The invention provides an identity management system and a method for dealing with complex relations. The system includes identity management module for receiving and parsing identity management operation instructions, and sending corresponding identity data operation instructions to identity data management module; identity data management module for parsing identity data operation instructions into graph database operation instructions, operation graph database for updating identity data; graph database for constructing identity data model with graph data structure And storage of identity data. The identity management system and method of the present invention can deal with complex relationships, adopts the identity data model based on graph data structure, can deal with many complex relationships that can not be handled in the existing identity management system, and greatly improves the management capability of the enterprise-level identity management system. At the same time, part of the identity data is converted into tree/table structure data on demand by running identity sub-view generation module, which can also be used by other information systems to improve the efficiency of data use.
【技术实现步骤摘要】
可处理复杂关系的身份管理系统及方法
本专利技术涉及一种可处理复杂关系的身份管理系统及方法,具体涉及一种利用图数据结构重新构建身份数据模型的身份管理系统及方法。
技术介绍
企业级身份管理系统为企业提供了统一的用户身份管理,包括从用户入职、调岗、离职产生的一系列组织机构管理、用户属性管理、信息系统帐号分配、认证因子管理、权限管理、帐号关闭、策略管理等。身份管理系统在数据层面上本质就是对组织机构、用户身份、信息系统帐号、资源、服务、数据等对象以及对象间关系的管理。身份数据所采用的存储技术、数据结构、身份数据模型直接决定了身份管理系统对复杂关系场景的处理能力。如图1所示的身份数据模型图,现有身份管理系统,例如OracleIDM、IBMTivoliTIM等,采用的存储技术是目录服务,例如LDAP(轻量目录访问协议,LightweightDirectoryAccessProtocol)、ActiveDirectory(活动目录)等,数据结构是树状目录结构。随着企业信息化的不断发展以及云、大数据等新技术的运用,基于树状目录结构的身份数据模型已经不能满足企业信息化发展的需求。在复杂的身份管理场景下,由于资源种类众多及数据组合众多,现有以角色授权的管理模式由于权限组合太多且无法及时动态调整,无法应对这种复杂场景的需求。用户能否访问某个应用、某种云资源、某种数据组合不是一个角色能够决定的,需要动态的根据用户属性、用户归属的部门及上级部门的属性、用户所属的用户组属性、用户与其他用户的关系(例如是否存在委托)及被访问资源、服务、数据的属性进行综合判断才能决定。实现这种基于多维度关 ...
【技术保护点】
1.一种可处理复杂关系的身份管理系统,其特征在于,包括:身份管理模块、身份数据管理模块、图数据库,其中,所述身份管理模块用于接收并解析身份管理操作指令,并向所述身份数据管理模块发送对应的身份数据操作指令;所述身份数据管理模块用于将身份数据操作指令解析为所述图数据库的操作指令,操作所述图数据库更新身份数据;所述图数据库用于以图数据结构构建身份数据模型及存储身份数据。
【技术特征摘要】
1.一种可处理复杂关系的身份管理系统,其特征在于,包括:身份管理模块、身份数据管理模块、图数据库,其中,所述身份管理模块用于接收并解析身份管理操作指令,并向所述身份数据管理模块发送对应的身份数据操作指令;所述身份数据管理模块用于将身份数据操作指令解析为所述图数据库的操作指令,操作所述图数据库更新身份数据;所述图数据库用于以图数据结构构建身份数据模型及存储身份数据。2.根据权利要求1所述的系统,其特征在于,所述身份管理操作指令包括为用户创建身份、用户调岗、为用户分配信息系统帐号权限、将用户分配到一个运维小组、为用户分配云资源访问权限。3.根据权利要求1或2所述的系统,其特征在于,所述身份管理操作指令格式包括JSON或者XML。4.根据权利要求1所述的系统,其特征在于,所述图数据结构包括顶点和边,所述顶点表示一种对象类型、一个对象或者一组附加属性,所述边表示两个所述顶点之间的关系。5.根据权利要求4所述的系统,其特征在于,所述顶点包括身份提供者、用户类型、用户对象身份、岗位、部门、机构、用户组、服务提供者、资源类型、资源、服务类型、服务、操作类型、操作、动态权限、静态权限、帐号、共享帐号、委托帐号。6.根据权利要求5所述的系统,其特征在于,所述边包括用户对象身份-实例化-用户类型、身份提供者-提供-用户对象身份、机构-归属-机构、部门-归属-机构、岗位-归属-部门、用户对象身份-任职-岗位、帐号-归属-服务提供者、用户对象身份-拥有-帐号、用户对象身份-共用-共享帐号、用户对象身份-委托-委托帐号、委托帐号-委托给-用户、委托帐号-代表-帐号、用户对象身份-被赋予-属性标签。7.根据权利要求6所述的系统,其特征在于,所述图数据库的操作指令包括对所述顶点或者所...
【专利技术属性】
技术研发人员:李德辉,张浩,
申请(专利权)人:北京众图识人科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。