权限管理

总体概述

权限中心用于设置用户所能操作的功能和数据的范围，提供多场景的授权来管理用户可以访问的数据和界面，包括全员应用授权、专业应用授权、数据权限、权限查询。

系统以RBAC模型为基础的权限体系，即将功能权限、数据权限组合为角色，用户通过授权得到这个角色的权限。系统在用户授予角色的同时指定相应的职能组织，进行主要的组织数据权限的隔离和控制。这样在大多数情况下，不需要设置数据权限也能基本展开业务。

应用价值

集中用户管理避免账号孤岛

将访问各应用的用户进行集中的全生命周期管理，避免各应用账号不统一需要重复管理付出的高昂管理成本，以及可能导致的离职员工留有部分访问权限导致的信息泄密。

统一权限体系确保访问安全

覆盖和统一了各应用所有权限场景，包括全员类应用授权、专业功能类授权和数据权限，避免因体系不一致造成的漏洞。集中统一应用访问入口，包括菜单、工作台、URL跳转都受统一授权的控制。确保以正确的方式、以正确的理由，给予正确的人员访问正确的资源的权利。

覆盖多端全方位安全保证

对多端进行统一授权（web端、移动端），避免各端授权不统一不一致造成的访问安全漏洞。

RBAC高效低成本的授权管理

基于RBAC模型，将权限和用户通过角色解耦，角色与企业的岗位对应便于理解、便于授权统一管理和权限的调整。例如，当岗位职责发生变化时只要更改角色关联的权限，所有拥有此角色的用户即统一更新了权限，避免了一个一个用户变更权限可能造成的错误。RBAC模型也便于赋予权限最小原则、便于职责分离。

分层分类权限精细控制

从访问和操作的角度将用户分为系统管理员和一般操作员两大类。系统管理员无需授权即拥有系统类功能权限和管理类功能权限和数据权限，一般操作员则需要经过授权获得管理类和业务类的功能权限和数据权限。企业还可根据实际需要，将管理操作类用户和业务操作类用户通过不同角色分开，也可将授权权角色从一般管理类角色中剥离出来，支持企业将授权权、管理权、业务权分离，给予员工完成工作所需的访问权。

4A管理审计无死角

4A是指：认证Authentication、授权Authorization、账号Account和审计Audit。系统采用集中账号管理、集中认证管理、集中权限管理、集中审计策略。系统记录每个应用的被授权者以及每个用户被授予的权限，和每个用户被授予权限的路径，以确保安全审计无死角。

应用场景

场景一：权限中心整体框架

业务描述

用户可由员工档案自动创建，也可由企业账号管理员手工创建并绑定员工。系统已经预置了企业中常用的角色，并分配相应的功能和全部按钮权限，企业账号管理员也可新建角色并分配相应的功能。

系统中分全员应用类功能和非全员类（专业）应用功能；全员应用类功能缺省的范围为全员，若不改变缺省设置，则用户登录系统后就拥有全员应用类功能节点，除非系统管理员改变全员应用的可见范围。

非全员类应用一般指专业业务类应用，需要通过角色将功能授权给用户，而用户获得功能权限后还需要设置主组织范围才能进行正常的业务操作。

业务流程

场景二：创建用户

业务描述

企业中的员工用户由员工档案自动创建；业务关联伙伴用户在相应门户中创建和管理。

• 企业账号注册创建用户：注册企业账号的用户即为该企业账号第一个用户，自动获得企业账号管理员角色；
• 员工档案创建用户：系统用户绝大部分是企业员工，当员工档案的状态设置为启用时系统自动生成相应的用户；
• 管理员创建用户：管理员直接在用户管理中直接创建用户。

业务流程

场景三：创建角色

业务描述

可将企业中管理类岗位设置相应的角色，例如权限管理员、组织管理员、基础数据管理员。也可将权限管理、组织管理、基础数据管理职能都设置到普通管理员角色。

根据企业业务岗位设置相应的业务类角色。系统已提供预置标准业务角色：例如采购员、销售员、会计等。

• 企业账号管理员或具有角色管理权的管理员，进入角色管理节点创建角色，或检查系统预置的角色；
• 企业账号管理员或具有角色管理权的管理员，将相关功能关联到角色；例如将组织管理相关功能关联组织管理员角色，将采购管理相关功能关联到采购员角色
• 企业账号管理员或具有角色管理权的管理员，将角色具有的常用功能加到工作台磁贴。

业务流程

场景四：专业应用授权

业务描述

专业应用是指专业业务人员可操作的功能，例如总账会计可以做总账的业务、采购员可以录入采购订单等采购相关的业务。这些应用只有专业岗位的人员经过授权才能使用。

由于这些应用的专业性强，所以必须是具备相应的角色才能使用，即通过功能授权授予对应角色权限。

• 创建用户：可通过创建员工档案自动生成用户；
• 创建角色：为用户创建具体的专业应用角色并关联功能，或根据企业需要更新预置角色关联的功能；
• 分配角色：进入授权节点，将角色分配给用户并授予相应的主组织权限。如：将采购管理员角色分配给某用户张三，并分配相应的采购组织。关于主组织的设置参见介绍功能权限的主组织权限。

业务流程

场景五：全员应用授权

业务描述

全员应用是指企业中每个用户都可使用的功能，系统一般将此类应用授权范围为全员，即全部用户