本申請涉及權(quán)限管理，具體涉及一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法、裝置及存儲介質(zhì)。

背景技術(shù)：

1、在數(shù)字化人力資源評估和區(qū)域賬號管理不斷強化的當下，系統(tǒng)權(quán)限管理面臨著雙重挑戰(zhàn)。一方面，業(yè)務(wù)系統(tǒng)的數(shù)量持續(xù)增長，隨之而來的是角色權(quán)限的激增和錯綜復(fù)雜的相互關(guān)系。另一方面，對于數(shù)據(jù)安全和權(quán)限安全的管理要求也日益提高，這要求企業(yè)必須采取更為嚴格和精細的措施來應(yīng)對。

2、現(xiàn)有基于角色的授權(quán)模型已無法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場景，導(dǎo)致各類賬號權(quán)限管理問題，給企業(yè)經(jīng)營發(fā)展帶來安全隱患。

技術(shù)實現(xiàn)思路

1、本申請的目的在于提供一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法、裝置及存儲介質(zhì)，用以解決現(xiàn)有技術(shù)中的基于角色的授權(quán)模型已無法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場景，導(dǎo)致各類賬號權(quán)限管理問題，給企業(yè)經(jīng)營發(fā)展帶來安全隱患的問題。

2、為實現(xiàn)上述目的，本申請?zhí)峁┮环N多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，包括：

3、建立每個職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶授權(quán)；

4、構(gòu)建賬號權(quán)限稽核模型，對用戶權(quán)限進行稽核，獲取稽核結(jié)果；

5、對所述稽核結(jié)果進行核查反饋，以對崗位角色組進行反向優(yōu)化。

6、可選地，所述建立每個職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶授權(quán)，具體包括：

7、獲取各地區(qū)及部門人員構(gòu)成、基準崗位配置、職責(zé)分工，將基準崗位細化拆分為具體職能，得到對應(yīng)的職能崗位，輸出基準崗位與所述職能崗位的關(guān)聯(lián)關(guān)系；

8、依據(jù)所述具體職能完成所需的權(quán)限最小化原則，梳理職能崗位對應(yīng)的業(yè)務(wù)系統(tǒng)角色組；

9、基于實際應(yīng)用場景，獲取基于基準崗位授權(quán)的崗位管理、查詢、展示、權(quán)限配置功能。

10、可選地，所述構(gòu)建賬號權(quán)限稽核模型，對用戶權(quán)限進行稽核，獲取稽核結(jié)果，具體包括：

11、獲取用戶的組織級別、所屬部門，以及在各個系統(tǒng)中的實際角色清單，與用戶所屬基準崗位的角色權(quán)限進行對比稽核，判斷用戶是否越權(quán)及其越權(quán)類型；

12、分別按照所述越權(quán)類型劃分出三級預(yù)警級別；

13、以人員和崗位維度輸出稽核結(jié)果，對越權(quán)人員和崗位進行整改。

14、可選地，所述越權(quán)類型分別包括：

15、職能崗位越權(quán)：實際的系統(tǒng)角色，超過了該用戶所屬基準崗位的系統(tǒng)角色的范圍；

16、部門越權(quán)：實際的系統(tǒng)角色，超過了該用戶所屬部門下的所有職能崗位的系統(tǒng)角色的范圍；

17、領(lǐng)導(dǎo)級別越權(quán)：實際的系統(tǒng)角色，超過了該用戶領(lǐng)導(dǎo)屬性的系統(tǒng)角色的范圍，即非領(lǐng)導(dǎo)的工號，擁有了領(lǐng)導(dǎo)的角色權(quán)限；

18、組織級別越權(quán)：實際的系統(tǒng)角色，超過了該用戶所屬組織下的所有職能崗位的系統(tǒng)角色的范圍。

19、可選地，所述三級預(yù)警級別包括：最低級別預(yù)警、中等級別預(yù)警和最高級別預(yù)警，其中，所述最低級別預(yù)警對應(yīng)職能崗位越權(quán)，所述中等級別預(yù)警對應(yīng)部門越權(quán)，所述最高級別預(yù)警對應(yīng)領(lǐng)導(dǎo)級別越權(quán)和組織級別越權(quán)。

20、可選地，所述對稽核結(jié)果進行核查反饋，以對崗位角色組進行反向優(yōu)化，具體包括：

21、對系統(tǒng)自動稽核結(jié)果進行核查反饋，設(shè)定修訂閾值，對職能崗位的角色組的反向優(yōu)化，并自動更新已授權(quán)賬號。

22、為實現(xiàn)上述目的，本申請還提供一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理裝置，包括：存儲器；

23、以及與所述存儲器連接的處理器，所述處理器被配置成執(zhí)行如上所述的方法的步驟。

24、為實現(xiàn)上述目的，本申請還提供一種計算機存儲介質(zhì)，其上存儲有計算機程序，其中所述計算機程序被機器執(zhí)行時實現(xiàn)如上所述的方法的步驟。

25、本申請具有如下優(yōu)點：

26、通過上述方法，將細碎的權(quán)限聚合到職能崗位這一最小授權(quán)單元，并通過基準崗位關(guān)聯(lián)具體職能，管理員只需管理崗位-角色組映射，無需處理海量分散權(quán)限或創(chuàng)建過多角色，大幅降低權(quán)限配置復(fù)雜度和管理成本；當員工崗位變動時，只需調(diào)整其所屬職能崗位，系統(tǒng)自動同步關(guān)聯(lián)的所有系統(tǒng)權(quán)限，改變“逐個系統(tǒng)手動修改”的低效模式，權(quán)限變更響應(yīng)時間從小時級降至分鐘級，適應(yīng)動態(tài)組織調(diào)整；通過“基準崗位→職能崗位”的細化拆分，支持同一員工兼任多部門崗位，通過部門/組織級別越權(quán)檢測機制，確保跨部門權(quán)限不沖突；稽核模型自動對比實際權(quán)限與崗位基準，識別4類越權(quán)，實現(xiàn)自動化權(quán)限審計與合規(guī)強化；實現(xiàn)基于稽核結(jié)果的反向優(yōu)化機制：自動修訂職能崗位角色組。從而解決了現(xiàn)有技術(shù)中的基于角色的授權(quán)模型已無法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場景，導(dǎo)致各類賬號權(quán)限管理問題，給企業(yè)經(jīng)營發(fā)展帶來安全隱患的問題。

技術(shù)特征：

1.一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述建立每個職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶授權(quán)，具體包括：

3.根據(jù)權(quán)利要求1所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述構(gòu)建賬號權(quán)限稽核模型，對用戶權(quán)限進行稽核，獲取稽核結(jié)果，具體包括：

4.根據(jù)權(quán)利要求3所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述越權(quán)類型分別包括：

5.根據(jù)權(quán)利要求4所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，

6.根據(jù)權(quán)利要求1所述的多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法，其特征在于，所述對稽核結(jié)果進行核查反饋，以對崗位角色組進行反向優(yōu)化，具體包括：

7.一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理裝置，其特征在于，包括：

8.一種計算機存儲介質(zhì)，其上存儲有計算機程序，其特征在于，所述計算機程序被機器執(zhí)行時實現(xiàn)如權(quán)利要求1至6中任一項所述的方法的步驟。

技術(shù)總結(jié)
本申請涉及權(quán)限管理技術(shù)領(lǐng)域，具體公開了一種多組織業(yè)務(wù)系統(tǒng)的角色權(quán)限治理方法、裝置及存儲介質(zhì)，其中方法包括：建立每個職能崗位的系統(tǒng)角色組，將職能崗位作為最小授權(quán)單元為用戶授權(quán)；構(gòu)建賬號權(quán)限稽核模型，對用戶權(quán)限進行稽核，獲取稽核結(jié)果；對所述稽核結(jié)果進行核查反饋，以對崗位角色組進行反向優(yōu)化。以解決現(xiàn)有技術(shù)中的基于角色的授權(quán)模型已無法貼合復(fù)雜、多變的組織區(qū)域架構(gòu)及業(yè)務(wù)場景，導(dǎo)致各類賬號權(quán)限管理問題，給企業(yè)經(jīng)營發(fā)展帶來安全隱患的問題。

技術(shù)研發(fā)人員：王翠云,李定偉,王為民,陶現(xiàn)名,雷躍華,王鐵牛,李丹,常思遠
受保護的技術(shù)使用者：中國鐵塔股份有限公司云南省分公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/8/28