本申請(qǐng)涉及權(quán)限管理，具體涉及一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、在數(shù)字化人力資源評(píng)估和區(qū)域賬號(hào)管理不斷強(qiáng)化的當(dāng)下，系統(tǒng)權(quán)限管理面臨著雙重挑戰(zhàn)。一方面，業(yè)務(wù)系統(tǒng)的數(shù)量持續(xù)增長(zhǎng)，隨之而來(lái)的是角色權(quán)限的激增和錯(cuò)綜復(fù)雜的相互關(guān)系。另一方面，對(duì)于數(shù)據(jù)安全和權(quán)限安全的管理要求也日益提高，這要求企業(yè)必須采取更為嚴(yán)格和精細(xì)的措施來(lái)應(yīng)對(duì)。

2、現(xiàn)有基于角色的授權(quán)模型已無(wú)法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場(chǎng)景，導(dǎo)致各類(lèi)賬號(hào)權(quán)限管理問(wèn)題，給企業(yè)經(jīng)營(yíng)發(fā)展帶來(lái)安全隱患。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)的目的在于提供一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法、裝置及存儲(chǔ)介質(zhì)，用以解決現(xiàn)有技術(shù)中的基于角色的授權(quán)模型已無(wú)法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場(chǎng)景，導(dǎo)致各類(lèi)賬號(hào)權(quán)限管理問(wèn)題，給企業(yè)經(jīng)營(yíng)發(fā)展帶來(lái)安全隱患的問(wèn)題。

2、為實(shí)現(xiàn)上述目的，本申請(qǐng)?zhí)峁┮环N多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，包括：

3、建立每個(gè)職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶(hù)授權(quán)；

4、構(gòu)建賬號(hào)權(quán)限稽核模型，對(duì)用戶(hù)權(quán)限進(jìn)行稽核，獲取稽核結(jié)果；

5、對(duì)所述稽核結(jié)果進(jìn)行核查反饋，以對(duì)崗位角色組進(jìn)行反向優(yōu)化。

6、可選地，所述建立每個(gè)職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶(hù)授權(quán)，具體包括：

7、獲取各地區(qū)及部門(mén)人員構(gòu)成、基準(zhǔn)崗位配置、職責(zé)分工，將基準(zhǔn)崗位細(xì)化拆分為具體職能，得到對(duì)應(yīng)的職能崗位，輸出基準(zhǔn)崗位與所述職能崗位的關(guān)聯(lián)關(guān)系；

8、依據(jù)所述具體職能完成所需的權(quán)限最小化原則，梳理職能崗位對(duì)應(yīng)的業(yè)務(wù)系統(tǒng)角色組；

9、基于實(shí)際應(yīng)用場(chǎng)景，獲取基于基準(zhǔn)崗位授權(quán)的崗位管理、查詢(xún)、展示、權(quán)限配置功能。

10、可選地，所述構(gòu)建賬號(hào)權(quán)限稽核模型，對(duì)用戶(hù)權(quán)限進(jìn)行稽核，獲取稽核結(jié)果，具體包括：

11、獲取用戶(hù)的組織級(jí)別、所屬部門(mén)，以及在各個(gè)系統(tǒng)中的實(shí)際角色清單，與用戶(hù)所屬基準(zhǔn)崗位的角色權(quán)限進(jìn)行對(duì)比稽核，判斷用戶(hù)是否越權(quán)及其越權(quán)類(lèi)型；

12、分別按照所述越權(quán)類(lèi)型劃分出三級(jí)預(yù)警級(jí)別；

13、以人員和崗位維度輸出稽核結(jié)果，對(duì)越權(quán)人員和崗位進(jìn)行整改。

14、可選地，所述越權(quán)類(lèi)型分別包括：

15、職能崗位越權(quán)：實(shí)際的系統(tǒng)角色，超過(guò)了該用戶(hù)所屬基準(zhǔn)崗位的系統(tǒng)角色的范圍；

16、部門(mén)越權(quán)：實(shí)際的系統(tǒng)角色，超過(guò)了該用戶(hù)所屬部門(mén)下的所有職能崗位的系統(tǒng)角色的范圍；

17、領(lǐng)導(dǎo)級(jí)別越權(quán)：實(shí)際的系統(tǒng)角色，超過(guò)了該用戶(hù)領(lǐng)導(dǎo)屬性的系統(tǒng)角色的范圍，即非領(lǐng)導(dǎo)的工號(hào)，擁有了領(lǐng)導(dǎo)的角色權(quán)限；

18、組織級(jí)別越權(quán)：實(shí)際的系統(tǒng)角色，超過(guò)了該用戶(hù)所屬組織下的所有職能崗位的系統(tǒng)角色的范圍。

19、可選地，所述三級(jí)預(yù)警級(jí)別包括：最低級(jí)別預(yù)警、中等級(jí)別預(yù)警和最高級(jí)別預(yù)警，其中，所述最低級(jí)別預(yù)警對(duì)應(yīng)職能崗位越權(quán)，所述中等級(jí)別預(yù)警對(duì)應(yīng)部門(mén)越權(quán)，所述最高級(jí)別預(yù)警對(duì)應(yīng)領(lǐng)導(dǎo)級(jí)別越權(quán)和組織級(jí)別越權(quán)。

20、可選地，所述對(duì)稽核結(jié)果進(jìn)行核查反饋，以對(duì)崗位角色組進(jìn)行反向優(yōu)化，具體包括：

21、對(duì)系統(tǒng)自動(dòng)稽核結(jié)果進(jìn)行核查反饋，設(shè)定修訂閾值，對(duì)職能崗位的角色組的反向優(yōu)化，并自動(dòng)更新已授權(quán)賬號(hào)。

22、為實(shí)現(xiàn)上述目的，本申請(qǐng)還提供一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理裝置，包括：存儲(chǔ)器；

23、以及與所述存儲(chǔ)器連接的處理器，所述處理器被配置成執(zhí)行如上所述的方法的步驟。

24、為實(shí)現(xiàn)上述目的，本申請(qǐng)還提供一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，其中所述計(jì)算機(jī)程序被機(jī)器執(zhí)行時(shí)實(shí)現(xiàn)如上所述的方法的步驟。

25、本申請(qǐng)具有如下優(yōu)點(diǎn)：

26、通過(guò)上述方法，將細(xì)碎的權(quán)限聚合到職能崗位這一最小授權(quán)單元，并通過(guò)基準(zhǔn)崗位關(guān)聯(lián)具體職能，管理員只需管理崗位-角色組映射，無(wú)需處理海量分散權(quán)限或創(chuàng)建過(guò)多角色，大幅降低權(quán)限配置復(fù)雜度和管理成本；當(dāng)員工崗位變動(dòng)時(shí)，只需調(diào)整其所屬職能崗位，系統(tǒng)自動(dòng)同步關(guān)聯(lián)的所有系統(tǒng)權(quán)限，改變“逐個(gè)系統(tǒng)手動(dòng)修改”的低效模式，權(quán)限變更響應(yīng)時(shí)間從小時(shí)級(jí)降至分鐘級(jí)，適應(yīng)動(dòng)態(tài)組織調(diào)整；通過(guò)“基準(zhǔn)崗位→職能崗位”的細(xì)化拆分，支持同一員工兼任多部門(mén)崗位，通過(guò)部門(mén)/組織級(jí)別越權(quán)檢測(cè)機(jī)制，確?？绮块T(mén)權(quán)限不沖突；稽核模型自動(dòng)對(duì)比實(shí)際權(quán)限與崗位基準(zhǔn)，識(shí)別4類(lèi)越權(quán)，實(shí)現(xiàn)自動(dòng)化權(quán)限審計(jì)與合規(guī)強(qiáng)化；實(shí)現(xiàn)基于稽核結(jié)果的反向優(yōu)化機(jī)制：自動(dòng)修訂職能崗位角色組。從而解決了現(xiàn)有技術(shù)中的基于角色的授權(quán)模型已無(wú)法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場(chǎng)景，導(dǎo)致各類(lèi)賬號(hào)權(quán)限管理問(wèn)題，給企業(yè)經(jīng)營(yíng)發(fā)展帶來(lái)安全隱患的問(wèn)題。

技術(shù)特征：

1.一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述建立每個(gè)職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶(hù)授權(quán)，具體包括：

3.根據(jù)權(quán)利要求1所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述構(gòu)建賬號(hào)權(quán)限稽核模型，對(duì)用戶(hù)權(quán)限進(jìn)行稽核，獲取稽核結(jié)果，具體包括：

4.根據(jù)權(quán)利要求3所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述越權(quán)類(lèi)型分別包括：

5.根據(jù)權(quán)利要求4所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，

6.根據(jù)權(quán)利要求1所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述對(duì)稽核結(jié)果進(jìn)行核查反饋，以對(duì)崗位角色組進(jìn)行反向優(yōu)化，具體包括：

7.一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理裝置，其特征在于，包括：

8.一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，其特征在于，所述計(jì)算機(jī)程序被機(jī)器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至6中任一項(xiàng)所述的方法的步驟。

技術(shù)總結(jié)
本申請(qǐng)涉及權(quán)限管理技術(shù)領(lǐng)域，具體公開(kāi)了一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法、裝置及存儲(chǔ)介質(zhì)，其中方法包括：建立每個(gè)職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶(hù)授權(quán)；構(gòu)建賬號(hào)權(quán)限稽核模型，對(duì)用戶(hù)權(quán)限進(jìn)行稽核，獲取稽核結(jié)果；對(duì)所述稽核結(jié)果進(jìn)行核查反饋，以對(duì)崗位角色組進(jìn)行反向優(yōu)化。以解決現(xiàn)有技術(shù)中的基于角色的授權(quán)模型已無(wú)法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場(chǎng)景，導(dǎo)致各類(lèi)賬號(hào)權(quán)限管理問(wèn)題，給企業(yè)經(jīng)營(yíng)發(fā)展帶來(lái)安全隱患的問(wèn)題。

技術(shù)研發(fā)人員：王翠云,李定偉,王為民,陶現(xiàn)名,雷躍華,王鐵牛,李丹,常思遠(yuǎn)
受保護(hù)的技術(shù)使用者：中國(guó)鐵塔股份有限公司云南省分公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/8/28