目前基于角色的授权模式以“用户”个体为授权对象，对于超大型企业，数以万计的用户授权，伴随用户入离职、调动，管理工作非常被动。

主要体现在两个典型场景：

1、员工权限分配及日常权限维护，需耗费大量人力；

2、苍穹目前工作流审批仅支持按用户个体配置审批关系，不支持按岗位汇报审批，导致维护工作量巨大。

苍穹V5.0一项全新的功能“动态授权”，提供按组织、岗位（平台无岗位，支持现场二开岗位）、项目团队等管理维度，自动完成用户权限调整及关联业务流变更，达成企业安全管理的敏捷高效。

一、“动态授权”整体实现的业务逻辑如下：

1、通过用户组分类来分类管理用户组（一般按组织/岗位/项目团队等来分类），然后在用户组上配置有用户同步规则，会自动把用户按用户组上的规则同步到用户组。

2、后续用户的组织、岗位、项目团队等信息发生变化，会自动触发调动，实现用户入职、离职、调动操作，用户自动在用户组间移动。

3、用户组分配有角色权限（支持通用角色或业务角色），用户组内用户继承用户组的权限，所以用户所在的用户组改变，则权限同步发生调整。即实现了用户入职、离职、调动等场景下权限自动调整。

二、产品实现

1、先定义用户组分类，如图：

通过用户组分类，定义用户组的分类标准。

支持用户组引入。

2、在用户组分类下管理用户组，如图所示（这里以岗位用户组举例）：

在岗位用户组分类下，可以创建对应的岗位用户组。

默认用户组分类对应的是用户授权界面手动维护的用户组，此类用户组仅用作用户简单分组，不支持配置同步规则（后文会详细介绍）。

3、对用户组配置用户同步规则：

用户组同步规则，可以关联人员属性设置，符合规则的用户则自动进入用户组。

用户组采用集中配置的方式，方便初始化集中配置和检查。

用户同步规则配置（这里以岗位用户组举例）：

用户同步规则配置支持两种方式：从“人员”表中筛选、从其它资料的“人员”信息筛选。默认推荐的都是第一种配置方式：从“人员”表中筛选。

从其它资料的“人员”信息筛选：

理论上支持任何基础资料，只要其中包含与“人”相关的属性。

大部分情况基本都是采用默认的第一种配置方式，即：从“人员”表中筛选。推荐使用这种方式来配置用户同步规则。

配置完成后“手动同步”用户进入用户组，到这一步即已经实现了用户入职、离职、调动，能实现自动在用户组间移动，可以满足工作流按岗位查找用户的需求。

4、对用户组授权。支持两种授权方式：分配通用角色、分配业务角色。

通过对用户组关联通用角色和组织范围，实现对用户组的授权。如图所示是用户组分配通用角色。

通过对用户组分配业务角色，实现对用户组的授权。如图所示是用户组分配业务角色。

给用户组分配角色，即完成对用户组的授权。

用户组内的用户都具有用户组的权限。

至此即实现了用户入职、离职、调动自动进入用户组，获得用户组权限，即“动态授权”。