项目云项目权限体系详解

1 简介

1.1 功能介绍

在苍穹平台下的系统平台授权，包括用户授权与角色授权，角色授权最终是把用户分配到角色中的，归根结底是“用户+组织+权限项”模型。

目前项目管理模式泛化，大多数企业都按项目来管，从而需要以“项目”为核心，构建项目权限体系。

项目权限体系，是平台权限体系的补充。其规划目标，希望从业务层面，无感实现对项目的权限授权，从而提高业务效率。

1.2 应用场景

项目是一个多成员的组合体，项目成员来自五湖四海（各个不同的分支机构，甚至外部其他单位）。项目成员也是动态不断变化地。不同的人，不同时期，在项目里面承担不同的角色，从而需要有不同的业务权限。

项目权限体系包含以下几种应用场景：

场景一：项目经理，或者说项目负责人，对项目全权负责。不需要任何授权，自动具备项目所有业务的操作权限，数据的查看及审批权限。

场景二：项目团队成员权限。即：以项目为核心，以项目团队为载体，实现项目权限。当成员加入项目团队，分配对应的角色，从而在“此项目内”具备角色对应的操作权限。

场景三：项目创建者权限。即项目创建人自动具备项目的查询权限。

场景四：管理者权限（或者说主管权限）。组织负责人或指定的主管人员，自动拥有本组织（包括下级组织）项目的查询权限。

场景五：管理例外人员权限。对于分管副总，或者PMO相应人员，授权管理某些部门，拥有对应组织下项目的查询权限（排除的项目除外）。

创建者权限、管理者权限、管理例外人员权限，这三种权限仅限于项目的查询权限，即可以看到、选择，及查看到相应的项目信息，但不包括做业务。要操作具体业务，必须成为项目经理，或者通过平台组织授权或者项目团队成员角色授权。

1.3 系统路径

【项目云】→【立项管理】→项目立项

【项目云】→【立项管理】→【项目团队】→项目团队

【项目云】→【立项管理】→【项目团队】→添加团队成员

【项目云】→【基础资料】→项目管理例外人员设置

【基础服务云】→【安全管理】→【权限管理】→【数据控权】→特殊数据权限

1.4 关键字段/按钮说明

项目云规划目标是“内、外部干系人”的协作系统。所以包含内部人员与外部人员。内、外部人员都需要能操作系统，从面成员需要人对应于系统用户。内部人员对应于内部用户，外部人员对应于商务伙伴用户。

2 主要操作  

2.1    前提条件

1.   已通过平台组织授权，具备相应菜单操作权限。

2.   已完成角色定义。包括授予对应的操作功能及操作按钮权限。（系统管理员）。

2.2    项目负责人操作方法

1.  在项目立项时，单据头直接指定“项目负责人”。

2.  在项目立项列表界面选中项目，使用“变更项目负责人”功能。

2.3    增加/变更团队成员操作方法

1.  在项目团队列表界面，点击【新增团队】按钮。

此时会弹出新增界面：

选择项目后，按要求添加项目内部人员、外部人员即可。

注意事项：

1、前提是项目并未创建项目团队。

2、项目立项新增时，会将创建者自动加入到项目团队，相当于项目团队默认已增加。所以大多数情况下，使用团队成员调整功能变更成员，通过添加团队成员功能新增成员。

2.  在项目团队列表界面，选择一条记录，点击【调整团队】按钮，进行团队成员调整。

注意事项：

1.      调整不能换项目。

2.      已有成员的调出、更换角色，通过“调整前”页签区域，在内部人员或外部人员列表选择具体的成员后，点击相应的按钮链接来完成。

3.      增加新成员，通过“调整明细”页签区域的“增加人员”按钮来完成。

4.      内部人员选择范围受操作用户对应人员的所属部门限制。只能选择部门对应组织内的所有成员，不能跨组织选择人员。

如下图的用户，可以选择环宇智能家电有限公司，环宇国际集团有限公司这两个组织范围内的所有用户。其中“环宇智能家电有限公司”是“售后服务部”往上找到的组织，然后下溯环宇智能家电有限公司所有下级组织的各人员。

至于如何确定是找到“环宇智能家电有限公司“，由数据隔离参数的参数值决定。

所以要想选择到其他组织的成员，需要对操作人员的“部门信息”范围有所准备，否则可能无法选择到想要的人员。

3.  在“添加团队成员”列表界面，点击【新增】按钮，添加成员即可。

注意事项：

1、项目选择只能选择自己有权限的项目，所以此单据建议由项目负责人来操作（或者此项目团队内有此单据操作权限的人）。

2、如果要添加其他组织的人员，此项目负责人还得对其他组织有管辖权（至少兼职某个部门）。否则选择不到跨组织的人员。

3、此单据提交，审核或工作流审核后即完成成员的添加。

4、此单据不提供反审核功能，因为通过调整团队功能可实现人员的调出。

5、旧版本的“成员申请批复”菜单已取消。

2.4    创建者/主管权限设置

点击菜单项【基础服务云】→【安全管理】→【权限管理】→【数据控权】→特殊数据权限

注意事项：

1、此权限由系统平台提供，与项目云无关。此功能必须是系统管理员才能操作。

2、创建者权限与查询本人或负责部门的数据，这两个权限只能启用一个。

3、这里的主管貌似可以手工添加，不限于部门负责人。

2.5    项目管理例外人员设置

点击菜单项【项目云】→【基础资料】→项目管理例外人员设置

注意事项：

1、此处是以“人员”为核心，把部门指定给此人员，从而部门下面的所有项目自动授予他。但仅限于项目查看权限。此时不需要选择任何角色。

2、由于组织不可更换，注意需要先选择组织，然后点新增，这时候会把选中的组织带进去。

3、如果不仅仅是指定项目，还指定某个角色，从而不仅具备查看权，同时还具备项目上对应角色的按钮操作权限。严格来讲，这并不推荐。

4、如果指定角色，其实是项目团队权限的另一种实现方式。即以人为核心的授权方式。而添加团队成员，是以项目为核心的授权方式。

5、必要情况下，可以排除一些项目。即被排除的项目不予授权。

3、后续操作

项目权限将在项目云的各个地方得到应用，以下分别进行说明：

3.1    在过滤条件中显示应用

项目云的各业务单据查询列表界面，通常会有两个字段：业务组织、项目。

如下图：

原来情况下，选择组织后，项目会关联变动，即级联。最新版本取消此级联关系。即业务组织是业务组织，项目是项目，互相独立。

按苍穹平台规范，业务组织为主业务组织字段，是权限过滤用到的组织字段，其显示内容为当前用户授权中所有的业务单元对应的组织。

项目云有一个参数：项目团队权限强控

当“项目团队权限强控”为“否”时，项目查询条件中显示的内容应该包括：用户权限组织范围内所有项目（包括其他用户创建的项目）+用户所属项目团队对应的项目+项目负责人对应项目。

当“项目团队权限强控”为“是”时，项目查询条件中显示的内容只包括：用户所属项目团队对应的项目+项目负责人所在项目。

但由于是查询条件，只显示前20条，超过20条将通过“更多”按钮弹出F7窗口来实现，所以会按涉及项目的的业务单据创建时间倒序排列，显示前20个项目。，考虑性能问题，则只展示业务单据数据范围内所有涉及到的项目。【比如：用户具备100万个项目的权限，但当前业务单据数据范围内有权限的项目只涉及到10个项目，则显示10个项目即可。剩下的99.9990万个项目与此业务单据一点关系都没有】。

3.2    在“项目F7”中选择项目时应用

项目云的任何业务单据，理论上都是针对某个具体项目而展开的，从而需要选择项目。这就落实到“项目F7”上。项目F7，需要能显示“所有”用户权限范围内的数据。

1、当参数“项目团队权限强控”参数值为“否”时：包括“用户权限组织范围内所有项目（包括其他用户创建的项目）+用户所属项目团队对应的项目+项目负责人对应项目”。

2、当参数“项目团队权限强控”参数值为“是”时，包括：用户所属项目团队对应的项目+项目负责人对应项目。

注意：最新方案中，项目F7首先受业务单据中“业务组织”字段的过滤。选择项目后，将会以项目对应的业务组织替换业务单据上的业务组织字段值。

3.3    在业务操作时应用

在业务单据列表，或者业务单据界面，点击对应的操作按钮时，首先按平台权限进行验权，如果平台判定有操作权限，则有操作权限。

在平台判定无操作权限的情况下，再按项目权限进行验权：

1、如果是项目负责人，则无条件享有操作权限。

2、如果作为项目团队成员，且对应角色具备操作权限，则具备操作权限。【注意：如果项目管理例外人员中选择了角色，也属于此例】。

3、否则不具备操作权限。

3.4    在“项目立项单”列表应用

项目立项单由于要显示项目分类，此单据必须选定具体的业务组织，从而不允许出现“不限”选项。

项目立项单查询的目标就是项目本身，所以过滤条件中不会出现项目这个过滤条件。

默认情况下，业务组织选中的是“用户登录的业务单元对应的组织”，过程中则会切换一个组织。总之，业务组织一定是一个确定的值。

应用项目团队权限后，列表中显示内容为：

1、当参数“项目团队权限强控”参数值为“否”时：显示“当前业务组织内所有项目（包括其他用户创建的项目）+项目负责人对应项目+用户所属项目团队对应的项目。即后者显示“不属于用户权限范围组织内且用户包含在项目团队中的项目”。注意去重处理。

除此之外，项目立项单还有一个特殊处理，即当管理组织、实施组织、核算组织、创建组织这几个字段的任何一个值等于业务组织时，项目也是出现的。但此时仅限于查看，不涉及到做业务。

2、当参数“项目团队权限强控”参数值为“是”时，显示：当前业务组织内用户所属项目团队对应的所有项目+项目负责人对应项目+非用户业务权限组织范围用户所属项目团队对应的项目。

3.5    在“业务单据”列表应用（不一定有项目）

由于合同支持无项目合同，从而支出合同列表这个业务单据，就可能有项目，也可能无项目。

1、如果选择了项目。

  此时业务单据过滤条件忽略业务组织这个条件（即无论业务组织选择与否），只按“项目”条件过滤数据。

即此种情况下，业务组织不参与过滤。

2、如果项目选择“不限”，但选择了具体的业务组织。

 当参数“项目团队权限强控”参数值为“是”，包含两个数据：

  1）：此业务组织下无项目的业务数据。【此时业务单据的项目字段为空】

2）：此业务组织下，有项目团队权限的业务数据。【此时业务单据的项目字段有值，需要检测用户是否在项目团队内】

当参数“项目团队强控” 参数值为“否”，则显示此业务组织下的所有业务单据即可。

即此种情况下，业务组织参与过滤。

3、如果项目选择“不限”，同时组织选择了“不限”。

  此时数据取数范围如下：

1）：权限组织范围内“无项目”的业务单据数据。

2）：有项目团队权限的且“有该项目”的业务数据。（包括有权限组织与无权限组织数据）

这又分为两种情况。

1.   当“项目团队权限强控”为“否”的时候，取

1）：权限组织范围内的所有“有项目”的业务数据。

2）：有项目团队权限的业务数据。（限于非权限组织范围的数据）

2.   当“项目团队权限强控”为“是”的时候，取“有项目团队权限的所有业务数据”。包括有权限组织与无权限组织。只要用户在所属项目团队即可。

3.6    在“业务单据”列表应用（一定有项目）

除合同相关业务外，项目云项目其他业务，是必须要选择项目的。

此时的取数逻辑，不需要考虑无项目数据即可，其他与3.5章节中的内容完全相同。

3.7    在项目报表查询中应用

项目报表查询过滤，类似于项目一览表，投资项目情况一览表，投资完成情况表，投资完成情况项目明细表等，其查询的主体都是项目，项目的显示范围与3.4章节取数逻辑完全一致。

3.8    在业务报表查询中应用

类似于合同一览表，这是针对合同的业务数据进行统计。其查询对象是合同。则业务报表查询的统计数据范围与3.5章节查询范围保持一致。