yonyouup information technology Co.,Ltd U8+ 产品培训 -- 权限管理用友优普信息技术有限公司U8 平台及公共开发部2015 年 4 月 27 日yonyouup information technology Co.,Ltd课程提纲产品综述应用流程功能介绍1.用户及功能权限2.数据权限3.权限报表应用案例1.权限体系综合应用yonyouup information technology Co.,Ltd1.1 产品综述 如今,信息安全的价值与重要性日益凸现,必须保护对企业发展状大至关重要的信息资产;另一方面,这些资产也暴露在越来越多的威胁当中,毫无疑问,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者最优先的需求之一。 U8 权限管理是 U8 的基础安全策略和实践之一,以此保障为用户提供一套安全、可靠的 ERP 系统。支撑用户业务的持续运转和企业的持续发展,降低风险防患未然。用户所有权限集合所属角色权限在用户上所授权限功能权限记录权限字段权限金额权限功能权限记录权限字段权限金额权限yonyouup information technology Co.,Ltd课程提纲产品综述应用流程功能介绍1.用户及功能权限2.数据权限3.权限报表应用案例1.权限体系综合应用yonyouup information technology Co.,Ltd1.2 应用流程增加用户增加角色为用户分配角色为角色授权为用户授权功能权限记录权限字段权限金额权限系统管理员为用户授权权限转授系统管理员为用户授权只支持功能权限能权限转授的用户yonyouup information technology Co.,Ltd课程提纲产品综述应用流程功能介绍1.用户及功能权限2.数据权限3.权限报表应用案例1.权限体系综合应用yonyouup information technology Co.,Ltd角色、用户管理整个系统的角色、用户信息新增、修改、删除及授权;导入用户认证方式 ( 用户名 + 密码、动态密码、 CA 认证、域身份验证 )CA 认证的操作员登录界面后还需要输入证书密码yonyouup information technology Co.,Ltd功能权限管理功能权限权限浏览增加与取消权限权限复制切换授权方式权限导出导入权限转授可同时对多人批量授予相同权限yonyouup information technology Co.,Ltd功能权限导出导入可选择用户或角色导出功能权限,也可以导出系统内所有功能权限导入 Excel 文件内的用户或角色的权限,可以覆盖导入也可以追加导入yonyouup information technology Co.,Ltd权限转授非管理员也可以给一定范围的操作员授予某些权限,以减轻系统管理员 / 帐套主管的压力,提高功能授权的灵活性。yonyouup information technology Co.,Ltd功能权限转授yonyouup information technology Co.,Ltd功能权限转授yonyouup information technology Co.,Ltd工作任务委托适用于某用户因出差等原因暂不能登录 U8 处理业务,需要临时委托给其它用户代为处理的场景可以指定时间自动收回委托,被委托人因委托增加的权限会清除同时授予了相应数据权限和部分功能权限(一般有查询、审核、弃审,具体业务决定)yonyouup information technology Co.,Ltd课程提纲产品综述应用流程功能介绍1.用户及功能权限2.数据权限3.权限报表应用案例1.权限体系综合应用yonyouup information technology Co.,Ltd数据权限数据权限体系记录级字段级敏感数据管理维度数据权限控制设置数据权限授权记录级字段级敏感数据维度控制方式管理维度及维度控制方式yonyouup information technology Co.,Ltd数据权限体系• 对业务对象的所有内容按记录一条一条地控制权限,一般都区分不同的操作,比如对部门 001 有查询权限,对存货 001 有录入权限。记录级• 对业务对象所有记录的各个字段控制权限,比如对所有客户的简称和分类字段有权。字段级• 对不同业务对象(如单据、报表、列表、参照等)同一含义的字段统一控制数据权限,以避免用户对每个业务对象都要进行权限设置及分配,提高了字段级权限控制的易用性,可以分级定义或维护业务对象的属性。• 特殊的字段级权限,对多个对象中的多个字段打包控制。敏感资源• 从业务对象的各种角度 ( 管理维度 ) 按不同规则 ( 维度控制方式 ) 控制具体记录的权限,比如按客户档案的所属部门 ( 部门维度 ) 、感兴趣或购买产品类型 ( 业务结构 ) 同时进行控制,并考虑其专管业务员 ( 相关 / 负责员工 )应该有权。• 特殊的记录级权限,不是简单逐条分配权限,而是从多个维度综合计算权限。管理维度yonyouup information technology Co.,Ltd数据权限数据权限体系记录级字段级敏感数据管理维度数据权限控制设置数据权限授权记录级字段级敏感数据维度控制方式管理维度及维度控制方式yonyouup information technology Co.,Ltd数据权限控制设置本功能是数据权限设置的前提,用户可以根据需要先在数据权限控制设置表中选择需要进行权限控制的对象。数据权限的控制分为记录级 ( 含维度控制 ) 和字段级 ( 含敏感资源 ) 两个层次,对应系统中的三个页签“记录级”、“维度控制方式”和“字段级”,系统将自动根据该表中的选择在数据权限分配中显示所选对象。yonyouup information technology Co.,Ltd数据权限数据权限体系记录级字段级敏感数据管理维度数据权限控制设置数据权限授权记录级字段级敏感数据维度控制方式管理维度及维度控制方式yonyouup information technology Co.,Ltd记录级权限授权 一般按账套库设置。 一般分为【查询】和【录入】权限,其中【录入】权限自动包含【查询】权限。即当一个用户对某一记录只具有查询权限时,表示该用户不能录入当前记录发生的业务数据,只能查看当前记录所对应的业务数据;当一个用户对某一记录同时拥有查询 / 录入权限时,即表示该用户既可以录入当前记录的业务数据又能查看其所对应的所有业务数据。 用户属于多个角色时,各角色权限取并集。 不同产品均有自己的开关来控制本系统是否进行数据权限控制。 在业务单据上,多个业务对象的控制取交集。 一般指对含有该档案信息的单据进行控制。对业务对象中的每条记录,分别为用户 / 角色设置权限。yonyouup information technology Co.,Ltd记录级权限授权 科目:【制单】权限不包含【查询】权限,且按年度授权。 预算项目:也按年度授权。 网上报销对象:包含部门和业务员 2 部分,运行时两者之间是交集关系。 工资:按工资类别,包含部门和工资项目 2 部分,运行时两者之间是交集关系。 用户对象:是用户对用户的权限控制模式,指用户能够对哪些用户所制的单据进行查询、删改、关闭、审核等,对哪些用户审核的单据进行弃审。默认自己对自己有查询权限, 12.0 调整为自己对自己有查询和删改权限。 业务员对象:指用户能够对单据上“业务员”字段为哪些业务员的业务数据进行查询或录入。 12.0 调整为对自己对应业务员有查询和录入权限。 存货和供应商:不直接对其档案的具体记录进行授权,而是通过对其权限组进行授权达到授权目的。 客户权限维度及其他管理维度:本身不是业务内容、不进行业务控制,而是其他业务对象的管理维度、通过它们从各个维度去管理业务对象,需要给操作员分配管理范围,并设置各个维度的控制方式。在【维度控制方式】中详述。特殊点:yonyouup information technology Co.,Ltd记录级权限授权 - 权限分组yonyouup information technology Co.,Ltd字段级权限授权 分为【查询】、【录入】、【无权】三种,默认有权还是无权可在“数据权限控制设置”中选择,出厂设置为默认有权。 用户属于多个角色时,各角色权限取并集;但是用户上的无权优先。 字段权限控制范围:档案 / 单据卡片、档案 / 单据列表、档案 / 单据参照。 CRM 对象的字段,需要在 CRM 对象中启用“属性级控制”,才能在 U8 字段级权限分配中出现相应字段对业务对象中所有记录的每个字段,分别为用户 / 角色设置权限。yonyouup information technology Co.,Ltd字段级权限授权 -CRM 对象字段CRM 对象的字段,需要先在 CRM 中启用字段的“属性级控制”,才能在 U8 字段级权限分配中出现相应字段yonyouup information technology Co.,Ltd敏感数据 - 设置及授权 对不同业务对象(如单据、报表、列表、参照等)同一含义的字段统一控制数据权限,以避免用户对每个业务对象都要进行权限设置及分配,提高字段级权限控制的易用性。 UAP 平台中的[敏感数据维护工具],可进行敏感资源业务对象的分级定义及属性维护。 把敏感对象的末级属性与相关业务对象的字段进行映射。 U8 门户 - 数据权限分配中,通过对敏感资源业务对象某属性的授权,进而批量完成此属性所映射的多个业务对象上多个字段的授权。对多个业务对象中所有记录的多个共性字段归类,统一授权。yonyouup information technology Co.,Ltd数据权限授权常用操作管理数据权限权限浏览增加与取消权限切换授权方式权限复制可同时对多人批量授予相同权限yonyouup information technology Co.,Ltd数据权限授权常用操作管理数据权限权限复制可把某人(用户 / 角色)的所有数据权限复制过来,适用于新人接替原负责人在当前业务对象中,可以复制多人的权限过来,适用于给总管授权yonyouup information technology Co.,Ltd数据权限数据权限体系记录级字段级敏感数据管理维度数据权限控制设置数据权限授权记录级字段级敏感数据维度控制方式管理维度及维度控制方式1 、管理维度2 、数据权限控制设置3 、管理维度控制4 、客户档案设置权限维度5 、数据权限分配6 、给档案分配具体维度值7 、记录级权限使用流程yonyouup information technology Co.,Ltd管理维度 - 定义维度档案名称可以自定义 选择是否启用该维度档数据来源可以选择“手工输入”,创建全新的档案值 数据来源也可以选择“系统档案”,直接使用被引用系统档案的值作为该维度的档案值 yonyouup information technology Co.,Ltd管理维度 - 档案来源于“手工输入”的管理维度,可以通过管理维度档案菜单进入维护维度档案,档案为树形结构,支持编码规则设置通过左上角的管理维度下拉框切换维护不同的维度除了可以手工输入,还可以把现有的系统档案复制过来。复制完成以后该维度档案和被复制的系统档案之间相互独立 yonyouup information technology Co.,Ltd数据权限控制设置数据权限控制设置 - 记录级中启用管理维度对象。只有启用了数据权限控制的管理维度才能参与其他按维度控制对象的数据权限控制。负责员工 | 相关员工、客户权限维度、业务结构、区域结构、管理维度 3 和管理维度 4 共 6个管理维度对象,原来的“部门”也是一个管理维度对象yonyouup information technology Co.,Ltd管理维度控制管理维度控制中设置各个【按维度方式控制权限的业务对象】需要进行控制的维度范围。【数据权限控制设置】中启用了的受控对象,才出现相应的行;启用了的管理维度才出现相应的列;勾选表示对应行的业务对象要受对应列的管理维度控制权限;灰色表示该对象不支持该列上的维度 yonyouup information technology Co.,Ltd客户档案设置权限维度客户档案上增加“相关员工”和“管理维度”的按钮,弹出界面设置该客户的相关员工、负责员工以及各个管理维度值yonyouup information technology Co.,Ltd客户档案设置权限维度客户档案上点击“相关员工” 设置相关员工、负责员工可参照选择有对应人员的操作员 yonyouup information technology Co.,Ltd客户档案设置权限维度客户档案上点击“管理维度” 设置各个管理维度值yonyouup information technology Co.,Ltd记录级各种权限对象及权限分配方式1 、 U8 普通业务对象,是有真正业务含义的对象,比如仓库、存货等:按前述”记录级权限授权”方式给操作员分配权限;2 、管理维度相关对象 ( 以下简称“维度对象” ) ,本身不是业务内容、而是业务对象的管理维度,比如管理维度 1~4 、客户权限维度等:用普通业务对象的方式给操作员分配管理范围,比如设置 user1 在“管理维度 1” 中负责哪些维度值;3 、按维度方式控制的业务对象 ( 以下简称“维度控制对象” ) ,有真正业务含义、且根据多个管理维度进行权限分配和控制的对象,比如客户档案、客户联系人、 CRM 对象等:【维度控制方式】中设置操作员对维度控制对象的维度控制规则,比如 user1 对客户档案的“管理维度 1” 的控制方式为 按“本级及下级”进行“查询”、按“本级”进行“录入;“ 部门”既是普通业务对象,又是维度对象yonyouup information technology Co.,Ltd数据权限分配 - 记录在“记录”页签,给操作员分配管理范围,即在各个维度上负责的具体维度值。yonyouup information technology Co.,Ltd数据权限分配 - 记录“ 部门”维度,可以逐人设置负责部门的范围,也支持批量给多个操作员授予本部门权限。yonyouup information technology Co.,Ltd数据权限分配 - 维度控制方式在“维度控制方式”页签,按操作员设置对各个维度控制对象的控制规则可设置的控制方式包括:负责员工 | 相关员工:无权 - 负责员工 - 相关员工部门:无权 - 本级 - 全部其他维度:无权 - 本级 - 本级及下级 - 全部yonyouup information technology Co.,Ltd数据权限分配 - 维度控制方式yonyouup information technology Co.,Ltd数据权限分配 - 维度控制方式可选择多个用户 / 角色、多个业务对象,批量配置维度控制方式,极大提高操作效率此处配置了表示需要批量设置,不配置表示不变,每人在所选业务对象上的维度控制方式保持原值yonyouup information technology Co.,Ltd给档案分配具体维度值可通过“分配”在维度控制对象上给各个维度值分配具体档案分配的目的:1 、批改。根据一定规则 ( 比如客户档案上的分类、地区等字段 ) 批量增加现有档案的维度值;2 、设默认值。以后新增档案时,也能根据当前分配规则自动设置档案的维度值 一个管理维度值可以分配给多个客户分类(行业或地区),一个客户分类可以分配到多个管理维度值yonyouup information technology Co.,Ltd给档案分配具体维度值可切换管理维度类型、可分配的类型 ( 分类、地区、行业 )同一管理维度档案只能与分类、地区、行业中的一个匹配,如果更改匹配关系,之前该管理维度的分配关系会丢失yonyouup information technology Co.,Ltd给档案分配具体维度值可以按档案方式分配管理维度一个管理维度值可以分配给多个客户档案,一个客户档案可以分配到多个管理维度值yonyouup information technology Co.,Ltd按业务组授予组长权限业务组档案可在末级部门下定义小组,相当于部门的延伸1 、记录级 - 用户权限:组员的组长,自动对组员有全部权限2 、记录级 - 业务员:组员的组长,自动对单据上“业务员”为组员的单据有查询和录入权限3 、有相关 | 负责员工子档的对象,自动把“专管业务员”或“所有者”所属组的组长加为相关员工yonyouup information technology Co.,Ltd记录级权限使用流程记录级数据权限设置权限启用控制数据权限分配业务数据维护运行时普通流程普通流程普通流程运行时控制数据权限给具体业务对象分配相关员工、负责员工、管理维度内容按相关员工和负责员工、管理维度给操作员设置控制方式管理维度档案维护按业务对象控制启用管理维度(可选)控制启用记录级数据权限开始按权限分组或明细数据分配数据权限给操作员分配管理维度内容启用管理维度定义/启用管理维度控制设置yonyouup information technology Co.,Ltd课程提纲产品综述应用流程功能介绍1.用户及功能权限2.数据权限3.权限报表应用案例1.权限体系综合应用yonyouup information technology Co.,Ltd权限报表 - 功能权限内控管理中有权限相关报表,可以查阅审计授权情况。按产品模块显示,只要有模块内任一权限即视为有权权限总表:用户在各子系统中是否拥有权限的总体情况,及其对应人员的职位、职务,以审查系统中用户的权限与职责是否相符,避免授权不当。yonyouup information technology Co.,Ltd权限报表 - 功能权限可联查该用户数据权限,打开数据权限分配界面权责分配审计查询:操作员的权限与对应人员的职位、任职等情况,用以审查系统中用户的权限与职责是否相符,确保不同部门、岗位之间权责分明并有利于相互制约、相互监督。可联查该用户对应人员的具体任职信息yonyouup information technology Co.,Ltd权限报表 - 数据权限数据权限查询中,可以分别查看及统计操作员的记录、字段、维度控制方式的授权情况。同时查看多人的某类型 ( 记录、字段、维度控制方式 )的所有对象的授权情况yonyouup information technology Co.,Ltd课程提纲产品综述应用流程功能介绍1.用户及功能权限2.数据权限3.权限报表应用案例1.权限体系综合应用
