基于OA审批和业务系统之间的权限管理方法

本发明涉及协同办公技术领域，尤其涉及一种基于OA审批和业务系统之间的权限管理方法。

业务系统的权限申请一般都需要走OA审批，只有审批通过后，运维人员才会给申请人新增或修改相应的权限。

按传统的做法，首先需要为各个业务系统新增相应的OA审批流程，然后OA再跟每个业务系统打通权限接口，包括基础权限数据的获取、权限新增修改等。如果涉及到权限回收的控制(申请的权限基本是有有效期的)，那么就需要各个业务系统自行控制，可往往有些业务系统并不具备这个能力(比如网络访问权限、VPN账号权限)，甚至有些是必须要人工去运维，就会存在很大的安全隐患和沟通开发成本。随着业务系统的增加，将会成倍的增加运维成本。

新增业务系统的权限审批或者基础权限数据的变更，都会存在以下问题：

1：除了业务系统自身，OA系统也要跟着新增或变更相应的接口，增加接口沟通和开发的成本。

2：各个业务系统都需要自己实现权限回收等功能，如果有些权限必须人工处理(比如网络访问权限等)，那回收的时候就需要人工定时去查OA权限申请单据，然后进行回收，存在大量的重复工作和安全隐患(权限回收遗漏)。

3：OA的审批流程不单单只有权限申请的流程，对申请的权限不易于管理。

如何快速适应公司规模的扩大，业务系统的复杂多变性，如何降低OA和业务系统之间开发运维成本，成为当前权限管理亟需解决的问题。

本发明的目的在于提供一种基于OA审批和业务系统之间的权限管理方法，其可以解决背景技术中提及的技术问题。

为了实现上述目的，本发明的技术方案如下：

一种基于OA审批和业务系统之间的权限管理方法，其特征在于，包括如下步骤：

步骤一，业务系统配置，在新增业务系统时，进行业务系统的配置；

步骤二，权限基础数据配置，权限基础数据分为角权限数据权限两类，同一个业务系统的同一种权限类型下权限基础数据可以设置上下级关系以区分权限的大小，权限基础数据直接在权限管理系统进行配置，或者由业务系统配置权限基础数据同步接口，权限管理系统定时进行数据同步；

步骤三，权限申请记录，OA的权限申请审批通过后，调用权限管理系统的权限生效通用接口，权限管理系统对审批单据的信息进行记录；

步骤四，权限管理系统定时任务，权限管理系统需要定时生效失效权限，定时同步业务系统权限基础数据；

步骤五，OA权限审批流程，OA权限审批流程配置统一的流程模板，流程模板中配置单据权限基础数据来源于权限管理系统权限基础数据查询接口，用户提交申请流程时根据选择不同的业务系统，展示此业务系统下对应的权限，增加流程审批通过事件，审批通过触发时，将审批单据数据回传到权限管理系统进行后续的运维；

步骤六，OA离职、岗位变动流程，对于OA人员离职变更，若需要失效掉此人员的权限，则权限管理系统提供权限失效接口供OA调用；OA的离职流程、岗位变动流程增加流程审批通过事件；流程审批通过触发事件，调用权限管理系统失效接口对人员权限进行失效。

优选的，在步骤一中，业务系统的配置内容包括：系统ID、系统名称、系统编码、权限基础数据同步接口、权限生效接口、权限失效接口、通知方式、系统负责人以及负责人通知方式。

优选的，所述权限基础数据同步接口、所述权限生效接口以及是权限失效接口由权限管理系统提供统一通用的API接口，且业务系统将所述API接口作默认接口。

优选的，除默认接口外，需要配置业务系统接口的字段可以为空，为空则说明业务系统暂时不具备此接口的能力，则采用默认实现。

优选的，在步骤二中，权限基础数据包括以下字段：权限ID、权限编码、权限名称、系统ID、权限类型以及上级权限ID。

优选的，在步骤三中，权限申请记录包括如下信息：申请记录ID、申请人、申请时间、生效时间、失效时间、系统ID以及申请单URL。

优选的，在步骤四中，采用quatz或者分布式任务调度技术实现定时任务。

优选的，在步骤四中，定时生效失效权限的任务包括如下步骤：

步骤a，开始扫描；

步骤b，是否达到生效失效时间，若否则返回步骤a，若是则执行步骤c；

步骤c，获取配置的对应业务系统信息；

步骤d，是否配置生效失效接口，若是则执行步骤e；若否则执行步骤i；

步骤e，根据配置的接口到对应调用接口的实现；

步骤f，组装接口所需参数；

步骤g，调用业务系统接口进行权限的生效、失效；

步骤h，是否成功，若是则执行步骤j；若否则执行步骤i；

步骤i，通知系统负责人处理；

步骤j，通知权限申请人。

优选的，在步骤五中，首次配置调通之后，新增业务系统或者业务系统权限基础数据的变更，都无需OA系统进行开发联调，只需新增流程引用此流程模板。

与相关技术相比，本发明提供的基于OA审批和业务系统之间的权限管理方法具有如下优点：

1、新增业务系统或变更，无需重复开发，直接可配置化，大大减少运维成本；

2、将OA审批和业务系统彻底隔离(简单单一)，使OA系统能快速适应业务系统的复杂多变；

3、权限审批记录可视化统一管理，方便运维，减少安全隐患；

4、公司所有涉及到的权限，无论是标准的业务系统权限，还是诸如网络访问权限、各类公司账号权限、电脑使用权限等非业务系统的权限，都能通过可视化配置，进行有效的统一管理。

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图，其中：

图1为本发明基于OA审批和业务系统之间的权限管理方法的流程图；

图2为本发明定时生效失效权限的任务流程图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明提供了一种基于OA审批和业务系统之间的权限管理方法，其特征在于，包括如下步骤：

步骤一，业务系统配置，在新增业务系统时，进行业务系统的配置；

具体的，业务系统的配置内容包括：

系统ID：配置好之后会自动生成32位的ID(主键)；

系统名称：业务系统名称；

系统编码：可以自定义，保证唯一；

权限基础数据同步接口：业务系统可以提供的权限基础数据接口地址或者实现；

权限生效接口：业务系统可以提供的权限生效接口地址或者实现；

权限失效接口：业务系统可以提供的权限失效接口地址或者实现；

通知方式：权限申请人通知方式，包括邮件、钉钉等可扩展实现；

系统负责人：业务系统对应的运维负责人；

负责人通知方式：邮件、钉钉消息、钉钉通知、钉钉机器人等可扩展实现。

需要进一步说明的是，所述权限基础数据同步接口、所述权限生效接口以及是权限失效接口由权限管理系统提供统一通用的API接口，且业务系统将所述API接口作默认接口。当然，若有特殊情况，则单独扩展实现此API接口。除默认接口外，需要配置业务系统接口的字段可以为空，为空则说明业务系统暂时不具备此接口的能力，则采用默认实现。比如权限基础数据接口，如果不配置，则直接不进行同步，直接可在权限管理系统配置权限基础数据即可，OA流程单据将同步展示。生效、失效接口如果不配置，则默认通知系统负责人进行人工处理权限申请。

步骤二，权限基础数据配置，权限基础数据分为角权限数据权限两类，同一个业务系统的同一种权限类型下权限基础数据可以设置上下级关系以区分权限的大小，权限基础数据直接在权限管理系统进行配置，或者由业务系统配置权限基础数据同步接口，权限管理系统定时进行数据同步；

具体的，权限基础数据包括以下字段：

权限ID：配置好之后会自动生成32位的ID(主键)；

权限编码：同一个业务系统下唯一；

权限名称：业务系统自定义；

系统ID：所属业务系统ID；

权限类型：角权限、数据权限；

上级权限ID：为空则是第一级权限或者无上下级关系。

需要进一步说明的是，权限基础数据同步接口就是同步以上基本字段信息，权限管理系统提供统一API，业务系统提供能力，权限管理系统定时调度

步骤三，权限申请记录，OA的权限申请审批通过后，调用权限管理系统的权限生效通用接口，权限管理系统对审批单据的信息进行记录；

具体的，权限申请记录包括如下信息：

申请记录ID；

申请人：权限申请人信息；

生效时间：权限生效时间；

失效时间：权限失效时间；

系统ID：对应业务系统ID；

申请单URL：OA的申请单据地址，方便运维查看。

需要进一步说明的是，申请人所申请的具体权限记录到申请记录明细中。

步骤四，权限管理系统定时任务，权限管理系统需要定时生效失效权限，定时同步业务系统权限基础数据；

具体的，采用quatz或者分布式任务调度技术实现定时任务。

请参阅图2所示，定时生效失效权限的任务会根据权限申请记录的生效、失效时间，判断记录是否需要生效、失效。如果达到生效、失效条件，则根据配置的业务系统信息对其生效、失效。包括接口调用、信息的通知等，包括如下步骤：

步骤a，开始扫描；

步骤b，是否达到生效失效时间，若否则返回步骤a，若是则执行步骤c；

步骤c，获取配置的对应业务系统信息；

步骤d，是否配置生效失效接口，若是则执行步骤e；若否则执行步骤i；

步骤e，根据配置的接口到对应调用接口的实现；

步骤f，组装接口所需参数；

步骤g，调用业务系统接口进行权限的生效、失效；

步骤h，是否成功，若是则执行步骤j；若否则执行步骤i；

步骤i，通知系统负责人处理；

步骤j，通知权限申请人。

需要进一步说明的是，权限失效、生效默认接口由权限管理管理系统统一提供API，业务系统提供能力，接口会包括权限申请记录基本信息和权限申请基本详细信息，业务系统按需取用。接口支持扩展，若特殊情况，则扩展实现接口，配置到业务系统配置中即可。

步骤五，OA权限审批流程，OA权限审批流程配置统一的流程模板，流程模板中配置单据权限基础数据来源于权限管理系统权限基础数据查询接口，用户提交申请流程时根据选择不同的业务系统，展示此业务系统下对应的权限，增加流程审批通过事件，审批通过触发时，将审批单据数据回传到权限管理系统进行后续的运维；

需要进一步说明的是，首次配置调通之后，新增业务系统或者业务系统权限基础数据的变更，都无需OA系统进行开发联调，只需新增流程引用此流程模板。

步骤六，OA离职、岗位变动流程，对于OA人员离职变更，若需要失效掉此人员的权限，则权限管理系统提供权限失效接口供OA调用；OA的离职流程、岗位变动流程增加流程审批通过事件；流程审批通过触发事件，调用权限管理系统失效接口对人员权限进行失效。

与相关技术相比，本发明提供的基于OA审批和业务系统之间的权限管理方法具有如下优点：

1、新增业务系统或变更，无需重复开发，直接可配置化，大大减少运维成本；

2、将OA审批和业务系统彻底隔离(简单单一)，使OA系统能快速适应业务系统的复杂多变；

3、权限审批记录可视化统一管理，方便运维，减少安全隐患；

4、公司所有涉及到的权限，无论是标准的业务系统权限，还是诸如网络访问权限、各类公司账号权限、电脑使用权限等非业务系统的权限，都能通过可视化配置，进行有效的统一管理。

尽管本发明的实施方案已公开如上，但并不仅仅限于说明书和实施方案中所列运用，它完全可以被适用于各种适合本发明的领域，对于熟悉本领域的人员而言，可容易地实现另外的修改，因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里所示出与描述的图例。