可处理复杂关系的身份管理系统及方法技术方案

本发明专利技术提供一种可处理复杂关系的身份管理系统及方法。该系统包括身份管理模块用于接收并解析身份管理操作指令，并向身份数据管理模块发送对应的身份数据操作指令；身份数据管理模块用于将身份数据操作指令解析为图数据库的操作指令，操作图数据库更新身份数据；图数据库用于以图数据结构构建身份数据模型及存储身份数据。本发明专利技术的可处理复杂关系的身份管理系统及方法采用基于图数据结构的身份数据模型，可处理现有身份管理系统中无法处理的多种复杂关系，大幅提升企业级身份管理系统的管理能力。同时，通过运行态身份子视图生成模块按需将部分身份数据转换为树/表结构数据，还可提供给其他信息系统使用，提高了数据使用效率。

Identity Management System and Method for Complex Relations

The invention provides an identity management system and a method for dealing with complex relations. The system includes identity management module for receiving and parsing identity management operation instructions, and sending corresponding identity data operation instructions to identity data management module; identity data management module for parsing identity data operation instructions into graph database operation instructions, operation graph database for updating identity data; graph database for constructing identity data model with graph data structure And storage of identity data. The identity management system and method of the present invention can deal with complex relationships, adopts the identity data model based on graph data structure, can deal with many complex relationships that can not be handled in the existing identity management system, and greatly improves the management capability of the enterprise-level identity management system. At the same time, part of the identity data is converted into tree/table structure data on demand by running identity sub-view generation module, which can also be used by other information systems to improve the efficiency of data use.

【技术实现步骤摘要】
可处理复杂关系的身份管理系统及方法
本专利技术涉及一种可处理复杂关系的身份管理系统及方法，具体涉及一种利用图数据结构重新构建身份数据模型的身份管理系统及方法。
技术介绍
企业级身份管理系统为企业提供了统一的用户身份管理，包括从用户入职、调岗、离职产生的一系列组织机构管理、用户属性管理、信息系统帐号分配、认证因子管理、权限管理、帐号关闭、策略管理等。身份管理系统在数据层面上本质就是对组织机构、用户身份、信息系统帐号、资源、服务、数据等对象以及对象间关系的管理。身份数据所采用的存储技术、数据结构、身份数据模型直接决定了身份管理系统对复杂关系场景的处理能力。如图1所示的身份数据模型图，现有身份管理系统，例如OracleIDM、IBMTivoliTIM等，采用的存储技术是目录服务，例如LDAP(轻量目录访问协议，LightweightDirectoryAccessProtocol)、ActiveDirectory(活动目录)等，数据结构是树状目录结构。随着企业信息化的不断发展以及云、大数据等新技术的运用，基于树状目录结构的身份数据模型已经不能满足企业信息化发展的需求。在复杂的身份管理场景下，由于资源种类众多及数据组合众多，现有以角色授权的管理模式由于权限组合太多且无法及时动态调整，无法应对这种复杂场景的需求。用户能否访问某个应用、某种云资源、某种数据组合不是一个角色能够决定的，需要动态的根据用户属性、用户归属的部门及上级部门的属性、用户所属的用户组属性、用户与其他用户的关系(例如是否存在委托)及被访问资源、服务、数据的属性进行综合判断才能决定。实现这种基于多维度关联对象属性的动态访问控制，首先必须要求身份的数据存储及数据结构能够表达复杂的对象间关系并且能够支持对象灵活的属性管理。现有技术由于采用树状目录结构，一个节点只能与唯一的父节点关联，只能表达简单的从属关系，无法表达复杂关系。例如：1.人员多归属关系，用户A在集团下的两家公司同时任职，在X公司任职总经理，在Y公司任职财务总监；2.帐号共用关系，用户A与用户B都是系统Q的管理员，他们需要共同使用系统Q中的admin帐号；3.帐号委托关系，用户A未来一周要出差，需要将自己在系统P中的帐号a临时委托给用户B使用；4.云平台中复杂的运维管理关系，用户A是云平台的运维管理员，将用户A分配给M、N两个运维小组，M组可管理vm001、vm002、vm003三台虚拟机，N组是一个分时班组，A可在每天14:00-22:00点管理db001、db002两个数据库。此外由于存储技术的限制，对象要增加/删除属性都必须要变动LDAP的Schema(数据库对象的集合)，这种变更非常不灵活，在已经存储了大量数据的LDAP中，变更执行时间长、性能消耗大，会影响当前运行系统的使用。鉴于现有技术中存在的上述问题，急需一种可处理复杂关系的身份管理系统及方法。
技术实现思路
为了克服上述缺陷，本专利技术提供一种可处理复杂关系的身份管理系统及方法，能够管理具有复杂关系的身份数据。本专利技术一方面提供一种可处理复杂关系的身份管理系统，包括：身份管理模块、身份数据管理模块、图数据库，其中，所述身份管理模块用于接收并解析身份管理操作指令，并向所述身份数据管理模块发送对应的身份数据操作指令；所述身份数据管理模块用于将身份数据操作指令解析为所述图数据库的操作指令，操作所述图数据库更新身份数据；所述图数据库用于以图数据结构构建身份数据模型及存储身份数据。根据本专利技术的一实施方式，所述身份管理操作指令包括为用户创建身份、用户调岗、为用户分配信息系统帐号权限、将用户分配到一个运维小组、为用户分配云资源访问权限。根据本专利技术的一实施方式，所述身份管理操作指令格式包括JSON或者XML。根据本专利技术的一实施方式，所述图数据结构包括顶点和边，所述顶点表示一种对象类型、一个对象或者一组附加属性，所述边表示两个所述顶点之间的关系。根据本专利技术的一实施方式，所述顶点包括身份提供者、用户类型、用户对象身份、岗位、部门、机构、用户组、服务提供者、资源类型、资源、服务类型、服务、操作类型、操作、动态权限、静态权限、帐号、共享帐号、委托帐号。根据本专利技术的一实施方式，所述边包括用户对象身份-实例化-用户类型、身份提供者-提供-用户对象身份、机构-归属-机构、部门-归属-机构、岗位-归属-部门、用户对象身份-任职-岗位、帐号-归属-服务提供者、用户对象身份-拥有-帐号、用户对象身份-共用-共享帐号、用户对象身份-委托-委托帐号、委托帐号-委托给-用户、委托帐号-代表-帐号、用户对象身份-被赋予-属性标签。根据本专利技术的一实施方式，所述图数据库的操作指令包括对所述顶点或者所述边的增、删、改、查操作。根据本专利技术的一实施方式，所述身份数据的存储形式包括Neo4J、JanusGraph、ApacheTinkerPop、Arangodb、OrientDB或者HugeGraph。根据本专利技术的一实施方式，还包括运行态身份子视图生成模块，用于向所述图数据库发出图查询指令查询所述身份数据，并将所述身份数据的数据结构转换为其他系统需要的数据结构。根据本专利技术的一实施方式，所述运行态身份子视图生成模块的工作过程包括：a.生成访问者的等效属性，从帐号顶点开始进行图遍历，获得赋予所述帐号的标签属性顶点、拥有所述帐号的用户实体身份顶点、提供用户身份的身份提供者顶点、赋予用户实体身份的标签属性顶点、用户任职的岗位顶点、岗位归属的部门顶点、部门归属的上级部门顶点，累加以上顶点的属性，生成运行态身份子视图中帐号的等效属性；b.生成受访者的等效属性,从操作顶点开始进行图遍历，获得所述操作顶点使用的服务顶点，所述服务顶点上赋予的属性标签顶点、服务访问的资源顶点、提供资源的服务提供者顶点，累加以上顶点的属性，生成所述运行态身份子视图中操作的等效属性；c.生成访问控制的等效策略，从所述操作顶点开始进行图遍历，获得所述操作顶点上的动态权限顶点，获得所述服务顶点上的动态权限顶点，获得所述资源顶点上的动态权限顶点，累加以上顶点中记录的访问控制策略，生成所述运行态身份子视图中的等效策略。本专利技术另一方面还提供一种可处理复杂关系的身份管理方法，包括以下步骤:接收身份管理操作指令，将所述身份管理操作指令解析为身份数据操作指令；将所述身份数据操作指令解析为图数据库的操作指令；所述图数据库的操作指令操作图数据库更新图结构身份数据。本专利技术的可处理复杂关系的身份管理系统及方法采用基于图数据结构的身份数据模型，可处理现有身份管理系统中无法处理的多种复杂关系，大幅提升企业级身份管理系统的管理能力。同时，通过运行态身份子视图生成模块按需将部分身份数据转换为树/表结构数据，还可提供给其他信息系统使用，提高了数据使用效率。附图说明图1是现有身份管理系统基于树状目录结构的身份数据模型图；图2是本专利技术可处理复杂关系的身份管理系统示意图；图3是本专利技术图数据结构处理复杂关系的示例一；图4是本专利技术图数据结构处理复杂关系的示例一；图5是本专利技术图数据结构处理复杂关系的示例一；图6是本专利技术运行态身份子视图生成模块的工作过程示意图；图7是本专利技术可处理复杂关系的身份管理方法步骤图。具体实施方式下面结合具体实施方式对本专利技术作详细说明。本专利技术的本文档来自技高网...

【技术保护点】
1.一种可处理复杂关系的身份管理系统，其特征在于，包括：身份管理模块、身份数据管理模块、图数据库，其中，所述身份管理模块用于接收并解析身份管理操作指令，并向所述身份数据管理模块发送对应的身份数据操作指令；所述身份数据管理模块用于将身份数据操作指令解析为所述图数据库的操作指令，操作所述图数据库更新身份数据；所述图数据库用于以图数据结构构建身份数据模型及存储身份数据。

【技术特征摘要】
1.一种可处理复杂关系的身份管理系统，其特征在于，包括：身份管理模块、身份数据管理模块、图数据库，其中，所述身份管理模块用于接收并解析身份管理操作指令，并向所述身份数据管理模块发送对应的身份数据操作指令；所述身份数据管理模块用于将身份数据操作指令解析为所述图数据库的操作指令，操作所述图数据库更新身份数据；所述图数据库用于以图数据结构构建身份数据模型及存储身份数据。2.根据权利要求1所述的系统，其特征在于，所述身份管理操作指令包括为用户创建身份、用户调岗、为用户分配信息系统帐号权限、将用户分配到一个运维小组、为用户分配云资源访问权限。3.根据权利要求1或2所述的系统，其特征在于，所述身份管理操作指令格式包括JSON或者XML。4.根据权利要求1所述的系统，其特征在于，所述图数据结构包括顶点和边，所述顶点表示一种对象类型、一个对象或者一组附加属性，所述边表示两个所述顶点之间的关系。5.根据权利要求4所述的系统，其特征在于，所述顶点包括身份提供者、用户类型、用户对象身份、岗位、部门、机构、用户组、服务提供者、资源类型、资源、服务类型、服务、操作类型、操作、动态权限、静态权限、帐号、共享帐号、委托帐号。6.根据权利要求5所述的系统，其特征在于，所述边包括用户对象身份-实例化-用户类型、身份提供者-提供-用户对象身份、机构-归属-机构、部门-归属-机构、岗位-归属-部门、用户对象身份-任职-岗位、帐号-归属-服务提供者、用户对象身份-拥有-帐号、用户对象身份-共用-共享帐号、用户对象身份-委托-委托帐号、委托帐号-委托给-用户、委托帐号-代表-帐号、用户对象身份-被赋予-属性标签。7.根据权利要求6所述的系统，其特征在于，所述图数据库的操作指令包括对所述顶点或者所...

【专利技术属性】
技术研发人员：李德辉，张浩，
申请(专利权)人：北京众图识人科技有限公司，
类型：发明
国别省市：北京,11