应用方案手册-2021.11权限管理用友网络科技股份有限公司版权用友集团未经用友集团的书面许可,本应用方案手册任何整体或部分的内容不得被复制、复印、翻译或缩减以用于任何目的。本应用方案手册的内容在未经通知的情形下可能会发生改变,敬请留意。请注意:本应用方案手册的内容并不代表用友所做的承诺。用友网络科技股份有限公司目录版权..1变更记录..7第一章概述..81.1RBAC介绍.81.2权限模型.81.3价值优势.91.3.1用户与用户组..101.3.2角色与角色组..101.3.3角色分类..101.3.4应用权限..111.3.5数据权限..121.3.6职责..12第二章集团管理员的创建.132.1创建系统管理员.132.2创建集团管理员.14第三章应用流程.163.1应用流程图.173.2操作步骤.173.2.1新增用户组..183.2.2新增用户..183.2.3新增职责..213.2.4分配应用..23用友网络科技股份有限公司3.2.5新增角色组..273.2.6新增角色..273.2.7角色批量创建..343.2.8分配职责..363.2.9分配组织..373.2.10分配数据权限..393.2.11分配参数维护权..423.2.12关联用户..433.2.13分配角色..443.2.14待处理用户..453.2.15移动用户..46第四章典型应用.484.1如何创建一个普通管理员.484.1.1场景1-基于集团组织结构的分权管理.484.1.2场景2-基于业务领域的分权管理.504.2如何创建一个采购业务员.51第五章其他功能.535.1用户管理.535.1.1用户维护..535.1.2集团内共享..535.1.3集团间共享..565.1.4用户调动..575.2授权管理.59用友网络科技股份有限公司5.2.1用户权限分配..595.2.2特殊数据权限..595.3业务功能认证.615.3.1应用场景..615.3.2关键功能定义..615.4权限查询.625.4.1按用户查应用..625.4.2按用户查数据权限..625.5权限变更申请.635.5.1应用场景..635.5.2用户权限变更申请..635.5.3.角色权限变更申请.64附录:本文参见其他手册清单.66用友网络科技股份有限公司导读此手册面向实施顾问以及企业关键用户,旨在为实施规划、解决方案制定和落实提供指导。手册围绕产品能够解决的主要业务场景展开,并以此为依托展现产品的关键应用功能,提供业务需求与产品功能相匹配的思路。本手册包括四大部分,第一部分是对产品及其价值的概要介绍;第二部分是对集团管理员创建的介绍;第三部分是权限管理应用流程;第四部分通过典型应用举例说明权限管理的使用方法。第五部分通过集团内、集团间用户共享介绍集团间用户变动情况及授权管理、权限查询等。此外,为了便于用户对整体内容加深理解,特在附录中对一些可能需要对照查询的关键点进行了补充说明,以便用户查找对照。为突出重点,本手册定位于方案性说明,仅对产品操作中的重要控制点有所描述。若读者希望深入了解特定板块的产品应用,可结合本手册查阅如下资料:1.《应用方案手册-组织管理》-----深入阐述了产品关键概念(如集团、组织、业务委托关系等)以及建模思路,是实施规划、蓝图设计的重要参考资料。2.《应用方案手册-流程管理》-----提供关于交易类型、流程设计工具的应用指导。3.《应用方案手册-基础数据》-----可加强基础数据的理解和应用进行更详细深入地了解。用友网络科技股份有限公司变更记录编写人丁习芳、马东慧、于婵娟、陈凯版本修订人审核人起止时间修订/审核章节修订/审核内容1909马东慧李聪慧2019/11无无变化2020.05于婵娟李聪慧2020/06修订3.2.11轻量化分配参数维护权2020.05于婵娟李聪慧2020/06修订5.3.2轻量化关键功能定义2020.05丁习芳李聪慧2020/06修订3.2.2提供用户二次认证扩展接口2021.05陈凯李聪慧2021/06修订1.3.3修改超级管理员登录地址和密码策略维护权限2021.05陈凯李聪慧2021/06修订2.1修改为在轻量端创建系统管理员2021.05陈凯李聪慧2021/06修订3.2.4新增业务活动权限启用功能说明2021.05陈凯李聪慧2021/06修订3.2.9按规则分配组织新增规则2021.05陈凯李聪慧2021/06修订3.2.10增加了按规则设置数据权限时规则左值来源于人员档案新增函数的说明2021.05陈凯李聪慧2021/06删除5.3.3删除“关键数据定义”小节2021.05于婵娟李聪慧2021/06修订3.2.3新增两个预置职责,移动协同客户、移动协同供应商2021.05于婵娟李聪慧2021/06修订3.2.4增加职责分配移动应用的功能2021.05于婵娟李聪慧2021/06新增3.2.15新增移动用户的应用2021.11陈凯李聪慧2021/12修订3.2.3职责增加工作桌面维护功能、工作桌面维护状态。用友网络科技股份有限公司第一章概述UAP的权限模型是基于RBAC(Role-BasedAccessControl,基于角色的访问控制)设计实现的以角色为核心的权限产品体系。1.1RBAC介绍RBAC授权模型的基本思想是通过分配和取消角色来完成用户权限的授予和取消,根据不同的职能岗位划分角色,资源访问许可被封装在角色中。用户通过赋予角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色,并设置合适的访问权限。而用户根据其工作性质和职责再被指派为不同的角色,完成权限授予。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。用对用角传统的访问控制基于角色的访问控制访问访问获取对图1.1-1传统的访问控制和RBAC模型1.2权限模型以“角色为核心”的权限产品体系,如图所示,即将系统所有的权限(包括应用权限、组织权限、数据权限等)一起打包分配给角色,用户通过成为适当角色的成员而得到这些角色的权限,这就极大地简化了权限的管理。用友网络科技股份有限公司图1.2-1UAP权限模型 UAP产品中人员和用户是两个档案,一个用户只能关联一个人员;反过来,一个人员可以关联一个或多个用户,一个人员是否可以关联多个用户是由参数[RBAC009-允许人员关联多用户]控制的,如果该参数的参数值为“是”,则一个人员可以关联多个用户 职责和应用权限是多对多的关系 角色和职责是多对多的关系,一个角色可以关联多个职责,一个职责也可以分配给多个角色;当一个角色关联了多个职责时,该角色拥有这些职责所对应的应用权限的合集 角色和组织是多对多的关系 角色和资源实体是多对多的关系 角色和用户是多对多的关系,一个角色可以关联多个用户,一个用户也可以分配多个角色;当一个用户关联了多个角色时,该用户拥有多个角色所对应的权限的合集 可以定义集团级的角色和业务单元级的角色1.3价值优势 以RBAC为核心的权限模型; 支持应用权限、数据权限、组织权限、参数权限多类权限资源; 支持基于数据对象的数据权限控制;用友网络科技股份有限公司 借助职责简化、规范企业业务权限体系的规划; 支持多种的安全认证方式,并且可扩展其他方式; 利用二次认证、数字签名等保护敏感业务和核心数据; 支持对特殊人群直接授予特殊业务权限的灵活性; 支持企业对权限资源类型的灵活定义,支持根据业务需要对资源访问权限的随时调整; 支持集中与分层的授权管理,以可管理组织、可授权功能/服务、可管理数据资源、可管理用户、可管理角色来描述授权模型; 支持组织、档案等的使用权延伸到引用这些对象的业务数据的数据权限控制,简化业务数据权限定义,并支持不同场景下使用权的差异。1.3.1用户与用户组用户是参与系统活动的主体,可以是人或系统,一般指人。用户组是用户的分类,多级次。主要用于管理员授权权范围。1.3.2角色与角色组角色是相同岗位所拥有的一组权限的统称,在系统中体现为一些相关的职责以及数据权限的范围。用户通过扮演不同的角色来完成权限的控制。对用户比较多,管理上要求角色职责分明的公司可以通过以角色为中间环节,实现更快捷的批量授权功能。角色分为业务类角色和管理类角色,将角色的管理从职能上进行分离。角色组是角色的分类,单级次。主要用于管理员授权权范围。1.3.3角色分类UAP系统内有4大类角色,按照他们在系统中生成的先后顺序,分为:超级管理员、系统管理员、集团管理员(包括集团管理员和普通管理员)和业务员,如图所示。用友网络科技股份有限公司图1.3-1角色分类 超级管理员:即root/super用户,为系统内置的超级用户,root有单独的登陆地址:http://xx.xx.xx.xx:port/nccloud/resources/uap/rbac/login/admin/index.html,输入口令,进入UAP的系统管理工作台,可进行应用系统的后台管理,例如应用系统创建、维护。可以创建其他超级管理员和系统管理员。 系统管理员:主要职能是创建其他集团,维护集团管理员,进行应用系统密码控制策略的配置、系统初始化和基础数据管控模式的配置等。由超级管理员创建和维护,可以有多个系统管理员。 集团管理员:主要用于集团范围内的权限设置、组织管理、基础数据管理、流程建模、系统管理等,由系统管理员在系统初始化中创建并授权,一个集团可以有多个集团管理员。集团管理员的权限由系统管理员在【集团管理员应用管理】节点中配置。 普通管理员:由集团管理员或拥有相应授权权的管理员创建并授权,其权限不能大于对其授权的管理员,其授权权范围(可管理用户组、可管理角色组、可转授组织、可分配应用、可管理资源)是由创建他的管理员限定的。主要用于权限设置、组织管理、基础数据管理、流程建模、系统管理、维护等,通过系统提供的【管理类角色】节点进行设置。 业务员:由集团管理员或普通管理员创建,普通管理员只能为业务员分配其授权权范围内的权限。企业业务系统中的真实用户,与企业的业务相关,通过系统提供的【业务类角色】节点进行设置。1.3.4应用权限应用权限的授权资源分为3部分:应用节点、应用页签和业务活动。1.应用节点:UAP的产品功能是通过菜单呈现的,应用节点即应用导航时所选择的菜单应用;2.应用页签:应用页签是打开应用节点后所能看到的页签,这些页签中可能包含不同的信息。在UAP的某一个应用节点中,可能有多个页签。比如:【物料-集团】是一个应用节点,打开这个应用节点后有“基本信息”、“财务信息”、“采购信息”、“销售信息”、“库存信息”、“计划信息”、“生产信息”、“成本信息”8个页签,这些应用页签也需要进行权限控制。3.业务活动:是有业务含义的一组按钮的集合。当以集团管理员登录时,可以在【动态建模平台】→【权用友网络科技股份有限公司限管理】→【职责管理】→【业务活动权限启用】节点上设置业务活动以及业务活动对应的按钮,按钮的授权通过业务活动实现。组织权限—UAP每个业务应用节点都有其主组织,组织权限是对用户进入该业务节点时,能够参照到的主组织进行限制。1.3.5数据权限数据权限是对用户能够操作的数据以及能够使用的数据进行限制,基本模型为:角色―资源实体―资源操作―授权规则。资源实体:被数据权限控制的对象,主要是各种业务对象,包括基础数据对象、日常业务单据对象、报表数据对象,如总账凭证、应付单、销售订单等。资源操作:例如新增、修改、删除、保存、审核等。授权规则:用来设定数据的范围,即能够对哪些数据进行操作或使用,例如:设定只能对“价税合计<10000元的销售订单”进行审核、设定只能使用物料基本分类为“配件”的物料。1.3.6职责职责是应用节点、页签和业务活动的集合,在集团内同一类型的组织中,都有职责类似甚至一致的角色。例如在所有库存组织中都有库管员,他们所能访问的应用节点和业务活动都是一样的。用友网络科技股份有限公司第二章集团管理员的创建只有以集团管理员或普通管理员的身份登录UAP系统,才能进行权限管理的相关操作,所以进行权限管理之前需要先创建集团管理员,如1.3.3章节所述,集团管理员需要由系统管理员创建。2.1创建系统管理员以超级用户进入UAP系统,选择【系统管理员】节点,可以看到已有的系统管理员列表,如图所示,可以点击“新增/修改”按钮之后点击“增行”,在系统管理员列表里增加新的系统管理员。图2.1-1系统管理员维护界面然后输入管理员编码、名称、生效日期、失效日期、密码、密码级别、认证方式,点击“保存”按钮,一个系统管理员就创建完成了。密码级别:密码级别是按照用户对于密码安全性的需要,将密码强度进行分级的机制。每个用户信息的设置都要应用一种密码策略,按照该密码策略的规则对其密码进行设置。用系统管理员登录系统,在【动态建模平台】→【系统初始化】→【密码策略】→【密码策略】节点中维护,可以新增、修改、删除。如图所示,默认有3种:普通级、预置级和管理级。 普通级要求密码为数字和字母混合; 预置级对密码无要求; 管理级要求密码为数字、字母和特殊字符的混合。用友网络科技股份有限公司图2.1-2密码策略维护界面关于密码策略的详细介绍,请参见《应用方案手册—系统功能》。认证方式:是指用户在登录的时候,以什么方式来确认其身份。包括CA认证和静态密码2种方式。 默认为静态密码验证,在这种登录认证方式的控制下,用户登录的时候不仅要录入用户编码还要录入用户密码,系统才允许该用户登录; CA认证用在资金产品中,在后台进行配置后才能使用。2.2创建集团管理员步骤1:以章节2.1中创建的系统管理员登录http://xx.xx.xx.xx:port,进入UAP系统;步骤2:进入【系统初始化】→【集团管理员】,点击“新增”按钮,如下图所示:用友网络科技股份有限公司图2.2-1集团管理员新增界面输入用户编码、名称、所属集团,密码安全级别编码,数据格式,内容语种,认证类型,身份类型,身份,生效日期、失效日期等信息,点击保存。步骤3:集团管理员创建之后,还需设置该集团管理员能够管理的集团,一个集团管理员可以管理多个集团,一个集团也可以有多个集团管理员。在可管理的集团页签,点击“新增”按钮,如下图所示:图2.2-2集团管理员可管理集团维护界面步骤4:从所有的集团列表中选择一个集团,点击“保存”按钮。用友网络科技股份有限公司第三章应用流程以章节2.2中创建的集团管理员身份登录UAP系统,就可以进行权限管理的相关操作。登录系统后,如果该集团管理员可以管理多个集团,那么该集团管理员可以在多个集团之间进行切换,如图所示。在进行切换时,相当于重新登录系统,进行环境变量的初始化,所有打开的窗口会被刷新以显示当前集团下的数据。图3-1集团管理员管理多个集团用友网络科技股份有限公司3.1应用流程图图3.1-1权限管理应用流程图3.2操作步骤如图所示,权限管理的实施步骤按照①②③…⑫顺序进行,每个流程的操作分别与下列章节顺序对应。用友网络科技股份有限公司注意:如图3.1所示,用户、职责和角色的创建顺序是并行的,即这3个流程分支不分先后顺序,可以按照用户的操作习惯任意选择;不是每个实施步骤都是必须的,如图中的“⑨分配数据权限”和“⑩分配参数维护权”只有在某些特殊要求的情况下才需要配置。3.2.1新增用户组因为新增用户时,用户必须属于一个用户组,所以要先建立用户组。可以在集团、业务单元下创建用户组,用户组在一个组织(集团或业务单元)内支持多级。以集团管理员的身份登录UAP系统,进入【动态建模平台】→【权限管理】→【用户管理】→【用户组】,从用户组树菜单中选择一个用户组,表示新的用户组将会创建在该用户组下方,点击“新增”按钮,输入用户组编码、名称,点击“保存”。图3.2-1新增用户组上级用户组用户组可以分层级,创建一个上下级的用户组时,上级用户组的所属组织自动填充到下级用户组中,并且不可修改;所属组织可选范围是当前集团和集团内所有的业务单元。可以创建集团级的用户组和业务单元级的用户组。在哪个集团/业务单元下创建用户组,就属于该集团/业务单元。3.2.2新增用户新建了一个用户组之后,就可以创建该用户组下的用户了。进入【动态建模平台】→【权限管理】→【用户管理】→【用户】,输入所属组织、所属用户组、用户编码、用户名称、身份类型、身份、认证类型,密码安全级别编码、数据格式等信息,点击【保存】。用友网络科技股份有限公司图3.2-2新增用户所属组织一个用户的所属组织与所属用户组的所属组织相同。即新建用户时,选定用户所属组织后,再选择所属用户组时,只列出用户所属组织下的所有用户组。在哪个集团/业务单元的用户组下创建用户,用户就属于该集团/业务单元。身份类型在本节点可为企业内的员工创建其对应的用户,也可以为企业的客户、供应商或者审计人员创建其对应的用户。本属性就是用来说明当前的用户是企业内的员工、企业的客户、供应商还是审计人员。身份UAP产品中人员和用户是两个档案,当用户为企业内员工的时候,需要在这里设置用户对应的员工;当用户为企业的客户或者供应商的时候,需要在这里设置用户对应的客户或者供应商。身份是否必输,受全局参数[RBAC001-用户为企业员工、客户或者供应商的时候必须有明确身份]控制,如图所示。v图3.2-3参数RBAC001-用户为企业员工、客户或者供应商的时候必须有明确身份用友网络科技股份有限公司一个用户只能关联一个人员,反过来,一个人员可以关联一个或多个用户,一个人员是否可以关联多个用户是由参数[RBAC009-允许人员关联多用户]控制的,如果该参数的参数值为“是”,表明一个人员可以关联多个用户,如图所示。图3.2-4参数RBAC009-允许人员关联多用户认证类型默认静态密码验证。是指用户在登录的时候,以输入静态密码的方式来确认其身份。二次认证CA认证,不是必须的二次认证方式,根据客户具体需要进行选择。同时产品也提供了二次认证方式的扩展接口,可二开添加其他认证方式。数据格式用来设置用户习惯的数据格式。举例:为一个美国人创建用户的时候,若其习惯按照月、日、年的顺序查看日期,则在这里需要将数据格式设置为“美国英语”。内容语种用户登录的时候,默认按照登录语言显示数据内容。如果当前登录的语种不在内容语种范围内,找不到和登录语种匹配的内容语种,则按照在这里设置的语种,显示数据内容。用户习惯用哪一种语言,这里就设置哪一种语言。是否锁定用来标识用户是否已经被锁定,被锁定的用户不能登录UAP系统。最常见的用法是:用户登录系统的时候,输入错误密码的次数超过系统允许的次数,这时候用户就会被自动锁定。“错误允许数”在密码策略中设置,如图所示。用友网络科技股份有限公司图3.2-5密码策略-错误允许数注意:用户在一个应用系统内是唯一的,用户编码必须保证不能重复(考虑到单点登录);用户分类:除传统企业管理系统操作用户外,支持其他类别的用户-供应商、客户、审计临时用户等;供应商、客户用户必须关联到系统中的一个供应商或客户。3.2.3新增职责职责即业务职能所具备的权限范围,是一组具有相互关联的业务意义的应用节点,页签,和业务活动的集合。通常按照企业相关职务的权限范围来建立职责并划分职责的功能范围,通过以职责为中间环节,为角色或用户分配应用权限,使得角色的定义更加清晰、一目了然。例如:会计的工作内容是负责日常账务的处理,那么就可以创建一个职责-“会计”,包含【财务会计】下所有的应用权限。进入【动态建模平台】→【权限管理】→【职责管理】→【职责】,点击“新增”按钮,如下图所示:图3.2-6新增输入编码、名称和职责类型,点击“保存”按钮。用友网络科技股份有限公司图3.2-7保存职责类型UAP职责类型分为:业务类职责和管理类职责。其中业务类的职责只能被分配业务类的应用节点权限;管理类的职责只能被分配管理类的应用节点权限。在职责节点,点击〖生成角色〗按钮,可以对当前职责快速选择组织批量生成角色,并在职责主画面的关联角色页签中查看相关联的角色。如下图所示:图3.2-8职责生成角色功能集团内预置了两个业务类型移动职责,MOBILE001移动协同客户、MOBILE002移动协同供应商。图3.2-9预置的移动协同职责用友网络科技股份有限公司工作桌面支持根据职责设置工作桌面,显示该职责工作桌面的设置状态,并预览该职责设置的工作桌面。图3.2-10职责支持工作桌面设置3.2.4分配应用【动态建模平台】→【系统初始化】→【业务初始化】→【系统参数设置】,修改参数[RBAC017-启用移动独立入口]的参数值为“是”,职责可分配移动应用。图3.2-11启动移动独立入口参数新建了一个职责之后,还需要给职责分配应用权限。点击【分配应用】,会出现web应用、移动应用两个页签,选择web应用页签,从左边的待分配应用中选择应用,选到右边的已分配应用中。选择移动应用页签,从左边的待分配应用中选择应用,选到右边的已分配应用中,点击【确定】,已选择的web应用会显示在页面下方的已关联应用,已选择的移动应用会显示在页面下方的已关联移动应用。如图所示。用友网络科技股份有限公司图3.2-12为职责分配应用注意:系统参数设置RBAC017启用移动独立入口,参数值为“否”,在职责页签中,点击【分配应用】,弹出的分配应用窗口中只有web应用页签,可用于分配管理类型应用、业务类型的应用。管理类的职责只能分配管理类的应用权限,当为管理类型的职责分配应用时,系统会自动列出管理类型的应用资源树,如图所示。图3.2-13管理类型的应用资源树业务类的职责只能分配业务类的应用权限,当为业务类型的职责分配应用时,系统会自动列出业务类型的应用资源树,如图所示。用友网络科技股份有限公司图3.2-14业务类型的应用资源树注意:职责只是限定了应用权限,没有限制组织权限。组织权限的分配将在3.2.8中描述。业务活动权限启用若应用级别的权限颗粒度不满足需求,可以通过启用业务活动权限,实现按钮级别的权限控制。首先需要启用业务活动权限,有两种方式:分配应用时启用业务活动权限、在【动态建模平台】→【权限管理】→【职责管理】→【业务活动权限启用】节点进行启用。图3.2-15职责分配应用时启用业务活动权限用友网络科技股份有限公司图3.2-16业务活动权限启用之后在【动态建模平台】→【开发配置】→【应用注册】处建立业务活动,目前部分单据预置了部分业务活动,可以根据实际情况建立新的业务活动并关联按钮,具有某业务活动的权限代表有了该业务活动下按钮的权限,若按钮未关联业务活动,则该按钮不受到业务活动权限控制,为可用状态。图3.2-17业务活动与按钮关联启用业务活动权限后分配应用时可以明细到业务活动用友网络科技股份有限公司图3.2-18职责关联业务活动3.2.5新增角色组新建角色时,角色必须属于一个角色组,所以要新建角色组。集团管理员能够创建的角色分为管理类角色和业务类角色,角色组也同样分为管理类型的角色组和业务类型的角色组。可以在集团、业务单元下创建角色组,角色组在一个组织内(集团或业务单元)内支持多级。进入【动态建模平台】→【权限管理】→【角色管理】→【角色组】,从角色组树菜单中,选择管理类型或业务类型,点击“新增”按钮,输入角色组编码、角色组名称、所属组织,点击保存,如图所示。图3.2-19新增角色组所属组织当在已有的角色组下新建一个角色组时,子角色组的所属组织与父角色组的所属组织是相同的。3.2.6新增角色新建了一个角色组之后,就可以创建该角色组下的角色了。用友网络科技股份有限公司1、管理类角色当要创建普通管理员时,就需要创建一个管理类角色。进入【动态建模平台】→【权限管理】→【角色管理】→【管理类角色】,点击“新增”按钮,选择所属组织,输入角色编码、角色名称、选择角色组,点击保存。(1)所属组织角色的所属组织与所属角色组的所属组织是相同的。图3.2-20关联页签(2)已关联用户:展示的是同该角色相关联的用户。在该界面上,点击关联用户按钮,管理员可以增加关联的用户。图3.2-21关联用户(3)已分配职责:展示的是该角色下相关联的职责。在该界面上,点击分配职责按钮,管理员可以为该角色管理相应的职责。用友网络科技股份有限公司图3.2-22分配职责(4)已分配组织:展示的是为该角色分配的组织。在该界面上,点击分配组织按钮,管理员可以为该角色分配相应的组织。图3.2-23分配组织创建管理类角色即创建普通管理员的角色,如章节1.2.3中所述,集团管理员在创建普通管理员时,可以限定普通管理员的授权权范围,可分配应用、可管理资源、可转授组织、可管理用户组、可管理角色组这5个页签是否可见分别是由参数[RBAC002-功能授权权控制]、[RBAC003-资源实体授权权控制]、[RBAC004-组织授权权控制]、[RBAC006-用户授权权控制]、[RBAC007-角色授权权控制]控制的,具体设置在【应用系统管理】→【系统初始化】→【系统参数设置】中,如图所示:图3.2-24授权权范围相关参数设置(5)可管理用户组:用友网络科技股份有限公司设置该管理类角色可以管理的用户组。当参数[RBAC006-用户授权权控制]的参数值设置为“是”时,该页签可见,否则不可见。点击可管理用户组,可以设置该角色的可管理用户组,如图所示。图3.2-25可管理用户组图3.2-26可管理用户组设置界面管理类型:可使用、可维护; 可维护的用户组:是指修改用户和共享用户时可见的用户组; 可使用的用户组:是指在用户分配角色和角色关联用户时可见的用户组。如图所示,提供【可维护】、【不可维护】、【可使用】、【不可使用】四个按钮。【可维护】和【不可维护】是一对互斥按钮,即其中一个按钮使能时,另外一个按钮变为不使能;【可使用】和【不可使用】也是一对互斥按钮。图3.2-27可管理用户组的维护按钮用友网络科技股份有限公司(6)可管理角色组:当参数[RBAC007-角色授权权控制]的参数值设置为“是”时,该页签可见,否则不可见。点击可管理角色组,可以设置该角色的可管理角色组。管理类型:可使用、可维护,如图所示。 可维护的角色组:是指修改角色和为角色分配权限时可见的角色组; 可使用的角色组:是指为用户分配角色时可见的角色组。图3.2-28可管理角色组设置界面(7)可转授组织:当参数[RBAC004-.
