变更记录

1 解决方案

HR权限基于苍穹平台权限搭建，以适配HR领域对权限的特殊需求，包含HR管理员、HR角色、HR权限基础配置等。

2 主要功能

2.1 HR管理员 

1. HR领域管理员：由系统管理员在系统服务云下维护，是HR领域的一级管理员；

2. HR分级管理员：由HR领域管理员或上级分级管理员创建，实现管理员的分级管理。分级管理员支持配置以下范围：

• 系统管辖范围：管理员可访问的功能范围；以及管理下级管理员组的系统关系范围

• 应用授权范围：管理下级管理员组的应用授权范围，以及管理员创建角色时可选的功能权限范围；

• 档案授权范围：管理下级管理员组的权限档案的数据范围，以及管理员分配用户权限时可选的用户档案范围；

• 数据授权范围：包括行政组织范围和业务组织范围。管理下级管理员组的数据授权范围，以及管理员分配权限时，可选的数据范围。

2.2 HR角色管理 

  1.角色组：用于对角色进行分组管理，支持角色组新增及维护。

  2.角色：是一组权限的集合，角色权限包括角色基本信息、角色维度、功能权限、数据权限（组织范围、维度数据范围、高级配置）、字段权限 。

• 角色基本信息：维护角色基本信息，定义角色数据范围的管控方式，包括：角色强管控：角色下所有的用户统一数据范围；角色弱管控：角色下不用用户数据范围允许不同，但均不可超出角色的数据范围；用户自定义：灵活配置用户在角色上的数据范围；

• 角色维度：定义角色按何种维度控制数据范围。例如：HRBP角色按照行政组织控制数据范围，此处行政组织即为一个维度；

• 角色功能权限：维护角色包含的权限项；

• 角色数据权限：维护角色数据范围，支持组织范围、维度数据范围、高级配置，最终角色生效的数据范围需同时满足以上三种范围；

• 角色字段权限：维护角色中不同实体属性的查看和编辑权限。 

  3.角色授权：将角色分配给用户，支持多种模式定义用户在角色上的数据范围，包括： 

• 不允许自定义：用户的数据㹡和字段权限与角色一致；

• 不受角色范围限制：用户的数据范围和字段权限不受角色范围影响；

• 受角色范围限制：用户的权限范围不允许超出角色的权限范围； 

•  仅数据权限受角色限制：用户的数据范围，受角色数据范围控制，取两者范围的交集；

•  仅字段权限受角色限制：用户字段权限受角色字段权限范围限制，取两者范围的交集。

  4.管理员的角色范围：

【所属管理员组】：定义角色归属的管理员分组，管理员可维护当前角色，定义角色的公开状态和公开范围。

• 为空时，默认所有HR管理员用户可查看、编辑角色；

• 不为空时，所属管理员组的管理员用户可查看和编辑角色，并且只有此类用户可设置角色的【公开状态】字段和【公开范围】信息。

【公开状态】：定义管理员可查看编辑角色范围；

• 公开：所有的管理员用户可查看当前角色，如需其他管理员编辑角色，可在【公开范围】页签中添加对应的管理员分组；

• 分配：所属管理员组的用户可查看编辑当前角色，如需其他管理员查看或编辑角色，可在【公开范围】中添加对应的管理员分组；

• 私有：只有所属管理员组的用户可查看、编辑角色。

【公开范围】：角色归属的管理员可维护此页签。公开状态为：公开和分配时允许编辑此页签；

  5. 用户权限有效期：定义用户拥有权限的时间范围。

2.3 HR权限基础配置 

• 维度管理：支持自定义控权维度。每个HR领域可以按个性化的控权维度进行数据权限管控；

• 业务对象维度映射：根据业务控权要求，设置实体的控权维度；支持配置多选基础资料字段。

• 数据规则：设置实体的通用数据规则范围，可运用在角色的高级配置，用户角色自定义数据范围中；

• 权限档案：支持一个用户配置多个权限档案。