角色分配方法、装置、计算机设备及存储介质与流程

1.本技术实施例涉及计算机技术领域，特别涉及一种角色分配方法、装置、计算机设备及存储介质。


背景技术：

2.角色分配用于信息系统管理，通常根据用户的岗位职责或功能为用户分配指定的角色，不同角色具备不同的信息管理权限，而职责分离则是企业内控管理遵循的一项重要原则，它要求不相容的职务互相分离，合理设置企业中工作岗位，明确职责权限，形成相互制衡机制。
3.相关技术中，通常使用专门的权限检查工具进行职责分离风险检查，管理员在做系统角色分配时，需要根据管理要求多次调整分配具体角色，并反复执行风险检查来验证分配的系统角色是否满足职责分离的管理要求。


技术实现要素：

4.本技术实施例提供了一种角色分配方法、装置、计算机设备及存储介质。本技术实施例提供的技术方案如下：
5.一方面，本技术实施例提供一种角色分配方法，该方法包括：
6.响应于对候选角色集合中第一候选角色的选择操作，将所述第一候选角色添加至已选角色集合；
7.基于所述已选角色集合以及风险角色集合，确定所述候选角色集合中的目标角色，其中，同时具有所述风险角色集合中各个角色的对象存在职责分离风险，且存在至少一个所述风险角色集合是添加所述目标角色后的所述已选角色集合的子集；
8.从所述候选角色集合中移除所述第一候选角色和所述目标角色；
9.响应于对所述已选角色集合的确认操作，基于所述已选角色集合进行角色分配。
10.另一方面，本技术实施例提供一种角色分配装置，该装置包括：
11.添加模块，用于响应于对候选角色集合中第一候选角色的选择操作，将所述候选角色添加至已选角色集合；
12.第一确定模块，用于基于所述已选角色集合以及风险角色集合，确定所述候选角色集合中的目标角色，其中，同时具有所述风险角色集合中各个角色的对象存在职责分离风险，且存在至少一个风险角色集合是添加所述目标角色后的所述已选角色集合的子集；
13.第一移除模块，用于从所述候选角色集合中所述第一候选角色和移除所述目标角色；
14.角色分配模块，用于响应于对所述已选角色集合的确认操作，基于所述已选角色集合进行角色分配。
15.另一方面，本技术实施例提供了一种计算机设备，该计算机设备包括处理器和存储器，存储器中存储有至少一段程序，至少一段程序由处理器加载并执行以实现上述方面
提供的角色分配方法。
16.另一方面，本技术实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有至少一条指令，至少一条指令用于被处理器执行以实现如上述方面提供的角色分配方法。
17.另一方面，本技术实施例提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述方面提供的角色分配方法。
18.本技术实施例提供的技术方案带来的有益效果至少包括：
19.本技术实施例中，当进行角色分配时，可以通过候选集合选择第一候选角色，并将第一候选角色添加到已选角色集合中；进而基于已选角色集合以及风险角色集合确定出候选角色集合中的目标角色，由于目标角色与已选角色集合的组合会产生职责分离风险，因而将目标角色和第一候选角色从候选角色集合中移除后，在后续选择时已选角色集合不会产生职责分离风险。相较于现有技术中先进行角色分配，然后再进行风险验证的方式，其可以减少手动进行风险验证的次数，提高角色分配的效率。
附图说明
20.图1示出了本技术一个示例性实施例提供的角色分配方法的流程图；
21.图2是本技术一个示例性实施例示出的添加第一候选角色的示意图；
22.图3示出了本技术另一个示例性实施例提供的角色分配方法的流程图；
23.图4是本技术一个示例性实施例示出的显示角色分配界面的界面示意图；
24.图5是本技术一个示例性实施例示出的生成待检角色集合的示意图；
25.图6示出了本技术另一个示例性实施例提供的角色分配方法的流程图；
26.图7是本技术一个示例性实施例示出的确定职能集合的示意图；
27.图8是本技术一个示例性实施例示出的确定风险角色集合的示意图；
28.图9是本技术一个示例性实施例示出的更新候选角色集合的界面示意图；
29.图10是本技术一个示例性实施例示出的显示提示信息的界面示意图；
30.图11示出了本技术另一个示例性实施例提供的角色分配方法的流程图；
31.图12是本技术一个示例性实施例示出的移除已选角色的界面示意图；
32.图13示出了本技术另一个示例性实施例提供的角色分配方法的原理示意图；
33.图14示出了本技术一个示例性实施例示出的角色分配装置的结构框图；
34.图15示出了本技术一个示例性实施例示出的计算机设备的结构框图。
具体实施方式
35.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步的详细描述。
36.为了方便理解，下面对本技术实施例中涉及的名词进行说明。
37.职责分离：职责分离是指企业各业务部门及业务操作人员之间责任和权限的相互分离机制，在通过信息管理系统进行角色分配时，需要根据用户的具体岗位职责或业务功
能对用户帐号设置相应的使用权限或功能权限，确保不同岗位职责或业务功能的用户帐号具备各自对应的操作功能，避免某些相关联的职责同时集中在同一用户帐号，导致业务出错率增加和舞弊的情况发生。
38.相关技术中，企业管理人员通常根据用户的职位分配固定的角色，但对于体系较大的信息系统，往往会涉及较多的业务部门和用户，且同一职位也可能会有不同的业务分工，这样会导致不同用户帐号之间可能会存在职责分离风险。因此就需要通过专门的权限检查工具对已进行角色分配的用户帐号进行职责分离风险检查，而且，权限检查工具只能对已进行角色分配的用户帐号进行风险检查，却无法对风险进行治理。管理员在进行角色分配时并不能确保不会出现角色分离风险，若分配后检查出风险，则需要重新进行角色分配，确保为用户帐号分配的系统角色不会出现职责分离的风险，因此，进行角色分配的效率不高。
39.本技术实施例提供的方案，管理员在进行角色分配时，无需多次手动通过风险检查工具对创建的对象进行风险验证，而是在通过角色分配系统选择具体的系统角色过程中，自动将会产生职责分离风险的系统角色进行过滤，确保在候选角色集合中选择的系统角色都能满足职责分离的管理要求，因此进行角色分配的效率更高。
40.图1是本技术一个示例性实施例提供的角色分配方法的流程图，该方法包括：
41.步骤101，响应于对候选角色集合中第一候选角色的选择操作，将第一候选角色添加至已选角色集合。
42.当需要为用户帐号分配相应的操作权限时，首先需要获取角色分配系统中的候选集合，候选集合中包含有供管理员选择的第一候选角色。管理员可以根据需要进行角色分配的用户的岗位职责或需要执行的业务功能从候选角色集合中选择第一候选角色，当接收到对候选集合中第一候选角色的选择操作时，将对应的第一候选角色添加到已选角色集合中。已选角色集合是已选角色组成的集合，而且，已选角色集合和候选角色集合在内容上是不相同的两个集合。
43.示意性的，如图2所示，候选角色集合210中显示有供管理员进行选选择的第一候选角色211，已选角色集合220中显示有已选角色221，当从候选角色集合210中选择第一候选角色211后，将该第一候选角色211加入到已选角色集合220中。
44.步骤102，基于已选角色集合以及风险角色集合，确定候选角色集合中的目标角色，其中，同时具有风险角色集合中各个角色的对象存在职责分离风险，且存在至少一个风险角色集合是添加目标角色后的已选角色集合的子集。
45.在向已选角色集合中添加第一候选角色时，角色分配系统还会获取风险角色集合，风险角色集合是经过风险检查后输出的所有能够出现职责分离风险的角色集合，当角色分配系统中包含有较多的系统角色时，风险角色集合可以有多个，每个风险角色集合由至少一个系统角色组成，风险角色集合中各个系统角色的组合存在职责分离风险。
46.由于先进行角色分配，然后再进行风险验证的方式需要重复多次进行验证，分配效率低下，因此可以在向已选角色集合中添加第一候选集合后，根据已选角色集合以及风险角色集合，从候选角色集合中确定出目标角色。该目标角色和已选角色集合的组合至少包含一个风险角色集合，也就是说，目标角色和已选角色集合的组合包含风险角色集合，也就意味着将该目标角色和已选角色集合进行组合后会产生职责分离风险，也是后续进行选
择时应排除的选择对象。
47.步骤103，从候选角色集合中移除第一候选角色和目标角色。
48.由于将目标角色添加到已选角色集合中会产生职责分离风险，因此，在确定出目标角色集合后，将目标角色集合从候选角色集合中移除。此外，由于已经向已选角色集合中添加了第一候选角色集合，为避免后续出现重复选择的情况，同时还需选中的第一候选角色从候选角色集合中移除。
49.步骤104，响应于对已选角色集合的确认操作，基于已选角色集合进行角色分配。
50.当已选角色集合中添加的已选角色还无法实现相应的业务功能或不具备相应的操作权限时，则需要继续向已选角色集合中继续添加已选角色，直至添加的已选角色能够实现对应的业务功能或具备相应的操作权限。进而在接收到对已选角色集合的确认操作后，基于已选角色集合进行角色分配，获得角色分配的用户帐号仅能实现已选角色集合所限定的业务功能，不会出现越权管理的操作行为，且为用户帐号分配的系统角色符合职责分离原则。
51.综上所述，本技术实施例中，当进行角色分配时，可以通过候选集合选择第一候选角色，并将第一候选角色添加到已选角色集合中；进而基于已选角色集合以及风险角色集合确定出候选角色集合中的目标角色，由于目标角色与已选角色集合的组合会产生职责分离风险，因而将目标角色和第一候选角色从候选角色集合中移除后，在后续选择时已选角色集合不会产生职责分离风险。相较于现有技术中先进行角色分配，然后再进行风险验证的方式，其可以减少手动进行风险验证的次数，提高角色分配的效率。
52.图3是本技术另一个示例性实施例提供的角色分配方法的流程图，该方法包括以下步骤：
53.步骤301，显示角色分配界面，角色分配界面中显示有候选角色集合、已选角色集合和角色选择控件，角色选择控件用于将候选角色集合中的第一候选角色添加至已选角色集合。
54.当管理员需要对用户帐号进行角色分配时，可以登录角色分配系统，并通过角色分配系统显示角色分配界面。角色分配界面中显示有候选角色集合、已选角色集合以及角色选择控件。其中，已选角色集合中显示有管理员添加的已选角色，候选角色集合中则显示有可供选择的第一候选角色，此外，角色选择界面中还显示有角色选择控件，该角色选择控件用于将选中的第一候选角色添加至已选角色集合中。
55.示意性的，如图4所示，在角色分配界面中，候选角色集合410中显示有第一候选角色411，第一候选角色411右上角显示有对应的角色选择控件412，管理员可以通过勾选该角色选择控件412选中对应的第一候选角色411。此外，角色分配界面中还显示有角色分配控件430，角色分配控件430中显示有需要进行角色分配的用户帐号。此外，角色分配界面还显示有权限检查控件440，权限检查控件可以查询对应用户帐号已分配的系统角色，同时也便于在业务调整时对系统角色进行重新分配。
56.步骤302，响应于对已选角色集合中第一候选角色对应角色选择控件的触发操作，将第一候选角色添加到已选角色集合中。
57.如图4所示的候选角色集合410，当管理员勾选第一候选角色411对应的角色选择控件412时，进而将该第一候选角色411添加到已选角色集合420中，且已选角色集合420中
的所有已选角色都是从候选角色集合410中添加得到。
58.在另一种可能的实施方式中，已选角色集合的已选角色和候选角色集合中的第一候选角色是以列举的方式显示，但在候选集合的内容较多，无法完全显示时，可以通过下拉列表或搜索的方式进行显示，如在候选角色集合中设置搜索框，根据输入的搜索内容显示第一候选角色，然后再通过触发操作将第一候选角色添加到已选角色集合中。
59.需要说明的是，在管理员向已选角色集合中添加的第一候选角色是第一个添加对象时，候选角色集合中的包含的内容是全部的系统角色，当第一候选角色并非第一个添加对象时，则候选角色集合包含的内容是能和已选角色集合进行组合的第一候选角色，且组合后的已选角色集合不会发生职责分离风险。
60.步骤303，将候选角色集合中的第二候选角色与已选角色集合进行组合，获得待检角色集合，第二候选角色不同于第一候选角色。
61.将第一候选集合添加到已选角色集合中后，需要对候选角色集合中除第一候选角色外的第二候选角色进行验证，将第二候选角色与已选角色集合进行组合，获得待检角色集合，当存在较多第二候选角色时，则分别将每个第二候选角色和已选角色集合进行组合，获得多个待检角色集合，并以列表的形式存储多个待检角色集合，其中，待检角色集合是需要进行职责分离风险验证的集合。
62.示意性的，如图5所示，为了方便描述，以系统角色全集内容为角色01至角色07，角色04即为添加到已选角色集合510中的第一候选角色511，则候选角色集合520中的第二候选角色521即为除角色04外的其他六个系统角色，分别以每个第二候选角色521和已选角色集合520进行组合，并形成待检角色集合列表530，待检角色集合列表530中包含有组合的六个待检角色集合531。
63.步骤304，基于风险角色集合对待检角色集合进行风险验证，确定候选角色集合中的目标角色，目标角色和已选角色集合的组合存在职责分离风险。
64.将已选角色集合与第二候选角色组合生成待检角色集合后，进而需要对每个待检角色集合进行风险验证，与以往选择完所有需要的系统角色后再进行角色分配和风险检查的方式不同，当向已选角色集合中添加第一候选角色后，会自动根据风险角色集合对待检角色集合进行风险验证，筛选出候选角色集合中的目标角色，该目标角色与已选角色集合的组合存在职责分离风险，也就是说，包含目标角色的待检角色集合会产生职责分离风险。其中，风险角色集合是按照职责分离原则对所有的系统角色进行组合后得到的集合，也是在进行角色分配时不能选择的角色集合。如图6所示，获取风险角色集合以及确定目标角色的过程包括以下步骤。
65.步骤304a，获取风险角色集合，并将待检角色集合与风险角色集合进行比较。
66.在获得待检角色集合后，还需要获取风险角色集合，风险角色集合可以在进行角色分配前，通过风险检查获得所有可能存在的风险角色集合。
67.示意性的，如图4所示，角色分配界面显示有风险检查控件450，当管理员点击风险检查控件450后，角色分配系统会获取系统角色全集，并根据职责分离原则确定出所有能够出现职责分离原则的风险角色集合。其中，获取风险角色集合的原理包括如下步骤：
68.一、获取角色分配系统中的系统角色，并根据业务功能或业务权限生成职能集合，职能集合中包含的系统角色用于实现相应业务功能或业务权限。
69.在执行风险检查时，角色分配系统首先会获取系统角色全集，系统角色全集包含所有的系统角色，由于系统角色是角色分配中最基础的组成部分，每个系统角色都赋予特定的功能权限，当对系统角色进行组合时，需要按照具体的功能构建出职能集合，避免组成无效集合，无法实现具体的功能。
70.示意性的，所图7所示，角色01和角色02表示对表格的浏览编辑权限，角色03和角色04表示对视频的浏览编辑权限。则在组合角色职能集合时，角色01和角色02组成第一职能集合701，用于实现对表格的浏览编辑操作；角色03和角色04组成第二职能集合702，用于实现对视频的浏览编辑操作。而将角色01和角色03进行组合则无法实现对表格或视频的任何操作，属于无效组合，同样的道理，对于角色02和角色04也属于无效组合。
71.按照具体的业务功能组合职能集合的方式可以减少角色集合的数量，在进行风险检查时，可以有效降低数据运算量，同时也可以提高检查的准确性。
72.二、根据职责分离原则确定职能集合构成职责分离风险的风险角色集合。
73.从上述内容可知，不同的职能集合分别用于实现对应的业务功能，但对于一些在职责上具有关联的业务功能，若不进行分离，则会增减业务出错率和舞弊的现象。
74.示意性的，如图8所示，第三职能集合801表示制作账单的业务功能，第四职能集合802表示账单汇款的业务功能，虽然两者在业务职责上互不相容，但在业务操作中由存在一定的关联性，因而第三职能集合801和第四职能集合802的组合就构成一个风险角色集合810，在进行角色分配时，当出现某一用户帐号同时分配到角色11至角色14时，则同时具备制作账单和汇款的权限，在业务上出现权限集中的情况，即违反了职责分离原则。
75.按照职责分离原则对所有职能集合进行风险检查，根据至少两个相关联的职能集合确定出一个风险角色集合，直至获得所有会产生职责分离风险的风险角色集合，并存储到风险角色集合列表中。管理员可以通过调取风险角色集合列表查看所有的风险角色集合和风险类型。
76.步骤304b，响应于存在风险角色集合是待检角色集合的子集，将待检角色集合中的第二候选角色确定为目标角色。
77.在获取到风险角色集合后，将风险集合列表中的每个风险角色集合分别与组合的待检角色集合进行比较，当风险集合列表中存在风险角色集合是待检角色集合的子集时，则将组成待检角色集合的第二候选角色确定为目标角色。
78.示意性的，如图5所示，风险角色集合列表540中共包含有4个风险角色集合541，将每个风险角色集合和待检集合列表530中的每个待检角色集合与待检角色集合列表530中的每个待检角色集合531进行比较，最终确定出两个待检角色集合531与风险角色集合541的内容相同，即角色04与角色05组成的待检角色集合以及角色04与角色07组成的待检角色集合存在职责分离风险。角色05和角色07即为目标角色。
79.需要说明的是，当判断出存在风险角色集合是待检角色集合的子集时，确定出会产生职责分离风险的目标角色，若不存在风险角色集合是待检角色集合的子集时，则候选角色集合中不存在满足职责分离风险的目标角色，因此，在步骤304a之后，还可以包括步骤304c。
80.步骤304c，响应于不存在风险角色集合是待检角色集合的子集，从候选角色集合中移除第一候选角色。
81.当风险角色集合列表中所有风险角色集合都不是待检角色结合的子集时，表示候选角色集合中的第二候选角色和已选角色集合组成的待检角色集合不构成职责分离风险，即不存在目标角色，此时，只需将第一候选角色从候选角色集合中移除即可。
82.步骤305，从候选角色集合中移除第一候选角色和目标角色。
83.当从第二候选角色中确定出目标角色后，需要将目标角色和第一候选角色从候选角色集合中移除。
84.示意性的，如图9所示，在确定出目标角色后，需要对候选角色集合910进行一次更新，将第一候选角色和目标角色从互选角色中移除，并在候选角色集合910中显示剩余的可选角色。
85.在步骤304过程中，当确定出候选角色集合中的第二候选角色全部都是目标角色时，则移除第一候选角色和目标角色后的候选角色集合为空集。此时，可以在候选角色集合区域显示提示信息，提示信息用于指示候选角色集合中不存在满足业务功能或业务权限的可选角色。
86.示意性的，如图10所示，已选角色集合1010中添加了角色02、角色04和角色06，此时候选角色集合1020为空集，并显示“不能再选了！”等形式的提示信息1021，指示候选角色集合1020中已经不存在满足业务功能或业务权限的可选角色。
87.在一种可能的实施方式中，在确定出目标角色后，可以将其移入不可选角色集合，管理员通过不可选角色集合查看构成职责分离风险的待检角色以及对应的风险类型。
88.步骤306，响应于对已选角色集合的确认操作，基于已选角色集合进行角色分配。
89.在接收到对已选角色的确认操作时，表示已选角色集合中的已选角色可以实现所需的业务功能，进而可以基于已选角色集合进行角色分配。
90.如图4所示，当已选角色集合420中添加的已选角色能够实现所需的业务功能后，通过点击角色确定控件431，向指定的用户帐号进行角色分配。
91.本技术实施例中，当需要对用户帐号进行角色分配时，通过将选中的第一候选角色添加到已选角色集合中，并将候选角色集合中的第二候选角色与已选角色集合进行组合，获得待检角色集合，便于后续将风险角色集合与待检角色集合进行比较，确定出会产生职责分离风险的目标角色；
92.由于目标角色与已选角色集合的组合会产生职责分离风险，因而将目标角色和第一候选角色从候选角色集合中移除后，可以继续从候选角色集合中选择，且不会产生职责分离风险，进而在接收到对角色分配的确认操作后，基于已选角色集合进行角色分配。本方案相较于以往直接进行角色分配，然后再进行风险验证的方式，无需重复进行多次角色分配，角色分配的效率更高。
93.在上述实施例中，在用户选择第一候选角色后，会直接将第一候选角色加入到已选角色集合中，并对候选角色集合进行一次更新，但在实际操作中，可能会出现误操作行为，此时需要将已选角色集合中对应的已选角色删除，并重新从候选角色集合中选择。因此，可以在已选角色集合中设置角色删除控件，用于删除指定的已选角色，并对候选角色集合进行更新。如图11所示，在步骤305之后，还可以包括如下步骤：
94.步骤307，接收对角色删除控件的选择操作，将选中的已选角色从已选角色集合中移除。
95.对于已选角色集合中的已选角色，为方便移除已选角色，可以在已选角色上添加角色删除控件，在已选角色集合中添加较多可选角色的情况下，可以针对性的移除指定可选角色，而无需清空已选角色集合，再重新选择，相比之下，可以进一步提高角色分配的效率。
96.如图12所示，已选角色集合1210中的角色04上设置有角色删除控件1211，当管理员需要删除角色04时，通过点击对应的角色删除控件1211，将角色04从已选角色集合1210中移除。
97.步骤308，将移除的已选角色重新添加至候选角色集合，并基于移除已选角色后的已选角色集合以及风险角色集合更新候选角色集合。
98.在移除已选角色后，将该已选角色重新添加到候选角色集合中，此外，由于该已选角色在添加到已选角色集合时，还会从候选角色集合中移除对应的目标角色，因此，重新添加该已选角色的同时，还需要将移除的目标角色重新添加到候选角色集合中。此处的目标角色可以基于移除已选角色后的已选角色集合以及风险角色集合更新候选角色集合确定并进行更新。
99.此外，从上述步骤305可知，在确定出目标角色后，会将第一候选角色以及目标角色从候选角色集合中移除，但为了方便在本步骤中能够及时确定出移除的目标角色，可以在步骤305过程中设置目标角色集合，将移除的候选角色移入目标角色集合中，并且将目标角色与添加到已选角色集合中的第一候选角色进行关联存储。当移除可选角色时，直接从目标角色集合中选取对应的目标角色，并重新添加到已选角色集合中。
100.如图12所示，将已选角色集合1210中的角色04移除后，重新将角色04添加到候选角色集合1220中，同时将移除的目标角色重新添加到候选角色集合1220中。
101.步骤309，响应于对已选角色集合的确认操作，基于已选角色集合进行角色分配。
102.本步骤的实施方式可以参考步骤306，本实施例在此不做赘述。
103.本技术实施示例中，通过在已选角色上设置角色删除控件，可以将已选角色集合中指定的已选角色重新移入候选角色集合中，同时，通过设置目标角色集合，可以及时将移除的目标角色重新移入到候选角色集合中。相比误操作时清空已选角色集合的方式，可以进一步提高角色分配的效率。
104.下面结合具体案例说明上述实施例中进行个角色分配的具体过程。如图13，其示出了本技术一个示例性实施例提供的角色分配方法的原理图。
105.在第一阶段，将角色04加入到已选角色集合中，可以确定出角色04和角色05组成的风险角色集合以及角色04和角色07组成的风险角色集合是待检角色集合列表中两个待检角色集合的子集，进而将角色04和角色07确定为目标角色，并从候选角色集合中移除，更新后的候选角色集合显示有角色01，角色02，角色03以及角色06。
106.在第二阶段，继续将角色06添加到已选角色集合中，风险角色集合列表中不存在风险角色集合是待检角色集合的子集，因而不存在目标角色，仅需将角色06从候选角色集合中移除即可。
107.在第三阶段，继续将角色02添加到已选角色集合中，与第二阶段类似的，仅需将角色02从候选角色集合中移除，此时，候选角色集合中包含有角色01和角色02，若已选角色集合已经可以实现所需的业务功能，可以对用户帐号进行角色分配，若还未能实现所需的业
务功能，则继续执行第四阶段。
108.在第四阶段，继续将角色01添加到已选角色集合中，由于风险角色集合列表中角色01，角色02和角色03组成的风险角色集合是待检角色集合的子集，则将角色03确定为目标角色，并从候选角色集合中移除，移除角色03和角色角色01后的候选角色集合为空集，对应在角色分配界面显示提示信息，若此时已选角色集合已经能够实现所需的业务功能，则可以对用户帐号进行角色分配。
109.参考图14，其示出了本技术一个实施例提供的角色分配装置的结构框图。
110.该装置包括：
111.添加模块1401，用于响应于对候选角色集合中第一候选角色的选择操作，将所述候选角色添加至已选角色集合；
112.第一确定模块1402，用于基于所述已选角色集合以及风险角色集合，确定所述候选角色集合中的目标角色，其中，同时具有所述风险角色集合中各个角色的对象存在职责分离风险，且存在至少一个风险角色集合是添加所述目标角色后的所述已选角色集合的子集；
113.第一移除模块1403，用于从所述候选角色集合中所述第一候选角色和移除所述目标角色；
114.角色分配模块1404，用于响应于对所述已选角色集合的确认操作，基于所述已选角色集合进行角色分配。
115.可选的，所述第一确定模块1402，包括：
116.第一获取单元，用于将所述候选角色集合中的第二候选角色与所述已选角色集合进行组合，获得待检角色集合，所述第二候选角色不同于所述第一候选角色；
117.确定单元，用于基于所述风险角色集合对所述待检角色集合进行风险验证，确定所述候选角色集合中的所述目标角色，所述目标角色和所述已选角色集合的组合存在职责分离风险。
118.可选的，所述确定单元，用于：
119.获取所述风险角色集合，并将所述待检角色集合与所述风险角色集合进行比较；
120.响应于存在所述风险角色集合是所述待检角色集合的子集，将所述待检角色集合中的所述第二候选角色确定为所述目标角色。
121.可选的，所述装置还包括：
122.第二移除模块，用于响应于不存在所述风险角色集合是所述待检角色集合的子集，从所述候选角色集合中移除所述第一候选角色。
123.可选的，所述装置还包括：
124.第二获取模块，用于获取角色分配系统中的系统角色，并根据业务功能或业务权限生成职能集合，所述职能集合中包含的所述系统角色用于实现相应业务功能或业务权限；
125.第二确定模块，用于根据职责分离原则确定所述职能集合构成职责分离风险的所述风险角色集合。
126.可选的，所述装置还包括：
127.显示模块，用于显示角色分配界面，所述角色分配界面中显示有所述候选角色集
合、所述已选角色集合和角色选择控件，所述角色选择控件用于将所述候选角色集合中的所述第一候选角色添加至所述已选角色集合；
128.所述添加模块1401，包括：
129.添加单元，用于响应于对所述已选角色集合中所述第一候选角色对应所述角色选择控件的触发操作，将所述第一候选角色添加到所述已选角色集合中；
130.可选的，所述装置还包括：
131.提示模块，用于响应于所述候选角色集合为空集，显示提示信息，所述提示信息用于指示所述候选角色集合中不存在满足业务功能或业务权限的可选角色。
132.所述角色分配界面显示有角色删除控件，所述角色删除控件用于删除所述已选角色集合中的已选角色；
133.所述装置还包括：
134.删除模块，用于接收对所述角色删除控件的选择操作，将选中的所述已选角色从所述已选角色集合中移除；
135.更新模块，用于将移除的所述已选角色重新添加至所述候选角色集合，并基于移除所述已选角色后的所述已选角色集合以及所述风险角色集合更新所述候选角色集合。
136.本技术实施例中，当需要对用户帐号进行角色分配时，通过将选中的第一候选角色添加到已选角色集合中，并将候选角色集合中的第二候选角色与已选角色集合进行组合，获得待检角色集合，便于后续将风险角色集合与待检角色集合进行比较，确定出会产生职责分离风险的目标角色；
137.由于目标角色与已选角色集合的组合会产生职责分离风险，因而将目标角色和第一候选角色从候选角色集合中移除后，可以继续从候选角色集合中选择，且不会产生职责分离风险，进而在接收到对角色分配的确认操作后，基于已选角色集合进行角色分配。本方案相较于以往直接进行角色分配，然后再进行风险验证的方式，无需重复进行多次角色分配，角色分配的效率更高。
138.请参考图15，其示出了本技术一个示例性实施例提供的计算机设备的结构示意图。具体来讲：计算机设备包括中央处理单元(central processing unit，cpu)1501、包括随机存取存储器1502和只读存储器1503的系统存储器1504，以及连接系统存储器1504和中央处理单元1501的系统总线1505。计算机设备1500还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(input/output，i/o系统)1506，和用于存储操作系统1513、应用程序1514和其他程序模块1515的大容量存储设备1507。
139.基本输入/输出系统1506包括有用于显示信息的显示器1508和用于用户输入信息的诸如鼠标、键盘之类的输入设备1509。其中显示器1508和输入设备15015都通过连接到系统总线1505的输入输出控制器1510连接到中央处理单元1501。基本输入/输出系统1506还可以包括输入输出控制器1510以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器1510还提供输出到显示屏、打印机或其他类型的输出设备。
140.大容量存储设备1507通过连接到系统总线1505的大容量存储控制器(未示出)连接到中央处理单元1501。大容量存储设备1507及其相关联的计算机可读介质为计算机设备1500提供非易失性存储。也就是说，大容量存储设备1507可以包括诸如硬盘或者驱动器之
类的计算机可读介质(未示出)。
141.不失一般性，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括随机存取记忆体(ram，random access memory)、只读存储器(rom，read only memory)、闪存或其他固态存储其技术，只读光盘(compact disc read-only memory，cd-rom)、数字通用光盘(digital versatile disc，dvd)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器1504和大容量存储设备1507可以统称为存储器。
142.存储器存储有一个或多个程序，一个或多个程序被配置成由一个或多个中央处理单元1501执行，一个或多个程序包含用于实现上述方法的指令，中央处理单元1501执行该一个或多个程序实现上述各个方法实施例提供的方法。
143.根据本技术的各种实施例，计算机设备1500还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机设备1500可以通过连接在系统总线1505上的网络接口单元1511连接到网络1512，或者说，也可以使用网络接口单元1511来连接到其他类型的网络或远程计算机系统(未示出)。
144.存储器还包括一个或者一个以上的程序，一个或者一个以上程序存储于存储器中，一个或者一个以上程序包含用于进行本技术实施例提供的方法中由计算机设备所执行的步骤。
145.除此之外，本领域技术人员可以理解，上述附图所示出的电子设备的结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。比如，电子设备中还包括射频电路、输入单元、传感器、服务器、电源等部件，在此不再赘述。
146.本技术提供了一种计算机可读存储介质，存储介质中存储有至少一条指令，至少一条指令由处理器加载并执行以实现上述各个方法实施例提供的角色分配方法。
147.本技术还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。终端的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该终端执行上述实施例中任一的角色分配方法。
148.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
149.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
150.以上仅为本技术的可选实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。