使用權(quán)限簇分析的角色發(fā)現(xiàn)的制作方法
【專利說(shuō)明】
[0001] 版權(quán)聲明
[0002] 本專利文獻(xiàn)的公開(kāi)的一部分含有受到版權(quán)保護(hù)的材料�。版權(quán)所有人不反對(duì)任何人 對(duì)本專利文獻(xiàn)或?qū)@_(kāi)進(jìn)行復(fù)制���,如其在專利和商標(biāo)局的專利文件或記錄中一樣���,但是 在其它情況下版權(quán)所有人保留所有的版權(quán)。
技術(shù)領(lǐng)域
[0003] 本公開(kāi)涉及人力資源安全管理和身份管理系統(tǒng)的領(lǐng)域�,更具體地講,涉及通過(guò)分 析許可簇進(jìn)行角色挖掘以發(fā)現(xiàn)行為角色的緊致集的技術(shù)�����。
【背景技術(shù)】
[0004] 本公開(kāi)的一些實(shí)施例涉及基于實(shí)際職務(wù)行為角色相對(duì)于它們各自的許可簇來(lái)管 理許可的改進(jìn)方法�����。
[0005] 許多中到大型公司使用人力資源管理系統(tǒng)作為企業(yè)軟件應(yīng)用在其企業(yè)范圍使用 的組件��。歷史上�,雇員在特定部門或其它組織結(jié)構(gòu)(例如,應(yīng)付賬款部門、采購(gòu)部門等)內(nèi) 會(huì)承擔(dān)特定頭銜(例如���,經(jīng)理、主管等)��。承擔(dān)特定頭銜或職務(wù)的雇員承擔(dān)一個(gè)或多個(gè)職責(zé) (例如�����,錄入發(fā)票�、審批采購(gòu)訂單等)。在使用企業(yè)軟件應(yīng)用的企業(yè)環(huán)境中��,通過(guò)授權(quán)特定雇 員使用企業(yè)軟件執(zhí)行某些特定活動(dòng)或操作來(lái)實(shí)施組織規(guī)則和制衡�����。
[0006] 傳統(tǒng)技術(shù)僅僅基于作為個(gè)體權(quán)限或許可的代理的雇員的職務(wù)或頭銜向雇員授予 這些授權(quán)(例如�����,審批付款的授權(quán)�、審批采購(gòu)訂單的授權(quán))。然而�,采用企業(yè)軟件大大增強(qiáng)了 任何單個(gè)雇員的生產(chǎn)力,因此希望給定單個(gè)雇員在日益增加的責(zé)任和控制范圍內(nèi)執(zhí)行。此 外�����,許多企業(yè)已經(jīng)制定了矩陣管理的方面����,其中,希望給定單個(gè)雇員承擔(dān)跨傳統(tǒng)組織邊界的 責(zé)任�����。另外����,大多數(shù)中到大型公司制定對(duì)新雇員的培訓(xùn),并且許多公司還通過(guò)在首選人員不 能夠執(zhí)行的情況下分派輔助或備用人員代替來(lái)實(shí)現(xiàn)組織彈性���,輔助員工必須能夠(至少暫 時(shí)地)承擔(dān)首選人員的責(zé)任��,因此輔助員工必須被授予適當(dāng)?shù)氖跈?quán)����。
[0007] 此外��,使用企業(yè)軟件執(zhí)行操作所需的特有授權(quán)的數(shù)量和特有許可的數(shù)量正爆發(fā)性 增長(zhǎng)。向雇員分派許可的傳統(tǒng)技術(shù)已變得不實(shí)用����。
[0008] 組織結(jié)構(gòu)的上述趨勢(shì)連同快速采用企業(yè)軟件應(yīng)用的效果一起加劇了傳統(tǒng)技術(shù)的 局限性。需要新的方法�。
[0009] 此外��,上述技術(shù)沒(méi)有采用任何用于角色發(fā)現(xiàn)或權(quán)限簇?cái)?shù)量最小化���、或權(quán)限簇覆蓋 最大化或權(quán)限簇的評(píng)級(jí)的技術(shù)�。因此�����,需要改進(jìn)的方法�。
【發(fā)明內(nèi)容】
[0010] 本公開(kāi)提供了適于解決傳統(tǒng)方法的上述問(wèn)題的改進(jìn)的方法、系統(tǒng)和計(jì)算機(jī)程序產(chǎn) 品���。更具體地���,本公開(kāi)提供了對(duì)在使用權(quán)限簇分析進(jìn)行角色發(fā)現(xiàn)的方法、系統(tǒng)和計(jì)算機(jī)程序 產(chǎn)品中使用的技術(shù)的詳細(xì)描述���。
[0011] 本文中公開(kāi)了人力資源管理系統(tǒng)中使用的系統(tǒng)和方法��。該方法優(yōu)化對(duì)職務(wù)的許可 (例如���,寫(xiě)入數(shù)據(jù)庫(kù)的能力�、創(chuàng)建新賬戶的能力等)的分派�����。該方法通過(guò)訪問(wèn)層次組織圖表 來(lái)發(fā)現(xiàn)職務(wù)�、職責(zé)和權(quán)限之間的關(guān)系,層次組織圖表將多個(gè)職務(wù)����、在給定職務(wù)的范圍內(nèi)執(zhí)行 的多個(gè)特定職責(zé)、和對(duì)職務(wù)的相應(yīng)職責(zé)的多個(gè)許可關(guān)聯(lián)�����。該方法接著將層次組織圖表扁平 化��,以列舉由職務(wù)繼承的許可����。該方法繼續(xù)跨職務(wù)挖掘被繼承許可��,以優(yōu)化許可集合���。這些 集合可被優(yōu)化(例如,最小化集的數(shù)量���、最大化覆蓋等)并且命名以被方便地分派(例如����, 通過(guò)HR人員)給職務(wù)(例如��,在新雇員的情況下)����。
[0012] 在一些實(shí)施例中��,本發(fā)明涉及使用許可簇分析進(jìn)行角色發(fā)現(xiàn)的計(jì)算機(jī)實(shí)現(xiàn)的方 法��、系統(tǒng)或計(jì)算機(jī)程序產(chǎn)品�����,所述方法包括以下步驟:訪問(wèn)包括組織圖表的圖表數(shù)據(jù)結(jié)構(gòu)���, 其中�����,具有所述組織圖表的所述圖表數(shù)據(jù)結(jié)構(gòu)包括記錄信息��,所述記錄信息關(guān)于一個(gè)或多 個(gè)職務(wù)的構(gòu)成職責(zé)和所述職責(zé)的相應(yīng)許可����;映射所述記錄信息,以將所述職責(zé)的許可與相 應(yīng)職務(wù)關(guān)聯(lián)�;以及分析與其相應(yīng)職務(wù)關(guān)聯(lián)的職責(zé)的許可,以針對(duì)軟件應(yīng)用確定多個(gè)許可集 合�,其中,所述多個(gè)許可集合中的個(gè)體集合與至少一個(gè)職務(wù)的構(gòu)成職責(zé)的許可對(duì)應(yīng)����。
[0013] 在一些實(shí)施例中,所述組織圖表可被實(shí)現(xiàn)為層次組織圖表����。所述多個(gè)許可集合中 的特定個(gè)體集合可與至少兩個(gè)職務(wù)的構(gòu)成職責(zé)的許可對(duì)應(yīng)。所述方法還可包括命名所述多 個(gè)許可集合中的至少一個(gè)�����。
[0014] 可使用目標(biāo)優(yōu)化函數(shù)對(duì)所述多個(gè)許可集合中的至少一些執(zhí)行評(píng)級(jí)。所述目標(biāo)優(yōu)化 函數(shù)可包括最小化函數(shù)�����。另外�����,所述目標(biāo)優(yōu)化函數(shù)可包括最大化函數(shù)��。還可至少部分地基 于計(jì)算出的在所述多個(gè)職務(wù)上的覆蓋程度����,對(duì)所述多個(gè)許可集合中的至少一些執(zhí)行評(píng)級(jí)����。
[0015] 所述方法可執(zhí)行將所述多個(gè)許可集合中的至少一個(gè)集合與職務(wù)的映射存儲(chǔ)在簡(jiǎn) 檔記錄中�����。本發(fā)明的方法可檢索所述簡(jiǎn)檔記錄���,以確定與所述簡(jiǎn)檔記錄對(duì)應(yīng)的相應(yīng)雇員是 否被授予特定許可���。
[0016] 在一些實(shí)施例中��,描述了一種在發(fā)現(xiàn)向職務(wù)授予許可和授權(quán)的最佳角色之后更新 員工簡(jiǎn)檔的系統(tǒng)���。作為選項(xiàng)��,本系統(tǒng)可在本文中描述的實(shí)施例的架構(gòu)和功能的上下文中實(shí) 現(xiàn)�����。另外���,系統(tǒng)或本文中的任何方面可在任何希望的環(huán)境中實(shí)現(xiàn)�����。
[0017] 所述系統(tǒng)分析授權(quán)和/或許可簇并且發(fā)現(xiàn)隨后被視為成為虛擬角色的候選的最 高效的授權(quán)和/或許可簇���。更具體地,這些被發(fā)現(xiàn)的許可簇被按優(yōu)先次序排列�,成為考慮的 候選���。按優(yōu)先次序排列可以基于若干定量因素。例如:(a)基于需要接受管理的相對(duì)較少 數(shù)量的角色�、授予和角色層次成員關(guān)系�����;和/或(b)被發(fā)現(xiàn)的許可簇恰好授予與發(fā)現(xiàn)許可簇 的處理之前存在的相同的授予職務(wù)的權(quán)限的集合。作為進(jìn)一步的示例����,在一些實(shí)施例中���,基 于諸如以下的兩個(gè)或更多個(gè)量的函數(shù)(例如����,算術(shù)乘積),將許可簇按優(yōu)先次序排列以考慮 作為候選角色:(a)它包含的權(quán)限的數(shù)量���;和/或(b)被授權(quán)具有簇中所有權(quán)限的職務(wù)的數(shù) 量。進(jìn)一步地����,可基于一個(gè)或多個(gè)限制����,選擇或拒絕許可簇����,以考慮作為候選角色���,這些限制 可被編碼并且存儲(chǔ)在限制數(shù)據(jù)庫(kù)中并且能由系統(tǒng)內(nèi)的模塊進(jìn)行訪問(wèn)。嚴(yán)格意義上���,作為示 例,限制可被編碼為:(a)不將在預(yù)先存在的角色層次中未被授權(quán)的任何權(quán)限授權(quán)給任何 職務(wù)���、(或人員);或(b)不應(yīng)該創(chuàng)建會(huì)包含構(gòu)成職責(zé)分離違背的權(quán)限組合的候選角色���。例 如,這個(gè)限制將防止"創(chuàng)建供應(yīng)商"和"授權(quán)支付供應(yīng)商"這對(duì)權(quán)限被授予同一實(shí)體���。在企 業(yè)環(huán)境中,限制數(shù)據(jù)庫(kù)可包括這種職責(zé)分離限制的廣泛集合�,以描述和實(shí)施企業(yè)內(nèi)和企業(yè) 外的制衡����。
[0018] 根據(jù)一些實(shí)施例的系統(tǒng)包括職務(wù)描述引擎����、簡(jiǎn)檔產(chǎn)生器和安全引擎���,這些模塊相 互通信。職務(wù)描述引擎包括:職務(wù)描述數(shù)據(jù)庫(kù)����,其用于存儲(chǔ)和檢索一個(gè)或多個(gè)職務(wù)描述���;職 責(zé)描述數(shù)據(jù)庫(kù)�����,其用于存儲(chǔ)和檢索一個(gè)或多個(gè)職責(zé)描述�����;以及許可描述數(shù)據(jù)庫(kù)�����,其用于存儲(chǔ) 和檢索一個(gè)或多個(gè)許可描述。職務(wù)描述(或職務(wù)描述的任何方面)連同職責(zé)描述(或職責(zé) 描述的任何方面)一起���,并且連同許可描述(或許可描述的任何方面)一起可被形成為組 織圖表(例如,層次示圖)���。這種組織圖表或示圖是計(jì)算機(jī)可讀的,并且可被計(jì)算機(jī)處理器 遍歷以執(zhí)行分析(例如�����,本文中討論的分析)。分析結(jié)果的應(yīng)用可用于滿足上述目標(biāo)��。
[0019] 簡(jiǎn)檔產(chǎn)生器用于從職務(wù)描述引擎接受輸入�,以執(zhí)行分析,并且輸出簡(jiǎn)檔記錄�,以便 有可能存儲(chǔ)在員工數(shù)據(jù)庫(kù)中,并且以便以后在執(zhí)行職務(wù)或角色期間進(jìn)行檢索����。簡(jiǎn)檔記錄可 被存儲(chǔ)在員工記錄數(shù)據(jù)庫(kù)中,并且簡(jiǎn)檔記錄可包括任何形式的以人力資源或以員工為中心 的數(shù)據(jù)���。例如���,簡(jiǎn)檔記錄(例如�,雇員或承包人或代理人的簡(jiǎn)檔記錄)可包括雇員或承包人 或代理人的頭銜和/或被分派的職務(wù)��。簡(jiǎn)檔記錄還可包括諸如聯(lián)系方式和人口統(tǒng)計(jì)信息的 員工數(shù)據(jù)��。在一些實(shí)施例中����,簡(jiǎn)檔記錄可包含或參考(例如�����,直接地或間接地)對(duì)應(yīng)的職責(zé)����、 角色和/或虛擬角色。
[0020] 在一些情況下的操作中�����,用戶操作人力資源管理系統(tǒng)的模塊���,具體地��,面試模塊���。 在操作期間���,用戶可修改現(xiàn)有員工的簡(jiǎn)檔記錄,并且可使用面試模塊來(lái)產(chǎn)生新雇員的新簡(jiǎn) 檔記錄���。產(chǎn)生新雇員的新簡(jiǎn)檔記錄的一種可能的操作可以是建立新雇員的頭銜和/或職務(wù) (例如�,使用職務(wù)選擇器)�����,然后列舉對(duì)應(yīng)的職責(zé)�����。通過(guò)職責(zé)列舉器幫助對(duì)應(yīng)職責(zé)的列舉�����,這 樣進(jìn)而可通過(guò)分析職務(wù)描述���、職責(zé)描述���、和/或許可描述中的任一個(gè)���,或通過(guò)讀取層次示圖 來(lái)確定與特定職務(wù)對(duì)應(yīng)的職責(zé)。為了幫助以方便系統(tǒng)的形式(例如��,層次示圖)存儲(chǔ)和/ 或檢索職務(wù)描述����、職責(zé)描述�、和/或許可描述,層次管理器用于從職務(wù)描述引擎讀取任何數(shù) 據(jù)項(xiàng)�,并且操縱與面試模塊之間和與發(fā)現(xiàn)引擎之間的輸入/輸出,如所示出的��。
[0021] 發(fā)現(xiàn)引擎用于對(duì)許可和職責(zé)執(zhí)行分析�����,以減輕帶給用戶的負(fù)擔(dān)���。例如�,一種方法執(zhí) 行簇分析����,以提供虛擬角色的緊致集�,使得當(dāng)用戶正與面試模塊交互時(shí)�,每個(gè)實(shí)際上使用的 職務(wù)與許可集合的映射可被呈現(xiàn)給用戶。層次管理器可向扁平化器提供層次(例如���,層次 示圖)�,分簇引擎可使用扁平化器的結(jié)果來(lái)對(duì)許可集合進(jìn)行分簇�,并且通過(guò)許可分派引擎將 被分簇的許可集合映射到職責(zé)或虛擬角色。被分簇的許可集合可被存儲(chǔ)在任何存儲(chǔ)位置中 (例如�����,許可簇?cái)?shù)據(jù)庫(kù)中)���。另外��,具有被分簇的許可集合幫助簡(jiǎn)檔驗(yàn)證器授權(quán)將一個(gè)或多 個(gè)特定許可集合(例如�����,許可簇)記錄在雇員的簡(jiǎn)檔記錄中的操作��。
[0022] -旦簡(jiǎn)檔記錄得到驗(yàn)證�,它就可被存儲(chǔ)在人員記錄數(shù)據(jù)庫(kù)中,可使用任何本領(lǐng)域 已知的技術(shù)(可以使用安全引擎)來(lái)形成可在企業(yè)軟件應(yīng)用環(huán)境的上下文中使用的驗(yàn)證 表���。例如��,可使用特定雇員的身份來(lái)檢索簡(jiǎn)檔記錄��,該簡(jiǎn)檔記錄包括授予特定雇員的許可集 合����?��?蓪?shí)時(shí)使用簡(jiǎn)檔記錄和/或任何形式的導(dǎo)出的驗(yàn)證表。另外�,嚴(yán)格意義上,作為示例����,在 執(zhí)行關(guān)于特定職責(zé)的操作的過(guò)程期間,可檢索對(duì)特定雇員的許可的授權(quán)�,并且將它與執(zhí)行 該特定職責(zé)所需的許可進(jìn)行匹配,并且如果所需的許可沒(méi)有被授予�,則拒絕執(zhí)行操作(或 者,相反地�,如果所需的許可被授予特定雇員,則允許執(zhí)行操作)。
[0023] 多個(gè)角色可按角色層次進(jìn)行布置�。例如,角色層次可由角色(命名角色和/或虛擬 角色)構(gòu)成���,其中�,角色層次的葉子是許可���。這個(gè)層次描述可提供方便和容易的理解�����,因?yàn)?在角色層次的上層���,角色有可能對(duì)應(yīng)于職務(wù)(但這種可能性只是一種可能而非必要條件)。 在角色層次的下層�,角色有可能對(duì)應(yīng)于關(guān)于職務(wù)描述(例如,職責(zé))的行����。
[0024] 可采用在通過(guò)分析許可簇發(fā)現(xiàn)向職務(wù)授予許可和授權(quán)的最佳角色之后分派許可 集合的系統(tǒng)。該系統(tǒng)可被分割使得一些步驟實(shí)現(xiàn)扁平化器的功能�,和/或可被分割使得一 些步驟實(shí)現(xiàn)分簇引擎的功能,和/或可被分割使得一些步驟實(shí)現(xiàn)許可分派引擎的功能���。這 些步驟開(kāi)始于讀取層次(例如��,層次示圖)�,然后將層次扁平化以識(shí)別許可全域,其中����,在全 域中映射到任何職責(zé)或職務(wù)的每個(gè)許可出現(xiàn)至少一次。然后�,因具有許可全域,操作可使用 任何已知的技術(shù)來(lái)窮盡地列舉所有可能