1 产品概述

动态授权主要解决的业务场景： 实现用户入转调离场景下，用户权限的自动调整，实现移岗移权；

基本实现原理：

1. 通过用户组分类来管理用户组（一般按组织/岗位/项目团队等来分类）；

2. 用户组分配权限，支持选择通用角色或业务角色；
   

3. 用户组配置用户同步规则，用户依据规则自动进组；同时用户继承用户组的全部权限；

4. 用户的组织、岗位、项目团队等信息发生变化，依据同步规则会自动触发调动，实现用户入职、离职、调动操作，用户自动在用户组间移动。

用户组分配有角色权限（支持通用角色或业务角色），用户组内用户继承用户组的权限，所以用户所在的用户组改变，则权限同步发生调整。即实现了用户入职、离职、调动等场景下权限自动调整。

1.1 系统路径

1.2 用户组分类

V5.0及以下：【系统服务云】→【基础服务】→【权限管理】→【用户组管理】→【用户组分类】

V6.0：          【基础服务云】→【安全管理】→【权限管理】→【用户组管理】→【用户组分类】

通过用户组分类，定义用户组的分类标准。

1.3 用户组

V5.0及以下：【系统服务云】→【基础服务】→【权限管理】→【用户组管理】→【用户组】

V6.0：          【基础服务云】→【安全管理】→【权限管理】→【用户组管理】→【用户组】

进入用户组列表，按用户组分类展示；

选中对应的用户组分类（这里以财务用户组举例），可以新增具体的用户组记录，如下图：

注意：默认分类对应的是用户授权界面手工维护的用户组，不支持配置同步规则（后文会详细介绍）。

1.4 用户组授权

用户组通过分配通用角色和分配业务角色实现权限分配，如下图：

分配通用角色

1. 点击【分配通用角色】，打开界面如下图：

   
   

   
   

2. 确认授权组织及对应的通用角色；

分配业务角色

1. 点击【分配业务角色】，打开界面如下图：

   
   

2. 确认分配的业务角色；

注意：

启用用户组授权之后，用户的权限=通用角色权限 + 业务角色权限 + 用户直接授权权限 + 用户组权限 + 管理员分组权限（加入管理员分组） + -用户直接禁限权限。

1.5 用户同步规则

用户组同步规则，可以关联人员属性设置，符合规则的用户则自动进入用户组。

配置方式一（默认）：从“人员”表中筛选

选择人员的属性及其具体值

用户同步规则配置（这里以出纳用户组举例）：新增用户时，岗位是“出纳”，则自动同步进入“出纳组”用户组。

如下图：

注意：具体值的选择不能超过10个。如果因为存在这个情况，则需要调整属性字段，调整为更大范围值的字段。

配置方式二：从其它资料的“人员”信息筛选

支持选择基础资料业务对象，选择其中包含“人”相关属性的单据体字段，同时选择该基础资料的具体记录在指定操作完成后，自动同步到所选用户组；如下图：

参数【按照用户组名称自动生成其他组规则】

在实施上线时如果同类型用户组很多，在配置规则时可以启用参数，系统默认填充用户同步规则，然后切换用户组检查同步规则即可，可以节省配置工作。如下图：

用户根据用户组的用户同步规则自动进出用户组，从而获得进入组的权限，取消离开组的权限，实现动态授权的效果。

1.6 用户管理

用户组管理用户，有以下方式：

1. 用户同步规则自动同步

   按照用户组设置的用户同步规则自动将用户同步用户组。

2. 手动同步

   对所选用户组分类下的全部用户组，按配置的用户同步规则主动拉取用户记录；

   主要用于用户同步规则未设置前已经存在的用户，需要按规则进组；

   如下图：

   

   
   

3. 手工添加用户

   点击【管理用户】，选择添加用户进入所选用户组；如下图：

注意：同步规则自动同步用户和手工同步，逻辑上互不影响。

举例：

1、新员工张三的岗位是“产品设计”，入职后自动进入“产品设计”用户组。现在部门内部对张三的工作有调整，需要临时兼任“软件测试”岗位，则可以点击【管理用户】手动将张三添加到“软件测试”用户组。

2、张三在HR侧发生岗位调动，由“产品设计”调动到“软件测试”，则张三离开“产品设计”用户组，因为已经手工添加了“软件测试”用户组，则不会再自动进组。

3、张三在HR侧再次发生岗位调动，由“软件测试”调动到“软件开发”，进入“软件开发”用户组，但原先被手动添加“软件测试”用户组不会删除张三，需手动将张三移出“软件测试”用户组。