发明内容

本发明所要解决的技术问题是现有建设完成的应用系统改造困难、投入较大，导致IAM体系无法正常发挥精细化权限控制功能，提供一种用于应用系统与IAM系统之间的无应用改造的权限对接方法及系统，以减少IAM身份权限体系建设成本，提升建设效果，以实现在不对应用系统进行开发改造的同时，使IAM获得对应用系统的精细权限控制。

为此，本发明通过以下技术方案来实现：应用系统与IAM系统之间的无应用改造对接方法，其包括：

步骤1)，进行应用系统权限抓取，采集应用界面分层页面；具体过程如下：

步骤11)，获取目标应用系统数据集；

步骤12)，向目标应用系统发送携带账号密码的模拟登陆数据包，获取到返回的cookie；

步骤13)，将获取到的cookie导入页面爬取程序，对目标应用系统进行页面爬取，将爬取到的页面数据发送到消息总线；

步骤14)，数据存储节点从消息总线中获取数据，并存储入数据库；

步骤2)，对抓取到的应用系统页面进行分析整理，建立与IAM系统对接API接口和应用系统页面之间的对应关系；具体过程如下：

步骤21)，提取步骤14)数据库中的数据，基于预设规则进行分类和标注；

步骤22)，将步骤21)中分类和标注的结果解析后的字段添加上时间戳，并建立索引存入数据库；

步骤23)，从步骤22)数据库取得应用系统页面信息，依据预设权限信息建立应用系统页面与API接口对应关系；

步骤3)，实现应用系统与IAM系统的权限对接和数据交互，具体过程如下：

步骤31)，接收对纳管范围内应用系统的用户访问请求时，重定向到IAM的Portal认证页；

步骤32)，接受到带认证ticket的重定向后，对IAM系统发起ticket验证请求；

步骤33)，获得ticket认证结果后，根据ticket获取第三方应用账号的权限信息；

步骤34)，用户登录门户后采取POST方法获取该用户的应用授权列表；

步骤35)，依据授权信息与步骤21)分类、标注数据进行比对，完成对应用系统的单页面允许/拒绝通信操作。

进一步地，步骤11)中，所述的目标应用系统数据集包括目标应用系统地址及最高权限账号密码。

进一步地，步骤21)中，基于预设规则对数据进行分类，分为权限登录界面数据、功能模块界面数据和系统管理界面数据。

本发明采用的另一种技术方案为：应用系统与IAM系统之间的无应用改造对接系统，该系统包括应用系统权限抓取模块、权限代理模块和权限对接模块；

所述应用系统权限抓取模块模块，用于应用系统权限抓取，采集应用界面分层页面；具体内容为：

向应用系统权限抓取模块输入目标应用数据集；所述应用系统权限抓取模块对目标应用系统发送携带账号密码的模拟登陆数据包，获取到返回的cookie；然后将获取到的cookie导入页面爬取程序，对目标应用系统进行页面爬取，将爬取到的页面数据发送到消息总线；数据存储节点从消息总线中消费数据，并存储入库；

所述权限代理模块，用于对抓取到的应用系统页面进行分析整理，建立与IAM对接的API接口与应用系统页面之间的对应关系；具体内容为：

所述权限代理模块提取应用系统权限抓取模块获得的数据，基于预设规则进行分类和标注；然后将分类和标注的结果解析后的字段添加上时间戳，并建立索引入库；从数据库取得应用系统页面信息，依据预设权限信息建立应用系统页面与API接口对应关系；

所述权限对接模块，用于实现应用系统与IAM系统的权限对接和数据交互；具体内容为：

所述权限对接模块接收对纳管范围内应用系统的用户访问请求时，重定向到IAM的Portal认证页；收取到带认证ticket的重定向后，对IAM发起ticket验证请求；获得ticket认证结果后，根据ticket获取第三方应用账号的权限信息；在用户登录门户后采取POST方法获取该用户的应用授权列表；依据授权信息与权限代理模块分类标注数据进行比对，完成对应用系统的单页面允许/拒绝通信操作。

进一步地，应用系统权限抓取模块模块中，所述的目标应用系统数据集包括目标应用系统地址及最高权限账号密码。

进一步地，所述权限代理模块中，基于预设规则对数据进行分类，分为权限登录界面数据、功能模块界面数据和系统管理界面数据。

本发明具有如下的有益效果：本发明解决了现有建设完成的应用系统改造困难、投入较大，导致IAM体系无法正常发挥精细化权限控制功能的问题，可减少IAM身份权限体系建设成本，提升建设效果，实现了在不对应用系统进行开发改造的同时，使IAM获得对应用系统的精细权限控制。