用户身份管理方法、系统和计算机可读存储介质.pdf

《用户身份管理方法、系统和计算机可读存储介质.pdf》由会员分享，可在线阅读，更多相关《用户身份管理方法、系统和计算机可读存储介质.pdf（15页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910321501.2 (22)申请日 2019.04.19 (71)申请人 广东中安金狮科创有限公司 地址 518000 广东省深圳市福田区福保街 道石厦社区石厦北二街西新天世纪商 务中心A3503 (72)发明人 张少煌冯卫国 (74)专利代理机构 深圳市世纪恒程知识产权代 理事务所 44287 代理人 胡海国 (51)Int.Cl. G06F 21/45(2013.01) G06F 21/60(2013.01) (54)发明名称 用户身份管理方法、 系统和计算机可读存。

2、储 介质 (57)摘要 本发明公开了一种用户身份管理方法， 所述 用户身份管理方法包括以下步骤： 获取用户的账 户信息， 并根据所述账户信息确定所述用户在各 个组织中的身份； 根据所述身份， 对所述用户在 所述组织中进行权限配置以及资源配置， 以得到 所述用户在所述组织中的各个第一标识， 其中， 所述第一标识包括资源标识、 条件标识、 权限标 识以及业务系统标识中的至少一个； 将所述第一 标识、 所述第一标识对应的组织与所述账户信息 绑定。 本发明还提供一种用户身份管理系统以及 计算机可读存储介质。 本发明简化了用户的身份 管理的流程， 降低了用户身份管理系统的设计难 度， 进而降低了用户身份。

3、的管理成本。 权利要求书2页 说明书10页 附图2页 CN 110084033 A 2019.08.02 CN 110084033 A 1.一种用户身份管理方法， 其特征在于， 所述用户身份管理方法包括以下步骤： 获取用户的账户信息， 并根据所述账户信息确定所述用户在各个组织中的身份； 根据所述身份， 对所述用户在所述组织中进行权限配置以及资源配置， 以得到所述用 户在所述组织中的各个第一标识， 其中， 所述第一标识包括资源标识、 条件标识、 权限标识 以及业务系统标识中的至少一个； 将所述第一标识、 所述第一标识对应的组织与所述账户信息绑定。 2.如权利要求1所述的用户身份管理方法， 其特征。

4、在于， 所述根据所述身份， 对所述用 户在所述组织中进行权限配置以及资源配置的步骤包括： 依次以各个所述身份作为当前身份， 并根据所述当前身份确定所述用户所在的当前组 织； 确定所述当前身份在所述当前组织中的岗位， 并根据所述岗位对所述用户在所述当前 组织中进行权限配置以及资源配置。 3.如权利要求2所述的用户身份管理方法， 其特征在于， 所述确定所述当前身份在所述 当前组织中的岗位的步骤之后， 还包括： 确定所述当前组织是否设置权限策略； 在所述当前组织未设置权限策略时， 执行所述根据所述岗位对所述用户在所述当前组 织中进行权限配置以及资源配置的步骤。 4.如权利要求3所述的用户身份管理方法。

5、， 其特征在于， 所述确定所述当前组织是否设 置权限策略的步骤之后， 还包括： 在所述当前组织设置权限策略时， 根据所述权限策略以及所述岗位对所述用户在当前 组织中进行权限配置， 并根据所述岗位对所述用户在当前组织中进行资源配置。 5.如权利要求1所述的用户身份管理方法， 其特征在于， 所述获取用户的账户信息的步 骤之后， 还包括： 根据所述账户信息确定所述用户所在的账户体系， 其中， 所述账户体系包括个人账户 体系以及组织账户体系； 在所述用户所在的账户体系为组织账户体系时， 执行所述根据所述账户信息确定所述 用户在各个组织中的身份的步骤。 6.如权利要求5所述的用户身份管理方法， 其特征在。

6、于， 所述根据所述账户信息确定所 述用户所在的账户体系的步骤之后， 还包括： 在所述用户所在的账户体系为个人账户体系时， 判断所述用户在所述个人账户体系中 的身份是否从属于所述组织账户体系中的各个组织； 在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或多个 组织时， 执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤。 7.如权利要求6所述的用户身份管理方法， 其特征在于， 所述判断所述用户在所述个人 账户体系中的身份是否从属于所述组织账户体系中的各个组织的步骤之后， 还包括： 在所述用户在所述个人账户体系中的身份与所述组织账户体系中的各个组织无关联 时， 对所。

7、述用户在所述个人账户体系进行资源配置以及权限配置， 以得到所述用户在所述 个人账户体系中的各个第二标识； 将各个所述第二标识以及所述账户信息在所述个人账户信息中进行绑定。 权利要求书 1/2 页 2 CN 110084033 A 2 8.如权利要求1-7任一项所述的用户身份管理方法， 其特征在于， 所述获取用户的账户 信息的步骤之前， 还包括： 在接收到用户的账户注册完成信息时， 根据所述账户注册完成信息获取账户信息； 根据所述账户信息对所述用户进行身份认证； 在所述用户的身份认证通过后， 在各个系统中对所述用户进行访问授权， 以使所述用 户根据所述账户信息在各个所述系统中进行访问， 其中， 。

8、在所述用户的身份认证通过后， 保 存所述账户信息， 各个所述系统分属用户身份管理系统的云平台。 9.一种用户身份管理系统， 其特征在于， 所述用户身份管理系统包括处理器、 存储器和 存储在所述存储器上并可在所述处理器上运行的用户身份管理程序， 所述用户身份管理程 序被所述处理器执行时实现如权利要求1-8任一项所述的用户身份管理方法的各个步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有用户身份 管理程序， 所述用户身份管理程序被所述处理器执行时实现如权利要求1-8任一项所述的 用户身份管理方法的各个步骤。 权利要求书 2/2 页 3 CN 110084033 A。

9、 3 用户身份管理方法、 系统和计算机可读存储介质 技术领域 0001 本发明涉及账户管理技术领域， 尤其涉及一种用户身份管理方法、 系统和计算机 可读存储介质。 背景技术 0002 业内在用户统一身份认证及授权管理领域， 主要关注4个方面： 集中账号管理 (Account)、 集中认证管理(Authentication)、 集中授权管理(Authorization)和集中审计 管理(Audit)， 简称4A管理， 是一个比较庞大的解决方案， 且4A设计领域广泛， 使得用户身份 管理困难。 发明内容 0003 本发明的主要目的在于提供一种用户身份管理方法、 系统和计算机可读存储介 质， 旨在解。

10、决用户身份管理困难的问题。 0004 为实现上述目的， 本发明提供一种用户身份管理方法， 所述用户身份管理方法包 括以下步骤： 0005 获取用户的账户信息， 并根据所述账户信息确定所述用户在各个组织中的身份； 0006 根据所述身份， 对所述用户在所述组织中进行权限配置以及资源配置， 以得到所 述用户在所述组织中的各个第一标识， 其中， 所述第一标识包括资源标识、 条件标识、 权限 标识以及业务系统标识中的至少一个； 0007 将所述第一标识、 所述第一标识对应的组织与所述账户信息绑定。 0008 在一实施例中， 所述根据所述身份， 对所述用户在所述组织中进行权限配置以及 资源配置的步骤包括。

11、： 0009 依次以各个所述身份作为当前身份， 并根据所述当前身份确定所述用户所在的当 前组织； 0010 确定所述当前身份在所述当前组织中的岗位， 并根据所述岗位对所述用户在所述 当前组织中进行权限配置以及资源配置。 0011 在一实施例中， 所述确定所述当前身份在所述当前组织中的岗位的步骤之后， 还 包括： 0012 确定所述当前组织是否设置权限策略； 0013 在所述当前组织未设置权限策略时， 执行所述根据所述岗位对所述用户在所述当 前组织中进行权限配置以及资源配置的步骤。 0014 在一实施例中， 所述确定所述当前组织是否设置权限策略的步骤之后， 还包括： 0015 在所述当前组织设置。

12、权限策略时， 根据所述权限策略以及所述岗位对所述用户在 当前组织中进行权限配置， 并根据所述岗位对所述用户在当前组织中进行资源配置。 0016 在一实施例中， 所述获取用户的账户信息的步骤之后， 还包括： 0017 根据所述账户信息确定所述用户所在的账户体系， 其中， 所述账户体系包括个人 说明书 1/10 页 4 CN 110084033 A 4 账户体系以及组织账户体系； 0018 在所述用户所在的账户体系为组织账户体系时， 执行所述根据所述账户信息确定 所述用户在各个组织中的身份的步骤。 0019 在一实施例中， 所述根据所述账户信息确定所述用户所在的账户体系的步骤之 后， 还包括： 0。

13、020 在所述用户所在的账户体系为个人账户体系时， 判断所述用户在所述个人账户体 系中的身份是否从属于所述组织账户体系中的各个组织； 0021 在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或 多个组织时， 执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤。 0022 在一实施例中， 所述判断所述用户在所述个人账户体系中的身份是否从属于所述 组织账户体系中的各个组织的步骤之后， 还包括： 0023 在所述用户在所述个人账户体系中的身份与所述组织账户体系中的各个组织无 关联时， 对所述用户在所述个人账户体系进行资源配置以及权限配置， 以得到所述用户在 所述个人账。

14、户体系中的各个第二标识； 0024 将各个所述第二标识以及所述账户信息在所述个人账户信息中进行绑定。 0025 在一实施例中， 所述获取用户的账户信息的步骤之前， 还包括： 0026 在接收到用户的账户注册完成信息时， 根据所述账户注册完成信息获取账户信 息； 0027 根据所述账户信息对所述用户进行身份认证； 0028 在所述用户的身份认证通过后， 在各个系统中对所述用户进行访问授权， 以使所 述用户根据所述账户信息在各个所述系统中进行访问， 其中， 在所述用户的身份认证通过 后， 保存所述账户信息， 各个所述系统分属用户身份管理系统的云平台。 0029 为实现上述目的， 本发明还提供一种用。

15、户身份管理系统， 所述用户身份管理系统 包括处理器、 存储器和存储在所述存储器上并可在所述处理器上运行的用户身份管理程 序， 所述用户身份管理程序被所述处理器执行时实现如上所述的用户身份管理方法的各个 步骤。 0030 为实现上述目的， 本发明还提供一种计算机可读存储介质， 所述计算机可读存储 介质存储有用户身份管理程序， 所述用户身份管理程序被所述处理器执行时实现如上所述 的用户身份管理方法的各个步骤。 0031 本发明提供的用户身份管理方法、 系统和计算机可读存储介质， 用户身份管理系 统获取用户的账户信息， 再根据账户信息确定用户在各个组织中的身份， 以根据身份对用 户在组织进行权限配置。

16、以及资源配置， 从而得到用户在该组织内对应的各个第一标识， 最 后将各个第一标识、 第一标识所对应的组织以及账户信息绑定； 用户账户管理系统仅需根 据用户的账户信息即可完成对用户的权限配置以及资源配置， 简化了用户的身份管理的流 程， 降低了用户身份管理系统的设计难度， 进而降低了用户身份的管理成本。 附图说明 0032 图1为本发明实施例涉及的用户身份管理系统的硬件结构示意图； 0033 图2为本发明用户身份管理方法第一实施例的流程示意图； 说明书 2/10 页 5 CN 110084033 A 5 0034 图3为图2中步骤S20的细化流程示意图； 0035 图4为本发明用户身份管理方法第。

17、二实施例的流程示意图。 0036 本发明目的的实现、 功能特点及优点将结合实施例， 参照附图做进一步说明。 具体实施方式 0037 应当理解， 此处所描述的具体实施例仅仅用以解释本发明， 并不用于限定本发明。 0038 本发明实施例的主要解决方案是： 获取用户的账户信息， 并根据所述账户信息确 定所述用户在各个组织中的身份； 根据所述身份， 对所述用户在所述组织中进行权限配置 以及资源配置， 以得到所述用户在所述组织中的各个第一标识， 其中， 所述第一标识包括资 源标识、 条件标识、 权限标识以及业务系统标识中的至少一个； 将所述第一标识、 所述第一 标识对应的组织与所述账户信息绑定。 003。

18、9 由于用户账户管理系统仅需根据用户的账户信息即可完成对用户的权限配置以 及资源配置， 简化了用户的身份管理的流程， 降低了用户身份管理系统的设计难度， 进而降 低了用户身份的管理成本。 0040 作为一种实现方案， 用户身份管理系统可以如图1所示。 0041 本发明实施例方案涉及的是用户身份管理系统， 用户身份管理系统包括： 处理器 101， 例如CPU， 存储器102， 通信总线103。 其中， 通信总线103用于实现这些组件之间的连接 通信。 0042 存 储 器 1 0 2 可 以 是 高 速 R A M 存 储 器 ， 也 可 以 是 稳 定 的 存 储 器 (n o n - vol。

19、atilememory)， 例如磁盘存储器。 如图1所示， 作为一种计算机可读存储介质的存储器 102中可以包括用户身份管理程序； 而处理器101可以用于调用存储器102中存储的用户身 份管理程序， 并执行以下操作： 0043 获取用户的账户信息， 并根据所述账户信息确定所述用户在各个组织中的身份； 0044 根据所述身份， 对所述用户在所述组织中进行权限配置以及资源配置， 以得到所 述用户在所述组织中的各个第一标识， 其中， 所述第一标识包括资源标识、 条件标识、 权限 标识以及业务系统标识中的至少一个； 0045 将所述第一标识、 所述第一标识对应的组织与所述账户信息绑定。 0046 在一。

20、实施例中， 处理器101可以用于调用存储器102中存储的用户身份管理程序， 并执行以下操作： 0047 依次以各个所述身份作为当前身份， 并根据所述当前身份确定所述用户所在的当 前组织； 0048 确定所述当前身份在所述当前组织中的岗位， 并根据所述岗位对所述用户在所述 当前组织中进行权限配置以及资源配置。 0049 在一实施例中， 处理器101可以用于调用存储器102中存储的用户身份管理程序， 并执行以下操作： 0050 确定所述当前组织是否设置权限策略； 0051 在所述当前组织未设置权限策略时， 执行所述根据所述岗位对所述用户在所述当 前组织中进行权限配置以及资源配置的步骤。 0052 。

21、在一实施例中， 处理器101可以用于调用存储器102中存储的用户身份管理程序， 说明书 3/10 页 6 CN 110084033 A 6 并执行以下操作： 0053 在所述当前组织设置权限策略时， 根据所述权限策略以及所述岗位对所述用户在 当前组织中进行权限配置， 并根据所述岗位对所述用户在当前组织中进行资源配置。 0054 在一实施例中， 处理器101可以用于调用存储器102中存储的用户身份管理程序， 并执行以下操作： 0055 根据所述账户信息确定所述用户所在的账户体系， 其中， 所述账户体系包括个人 账户体系以及组织账户体系； 0056 在所述用户所在的账户体系为组织账户体系时， 执行。

22、所述根据所述账户信息确定 所述用户在各个组织中的身份的步骤。 0057 在一实施例中， 处理器101可以用于调用存储器102中存储的用户身份管理程序， 并执行以下操作： 0058 在所述用户所在的账户体系为个人账户体系时， 判断所述用户在所述个人账户体 系中的身份是否从属于所述组织账户体系中的各个组织； 0059 在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或 多个组织时， 执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤。 0060 在一实施例中， 处理器101可以用于调用存储器102中存储的用户身份管理程序， 并执行以下操作： 0061 在所述用户在所述。

23、个人账户体系中的身份与所述组织账户体系中的各个组织无 关联时， 对所述用户在所述个人账户体系进行资源配置以及权限配置， 以得到所述用户在 所述个人账户体系中的各个第二标识； 0062 将各个所述第二标识以及所述账户信息在所述个人账户信息中进行绑定。 0063 在一实施例中， 处理器101可以用于调用存储器102中存储的用户身份管理程序， 并执行以下操作： 0064 在接收到用户的账户注册完成信息时， 根据所述账户注册完成信息获取账户信 息； 0065 根据所述账户信息对所述用户进行身份认证； 0066 在所述用户的身份认证通过后， 在各个系统中对所述用户进行访问授权， 以使所 述用户根据所述账。

24、户信息在各个所述系统中进行访问， 其中， 在所述用户的身份认证通过 后， 保存所述账户信息， 各个所述系统分属用户身份管理系统的云平台。 0067 本实施例根据上述方案， 用户身份管理系统获取用户的账户信息， 再根据账户信 息确定用户在各个组织中的身份， 以根据身份对用户在组织进行权限配置以及资源配置， 从而得到用户在该组织内对应的各个第一标识， 最后将各个第一标识、 第一标识所对应的 组织以及账户信息绑定； 用户账户管理系统仅需根据用户的账户信息即可完成对用户的权 限配置以及资源配置， 简化了用户的身份管理的流程， 降低了用户身份管理系统的设计难 度， 进而降低了用户身份的管理成本。 006。

25、8 基于上述用户身份管理系统的硬件构架， 提出本发明用户身份管理方法的实施 例。 0069 参照图2， 图2为本发明用户身份管理方法的第一实施例， 所述用户身份管理方法 包括以下步骤： 说明书 4/10 页 7 CN 110084033 A 7 0070 步骤S10， 获取用户的账户信息， 并根据所述账户信息确定所述用户在各个组织中 的身份； 0071 在本发明中， 执行主体为用户身份管理系统， 用户身份管理系统可为统一身份管 理系统(Unified Identity Management System， 简称UIMS)， 用户身份管理系统面向SAAS 云平台(Software-as-a-Se。

26、rvice， 软件即服务)， 该云平台下有多个系统， 各个系统的账户 管理、 身份认证、 用户授权、 权限控制等行为都经由该用户身份管理系统处理。 用户身份管 理系统可为用户提供注册界面， 用户在注册后， 即可在云平台下的各个系统上进行访问， 具 体的， 用户身份管理系统在接收到账户注册完成信息时， 获取账户信息， 账户信息包括用户 的名字、 性别、 年龄、 地址、 身份证号码、 用户所属公司(组织为公司等团体组织)、 公司法人、 公司地址等基础信息； 然后， 用户身份管理系统根据账户信息对用户进行身份认证， 也即考 核用户的身份是否真实有效， 比如通过身份证号码、 电话号码等表征用户身份识别。

27、的信息 进行身份验证； 在用户的身份认证通过后， 用户身份管理系统将该用户的账户信息保存， 并 授予用户对云平台下的各个系统进行访问的权限， 也即用户可以采用注册的账户访问云平 台下的任意系统。 0072 此外， 用户在注册成功后， 可以将其账户与组织进行绑定， 组织指的是通过用户身 份管理系统审核合格的团体， 在用户与组织进行绑定后， 用户在该组织中拥有对应的身份， 该身份可以是多重， 比如， 用户在A公司的身份是研发部总经理， 也是财务部总监； 在用户的 账户与组织进行绑定后， 用户在该组织的身份保存于账户信息中， 也即账户信息包含有用 户在组织中的身份。 当然， 用户也可以进行组织解绑，。

28、 也即解除用户与组织的关系， 此时， 用 户身份管理系统在账户信息中删除用户在解绑组织中的身份。 0073 用户在每一个组织中具有对应的权限以及资源， 权限以及资源均可根据用户在该 组织中的身份进行配置， 因此， 用户身份管理系统获取存储的用户的账户信息， 以根据账户 信息确定用户在各个组织中的身份， 进而根据身份对用户在该组织进行资源以及权限的配 置。 0074 步骤S20， 根据所述身份， 对所述用户在所述组织中进行权限配置以及资源配置， 以得到所述用户在所述组织中的各个第一标识， 其中， 所述第一标识包括资源标识、 条件标 识、 权限标识以及业务系统标识中的至少一个； 0075 用户身份。

29、管理系统可以根据用户在不同组织的身份， 来配置用户在不同组织中的 权限以及资源， 从而得到用户在各个组织中对应的第一标识， 第一标识包括资源标识、 条件 标识、 权限标识以及业务系统标识中的至少一个。 0076 资源标识： 分为逻辑资源和实体资源； 逻辑资源如菜单、 页面、 表单、 按钮组、 按钮、 字段等功能型资源， 或人员档案、 考勤记录、 任务记录、 位置数据、 积分、 电子钱包等数据资 源； 实体资源如椅子、 凳子、 电脑、 车辆等实物资产， 另外有时候部分逻辑资源也可以归纳为 实体资源， 如电子照片、 视频文件、 音乐文件等。 0077 条件标识： 权限的约束条件， 主要有可见组织架。

30、构范围限定、 时间限定、 区域限定 等； 例如某权限仅财务部可见， 有效期至11月2号， 这里 财务部 属于可见组织架构范围限 定，至11月2号 则是时间限定。 0078 权限标识： 用于标识账户实体在指定的条件下拥有访问某项功能、 查看某些数据 的权限； 资源标识和条件标识与权限标识关联， 权限标识与角色关联， 角色与用户关联。 例 说明书 5/10 页 8 CN 110084033 A 8 如张三(用户)-研发人员(角色)-拥有 研发部 所有人员档案的增上改查权限。 0079 业务系统标识： 受 业务权限独立原则 的约束， 与传统的资源权限有所不同的是， 所有权限标识都与具体的业务系统关联。

31、， 例如企业CRM(Customer Relationship Management， 客户关系管理)系统就是一个业务系统， 具体的权限标识与业务系统有直接的 关系， 例如菜单、 表单、 页面、 按钮、 图片等资源。 0080 用户身份管理系统对用户进行资源配置以及权限配置的具体步骤可参照图3所示 的流程示意图， 也即步骤S20包括： 0081 步骤S21， 依次以各个所述身份作为当前身份， 并根据所述当前身份确定所述用户 所在的当前组织； 0082 步骤S22， 确定所述当前身份在所述当前组织中的岗位， 并根据所述岗位对所述用 户在所述当前组织中进行权限配置以及资源配置。 0083 用户身份。

32、管理系统依次以各个身份作为当前身份， 从而将当前身份对应的组织作 为当前组织， 当前身份在当前组织具有对应的岗位， 而每一个岗位的权限以及资源均不相 同， 故用户身份管理系统根据岗位对用户在当前组织中进行资源以及权限的配置。 0084 需要说明的是， 在本发明中， 用户身份管理系统采用OS-RBAC的概念构建用户的权 限体系， 其中， O代表Organization组织， S代表System业务系统， 也即权限收到组织实体与 业务系统双重影响， 而RBAC为基于角色的访问控制。 0085 此外， 在本发明中， 用户身份管理系统采用平台级SAAS模式账户体系对用户的身 份进行管理， 而平台级SA。

33、AS模式账户体系应遵循以下几个基本原则： 0086 个人账户统一原则： 个人账户一次注册， 全平台通用， 类似于全网通行证和SSO (Single Sign On， 单点登录)， 注册和登录都在UIMS进行。 0087 业务权限独立原则： 每个子系统的权限体系是独立管理的。个人账户统一原则 明确了账户体系是统一的， 但是对于每个子系统而言， 每个账户所能使用的功能和服务， 所 能查看的数据权限是独立维护的， 比如XXX公司(组织)-研发T3组(用户组)-张三(用户)-研 发人员(角色)， 在CRM系统中， 拥有的资源权限(详见下文)， 与其在OA系统(办公自动化系 统)中的所拥有的资源权限肯定。

34、是不一致的。 0088 组织实体隔离原则： 不同的组织实体之间， 是相互隔离， 独立管理的。 每个组织实 体可以自行组织自己的组织体系、 账户体系和权限体系。 不同的组织实体资源权限也是隔 离的。 0089 从属关系隔离原则： 个体账户与组织实体的从属关系是基于单独的业务系统存在 的，个人账户统一原则 明确的仅是个人账户的全网统一， 但组织实体、 从属关系并没有统 一， 并且是隔离的。 比如在CRM系统中， 张三(用户)从属于XXXX公司(组织)， 但在OA系统中， 张三(用户)默认是不从属于任何组织的， 从属关系受到具体业务系统的影响。 事实上， 这个 原则是非强制的， 具体取决于各自的业务。

35、逻辑和业务场景。 如果要简化从属关系的管理， 那 么可以不遵循此原则， 即个体账户与组织实体的从属关系是全平台统一的， 与业务系统无 关， 但这会为降低平台的灵活性和扩展性。 灵活性和复杂度之间通常要做一个取舍。 0090 步骤S30， 将所述第一标识、 所述第一标识对应的组织与所述账户信息绑定。 0091 在当用户身份管理系统确定用户在各个组织中的第一标识后， 将各个第一标识、 各个第一标识所对应的组织与用户的账户信息进行绑定， 进而对该绑定信息进行保存， 可 说明书 6/10 页 9 CN 110084033 A 9 以理解的是， 用户的身份数量与绑定信息的数量相同。 0092 此外， 从。

36、整个平台的角度来看， UIMS除了提供上述功能和服务， 还应该满足以下需 求： 0093 说明书 7/10 页 10 CN 110084033 A 10 0094 在本实施例提供的技术方案中， 用户身份管理系统获取用户的账户信息， 再根据 账户信息确定用户在各个组织中的身份， 以根据身份对用户在组织进行权限配置以及资源 配置， 从而得到用户在该组织内对应的各个第一标识， 最后将各个第一标识、 第一标识所对 应的组织以及账户信息绑定； 用户账户管理系统仅需根据用户的账户信息即可完成对用户 的权限配置以及资源配置， 简化了用户的身份管理的流程， 降低了用户身份管理系统的设 计难度， 进而降低了用户。

37、身份的管理成本。 0095 参照图4， 图4为本发明用户身份管理方法的第二实施例， 基于第一实施例， 所述步 骤S21之后， 还包括： 0096 步骤S40， 确定所述当前组织是否设置权限策略； 0097 步骤S50， 在所述当前组织未设置权限策略时， 执行所述根据所述岗位对所述用户 在所述当前组织中进行权限配置以及资源配置， 以得到所述用户在所述组织中的各个第一 标识的步骤； 0098 步骤S60， 在所述当前组织设置权限策略时， 根据所述权限策略以及所述岗位对所 述用户在当前组织中进行权限配置， 并根据所述岗位对所述用户在当前组织中进行资源配 置， 以得到所述用户在所述组织中的各个第一标识。

38、； 0099 在本实施例中， 权限策略组(权限策略)是在OS-RBAC基础上设置的， 为简化权限配 置的一种辅助手段， 在实际应用中可以不创建策略组。 策略组分为平台级策略组和业务系 统级别的策略组， 两种策略组的作用域仅限于相同组织实体内部， 但对于无从属组织的个 人账户除外。 策略组与角色类似， 可以将资源权限绑定到策略组中， 但不同之处是， 平台级 策略组可以横跨业务系统进行平台级的资源权限绑定。 因为账户体系跨越多个子系统， 在 遵循 业务权限独立原则 的限定下， 每个子系统都需要做一套权限配置， 操作上较为繁琐， 因此充分运用策略组可以大大简化权限配置工作。 平台可以内置多套常用的策。

39、略组， 终端 用户可以直接选用策略组， 也可以基于某个策略组为基础， 进行修改。 值得注意的是， 策略 组的作用域仅限于相同组织实体内部， 即策略组可以横跨业务系统， 但不能同时作用于多 个组织实体。 0100 因此， 组织可以设置权限策略也可以不设置权限策略， 故在确定当前身份在当前 组织中的岗位后， 用户身份管理系统检测当前组织是否设置权限策略， 若当前组织未设置 权限策略， 则执行步骤S22以及步骤S30； 若当前组织设置权限策略， 则需要根据权限策略以 及岗位对用户在当前组织中进行权限配置， 再根据岗位对用户在当前组织进行资源配置。 需要说明的是， 权限策略可以是组织管理者对组织中各个。

40、岗位权限大小的设定。 0101 在本实施例提供的技术方案中， 用户身份管理系统在确定用户在组织中的岗位 后， 进一步检测组织是否设置权限策略， 从而合理的为用户在组织中配置权限， 使得用户的 权限配置符合组织的权限配置原则。 0102 进一步地， 本发明提供用户身份管理方法的第三实施例， 基于第一或第二实施例， 所述步骤S10中获取用户账户信息的步骤之后， 还包括： 0103 根据所述账户信息确定所述用户所在的账户体系， 其中， 所述账户体系包括个人 账户体系以及组织账户体系； 0104 在所述用户所在的账户体系为组织账户体系时， 执行所述根据所述账户信息确定 所述用户在各个组织中的身份的步骤。

41、； 说明书 8/10 页 11 CN 110084033 A 11 0105 在所述用户所在的账户体系为个人账户体系时， 判断所述用户在所述个人账户体 系中的身份是否从属于所述组织账户体系中的各个组织； 0106 在所述用户在所述个人账户体系中的身份从属于所述组织账户体系中的一个或 多个组织时， 执行所述根据所述账户信息确定所述用户在的各个组织中的身份的步骤； 0107 在所述用户在所述个人账户体系中的身份与所述组织账户体系中的各个组织无 关联时， 对所述用户在所述个人账户体系进行资源配置以及权限配置， 以得到所述用户在 所述个人账户体系中的各个第二标识； 0108 将各个所述第二标识以及所述。

42、账户信息在所述个人账户信息中进行绑定； 0109 用户身份管理系统采用两级账户体系， 分别为个人账户体系以及组织账户体系， 个人账户体系以及组织账户体系在云平台内享有的权限是不一样的， 虽然大部分功能和服 务两个体系的实体均可独立使用， 互不干扰， 但部分功能和服务有所不同。 0110 因此， 在本发明中， 用户的权限以及资源的配置包括个人账户体系的权限以及资 源的配置、 组织账户体系的资源以及权限配置、 与二者的共同配置。 0111 在用户身份管理系统在获取账户信息后， 即可根据账户信息来确定用户所在的账 户体系为个人账户体系还是组织账户体系， 若是用户所在的账户体系为组织账户体系， 那 么。

43、则执行根据账户信息确定用户在各个组织中的身份的步骤， 也即执行步骤S10-步骤S30； 而用户所在的账户体系为个人账户体系时， 因用户在组织账户体系中各个组织可能具有从 属关系， 也即关联关系， 那么用户身份管理系统需要对用户在各个组织中进行资源以及权 限的配置(也需要对用户在个人账户体系中进行权限以及资源的配置)， 倘若用户在组织账 户体系的各个组织中不具备关联关系， 那么仅需对用户在个人账户体系中进行资源以及权 限的配置， 从而得到第二标识， 第二标识所包含的标识与第一标识所包含的标识相同。 0112 在本实施例提供的技术方案中， 用户身份管理系统根据用户所在的账户体系对用 户进行对应的资。

44、源以及权限的配置， 从而合理的配置用户的权限以及资源。 0113 本发明还提供一种用户身份管理系统， 所述用户身份管理系统包括处理器、 存储 器和存储在所述存储器上并可在所述处理器上运行的用户身份管理程序， 所述用户身份管 理程序被所述处理器执行时实现如上实施例所述的用户身份管理方法的各个步骤。 0114 本发明还提供一种计算机可读存储介质， 所述计算机可读存储介质存储有用户身 份管理程序， 所述用户身份管理程序被所述处理器执行时实现如上实施例所述的用户身份 管理方法的各个步骤。 0115 上述本发明实施例序号仅仅为了描述， 不代表实施例的优劣。 0116 需要说明的是， 在本文中， 术语 “。

45、包括” 、“包含” 或者其任何其他变体意在涵盖非排 他性的包含， 从而使得包括一系列要素的过程、 方法、 物品或者装置不仅包括那些要素， 而 且还包括没有明确列出的其他要素， 或者是还包括为这种过程、 方法、 物品或者装置所固有 的要素。 在没有更多限制的情况下， 由语句 “包括一个” 限定的要素， 并不排除在包括该 要素的过程、 方法、 物品或者装置中还存在另外的相同要素。 0117 通过以上的实施方式的描述， 本领域的技术人员可以清楚地了解到上述实施例方 法可借助软件加必需的通用硬件平台的方式来实现， 当然也可以通过硬件， 但很多情况下 前者是更佳的实施方式。 基于这样的理解， 本发明的技。

46、术方案本质上或者说对现有技术做 出贡献的部分可以以软件产品的形式体现出来， 该计算机软件产品存储在如上所述的一个 说明书 9/10 页 12 CN 110084033 A 12 计算机可读存储介质(如ROM/RAM、 磁碟、 光盘)中， 包括若干指令用以使得一台终端设备(可 以是手机， 计算机， 服务器， 空调器， 或者网络设备等)执行本发明各个实施例所述的方法。 0118 以上仅为本发明的优选实施例， 并非因此限制本发明的专利范围， 凡是利用本发 明说明书及附图内容所作的等效结构或等效流程变换， 或直接或间接运用在其他相关的技 术领域， 均同理包括在本发明的专利保护范围内。 说明书 10/10 页 13 CN 110084033 A 13 图1 图2 图3 说明书附图 1/2 页 14 CN 110084033 A 14 图4 说明书附图 2/2 页 15 CN 110084033 A 15 。