CN115208646B - 一种SaaS应用权限管理方法及*** - Google Patents

一种SaaS应用权限管理方法及*** Download PDF

Info

Publication number
CN115208646B
CN115208646B CN202210782200.1A CN202210782200A CN115208646B CN 115208646 B CN115208646 B CN 115208646B CN 202210782200 A CN202210782200 A CN 202210782200A CN 115208646 B CN115208646 B CN 115208646B
Authority
CN
China
Prior art keywords
application
information
saas
tenant
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210782200.1A
Other languages
English (en)
Other versions
CN115208646A (zh
Inventor
丁旭平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Miaoyi Biotechnology Co ltd
Original Assignee
Shanghai Miaoyi Biotechnology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Miaoyi Biotechnology Co ltd filed Critical Shanghai Miaoyi Biotechnology Co ltd
Priority to CN202210782200.1A priority Critical patent/CN115208646B/zh
Publication of CN115208646A publication Critical patent/CN115208646A/zh
Application granted granted Critical
Publication of CN115208646B publication Critical patent/CN115208646B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种SaaS应用权限管理方法及***,方法包括获取SaaS应用订单;识别SaaS应用订单,以获取租户信息和应用信息;将租户信息和应用信息绑定,并根据应用信息将相应的SaaS应用权限赋予至租户信息;获取租户信息的用户信息;将用户信息与应用信息绑定,并赋予租户信息的SaaS应用权限至用户信息;将租户信息、用户信息推送至SaaS应用***。其优点在于,在多组织情况下,对不同组织下进行了SaaS应用的授权,做到数据隔离;提高了不同租户唯一标识,避免了不同租户在不同的业务***重复登录,解决了多租户的数据隔离;SaaS化应用授权,统一管理了业务侧的应用***的权限。

Description

一种SaaS应用权限管理方法及***
技术领域
本发明涉及数据管理技术领域,尤其涉及一种SaaS应用权限管理方法、***、计算机设备及计算机可读存储介质。
背景技术
临床研究项目***繁多,现有临床研究平台,在***内做了SaaS应用的统一入口,因每个用户有不同的应用权限且在不同的业务***有不同的***权限,并且每个租户下,组织成员对应的权限也是不同的。由于每个业务***单独都有自己的用户体系,导致无法处理不同住租户下、不同用户所对应的SaaS应用权限。
目前平台面临的问题主要是:在SaaS化应用功能中,当出现多个组织、多个用户以及同一个用户在不同的组织时,数据不能很好的做到数据隔离。
目前,针对相关技术中存在的多租户数据无法隔离、应用权限无法良好配置等问题,尚未提出有效的解决方案。
发明内容
本申请的目的是针对现有技术中的不足,提供一种SaaS应用权限管理方法、***、计算机设备及计算机可读存储介质,以至少解决相关技术中存在的多租户无法数据隔离、多租户数据无法隔离、应用权限无法良好配置等问题。
为实现上述目的,本申请采取的技术方案是:
第一方面,本发明提供一种SaaS应用权限管理方法,包括:
获取SaaS应用订单;
识别所述SaaS应用订单,以获取租户信息和应用信息;
将所述租户信息和所述应用信息绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息;
获取所述租户信息的用户信息;
将所述用户信息与所述应用信息绑定,并赋予所述租户信息的所述SaaS应用权限至所述用户信息;
将所述租户信息、所述用户信息推送至SaaS应用***。
在其中的一些实施例中,还包括:
识别所述应用信息,以获得SaaS应用和对应的有效时间;
根据所述有效时间,设定定时任务;
在所述定时任务被触发的情况下,更改所述SaaS应用的状态为已到期,并将所述应用信息与所述租户信息、所述用户信息解绑;
将所述租户信息、所述用户信息推送至SaaS应用***。
在其中的一些实施例中,还包括:
获取用户的登录指令;
根据所述登录指令,获取所述用户信息的令牌信息,其中,所述令牌信息为所述用户信息的认证唯一标识;
获取SaaS应用访问指令,其中,所述SaaS应用访问指令包括地址信息和所述令牌信息;
根据所述SaaS应用访问指令,对所述令牌信息进行鉴权;
在鉴权成功的情况下,访问SaaS应用。
在其中的一些实施例中,将所述租户信息/所述用户信息与所述应用信息绑定包括:
获取所述应用信息的所有SaaS应用;
将一所述SaaS应用与所述租户信息/所述用户信息进行绑定;
重复上述步骤,直至所有所述SaaS应用与所述租户信息/所述用户信息绑定。
在其中的一些实施例中,还包括:
获取所述用户信息所对应的所述应用信息;
将所述应用信息的应用状态更改为禁用,其中,所述禁用是指保留关系。
在其中的一些实施例中,还包括:
获取所述用户信息所对应的所述应用信息以及过期应用列表;
将所述过期应用列表的状态更改为过期,以及将所述应用信息的应用状态更改为启用。
在其中的一些实施例中,在识别所述SaaS应用订单之后,还包括:
获取所述租户信息的已有应用信息;
比较所述应用信息与所述已有应用信息,以获得未取消应用、取消应用和新增应用;
将所述未取消应用的应用状态更改为正常;
将所述租户信息和所述新增应用的所述应用信息绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息;
将所述取消应用的应用状态由停用更改为禁用,其中,所述禁用是指保留关系。
在其中的一些实施例中,还包括:
获取所述用户信息的用户应用信息和所述租户信息的租户应用信息;
比较所述用户应用信息与所述租户应用信息,以获得取消应用和新增应用;
获取所述用户信息的用户状态;
在所述用户状态为正常的情况下,取消所述用户信息的所述取消应用的SaaS应用权限,将所述用户信息与所述新增应用的所述应用信息进行绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息;
在所述用户状态为禁用的情况下,取消所述用户信息的所述取消应用的SaaS应用权限,将所述用户信息与所述新增应用的所述应用信息进行绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息,并将所述新增应用的应用状态更改为禁用。
第二方面,本发明提供一种SaaS应用权限管理***,应用于如第一方面所述的SaaS应用权限管理方法,包括:
订单管理单元,用于获取并管理SaaS应用订单;
帐号管理单元,用于管理租户信息和用户信息;
SaaS应用单元,用于对接SaaS应用***。
第三方面,本发明提供一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的SaaS应用权限管理方法。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的SaaS应用权限管理方法。
相比于相关技术,本申请实施例提供的一种SaaS应用权限管理方法、***、计算机设备及计算机可读存储介质,在多组织情况下,对不同组织下进行了SaaS应用的授权,做到数据隔离;提高了不同租户唯一标识,避免了不同租户在不同的业务***重复登录,解决了多租户的数据隔离;SaaS化应用授权,统一管理了业务侧的应用***的权限。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的SaaS应用权限管理方法的流程图(一);
图2是根据本申请实施例的SaaS应用权限管理方法的流程图(二);
图3是根据本申请实施例的SaaS应用权限管理方法的流程图(三);
图4是根据本申请实施例的SaaS应用权限管理方法的流程图(四);
图5是根据本申请实施例的SaaS应用权限管理方法的流程图(五);
图6是根据本申请实施例的SaaS应用权限管理方法的流程图(六);
图7是根据本申请实施例的SaaS应用权限管理方法的流程图(七);
图8是根据本申请实施例的SaaS应用权限管理***的框架图;
图9是根据本申请实施例的SaaS应用权限管理方法的具体实施流程图(一);
图10是根据本申请实施例的SaaS应用权限管理方法的具体实施例流程图(二)。
其中的附图标记为:810、订单管理单元;820、账号管理单元;830、SaaS应用单元。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或单元(单元)的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
实施例1
图1是根据本申请实施例的SaaS应用权限管理方法的流程图(一)。如图1所示,一种SaaS应用权限管理方法,包括:
步骤S102、获取SaaS应用订单;
步骤S104、识别SaaS应用订单,以获取租户信息和应用信息;
步骤S106、将租户信息和应用信息绑定,并根据应用信息将相应的SaaS应用权限赋予至租户信息;
步骤S108、获取租户信息的用户信息;
步骤S110、将用户信息与应用信息绑定,并赋予租户信息的SaaS应用权限至用户信息;
步骤S112、将租户信息、用户信息推送至SaaS应用***。
在步骤S102中,SaaS应用订单包括新SaaS应用订单和续费SaaS应用订单。其中,新SaaS应用订单是指未购买SaaS应用服务的租户创建的订单;续费SaaS应用订单是指已购买SaaS应用服务的租户对SaaS应用服务进行续费的订单。
在步骤S104中,租户信息包括租户帐号、租户属性等,如租户ID、租户地址、租户IP、租户规模、应用列表等。
在步骤S104中,应用信息包括SaaS应用名称、购买时间、到期时间、SaaS应用版本等。
在步骤S102~步骤S104中,获取SaaS应用订单、租户信息和应用信息的目的是,将不同的租户通过SaaS应用订单进行数据隔离;此外,对于单一租户开通多SaaS应用的情况,也是通过SaaS应用订单进行数据隔离,不同SaaS应用之间不进行数据互通。
在步骤S106中,将SaaS应用绑定至租户帐号(租户ID),并将SaaS应用权限赋予至租户帐号。
具体地,在绑定之后,登录租户帐号可以看到相应的SaaS应用的状态,包括正常、停用、禁用、过期/到期;租户帐号的管理者可以根据赋予的SaaS应用权限制定相应的权限管理规则,从而控制使用相应SaaS应用的人员权限,如部分人员可以使用该SaaS应用,部分人员无法使用该SaaS应用;或者,可以设置SaaS应用的使用时限/次数。
在步骤S108中,用户信息包括用户账号、用户属性等,如用户ID、用户IP、用户状态、应用列表等。
在步骤S110中,将SaaS应用绑定至用户帐号(用户ID),并将SaaS应用权限赋予至用户帐号。
在此步骤中,可以一次性批量对租户下的多个用户进行SaaS应用权限授权,减少租户帐号的管理者的操作步骤。
具体地,在步骤S110中,获取用户信息包括以下两种方法:
(一)租户在创建租户账号时,批量生成用户账号,并将用户帐号与租户帐号进行绑定,此时,通过租户信息即可获取用户信息;
(二)用户在创建用户帐号时,填写相应的租户信息(租户帐号、租户名称等),并进行用户帐号与租户帐号绑定,在验证鉴权通过的情况下,绑定成功,此时无须通过租户信息即可获取用户信息。
在步骤S112中,推送租户信息和用户信息至SaaS应用***的目的是,使SaaS应用***记录租户信息和用户信息,在租户信息/用户信息具有SaaS应用权限的情况下,无须登录步骤,租户/用户即可访问SaaS应用。
对于步骤S112,其目的是为了保持各SaaS应用***之间的用户数据信息、用户权限信息相一致。
通过上述步骤,租户/用户在SaaS应用平台创建帐号并购买相应SaaS应用服务,SaaS应用平台将租户信息/用户信息统一推送至相应的SaaS应用***,免去租户/用户需要多次注册账号的繁琐步骤,实现一账号登录不同SaaS应用的目的;通过SaaS应用订单,将多租户及其对应的多应用在数据层面实现数据隔离;可以保持各SaaS应用***之间用户数据信息、用户权限信息相一致;对租户下的不同用户进行批量授权。
图2是根据本申请实施例的SaaS应用权限管理方法的流程图(二)。如图2所示,还包括:
步骤S202、识别应用信息,以获得SaaS应用和对应的有效时间;
步骤S204、根据有效时间,设定定时任务;
步骤S206、在定时任务被触发的情况下,更改SaaS应用的状态为已到期,并将应用信息与租户信息、用户信息解绑;
步骤S208、将租户信息、用户信息推送至SaaS应用***。
在步骤S202中,有效时间是指SaaS应用可以正常使用的时间,即其包括开始日期和截止日期,一般为年月日。在特殊情况下可以精确到时分秒。
在步骤S204中,定时任务为在截止日期后一定时间内,更改SaaS应用状态,并取消SaaS应用权限。
在步骤S208中,在被解绑后推送相关租户信息和用户信息至SaaS应用***,使得租户/用户无法通过SaaS应用平台登录/访问SaaS应用,也无法直接通过SaaS应用的登录界面进行登录,确保用户数据信息、用户权限信息一致。
图3是根据本申请实施例的SaaS应用权限管理方法的流程图(三)。如图3所示,还包括:
步骤S302、获取用户的登录指令;
步骤S304、根据登录指令,获取用户信息的令牌信息,其中,令牌信息为用户信息的认证唯一标识;
步骤S306、获取SaaS应用访问指令,其中,SaaS应用访问指令包括地址信息和令牌信息;
步骤S308、根据SaaS应用访问指令,对令牌信息进行鉴权;
步骤S310、在鉴权成功的情况下,访问SaaS应用。
在步骤S302中,获取用户的登录指令是指,用户登录SaaS应用平台,而非用户登录SaaS应用。
在步骤S304中,获取用户信息的令牌信息包括根据用户的手机号、邮箱等生成Token信息。
在步骤S306中,获取SaaS应用访问指令是指,用户点击SaaS应用并跳转SaaS应用,会生成***(即URL),该***会携带Token信息。
在步骤S308中,具体包括:
SaaS应用***获取***携带的Token信息;
SaaS应用将该Token信息发送至SaaS应用平台;
SaaS应用平台通过该Token信息对用户信息(用户帐号)进行鉴权。
在步骤S310中,在鉴权成功的情况下,访问SaaS应用是指直接跳转至SaaS应用登录成功之后的页面。
在步骤S308之后,还包括:
在鉴权失败的情况下,跳转至SaaS应用的登录界面。
通过上述步骤,对用户信息进行鉴权,无须用户进行二次登录操作,减少步骤,提高效率。
图4是根据本申请实施例的SaaS应用权限管理方法的流程图(四)。如图4所示,将租户信息/用户信息与应用信息绑定包括:
步骤S402、获取应用信息的所有SaaS应用;
步骤S404、将一SaaS应用与租户信息/用户信息进行绑定;
步骤S406、重复上述步骤,直至所有SaaS应用与租户信息/用户信息绑定。
通过上述步骤,将SaaS应用逐一与租户/用户进行绑定,避免出现遗漏、绑定不成功等问题。
图5是根据本申请实施例的SaaS应用权限管理方法的流程图(五)。如图5所示,还包括:
步骤S502a、获取用户信息所对应的应用信息;
步骤S504a、将应用信息的应用状态更改为禁用,其中,禁用是指保留关系。
对于步骤S502a和步骤S504a,其前提包括SaaS应用到期、用户状态异常等。
在步骤S502a中,应用信息包括有权限的SaaS应用(即有效应用)和没有权限的SaaS应用(即过期应用)。
其中,在步骤S504a中,将全部的SaaS应用设置为禁用。
在步骤S504a中,设置禁用的目的是使该用户无法使用SaaS应用。具体地,租户帐号的管理员可以根据用户状态设定用户相应的应用权限。
步骤S502b、获取用户信息所对应的应用信息以及过期应用列表;
步骤S504b、将过期应用列表的状态更改为过期,以及将应用信息的应用状态更改为启用。
对于步骤S502b~步骤S504b,其前提包括原有SaaS应用订单已到期并对续费SaaS应用订单。
图6是根据本申请实施例的SaaS应用权限管理方法的流程图(六)。如图6所示,在识别SaaS应用订单之后,还包括:
步骤S602、获取租户信息的已有应用信息;
步骤S604、比较应用信息与已有应用信息,以获得未取消应用、取消应用和新增应用;
步骤S606、将未取消应用的应用状态更改为正常;
步骤S608、将租户信息和新增应用的应用信息绑定,并根据应用信息将相应的SaaS应用权限赋予至租户信息;
步骤S610、将取消应用的应用状态由停用更改为禁用,其中,禁用是指保留关系。
在步骤S602~步骤S610中,其前提为该租户之前创建过SaaS应用订单,并新创建SaaS应用订单。
在步骤S602~步骤S604中,已有应用信息为旧SaaS应用订单购买的SaaS应用,应用信息为新SaaS应用订单购买的SaaS应用。
在步骤S604中,未取消应用是指SaaS应用在旧SaaS应用订单和新SaaS应用订单均存在,取消应用是指SaaS应用仅在旧SaaS应用订单存在,新增应用是指SaaS应用仅在新SaaS应用订单存在。
在步骤S606中,未取消应用的应用状态包括过期、停用、禁用等。
在步骤S608中,新增应用的应用状态为正常。
通过上述步骤,对SaaS应用订单进行智能识别,并进行比较判断,确保租户/用户的SaaS应用权限正常,避免出现异常访问。
图7是根据本申请实施例的SaaS应用权限管理方法的流程图(七)。如图7所示,还包括:
步骤S702、获取用户信息的用户应用信息和租户信息的租户应用信息;
步骤S704、比较用户应用信息与租户应用信息,以获得取消应用和新增应用;
步骤S706、获取用户信息的用户状态;
步骤S708、在用户状态为正常的情况下,取消用户信息的取消应用的SaaS应用权限,将用户信息与新增应用的应用信息进行绑定,并根据应用信息将相应的SaaS应用权限赋予至租户信息;
步骤S710、在用户状态为禁用的情况下,取消用户信息的取消应用的SaaS应用权限,将用户信息与新增应用的应用信息进行绑定,并根据应用信息将相应的SaaS应用权限赋予至租户信息,并将新增应用的应用状态更改为禁用。
在本实施例中,步骤S702~步骤S710一般在步骤S602~步骤S610之后;或者,步骤S702~步骤S710独立于步骤S602~步骤S610执行(如租户帐号管理员进行操作)。
在步骤S704中,还包括未取消应用。
在步骤S708中,取消应用的应用状态为停用,新增应用的应用状态为正常,未取消应用的应用状态为正常。
在步骤S708中,在用户状态为禁用的情况下,取消应用、新增应用或未取消应用的应用状态均为禁用。
通过上述步骤,可以根据用户状态对SaaS应用的应用状态进行更改,使得正常用户正常使用SaaS应用,禁用用户无法使用SaaS应用。
图8是根据本申请实施例的SaaS应用权限管理***的框架图。如图8所示,一种SaaS应用权限管理***,应用于如上所述的SaaS应用权限管理方法,包括订单管理单元810、帐号管理单元820和SaaS应用单元830。其中,订单管理单元810用于获取并管理SaaS应用订单;帐号管理单元820用于管理租户信息和用户信息;SaaS应用单元830用于对接SaaS应用***。
在其中的一些实施例中,SaaS应用权限管理***为SaaS应用平台,其与多个SaaS应用***对接。
另外,本申请实施例的SaaS应用权限管理方法可以由计算机设备来实现。计算机设备的组件可以包括但不限于处理器以及存储有计算机程序指令的存储器。
在一些实施例中,处理器可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
在一些实施例中,存储器可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器可包括硬盘驱动器(HardDiskDrive,简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(UniversalSerial Bus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器可在数据处理装置的内部或外部。在特定实施例中,存储器是非易失性(Non-Volatile)存储器。在特定实施例中,存储器包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器所执行的可能的计算机程序指令。
处理器通过读取并执行存储器中存储的计算机程序指令,以实现上述实施例中的任意一种SaaS应用权限管理方法。
在其中一些实施例中,计算机设备还可包括通信接口和总线。其中,处理器、存储器、通信接口通过总线连接并完成相互间的通信。
通信接口用于实现本申请实施例中各单元、装置、单元和/或设备之间的通信。通信接口还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(FrontSide Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、***组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以执行本申请实施例中的SaaS应用权限管理方法。
另外,结合上述实施例中的SaaS应用权限管理方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种SaaS应用权限管理方法。
实施例2
本实施例为本发明的一个具体应用实施例。
一种SaaS应用平台,包括订单管理模块、用户授权模块和授权及推送数据模块(用于授权及推送数据至SaaS应用),具体的流程如图9所示。
在订单管理模块中,创建SaaS应用订单,在订单中区分不同租户,一个租户开通一个或多个SaaS化应用;加入应用有效期限制,做到一个租户在指定时间内,SaaS应用的可使用性;这样做,就把多租户对应的多应用在数据层面实现数据隔离。
在用户授权模块中,在不同的组织下,组织管理员可以给当前组织下成员进行SaaS应用授权;组织管理员可以给成员进行不同SaaS应用的授权,用户的授权信息和组织SaaS应用订单中应用信息一致。
在授权及推送数据模块中,管理员可通过组织购买的SaaS应用订单对用户的SaaS应用进行授权,授权的同时,为了保持各SaaS应用***间,用户的数据信息、权限信息一致。需要推送到各SaaS应用***。
图10是根据本申请实施例的SaaS应用权限管理方法的具体实施例流程图(二)。如图10所示,组织帐号应用授权流程如下:
(一)组织应用购买成功/续费
获取orgid组织id、grantList(appid应用id、actList[actid、roleType、actStatu])、doAll:是否操作已有;
进行批量授权:
将传入的actLisy和查询到已有帐号列表整合(根据doAll);
循环对帐号对应appid应用进行授权(对停用状态用户授权为禁用;对正常状态用户授权改为正常(包含到期的))。
(二)用户应用授权/取消授权
获取orgid组织id、actid帐号id、appList应用列表、roleType用户角色、actStatu账号状态(启用或禁用)、unbundOrgid(需要解绑的组织id);
用户的帐号状态为启用:
取消需要解绑组织id下所有应用;
比对当前组织id下目标应用和已有应用得出取消授权和新增授权;
新增应用状态为正常;
取消应用授权。
用户的帐号状态为禁用:
取消需要解绑组织id下所有应用;
比对当前组织id下目标应用和已有应用得出取消授权和新增授权;
新增应用状态为禁用;
取消应用授权。
(三)用户禁用
获取orgid组织id、actid帐号id、roleType用户角色;
查询出所有应用;
所有应用变为禁用(包含过期应用)。
(四)用户启用
获取orgid组织id、actid帐号id、overAppList过期应用列表、roleType用户角色;
查询出所有应用;
OverAppList变成过期
禁用的变成启用。
(五)应用授权到期
获取orgid组织id、appList应用列表、doType(禁用(保留关系)、取消授权);
批量取消授权:循环操作应用,以取消所有授权已有都变成取消;
批量禁用:循环操作应用,将正常改为过期,禁用的不变。
对于(一)~(五),其还包括:
根据组织用户汇总本次新增绑定应用;
根据组织应用汇总本次取消授权的应用(到期、禁用、解绑);
根据以上组装队列。
对于(一)~(五),其还包括循环调用以下内容:
汇总用户本次新增绑定应用;
汇总本次操作之后帐号需要解绑的应用。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种SaaS应用权限管理方法,其特征在于,包括:
获取SaaS应用订单,其中,所述SaaS应用订单包括新SaaS应用订单、续费SaaS应用订单;
识别所述SaaS应用订单,以获取租户信息和应用信息,其中,所述租户信息包括租户帐号和租户属性,所述应用信息包括SaaS应用名称、购买时间、到期时间和SaaS应用版本;
将所述租户信息和所述应用信息绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息;
获取所述租户信息的用户信息,其中,所述用户信息包括用户帐号和用户属性;
将所述用户信息与所述应用信息绑定,并赋予所述租户信息的所述SaaS应用权限至所述用户信息;
将所述租户信息、所述用户信息推送至SaaS应用***;
其中,所述SaaS应用权限管理方法还包括:
获取用户的登录指令;
根据所述登录指令,获取所述用户信息的令牌信息,其中,所述令牌信息为所述用户信息的认证唯一标识;
获取SaaS应用访问指令,其中,所述SaaS应用访问指令包括地址信息和所述令牌信息;
根据所述SaaS应用访问指令,对所述令牌信息进行鉴权;
在鉴权成功的情况下,访问SaaS应用;
其中,根据所述SaaS应用访问指令,对所述令牌信息进行鉴权包括:
SaaS应用***获取***携带的Token信息;
SaaS应用将该Token信息发送至SaaS应用平台;
SaaS应用平台通过该Token信息对用户信息进行鉴权。
2.根据权利要求1所述的SaaS应用权限管理方法,其特征在于,还包括:
识别所述应用信息,以获得SaaS应用和对应的有效时间;
根据所述有效时间,设定定时任务;
在所述定时任务被触发的情况下,更改所述SaaS应用的状态为已到期,并将所述应用信息与所述租户信息、所述用户信息解绑;
将所述租户信息、所述用户信息推送至SaaS应用***。
3.根据权利要求1所述的SaaS应用权限管理方法,其特征在于,将所述租户信息/所述用户信息与所述应用信息绑定包括:
获取所述应用信息的所有SaaS应用;
将一所述SaaS应用与所述租户信息/所述用户信息进行绑定;
重复上述步骤,直至所有所述SaaS应用与所述租户信息/所述用户信息绑定。
4.根据权利要求1所述的SaaS应用权限管理方法,其特征在于,还包括:
获取所述用户信息所对应的所述应用信息;
将所述应用信息的应用状态更改为禁用,其中,所述禁用是指保留关系;和/或
获取所述用户信息所对应的所述应用信息以及过期应用列表;
将所述过期应用列表的状态更改为过期,以及将所述应用信息的应用状态更改为启用。
5.根据权利要求1所述的SaaS应用权限管理方法,其特征在于,在识别所述SaaS应用订单之后,还包括:
获取所述租户信息的已有应用信息;
比较所述应用信息与所述已有应用信息,以获得未取消应用、取消应用和新增应用;
将所述未取消应用的应用状态更改为正常;
将所述租户信息和所述新增应用的所述应用信息绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息;
将所述取消应用的应用状态由停用更改为禁用,其中,所述禁用是指保留关系。
6.根据权利要求1所述的SaaS应用权限管理方法,其特征在于,还包括:
获取所述用户信息的用户应用信息和所述租户信息的租户应用信息;
比较所述用户应用信息与所述租户应用信息,以获得取消应用和新增应用;
获取所述用户信息的用户状态;
在所述用户状态为正常的情况下,取消所述用户信息的所述取消应用的SaaS应用权限,将所述用户信息与所述新增应用的所述应用信息进行绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息;
在所述用户状态为禁用的情况下,取消所述用户信息的所述取消应用的SaaS应用权限,将所述用户信息与所述新增应用的所述应用信息进行绑定,并根据所述应用信息将相应的SaaS应用权限赋予至所述租户信息,并将所述新增应用的应用状态更改为禁用。
7.一种SaaS应用权限管理***,应用于如权利要求1~6任一所述的SaaS应用权限管理方法,其特征在于,包括:
订单管理单元,用于获取并管理SaaS应用订单;
帐号管理单元,用于管理租户信息和用户信息;
SaaS应用单元,用于对接SaaS应用***。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1~6任一所述的SaaS应用权限管理方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~6任一所述的SaaS应用权限管理方法。
CN202210782200.1A 2022-07-03 2022-07-03 一种SaaS应用权限管理方法及*** Active CN115208646B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210782200.1A CN115208646B (zh) 2022-07-03 2022-07-03 一种SaaS应用权限管理方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210782200.1A CN115208646B (zh) 2022-07-03 2022-07-03 一种SaaS应用权限管理方法及***

Publications (2)

Publication Number Publication Date
CN115208646A CN115208646A (zh) 2022-10-18
CN115208646B true CN115208646B (zh) 2024-03-26

Family

ID=83578709

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210782200.1A Active CN115208646B (zh) 2022-07-03 2022-07-03 一种SaaS应用权限管理方法及***

Country Status (1)

Country Link
CN (1) CN115208646B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036856A (zh) * 2011-10-09 2013-04-10 镇江金软计算机科技有限责任公司 基于saas应用的多租户***实现
CN104123616A (zh) * 2014-07-25 2014-10-29 南京邮电大学 一种面向多租户的云计算***
US9774586B1 (en) * 2015-08-31 2017-09-26 EMC IP Holding Company LLC Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles
WO2018188437A1 (zh) * 2017-04-13 2018-10-18 华为技术有限公司 一种多租户数据隔离方法、装置及***
CN111950866A (zh) * 2020-07-24 2020-11-17 合肥森亿智能科技有限公司 基于角色的多租户组织结构管理***、方法、设备和介质
CN112667639A (zh) * 2020-12-31 2021-04-16 恩亿科(北京)数据科技有限公司 基于SaaS多租户的权限设计方法、***、设备及存储介质
WO2021169112A1 (zh) * 2020-02-28 2021-09-02 平安国际智慧城市科技股份有限公司 基于共享权限的业务数据处理方法、装置、设备和介质
CN113761506A (zh) * 2020-09-24 2021-12-07 北京京东拓先科技有限公司 权限管理方法和装置
CN113839942A (zh) * 2021-09-22 2021-12-24 上海妙一生物科技有限公司 一种用户权限管理方法、装置、设备及存储介质
CN113901429A (zh) * 2021-09-06 2022-01-07 特赞(上海)信息科技有限公司 多租户***的访问方法及装置
CN114417300A (zh) * 2022-01-11 2022-04-29 浪潮云信息技术股份公司 多租户用户访问控制***及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120045586A (ko) * 2010-10-29 2012-05-09 한국전자통신연구원 다중 테넌트용 SaaS 애플리케이션 설정 장치 및 방법
KR20120062514A (ko) * 2010-12-06 2012-06-14 한국전자통신연구원 SaaS 환경에서의 권한 관리 장치 및 방법
US9043458B2 (en) * 2013-03-19 2015-05-26 Cognizant Technology Solutions India Pvt. Ltd. Framework for facilitating implementation of multi-tenant SaaS architecture

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036856A (zh) * 2011-10-09 2013-04-10 镇江金软计算机科技有限责任公司 基于saas应用的多租户***实现
CN104123616A (zh) * 2014-07-25 2014-10-29 南京邮电大学 一种面向多租户的云计算***
US9774586B1 (en) * 2015-08-31 2017-09-26 EMC IP Holding Company LLC Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles
WO2018188437A1 (zh) * 2017-04-13 2018-10-18 华为技术有限公司 一种多租户数据隔离方法、装置及***
WO2021169112A1 (zh) * 2020-02-28 2021-09-02 平安国际智慧城市科技股份有限公司 基于共享权限的业务数据处理方法、装置、设备和介质
CN111950866A (zh) * 2020-07-24 2020-11-17 合肥森亿智能科技有限公司 基于角色的多租户组织结构管理***、方法、设备和介质
CN113761506A (zh) * 2020-09-24 2021-12-07 北京京东拓先科技有限公司 权限管理方法和装置
CN112667639A (zh) * 2020-12-31 2021-04-16 恩亿科(北京)数据科技有限公司 基于SaaS多租户的权限设计方法、***、设备及存储介质
CN113901429A (zh) * 2021-09-06 2022-01-07 特赞(上海)信息科技有限公司 多租户***的访问方法及装置
CN113839942A (zh) * 2021-09-22 2021-12-24 上海妙一生物科技有限公司 一种用户权限管理方法、装置、设备及存储介质
CN114417300A (zh) * 2022-01-11 2022-04-29 浪潮云信息技术股份公司 多租户用户访问控制***及方法

Also Published As

Publication number Publication date
CN115208646A (zh) 2022-10-18

Similar Documents

Publication Publication Date Title
US9754091B2 (en) Restricted accounts on a mobile platform
CN110417730B (zh) 多应用程序的统一接入方法及相关设备
US11722315B2 (en) Factory data storage and recovery
CN109196891B (zh) 一种签约数据集的管理方法、终端及服务器
KR102194061B1 (ko) 권한 취소 방법 및 디바이스
CN104272318B (zh) 软件分发***、软件分发方法
CN110213290A (zh) 数据获取方法、api网关以及存储介质
CN109117605A (zh) 一种鉴权方法及其装置、设备和存储介质
CN110032834B (zh) ***授权控制方法、终端设备及存储介质
CN115208646B (zh) 一种SaaS应用权限管理方法及***
CN103559430B (zh) 基于安卓***的应用账号管理方法和装置
CN112948866A (zh) 一种数据处理方法、装置、设备及可读存储介质
US20100161710A1 (en) Application services at a terminal
CN110366164B (zh) 远程控制终端的方法、服务器、终端及计算设备
CN111753268A (zh) 一种单点登录方法、装置、存储介质及移动终端
CN112433985A (zh) 控制提交给计算***的信息的组合
CN116305217A (zh) 多租户管理方法、装置、计算机设备及存储介质
CN111310166A (zh) 权限管理方法、装置、设备及存储介质
CN111045725A (zh) 代码管理***的控制方法、装置及存储介质
CN107707550B (zh) 访问虚拟机的方法、装置及***
CN113792285B (zh) 一种核电站业务权限控制方法、装置及终端设备
CN106503493B (zh) 一种应用权限管理方法及***
CN114861160A (zh) 提升非管理员账户权限的方法及装置、设备、存储介质
CN103957210A (zh) 智能卡及其安全控制方法、装置和***
CN112311716B (zh) 一种基于openstack的数据访问控制方法、装置及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant