实体的授权对象，从属于应用系统实体，不同应用系统实体下配置的角色实体相互隔离；组织管理模块，用于管理组织实体；组织实体由管理架构、项目和/或分期融合组成，采用树形结构，包括组织节点和组织视图；用户管理模块，用于管理用户实体，并提供用户授权功能，用户实体是权限服务中角色实体的授权对象；其中，用户授权是通过同时选定用户实体、角色实体和组织实体来完成的。
5.进一步的，所述权限服务平台还可以包括：菜单管理模块、自定义管理模块和职位管理模块；菜单管理模块，用于管理菜单实体；菜单实体是权限服务中角色实体的授权对象；菜单实体从属于应用系统实体，不同应用系统实体下配置的菜单实体相互隔离；自定义管理模块，用于管理自定义对象实体；自定义对象实体是应用系统实体的授权对象，从属于应用系统实体；不同应用系统实体配置的自定义对象实体相互隔离；职位管理模块，用于管理职位实体；职位实体是应用系统实体的授权对象，从属于应用系统实体；不同应用系统实体下配置的职位实体相互隔离。
6.进一步的，所述权限服务平台还可以包括：服务接口模块和数据集成模块；服务接口模块，用于提供外部应用系统的服务接口；数据集成模块，用于同步权限数据至外部应用系统，并通过集成日志监控集成状态。
7.本发明实施例中，用户实体包括内部用户和外部用户；内部用户来源于统一用户管理系统，内部用户的基本信息在权限服务平台中不允许创建和修改；外部用户来源于手工录入，外部用户的基本信息在权限服务平台中允许创建和修改；组织节点包括非全局性的自定义组织节点，自定义组织节点从属于创建者所属的应用系统实体，其他应用系统实体无权查看；组织视图包括基于组织实体中的一个或多个子集生成的不同视角的视图；角色实体包括内置角色和普通角色，内置角色在新增应用系统实体时自动创建，包括应用系
统权限管理角色，每个应用系统实体下自动创建一个应用系统权限管理角色；普通角色由应用系统权限管理员创建，应用系统权限管理员是被系统权限管理角色授权的用户实体。
8.本发明第二方面，提供一种权限服务方法，包括：获取应用系统实体，应用系统实体是针对实际应用系统对应创建的，起隔离作用；获取应用系统实体下配置的角色实体，角色实体是应用系统实体的授权对象，从属于应用系统实体，不同应用系统实体下配置的角色实体相互隔离；获取管理组织实体，组织实体由管理架构、项目和/或分期融合组成，采用树形结构，包括组织节点和组织视图；获取用户实体，用户实体是权限服务中角色实体的授权对象；进行用户授权，用户授权是通过同时选定用户实体、角色实体和组织实体来完成的。
9.进一步的，所述权限服务方法还可以包括：获取菜单实体；菜单实体是权限服务中角色实体的授权对象；菜单实体从属于应用系统实体，不同应用系统实体下配置的菜单实体相互隔离；获取自定义对象实体；自定义对象实体是应用系统实体的授权对象，从属于应用系统实体；不同应用系统实体配置的自定义对象实体相互隔离；获取职位实体；职位实体是应用系统实体的授权对象，从属于应用系统实体；不同应用系统实体下配置的职位实体相互隔离。
10.进一步的，所述权限服务方法还可以包括：提供外部应用系统的服务接口；同步权限数据至外部应用系统，并通过集成日志监控集成状态。
11.本发明第三方面，提供一种权限服务平台，包括处理器和存储器，所述存储器中存储有程序，所述程序包括计算机执行指令，当所述计算机设备运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述计算机设备执行如上所述的权限服务方法。
12.本发明第四方面，提供一种权限服务系统，包括：权限服务管理工作台、服务接口、网关、高速缓存库、元数据库和同步服务装置；所述元数据库连接于所述权限服务管理工作台，所述同步服务装置连接于所述元数据库，所述高速缓存库连接于所述服务接口、以服务接口参数为键值，所述服务接口通过所述网关连接外部应用系统，所述高速缓存库和所述服务接口连接于所述元数据库；当该权限服务系统工作时，执行如上所述的权限服务方法。
13.从以上技术方案可以看出，本发明实施例具有以下优点：
14.本发明实施例的权限服务平台，提供了统一的用户认证/权限授权流程，可以有效规范业务系统用户管理，提高业务人员权限规范意识，加速新业务系统用户认证和权限管理功能开发，促进推动信息化系统权限服务建设。并且，该平台通过新增应用系统实体，来隔离用户、角色、组织等其它实体，简化了业务系统用户认证/权限授权生态，有助于解决应用系统数量越来越多管理越来越复杂的问题。
附图说明
15.为了更清楚地说明本发明实施例技术方案，下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
16.图1是本发明实施例提供的一种权限服务平台的结构示意图；
17.图2是本发明实施例中各实体模型关系图；
18.图3是本发明实施例中职位实体模型关系图；
19.图4是本发明实施例中组织管理架构的两类特殊场景的示意图；
20.图5是本发明一个应用场景实施例中权限服务平台的功能架构图；
21.图6是本发明一个实施例中权限服务系统的部署架构示意图。
具体实施方式
22.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
23.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别不同的对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
24.下面通过具体实施例，分别进行详细的说明。
25.请参考图1，本发明实施例提供一种权限服务平台。该权限服务平台采用单点登录(single sign on，sso)技术，引入“用户”、“组织管理架构(简称组织)”、“应用系统(简称应用)”、“角色”等多种实体，用来规范业务系统用户管理，提供统一的用户认证/权限授权流程，用户只需要登录一次就可以访问所有相互信任的应用系统。
26.该权限服务平台至少包括：应用管理模块11、角色管理模块12、组织管理模块13和用户管理模块14。其中，
27.应用管理模块11，用于管理应用系统实体；应用系统实体是针对实际应用系统对应创建的，起隔离作用；
28.角色管理模块12，用于管理角色实体，并提供用户授权功能；角色实体是应用系统实体的授权对象，从属于应用系统实体，不同应用系统实体下配置的角色实体相互隔离；
29.组织管理模块13，用于管理组织实体；组织实体由管理架构、项目和/或分期融合组成，采用树形结构，包括组织节点和组织视图；
30.用户管理模块14，用于管理用户实体，并提供用户授权功能，用户实体是权限服务中角色实体的授权对象；
31.其中，用户授权是通过同时选定用户实体、角色实体和组织实体来完成的。
32.可选的，该权限服务平台还包括：菜单管理模块15、自定义管理模块16和职位管理模块17。其中，
33.菜单管理模块，用于管理菜单实体；菜单实体是权限服务中角色实体的授权对象；菜单实体从属于应用系统实体，不同应用系统实体下配置的菜单实体相互隔离；
34.自定义管理模块，用于管理自定义对象实体；自定义对象实体是应用系统实体的授权对象，从属于应用系统实体；不同应用系统实体配置的自定义对象实体相互隔离；
35.职位管理模块，用于管理职位实体；职位实体是应用系统实体的授权对象，从属于
应用系统实体；不同应用系统实体下配置的职位实体相互隔离。
36.进一步的，该权限服务平台还包括：服务接口模块18和数据集成模块19；
37.服务接口模块18，用于提供外部应用系统的服务接口；
38.数据集成模块19，用于同步权限数据至外部应用系统，并通过集成日志监控集成状态。
39.本发明实施例的权限服务平台，提供了统一的用户认证/权限授权流程，可以有效规范业务系统用户管理，提高业务人员权限规范意识，加速新业务系统用户认证和权限管理功能开发，促进推动信息化系统权限服务建设。并且，该平台通过新增应用系统实体，来隔离用户、角色、组织等其它实体，简化了业务系统用户认证/权限授权生态，有助于解决应用系统数量越来越多管理越来越复杂的问题。
40.为便于理解本发明，下面对sso技术以及所引入的各个实体模型做进一步的详细说明。
41.(一)单点登录(sso)概述
42.sso是一种比较流行的企业业务整合解决方案。sso的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
43.本发明的权限服务平台采用sso技术。为此，引入多种实体模型(简称实体)，包括：“用户”、“组织管理架构(简称组织)”、“应用系统(简称应用)”、“菜单”、“角色”、“自定义对象(简称自定义)”等。相较于现有技术，本发明特别引入了新的实体模型：“应用系统”和“自定义对象”。各实体模型的关系如图2所示。
44.可选的，针对商业领域的部分应用存在职位概念，即通过职位层级关系实现用户的非组织层级的上下级汇报，因此本发明优选方案中还为商业特定应用保留了职位实体。职位实体模型关系如图3所示。
45.本发明中实体的授权类型分为两类：
46.正向授权：授予即代表有权限，比如：用户、菜单、自定义对象、组织。
47.负向授权：授予即代表无权限，仅菜单的授权支持负向授权。
48.下面，依次对本发明涉及的各个实体进行详细说明。
49.(二)用户
50.1、实体描述：
51.用户实体是权限服务中角色实体的授权对象。且进一步的，用户仅可授予角色；原则上不支持对用户授予其他实体，比如：应用、菜单、自定义对象等。权限服务中涉及两种用户：内部用户和外部用户。
52.内部用户：数据来源于例如基于ldap(light directory access portocol，轻量级目录访问协议)系统的统一用户管理系统，包含企业内部所有在职员工；内部用户的基本信息以ldap系统为准，在权限服务平台中不允许创建和修改，比如:密码、邮箱、手机号等。
53.外部用户：数据来源于手工录入，部分应用系统(比如：工程云系统)涉及到对外部用户开放权限，因此需支持在权限服务拼图中添加外部用户，外部用户的基本信息均可在权限服务中创建和修改。
54.2、属性列表
55.用户实体的属性如下面表1所示。
56.表1用户实体属性列表
57.属性名类型是否必须描述用户类型字符串y用户标识内部用户或外部用户归属机构字符串n 登录名字符串y 工号数值n 姓名字符串y 密码字符串y 邮箱字符串n 手机数值n 职务字符串n 备注字符串n 58.3、数据集成
59.内部用户的数据集成方式为源于统一用户管理系统；
60.外部用户的数据集成方式为手工录入、批量导入。
61.(三)组织管理架构
62.1、实体描述：
63.权限服务中的组织管理架构(简称组织)，可以是主数据中管理架构、项目、分期三者合并后的融合实体，原因是由于多数应用中均将项目或分期以组织形式进行管理和授权。组织管理架构代表权限服务中唯一且完整的组织树形结构(即基本组织管理架构)。
64.如图4所示，在对组织管理架构进行管理和授权过程中存在两类特殊场景：
65.(1)自定义组织节点：针对个别应用需自行扩充组织节点的场景(仅支持基于基本组织管理架构进行扩充)，需允许用户添加非全局性的自定义组织节点，自定义组织节点从属于创建者所属的应用系统，其他应用系统无权查看该自定义组织节点。
66.(2)多视角组织视图
67.针对有些应用在授权管理中并不需要基于基本组织管理架构进行权限管理，而仅是基于基本组织管理架构的一个子集授权，需支持组织视图配置，即基于基本组织管理架构进行灵活的过滤，生成不同视角的组织视图，应用系统基于指定的组织视图进行授权管理。应用权限管理员有权查看的组织树是包括组织视图与所属应用系统的自定义组织节点的合集。
68.此外，在进行组织授权时，默认是可查看授权组织及授权组织下级组织的数据，但因存在“虽授权某个层级组织的权限，但仅限查看该组织的本层级数据，而无权限查看该组织的下级组织数据”的情况，所以在进行组织授权时，本发明还支持数据范围(仅本级、本级且含下级)的制定。
69.2、属性列表
70.用户实体的属性如下面表2所示。
71.表2用户实体属性列表
[0072][0073][0074]
3、数据集成
[0075]
基本组织管理架构中自定义组织节点的数据集成方式为手工录入。
[0076]
(四)应用系统
[0077]
1、实体描述
[0078]
应用系统是本发明权限服务中新增实体。本发明实施例针对每个实际应用系统创建一个应用系统实体，应用系统实体起隔离作用，用于隔离角色、菜单、自定义对象、自定义组织节点等实体信息，将这些实体与实际应用系统隔离开。应用系统不涉及授权动作。针对每个应用系统，权限服务平台需自动创建一个内置角色(即应用系统权限管理角色，详见后文“角色”章节)。
[0079]
2、属性列表
[0080]
应用系统实体的属性如下面表3所示。
[0081]
表3应用系统实体属性列表
[0082]
[0083][0084]
3、数据集成
[0085]
应用系统实体的数据集成方式为手工录入。
[0086]
(五)菜单
[0087]
1、实体描述
[0088]
菜单实体从属于应用系统实体，即在某个应用系统实体下配置菜单目录，不同应用系统下配置的菜单实体相互隔离；菜单实体是权限服务中角色实体的授权对象，且进一步的，菜单仅可被授予角色。
[0089]
2、属性列表
[0090]
菜单实体的属性如下面表4所示。
[0091]
表4菜单实体属性列表
[0092]
属性名类型是否必须描述所属应用字符串y关联应用系统实体上级菜单字符串n 名称字符串y 链接字符串n 图标链接n 排序数值n 是否可见字符串y 权限标识字符串n 菜单类型字符串n 备注字符串n [0093]
3、数据集成
[0094]
菜单实体的数据集成方式为手工录入、批量导入。
[0095]
(六)角色
[0096]
1、实体描述
[0097]
可选的，本发明中不支持层级角色，全部的授权均基于一层角色层级。角色实体从属于应用系统实体，即在某个应用系统下配置角色，不同应用系统下配置的角色相互隔离。系统中存在两类角色：
[0098]
(1)内置角色：由系统自动创建，不允许用户手工修改，比如：新增应用系统时自动创建的应用系统权限管理角色；
[0099]
(2)普通角色：由应用系统权限管理员创建的应用系统角色，此类角色可由应用系统权限管理员创建和修改。
[0100]
角色实体对菜单的授权支持负向授权。
[0101]
2、属性列表
[0102]
角色实体的属性如下面表5所示。
[0103]
表5角色实体属性列表
[0104]
属性名类型是否必须描述所属应用字符串y关联应用系统实体角色名称字符串y 是否内置字符串y用于标识是否为内置角色备注字符串n [0105]
3、数据集成
[0106]
内置角色的数据集成方式为自动创建；
[0107]
普通角色的数据集成方式为手工录入、批量导入。
[0108]
(七)自定义对象
[0109]
1、实体描述
[0110]
为支持各应用系统灵活多变的授权场景，本发明权限服务中新增了自定义对象实体，允许各应用系统自行添加授权对象，因自定义实体从属于应用系统实体，在应用系统下配置，所以不同应用系统下配置的自定义实体相互隔离。可选的，自定义实体支持维护父子关系，及针对特定类型的自定义对象集可通过父子关系形成对象树。
[0111]
2、属性列表
[0112]
自定义对象实体的属性如下面表6所示。
[0113]
表6自定义对象实体属性列表
[0114]
属性名类型是否必须描述所属应用字符串y关联应用系统实体对象名称字符串y 对象类型字符串y 父对象字符串n 备注字符串n [0115]
3、数据集成
[0116]
自定义对象实体的数据集成方式为手工录入、批量导入。
[0117]
(八)职位
[0118]
1、实体描述
[0119]
针对商业领域的部分应用存在职位概念，即通过职位层级关系实现用户的非组织层级的上下级汇报，因本发明权限服务为商业特定应用保留了职位实体。
[0120]
2、属性列表
[0121]
职位实体的属性如下面表7所示。
[0122]
表7职位实体属性列表
[0123]
属性名类型是否必须描述所属应用字符串y关联应用系统实体
职位名称字符串y 父职位字符串n 备注字符串n [0124]
请参考图5，示出了本发明一个应用场景实施例中，权限服务平台的功能架构图，具体可包括如下功能模块：
[0125]
首页：显示登录用户权限范围内的统计数据。
[0126]
服务接口：提供应用系统集成的服务接口。
[0127]
数据集成：同步权限数据至各应用系统，并通过集成日志监控集成状态。
[0128]
用户管理：用户查阅与维护(仅支持外部用户的维护)，并可进行用户授权管理，用户授权指同时选定：用户、角色、组织、自定义对象等四类实体组合。
[0129]
组织管理：组织查阅与维护(仅支持自定义组织节点的维护)，组织视图配置，以及组织树的树形结构浏览。
[0130]
应用管理：应用系统的查阅与维护，在查阅页面允许查看与该应用系统相关的实体清单。
[0131]
菜单管理：菜单查阅与维护，并可进行菜单授权管理。
[0132]
角色管理：角色查阅与维护，并可进行菜单与用户的授权管理，用户授权指同时选定：用户、角色、组织、自定义对象等四类实体组合。
[0133]
自定义对象管理：自定义对象查阅与维护。
[0134]
职位管理：职位的查阅与维护，并可进行职位授权管理。
[0135]
参数配置：配置全局系统参数，比如：缓存失效时间等。
[0136]
权限配置：对权限服务的页面及操作进行权限管理。
[0137]
审计日志：查阅系统操作的审计日志。
[0138]
缓存管理：缓存条目的查阅与清理，支持单条、多条和全量条目清理。
[0139]
请参考图6，示出了本发明权限服务系统的部署架构示意图，包括：
[0140]
权限服务管理工作台(web server)、服务接口(api server)、网关(gateway)、高速缓存库(cache database)、元数据库和同步服务装置(informatica)；元数据库进一步包括元数据主库(meta database master)和元数据备库(meta database slave)。
[0141]
其中，所述元数据库连接于所述权限服务管理工作台，所述同步服务装置连接于所述元数据库，所述高速缓存库连接于所述服务接口、以服务接口参数为键值，所述服务接口通过所述网关连接外部应用系统，所述高速缓存库和所述服务接口连接于所述元数据库。
[0142]
各个组成部分的作用如下：
[0143]
web server：权限服务管理工作台，用于实体管理维护、用户授权管理等界面操作。
[0144]
api server：执行权限服务接口，多实例无状态部署；
[0145]
gateway：网关，承担负载均衡与反向代理功能；
[0146]
cache database：以服务接口参数为键值的高速缓存库，缓存条目失效支持两种模式：
[0147]
配置失效时间：基于配置化的失效周期自动清理过期条目；
[0148]
手工清理条目：支持手工清理；
[0149]
meta database master：元数据主库，用于存储平台及应用权限数据；
[0150]
meta database slave：元数据备库，自动同步主库修改日志；
[0151]
informatica：etl同步服务，基于配置化同步周期同步权限数据至应用系统数据库(app datebase)。
[0152]
本发明还提供一种权限服务方法，包括步骤：
[0153]
s1、获取应用系统实体，应用系统实体是针对实际应用系统对应创建的，起隔离作用；
[0154]
s2、获取应用系统实体下配置的角色实体，角色实体是应用系统实体的授权对象，从属于应用系统实体，不同应用系统实体下配置的角色实体相互隔离；
[0155]
s3、获取管理组织实体，组织实体由管理架构、项目和/或分期融合组成，采用树形结构，包括组织节点和组织视图；
[0156]
s4、获取用户实体，用户实体是权限服务中角色实体的授权对象；
[0157]
s5、进行用户授权，用户授权是通过同时选定用户实体、角色实体和组织实体来完成的。
[0158]
可选的，所述方法还包括：
[0159]
s6、获取菜单实体；菜单实体是权限服务中角色实体的授权对象；菜单实体从属于应用系统实体，不同应用系统实体下配置的菜单实体相互隔离；
[0160]
s7、获取自定义对象实体；自定义对象实体是应用系统实体的授权对象，从属于应用系统实体；不同应用系统实体配置的自定义对象实体相互隔离；
[0161]
s8、获取职位实体；职位实体是应用系统实体的授权对象，从属于应用系统实体；不同应用系统实体下配置的职位实体相互隔离。
[0162]
可选的，用户实体包括内部用户和外部用户；内部用户来源于统一用户管理系统，内部用户的基本信息在权限服务平台中不允许创建和修改；外部用户来源于手工录入，外部用户的基本信息在权限服务平台中允许创建和修改；
[0163]
组织节点包括非全局性的自定义组织节点，自定义组织节点从属于创建者所属的应用系统实体，其他应用系统实体无权查看；组织视图包括基于组织实体中的一个或多个子集生成的不同视角的视图；
[0164]
角色实体包括内置角色和普通角色，内置角色在新增应用系统实体时自动创建，包括应用系统权限管理角色，每个应用系统实体下自动创建一个应用系统权限管理角色；普通角色由应用系统权限管理员创建，应用系统权限管理员是被系统权限管理角色授权的用户实体。
[0165]
可选的，所述方法还包括：提供外部应用系统的服务接口；同步权限数据至外部应用系统，并通过集成日志监控集成状态。
[0166]
需要说明的是，上述方法中的各个步骤并不限定其执行时序。
[0167]
以上，通过具体实施例对本发明的技术方案进行了详细说明。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其它实施例的相关描述。
[0168]
应当理解，上述各实施例仅用以说明本发明的技术方案，而非对其限制。本领域的
普通技术人员，可以对上述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和保护范围。