專利名稱:基于sg-erp架構(gòu)的統(tǒng)一權(quán)限平臺的制作方法
基于SG-ERP架構(gòu)的統(tǒng)一權(quán)限平臺技術(shù)領(lǐng)域
本發(fā)明屬于信息技術(shù)領(lǐng)域��,尤其是一種基于SG-ERP架構(gòu)的統(tǒng)一權(quán)限平臺�。
背景技術(shù):
天津市電力公司在國家電網(wǎng)公司^ 五“SG186”建設(shè)期間,建成了統(tǒng)一的一體化平臺�����,涵蓋企業(yè)門戶系統(tǒng)��、數(shù)據(jù)中心和應(yīng)用集成�����。一體化平臺中的目錄系統(tǒng)實現(xiàn)了統(tǒng)一身份管理和統(tǒng)一認(rèn)證管理�,通過目錄系統(tǒng)的IDM組件實現(xiàn)對包括協(xié)同辦公�����、人資管控����、PMS生產(chǎn)管理、IMS信息運維綜合監(jiān)管系統(tǒng)�����、ERP高級應(yīng)用等26個系統(tǒng)的身份管理,通過目錄系統(tǒng)的 AM組件實現(xiàn)了對協(xié)同辦公���、人資管控��、PMS生產(chǎn)管理���、IMS信息運維綜合監(jiān)管系統(tǒng)、ERP高級的統(tǒng)一訪問管理���;采用IDS的跨域級聯(lián)認(rèn)證技術(shù)實現(xiàn)了天津電力公司門戶與國網(wǎng)公司門戶的級聯(lián)����、天津用戶對國網(wǎng)一級部署應(yīng)用的級聯(lián)訪問���。
“SG186”工程是國網(wǎng)信息化整合的第一步���,是后續(xù)信息化建設(shè)堅實的基礎(chǔ)。因此 “SG186”工程一體化平臺目錄系統(tǒng)需要后續(xù)的工作來不斷的完善提升����。當(dāng)前一體化平臺的目錄系統(tǒng)�����,并沒有真正實現(xiàn)統(tǒng)一身份管理����。在當(dāng)前的身份管理模式下�,系統(tǒng)運維中間環(huán)節(jié)多,用戶體驗一般�����。當(dāng)前訪問網(wǎng)關(guān)AM的工作模式����,實現(xiàn)了所有系統(tǒng)的統(tǒng)一訪問�,但是由于所有系統(tǒng)的訪問都需要由AM代理,AM承受的壓力太大而導(dǎo)致AM不堪重負(fù)�,往往在用戶高峰期和使用的高峰時段(如年底)故障較多,需要找到有效的方式來為AM分壓��,提高AM的穩(wěn)定性��。發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足�,提供一種設(shè)計合理����、減少中間環(huán)節(jié)且能夠?qū)M系統(tǒng)減壓的基于SG-ERP架構(gòu)的統(tǒng)一權(quán)限平臺�。
本發(fā)明解決現(xiàn)有的技術(shù)問題是采取以下技術(shù)方案實現(xiàn)的
一種基于SG-ERP架構(gòu)的統(tǒng)一權(quán)限平臺,包括相互連接的基準(zhǔn)組織與用戶����、業(yè)務(wù)組織體系、角色體系�、業(yè)務(wù)應(yīng)用系統(tǒng)功能體系,其中�����,所述的基準(zhǔn)組織與用戶包括基準(zhǔn)組織與用戶的分配關(guān)系�、用戶與企業(yè)角色的分配關(guān)系及企業(yè)角色和基準(zhǔn)組織之間關(guān)系;所述的業(yè)務(wù)組織體系包括組織體系和業(yè)務(wù)組織之間關(guān)系����、業(yè)務(wù)組織和業(yè)務(wù)組織性質(zhì)之間關(guān)系;所述的角色體系主要包括業(yè)務(wù)角色與組織角色派生關(guān)系���、組織角色和業(yè)務(wù)組織之間分配關(guān)系����; 所述的業(yè)務(wù)應(yīng)用系統(tǒng)功能體系包括業(yè)務(wù)應(yīng)用系統(tǒng)和功能之間關(guān)系、功能和權(quán)限對象之間關(guān)聯(lián)關(guān)系����。
本發(fā)明的優(yōu)點和積極效果是
本發(fā)明在“SG186”目錄服務(wù)的基礎(chǔ)上,對企業(yè)范圍內(nèi)各種受控資源的訪問權(quán)限進行統(tǒng)一建模����,建立統(tǒng)一、標(biāo)準(zhǔn)的權(quán)限模型�,將各種應(yīng)用的受控資源的權(quán)限納入到統(tǒng)一權(quán)限平臺進行管理,實現(xiàn)對業(yè)務(wù)應(yīng)用權(quán)限集中管理��,能夠?qū)θ藛T身份權(quán)限集中監(jiān)控與審計分析��,提升了對公司范圍內(nèi)組織���、人員、賬號�、權(quán)限的管理能力,同時���,統(tǒng)一權(quán)限管理減少身份管理的中間環(huán)節(jié)���,統(tǒng)一認(rèn)證管理實現(xiàn)對AM系統(tǒng)的減負(fù)�,提升系統(tǒng)的可靠性��。
圖I為本統(tǒng)一權(quán)限平臺的連接示意圖�����。
具體實施方式
以下結(jié)合附圖對本發(fā)明實施例做進一步詳述�。
一種基于SG-ERP架構(gòu)的統(tǒng)一權(quán)限平臺,如圖I所示����,是以標(biāo)準(zhǔn)的權(quán)限模型(RBAC) 為基礎(chǔ)設(shè)計的,包括基準(zhǔn)組織與用戶����、業(yè)務(wù)組織體系、角色體系��、業(yè)務(wù)應(yīng)用系統(tǒng)功能體系�,其中,基準(zhǔn)組織與用戶主要包括基準(zhǔn)組織與用戶的分配關(guān)系����、用戶與企業(yè)角色的分配關(guān)系及企業(yè)角色和基準(zhǔn)組織之間關(guān)系�����;業(yè)務(wù)組織體系包含組織體系和業(yè)務(wù)組織之間關(guān)系����、業(yè)務(wù)組織和業(yè)務(wù)組織性質(zhì)之間關(guān)系����;角色體系主要包括業(yè)務(wù)角色與組織角色派生關(guān)系、組織角色和業(yè)務(wù)組織之間分配關(guān)系��;業(yè)務(wù)應(yīng)用系統(tǒng)功能體系包含業(yè)務(wù)應(yīng)用系統(tǒng)和功能之間關(guān)系��、功能和權(quán)限對象之間關(guān)聯(lián)關(guān)系�。下面對同意權(quán)限平臺中的各個組成部分分別進行說明
用戶參與到本企業(yè)運營的所有人員,并且一人一賬號���。角色性質(zhì)的用戶(如系統(tǒng)管理員)原則上不允許存在A被人資系統(tǒng)管理的人員數(shù)據(jù)(全民����、集體�����、農(nóng)電員工)B非人資系統(tǒng)管理的人員數(shù)據(jù)(臨時員工�、外來的臨時人員)。
崗位人力資源系統(tǒng)中的崗位�����。
基準(zhǔn)組織單元形成企業(yè)主要的行政組織體系的組織單元�����。
業(yè)務(wù)組織體系通常一個企業(yè)都會存在不同的業(yè)務(wù)模塊或業(yè)務(wù)模型����,比如黨務(wù)管理、工會管理��、物資管理���、生產(chǎn)管理�,通常因為業(yè)務(wù)運轉(zhuǎn)的需要業(yè)務(wù)模型會對應(yīng)一套或多套于基準(zhǔn)組織并不完全一至的組織體系��。一套業(yè)務(wù)組織體系可以被多個業(yè)務(wù)應(yīng)用系統(tǒng)共享�。
業(yè)務(wù)組織單元業(yè)務(wù)組織體系中的組織單元作用如下1.作為該組織下的業(yè)務(wù)組織角色擁有的功能權(quán)限在組織這個維度上的數(shù)據(jù)權(quán)限;2.可以基于業(yè)務(wù)組織做權(quán)限的分級管理��,從上圖中可以看出業(yè)務(wù)組織角色是隸屬于業(yè)務(wù)組織的,從而可以很方便的做到本單位或本部門的管理員管理本部門的人和權(quán)限����,而不需要專門分配專業(yè)的權(quán)限管理人員 3.作為業(yè)務(wù)應(yīng)用系統(tǒng)中業(yè)務(wù)數(shù)據(jù)之一使用;4.在業(yè)務(wù)流程中可以以業(yè)務(wù)組織為基礎(chǔ)定義出集團內(nèi)部相對通用的參與者�����。
業(yè)務(wù)組織單元性質(zhì)用于區(qū)分同一組織體系中不同組織單元的管理層次��。如單位��、部門�����、班組等��。
業(yè)務(wù)角色指要完成該業(yè)務(wù)應(yīng)用系統(tǒng)的業(yè)務(wù)需要幾種角色來完成�����,業(yè)務(wù)角色屬于業(yè)務(wù)應(yīng)用系統(tǒng)���,它與業(yè)務(wù)組織沒有關(guān)系�。
業(yè)務(wù)組織角色業(yè)務(wù)組織角色是具體關(guān)聯(lián)業(yè)務(wù)角色��、業(yè)務(wù)組織機構(gòu)�����、和人的對象�����, 它會繼承與之對應(yīng)的業(yè)務(wù)角色上的功能權(quán)限�,同時它也位于某個業(yè)務(wù)組織下,并且要在業(yè)務(wù)角色上分配人員��。
角色分組用于對角色的分類管理��。
功能業(yè)務(wù)應(yīng)用系統(tǒng)菜單樹��,每個菜單下有一組權(quán)限對象����。
權(quán)限對象是一個系統(tǒng)下或一個功能下可進行權(quán)限控制的對象。例如網(wǎng)頁上的按鈕���、文本框等對象�����。
業(yè)務(wù)系統(tǒng)對應(yīng)企業(yè)業(yè)務(wù)中的一個專業(yè)或者企業(yè)架構(gòu)中的業(yè)務(wù)域�����。
數(shù)據(jù)類型用于描述一類用于權(quán)限控制的數(shù)據(jù)集合的定義�。
數(shù)據(jù)集描述類數(shù)據(jù)集的權(quán)限控制規(guī)則結(jié)果定義。
其中�,業(yè)務(wù)應(yīng)用系統(tǒng)功能體系按照業(yè)務(wù)系統(tǒng)分類管理,各自業(yè)務(wù)系統(tǒng)維護角色權(quán)限的指派���。系統(tǒng)支持分級分層次授權(quán)的管理模式�。業(yè)務(wù)系統(tǒng)在發(fā)現(xiàn)用戶沒有登錄時轉(zhuǎn)向到統(tǒng)一認(rèn)證服務(wù)��,然后AM系統(tǒng)的保護統(tǒng)一認(rèn)證�,統(tǒng)一認(rèn)證在認(rèn)證完成后重定向到業(yè)務(wù)系統(tǒng)功能URL時在功能URL后面加上加密(采用國際標(biāo)準(zhǔn)的RSA算法)的用戶ID信息,即完成了認(rèn)證����。統(tǒng)一認(rèn)證給業(yè)務(wù)系統(tǒng)統(tǒng)一提供用戶認(rèn)證功能,認(rèn)證完成后直接建立了用戶端瀏覽器與源WEB服務(wù)器的連接關(guān)系��,繞過了 AM系統(tǒng),實現(xiàn)了對AG的分壓���。授權(quán)
業(yè)務(wù)應(yīng)用系統(tǒng)功能體系針對不同種類��、不同平臺的業(yè)務(wù)應(yīng)用提供其對應(yīng)的集成方式,其具體集成方法包括
I��、數(shù)據(jù)同步集成
數(shù)據(jù)同步集成方式主要基于“業(yè)務(wù)應(yīng)用適配器”與業(yè)務(wù)應(yīng)用系統(tǒng)進行數(shù)據(jù)同步集成����,數(shù)據(jù)的同步方向為單向,以統(tǒng)一權(quán)限管理系統(tǒng)數(shù)據(jù)為數(shù)據(jù)源��,對業(yè)務(wù)應(yīng)用系統(tǒng)進行數(shù)據(jù)同步�����。主要工作步驟如下
( I)統(tǒng)一權(quán)限管理提供集成規(guī)范��;
(2)根據(jù)統(tǒng)一權(quán)限集成規(guī)范提供的接口規(guī)約完成相關(guān)接口程序開發(fā)�;
(3)完成數(shù)據(jù)同步集成及聯(lián)調(diào)測試。
2�、系統(tǒng)服務(wù)集成
系統(tǒng)服務(wù)集成方式主要包括兩部分一是為業(yè)務(wù)應(yīng)用系統(tǒng)提供身份、組織���、權(quán)限數(shù)據(jù)的供應(yīng)及維護功能�,二是為業(yè)務(wù)應(yīng)用系統(tǒng)提供權(quán)限驗證等服務(wù)。詳細(xì)步驟如下
(I)業(yè)務(wù)應(yīng)用系統(tǒng)將組織機構(gòu)����、角色、功能����、權(quán)限對象、數(shù)據(jù)集注冊到統(tǒng)一權(quán)限管理系統(tǒng)中���,業(yè)務(wù)應(yīng)用系統(tǒng)中不保存這些數(shù)據(jù)�����;
(2)用戶訪問業(yè)務(wù)應(yīng)用資源時��,業(yè)務(wù)應(yīng)用系統(tǒng)調(diào)用統(tǒng)一權(quán)限管理系統(tǒng)提供的接口服務(wù)�,對用戶請求的資源進行權(quán)限校驗���;
(3)業(yè)務(wù)應(yīng)用系統(tǒng)根據(jù)需要���,可調(diào)用統(tǒng)一權(quán)限管理系統(tǒng)提供的服務(wù),查詢組織、角色�����、資源等相關(guān)信息���。
需要強調(diào)的是���,本發(fā)明所述的實施例是說明性的�����,而不是限定性的��,因此本發(fā)明包括并不限于具體實施方式
中所述的實施例����,凡是由本領(lǐng)域技術(shù)人員根據(jù)本發(fā)明的技術(shù)方案得出的其他實施方式,同樣屬于本發(fā)明保護的范圍���。
權(quán)利要求
1.一種基于SG-ERP架構(gòu)的統(tǒng)一權(quán)限平臺����,其特征在于包括相互連接的基準(zhǔn)組織與用戶、業(yè)務(wù)組織體系�、角色體系、業(yè)務(wù)應(yīng)用系統(tǒng)功能體系�,其中,所述的基準(zhǔn)組織與用戶包括基準(zhǔn)組織與用戶的分配關(guān)系�、用戶與企業(yè)角色的分配關(guān)系及企業(yè)角色和基準(zhǔn)組織之間關(guān)系;所述的業(yè)務(wù)組織體系包括組織體系和業(yè)務(wù)組織之間關(guān)系�����、業(yè)務(wù)組織和業(yè)務(wù)組織性質(zhì)之間關(guān)系�����;所述的角色體系主要包括業(yè)務(wù)角色與組織角色派生關(guān)系�����、組織角色和業(yè)務(wù)組織之間分配關(guān)系��;所述的業(yè)務(wù)應(yīng)用系統(tǒng)功能體系包括業(yè)務(wù)應(yīng)用系統(tǒng)和功能之間關(guān)系���、功能和權(quán)限對象之間關(guān)聯(lián)關(guān)系���。
全文摘要
本發(fā)明涉及一種基于SG-ERP架構(gòu)的統(tǒng)一權(quán)限平臺�����,其主要技術(shù)特點是包括相互連接的基準(zhǔn)組織與用戶���、業(yè)務(wù)組織體系、角色體系����、業(yè)務(wù)應(yīng)用系統(tǒng)功能體系,其中�,基準(zhǔn)組織與用戶包括基準(zhǔn)組織與用戶的分配關(guān)系、用戶與企業(yè)角色的分配關(guān)系及企業(yè)角色和基準(zhǔn)組織之間關(guān)系����;業(yè)務(wù)組織體系包括組織體系和業(yè)務(wù)組織之間關(guān)系��、業(yè)務(wù)組織和業(yè)務(wù)組織性質(zhì)之間關(guān)系���;角色體系主要包括業(yè)務(wù)角色與組織角色派生關(guān)系���、組織角色和業(yè)務(wù)組織之間分配關(guān)系;業(yè)務(wù)應(yīng)用系統(tǒng)功能體系包括業(yè)務(wù)應(yīng)用系統(tǒng)和功能之間關(guān)系��、功能和權(quán)限對象之間關(guān)聯(lián)關(guān)系。本發(fā)明將各種應(yīng)用的受控資源的權(quán)限納入到統(tǒng)一權(quán)限平臺進行管理���,減少了身份管理的中間環(huán)節(jié)����,實現(xiàn)了對AM系統(tǒng)的減負(fù)����,提升系統(tǒng)的可靠性。
文檔編號G06Q10/06GK102982410SQ20121045269
公開日2013年3月20日 申請日期2012年11月12日 優(yōu)先權(quán)日2012年11月12日
發(fā)明者王揚, 吳凡, 孫軼凡, 倪家明, 田黇, 劉暢 申請人:天津市電力公司, 國家電網(wǎng)公司