本發(fā)明涉及分權(quán)分級權(quán)限管理技術(shù)領(lǐng)域，特別是一種基于集中部署、分布式管理相結(jié)合方式的權(quán)限管理系統(tǒng)和方法。

背景技術(shù)：

多層次、多產(chǎn)業(yè)、多控股模式、多地域文化的集團(tuán)化管理使得協(xié)同辦公OA系統(tǒng)，首先要能夠從流程、門戶、知識的平臺層面以及人事、會議、項目等。

應(yīng)用層面支持從組織架構(gòu)以及業(yè)務(wù)條線兩個維度的對于數(shù)據(jù)、應(yīng)用、維護(hù)的分級分權(quán)管理；一個數(shù)據(jù)安全的協(xié)同辦公系統(tǒng)首先要做到權(quán)值分離。權(quán)指的是對于后臺維護(hù)的權(quán)限，而值指的是前臺實例觸發(fā)后形成的數(shù)據(jù)；維護(hù)分權(quán)指的是對于后臺相關(guān)功能配置等維護(hù)性工作的配置權(quán)限；數(shù)據(jù)分權(quán)是指 例如集團(tuán)財務(wù)總監(jiān)能夠看到整個集團(tuán)的所有財務(wù)流程和數(shù)據(jù)，而分子公司財務(wù)總監(jiān)只能看到本公司的，分子公司伙伴在選擇人員的時候只能夠看到本公司的組織架構(gòu)和人員，等等。

而目前原有權(quán)限系統(tǒng)只能通過角色、功能權(quán)限、角色成員等關(guān)聯(lián)對系統(tǒng)功能頁面操作級單方面做賦權(quán)控制，無法關(guān)聯(lián)滿足集團(tuán)型公司需要按照組織機構(gòu)來賦予操作權(quán)限，無法滿足按照組織機構(gòu)分權(quán)控制查看人員組織結(jié)構(gòu)信息的需求。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種基于集團(tuán)化分級分權(quán)管理系統(tǒng)，通過系統(tǒng)中后端維護(hù)分權(quán)、前端應(yīng)用分權(quán)來實現(xiàn)集團(tuán)性組織集中部署，分權(quán)應(yīng)用各業(yè)務(wù)模塊內(nèi)容。其目的在于解決現(xiàn)有管理系統(tǒng)無法滿足組織機構(gòu)分權(quán)控制管理的問題。

一種基于集團(tuán)化分級分權(quán)管理系統(tǒng)，其特征在于包括如下部分：

權(quán)限管理中心模塊、分權(quán)管理中心模塊、前臺應(yīng)用分權(quán)模塊；

其中，所述權(quán)限管理中心模塊，按照組織權(quán)限、功能權(quán)限兩個維度進(jìn)行無限層級的權(quán)限分級管理，包括角色信息、功能權(quán)限、機構(gòu)權(quán)限、角色成員；

所述分權(quán)管理中心模塊，用于可以根據(jù)客戶的需求來控制是否啟用分權(quán)，及分權(quán)的類型，同時可以從分部、部門、人員、角色四個維度對系統(tǒng)內(nèi)每個成員設(shè)定其工作范圍權(quán)限，并可以逐層向下分配；

所述前臺應(yīng)用分權(quán)模塊，根據(jù)分權(quán)管理中心模塊設(shè)定的每個人員的組織權(quán)限、功能權(quán)限對門戶管理、工作流程、文檔管理、組織人員模塊數(shù)據(jù)的查看及流轉(zhuǎn)進(jìn)行嚴(yán)格控制及管理。

其中，所述權(quán)限管理中心模塊中的角色成員儲存于角色成員表中，從用戶實體中抽取對象，將應(yīng)用系統(tǒng)中實體分離成用戶對象數(shù)據(jù)和角色特征數(shù)據(jù)，并將用戶對象數(shù)據(jù)存儲在角色成員表中，將角色特征數(shù)據(jù)存儲在角色成員表中。

其中，所述權(quán)限管理中心模塊提供通用的功能權(quán)限授權(quán)接口方法、機構(gòu)權(quán)限授權(quán)接口方法、驗證用戶功能權(quán)限接口方法、驗證用戶機構(gòu)權(quán)限接口方法；對于用戶對象通過功能權(quán)限授權(quán)接口方法、機構(gòu)權(quán)限授權(quán)接口方法分配其權(quán)限資源，在對用戶對象接入應(yīng)用系統(tǒng)時，通過所述驗證用戶功能權(quán)限接口方法、驗證用戶機構(gòu)權(quán)限接口方法獲取接入驗證，驗證成功所述用戶對象獲取的權(quán)限許可，驗證失敗則拒絕接入使用，并給出反饋提示信息。

其中，所述權(quán)限資源包括功能權(quán)限、機構(gòu)權(quán)限，所述權(quán)限資源為一維、或者多維、或者進(jìn)行權(quán)限交替。

本發(fā)明提供的“集團(tuán)化分級分權(quán)”的安全框架，包括如下部分內(nèi)容：

功能管理授權(quán)：在角色管理中定義不同的角色，給角色賦予功能調(diào)用的不同權(quán)限、不同的機構(gòu)權(quán)限（機構(gòu)權(quán)限到具體的分部分權(quán)控制）、添加不同的角色成員;其中角色成員、功能權(quán)限的級別有部門級別、分部級別、總部級別；機構(gòu)權(quán)限分為禁止、只讀、編輯、完全控制等4個級別。

功能管理驗證：用戶是否有權(quán)限在其機構(gòu)下操作其對應(yīng)的業(yè)務(wù)功能之前，需調(diào)用功能管理驗證公用方法來判斷驗證，調(diào)用公用方法時需要傳遞參數(shù)有--用戶信息ID、該功能的功能權(quán)限、操作的機構(gòu)分部ID。調(diào)用返回值為true則允許訪問返回false則拒絕訪問并給出友好提示，提示用戶如要使用此功能請向管理員申請。

數(shù)據(jù)應(yīng)用分權(quán)授權(quán)：在組織機構(gòu)應(yīng)用分權(quán)設(shè)置中按照分部、部門、人員、角色4個維度設(shè)置其“查看對象”，“查看范圍”，其中“查看對象”是受控制人員、分部、部門、角色的用戶，“查看范圍”是受控制用戶能查看到的數(shù)據(jù)范圍。

數(shù)據(jù)應(yīng)用分權(quán)驗證：用戶在獲取查看數(shù)據(jù)之前，需調(diào)用數(shù)據(jù)應(yīng)用分權(quán)驗證公用方法來判斷驗證，調(diào)用公用方法時需要傳遞參數(shù)有：用戶信息ID。調(diào)用返回值為1-無權(quán)查看數(shù)據(jù)、1-有權(quán)查看數(shù)據(jù)。

功能管理驗證過程具體為：

當(dāng)已認(rèn)證的用戶通過手中已擁有的角色集合操控目標(biāo)資源時，集團(tuán)化分級分權(quán)安全框架內(nèi)置的功能管理驗證攔截器采用公平機制評估驗證這一請求；調(diào)用到要使用的資源前，用戶需要經(jīng)過攔截器的預(yù)處理，及檢查他的身份是否符合角色設(shè)置中設(shè)定的權(quán)限要求。調(diào)用后，攔截器會審核操作結(jié)果過濾沒有權(quán)限操作、查看的數(shù)據(jù)和功能。

數(shù)據(jù)應(yīng)用分權(quán)驗證過程具體為：

當(dāng)已認(rèn)證的用戶進(jìn)入系統(tǒng)查看其組織結(jié)構(gòu)用戶信息時，需調(diào)用數(shù)集團(tuán)化分級分權(quán)安全框架內(nèi)置的數(shù)據(jù)應(yīng)用分權(quán)驗證攔截器采用公平機制評估驗證這一請求；調(diào)用到要使用的資源前，用戶需要經(jīng)過攔截器的預(yù)處理，及檢查他的身份是否符合目標(biāo)數(shù)據(jù)資源設(shè)定的查看范圍權(quán)限要求。調(diào)用后，攔截器會審核操作結(jié)果過濾刪除沒有權(quán)限查看的數(shù)據(jù)。

本發(fā)明通過管理分權(quán)方法和組織機構(gòu)應(yīng)用分權(quán)方法結(jié)合應(yīng)用，充分體現(xiàn)“集團(tuán)化分級分權(quán)”的安全框架。功能管理分權(quán)根據(jù)在不同的角色中賦予不同的機構(gòu)權(quán)限來控制角色成員只能在其機構(gòu)權(quán)限下操作相應(yīng)的功能。應(yīng)用管理分權(quán)根據(jù)從不同的維度（分部、部門、人員、角色4個維度）設(shè)置查看范圍、查看對象來控制其組織機構(gòu)信息、用戶信息的權(quán)限控制。使用集團(tuán)化分級分權(quán)管理的安全框架擴展性好，不需要修改現(xiàn)有代碼，只需要通過后臺權(quán)限中心模塊進(jìn)行配置，前臺業(yè)務(wù)展現(xiàn)就完全按照其分級分權(quán)進(jìn)行控制展現(xiàn)。完全能使用新增業(yè)務(wù)邏輯的任何授權(quán)。

本發(fā)明的管理系統(tǒng)具有以下特點：

1、集中部署，分權(quán)應(yīng)用：

整個集團(tuán)組織實施一套系統(tǒng)，每個子集團(tuán)組織獨立維護(hù)使用。

每個子集團(tuán)組織可以有自己的獨立的風(fēng)格界面。

各個子集團(tuán)組織能夠獨立維護(hù)自己的內(nèi)容，如組織結(jié)構(gòu)、人事信息、工作流程、知識目錄等。各個子集團(tuán)組織的數(shù)據(jù)權(quán)限即能相互獨立又能互融互通。

2、集中部署分布式管理相結(jié)合：

集團(tuán)組織總部、子集團(tuán)集中部署一套系統(tǒng)，滿足集中部署分權(quán)應(yīng)用的需求。

子集團(tuán)組織如下屬的投資公司、控股公司獨立部署。

集團(tuán)總部系統(tǒng)能夠與子集團(tuán)系統(tǒng)實現(xiàn)信息的上傳下達(dá)。

3、集團(tuán)型分級分權(quán)管理系統(tǒng)主要有權(quán)限管理中心、分權(quán)管理中心、前臺應(yīng)用分權(quán)。

權(quán)限管理中心主要是包括角色權(quán)限設(shè)置、功能管理分權(quán)；

其中功能管理分權(quán)主要是通過角色設(shè)置(賦權(quán)角色\分權(quán)角色)、功能權(quán)限(賦權(quán)權(quán)限\分權(quán)權(quán)限)、機構(gòu)權(quán)限、角色成員來關(guān)聯(lián)進(jìn)行控制其功能頁面的操作權(quán)限，既可以按照機構(gòu)來對用戶進(jìn)行授權(quán)。分權(quán)管理中心主要包括分權(quán)管理員設(shè)置、組織機構(gòu)應(yīng)用分權(quán)；其中組織機構(gòu)應(yīng)用分權(quán)可以按照分部、部門、人員、角色等4個維度來設(shè)置查看人員的范圍，主要表現(xiàn)的功能是前臺查詢?nèi)藛T、和組織機構(gòu)人員相關(guān)瀏覽按鈕都會按照設(shè)置的規(guī)則進(jìn)行控制其查看范圍。

功能管理分權(quán)：權(quán)限管理模塊提供通用的功能權(quán)限授權(quán)接口方法、機構(gòu)權(quán)限授權(quán)接口方法、驗證用戶功能權(quán)限接口方法、驗證用戶機構(gòu)權(quán)限接口方法。對于所述的用戶對象通過功能權(quán)限授權(quán)接口方法、機構(gòu)權(quán)限授權(quán)接口方法分配其權(quán)限資源，在所述對用戶對象接入應(yīng)用系統(tǒng)時，通過所述的驗證用戶功能權(quán)限接口方法、驗證用戶機構(gòu)權(quán)限接口方法獲取接入驗證，驗證成功所述用戶對象獲取的權(quán)限許可，驗證失敗則拒絕接入使用，并給出反饋提示信息。

組織機構(gòu)應(yīng)用分權(quán)：可以從分部、部門、人員、角色4個維度對系統(tǒng)內(nèi)每個成員設(shè)定其工作范圍權(quán)限，并可以逐層向下分配。

附圖說明

圖1為基于集團(tuán)化分級分權(quán)管理方法的流程圖。

圖2為本發(fā)明具體實施例應(yīng)用、維護(hù)模型示意圖。

具體實施方式

本發(fā)明的具體實施方式如下：

參照圖1，“集團(tuán)化分級分權(quán)”的安全框架，包括如下部分內(nèi)容：

功能管理授權(quán)：在角色管理中定義不同的角色，給角色賦予功能調(diào)用的不同權(quán)限、不同的機構(gòu)權(quán)限（機構(gòu)權(quán)限到具體的分部分權(quán)控制）、添加不同的角色成員;其中角色成員、功能權(quán)限的級別有部門級別、分部級別、總部級別；機構(gòu)權(quán)限分為禁止、只讀、編輯、完全控制等4個級別。

功能管理驗證：用戶是否有權(quán)限在其機構(gòu)下操作其對應(yīng)的業(yè)務(wù)功能之前，需調(diào)用功能管理驗證公用方法來判斷驗證，調(diào)用公用方法時需要傳遞參數(shù)有--用戶信息ID、該功能的功能權(quán)限、操作的機構(gòu)分部ID。調(diào)用返回值為true則允許訪問返回false則拒絕訪問并給出友好提示，提示用戶如要使用此功能請向管理員申請。

數(shù)據(jù)應(yīng)用分權(quán)授權(quán)：在組織機構(gòu)應(yīng)用分權(quán)設(shè)置中按照分部、部門、人員、角色4個維度設(shè)置其“查看對象”，“查看范圍”，其中“查看對象”是受控制人員、分部、部門、角色的用戶，“查看范圍”是受控制用戶能查看到的數(shù)據(jù)范圍。

數(shù)據(jù)應(yīng)用分權(quán)驗證：用戶在獲取查看數(shù)據(jù)之前，需調(diào)用數(shù)據(jù)應(yīng)用分權(quán)驗證公用方法來判斷驗證，調(diào)用公用方法時需要傳遞參數(shù)有--用戶信息ID。調(diào)用返回值為1-無權(quán)查看數(shù)據(jù)、1-有權(quán)查看數(shù)據(jù)。

功能管理驗證過程具體為：

當(dāng)已認(rèn)證的用戶通過手中已擁有的角色集合操控目標(biāo)資源時，集團(tuán)化分級分權(quán)安全框架內(nèi)置的功能管理驗證攔截器采用公平機制評估驗證這一請求；調(diào)用到要使用的資源前，用戶需要經(jīng)過攔截器的預(yù)處理，及檢查他的身份是否符合角色設(shè)置中設(shè)定的權(quán)限要求。調(diào)用后，攔截器會審核操作結(jié)果過濾沒有權(quán)限操作、查看的數(shù)據(jù)和功能。

數(shù)據(jù)應(yīng)用分權(quán)驗證過程具體為：

當(dāng)已認(rèn)證的用戶進(jìn)入系統(tǒng)查看其組織結(jié)構(gòu)用戶信息時，需調(diào)用數(shù)集團(tuán)化分級分權(quán)安全框架內(nèi)置的數(shù)據(jù)應(yīng)用分權(quán)驗證攔截器采用公平機制評估驗證這一請求；調(diào)用到要使用的資源前，用戶需要經(jīng)過攔截器的預(yù)處理，及檢查他的身份是否符合目標(biāo)數(shù)據(jù)資源設(shè)定的查看范圍權(quán)限要求。調(diào)用后，攔截器會審核操作結(jié)果過濾刪除沒有權(quán)限查看的數(shù)據(jù)。

參照圖2（以某集團(tuán)分級分權(quán)管理系統(tǒng)為例）

步驟1）集團(tuán)分權(quán)管理--權(quán)限控制體系

從應(yīng)用、維護(hù)分權(quán)兩個角度按照組織權(quán)限、功能功能權(quán)限兩個進(jìn)度進(jìn)行無限層級的權(quán)限分級管理。

11）分權(quán)控制中心：

可以根據(jù)客戶的需求來控制是否啟用分權(quán)，啟用哪一類分權(quán)：管理分權(quán)、應(yīng)用分權(quán)。

12）維護(hù)權(quán)限按照功能權(quán)限和組織權(quán)限兩個維度逐層下放。

13）工作范圍權(quán)限：工作范圍權(quán)限可以設(shè)定系統(tǒng)內(nèi)每個成員的組織活動范圍，并可以逐層向下分配。

步驟2）集團(tuán)分權(quán)管理--后臺維護(hù)分權(quán)：

21）門戶維護(hù)：

集團(tuán)總部及分子公司獨立維護(hù)自己的系統(tǒng)界面。

集團(tuán)總部及分子公司獨立維護(hù)門戶信息內(nèi)容和功能菜單。

22）組織人員：

集團(tuán)總部及分子公司獨立維護(hù)組織結(jié)構(gòu)。

集團(tuán)總部及分子公司獨立人員賬號信息。

23）流程管理：

集團(tuán)總部及分子公司獨立維護(hù)工作流程。

集團(tuán)總部及分子公司獨立維護(hù)流程表。

集團(tuán)總部可以復(fù)制總部制度流程給下屬公司。

24）知識維護(hù)：集團(tuán)總部及分子公司獨立維護(hù)自己的知識庫。

25）權(quán)限管理：系統(tǒng)權(quán)限可以按照組織范圍及功能權(quán)限進(jìn)行逐級授權(quán)。

超級管理員分配集團(tuán)總部及下屬公司管理員權(quán)限。

各單位管理員在自己權(quán)限范圍內(nèi)對具體權(quán)限進(jìn)行劃分。

步驟3）集團(tuán)分權(quán)管理--前臺應(yīng)用分權(quán)：

31）門戶管理：

系統(tǒng)界面上：每個分子公司可以有自己獨立的界面：登錄界面和登錄后的使用界面。

門戶內(nèi)容上：集團(tuán)總部除了總部的門戶外，還希望能夠透視到下屬公司的門戶；下屬公司：除了自己本部的門戶外，希望能夠獲取到集團(tuán)下達(dá)的信息資訊。

32）工作流程

集團(tuán)總部和分子公司可以有自己獨立的流程制度。

集團(tuán)總部可以將總部既定的流程復(fù)制給下屬公司使用。

集團(tuán)總部的流程可以下達(dá)到下屬公司可以跟蹤或者不可以跟蹤。

下屬公司的流程可以延伸到集團(tuán)總部審批可以跟蹤和不可以跟蹤。

33）知識模塊

集團(tuán)總部和分子公司可以有自己獨立的知識庫。

集團(tuán)總部人員和下屬公司人員只能在自己的知識庫中創(chuàng)建知識。

集團(tuán)總部可以將總部的部分知識庫分享給下屬公司。

下屬公司可以由相關(guān)人員將一些知識分享給集團(tuán)總部。

34）組織人員：

集團(tuán)總部和下屬公司的組織人員信息能夠相互隔離也可相互透視。

集團(tuán)總部：一般員工只能看到集團(tuán)總部的組織人員信息或者是本部分的人員信息。

下屬公司：一般員工只能看到公司本部的組織人員信息或者是本部分的人員信息。

對于集團(tuán)總部需要與下屬公司發(fā)生業(yè)務(wù)往來，或者下屬公司需要和集團(tuán)總部溝通的人員，可以開放權(quán)限相互可見。

上述描述已經(jīng)詳細(xì)闡述了發(fā)明的說明和描述。它不是為了將本發(fā)明限制為所披露的形式和方式。按照以上的方式，可以進(jìn)行相應(yīng)的修改或更改。討論實例是為了更好地說明本發(fā)明的原理及其實用性,從而利用本發(fā)明進(jìn)行各種修改并滿足其它特定的需求。所有這些修改和變化當(dāng)依照公平和合法的權(quán)利解讀，并且根據(jù)附加權(quán)利要求，這些修改和變化都屬于本發(fā)明的范圍內(nèi)。