一、企业简介

(一) 客户背景

A集团是一家国内最大的集生产制造与营销导向于一体的综合性体育用品企业集团。

(二) 客户痛点

1. 人员变动比较频繁，系统管理员工作繁重

2. 人员岗位调整后，权限不能及时调整到位，出现越权和无权。

(三) 客户期望

1. 员工岗位调整后，其权限能根据新岗位自动调整。

2. 员工入职后，可自主申请权限，上级审批后自动授权。

3. 用户授权、授权认证、日志审计三权分立，互相牵制。

(四) 项目范围

认证管理员设置，职位、组织、角色关联关系配置，敏感组织和角色设置等。

二、应用蓝图

通过EAS系统的三权分立逻辑，权限申请单、职位关联角色功能应用，达到业务管理一体化效果。

三、解决方案

(一) 整体流程图

系统管理员设置相关参数，职位、组织、角色关联关系，认证管理员配置认证方案；HR专员进行员工管理业务和普通员工自主申请权限业务，系统调用权限接口自动授权，认证管理员认证相关任务；审计管理员查看相关操作日志。

(二) 系统基础设置

1. 设置系统参数

根据企业管理要求，配置相关系统参数。

设置员工调动后，是否回收调动前岗位对应组织范围

2. 设置职位、组织、角色间关联关系

1) 设置负责人职位默认角色

设置负责人职位需默认具备的角色

2) 职位关联角色

设置职位、业务组织、角色三者间的关联关系。系统根据该关系，自动给用户分配对应的业务组织和角色。

3) 职位关联行政组织

设置职位、行政组织间的关联关系。系统根据该关系，自动给用户分配对应的行政组织范围。

3. 设置敏感组织、敏感角色

为了实现员工自助申请权限时，控制某些组织和角色不可申请，系统提供了敏感组织、敏感角色功能。

4. 设置认证方案

为预防系统管理员恶意授权，授权后，需认证管理员认证，认证通过后授权才生效。系统提供了认证管理员二次认证机制，可设置哪些权限项需进行二次认证生效。

(三) 权限申请

员工自助发起申请权限流程，流程审批通过后，系统自动授权

(四）在s-HR系统对人员进行入、转、调业务

在HR专员在s-HR产品端对人员进行入、转、调业务操作后，系统会根据职位、组织、角色三者间的关联关系，自动调整用户的组织范围和角色，并根据设置的认证方案生成认证任务。

(五) 认证任务

认证管理员authenadmin认证任务

(六) 日志审计

审计管理员auditadmin查看系统管理员操作日志

四、方案价值

1、系统根据设置的规则，实现自动授权，给企业管理员减负。

2、系统自动授权，减少了误授权的可能

3、人员调动后，实时调整权限，避免越权和无权。

4、三权分立，避免超级管理员恶意操作。