分级授权应用张红英zhanghyy@yonyou.com1、引言在不同企业中,系统的权限设计、人员授权并非由IT类团队集中处理,而是上级指定各组织的管理员、各权限管理员去管理相关组织具体人员的授权。对于权限管理员的职权范围是有要求的。2、应用场景及问题描述中小企业希望权限管理员授权的对象范直接通过指定组织分权管控即可,应用资源范围不需要逐级管控太细,比如新世纪股份公司的管理员只能管理新世纪股份的用户和角色,即启用组织(权限)管理员授权。大型企业是希望能够对权限管理员可授权的权限范围进行精细控制(精细控制到具体功能应用、组织、角色、用户),比如企业中会按照领域划分权限职能,一个财务部的权限管理员只能够授予财务产品的相关的权限,在后续统称即职能(权限)管理员授权。3、解决方案3.1组织权限管理员1)公共参数“是否启用权限授权管控”需设置为启用组织管理员2)用企业账号管理员登录系统,在组织权限管理员节点设置各组织的权限管理员3)新世纪股份的组织权限管理员只能维护新世纪股份及下级组织的角色。4)在授权节点,只能对新世纪股份及下级组织的用户进行授权5)对用户进行授权时只能授权新世纪股份及下级组织的角色6)组织权限管理员是否可维护和管理企业账号级角色受公共参数【允许组织管理员管理企业账号级角色】影响,如果参数为是则可以维护和管理企业账号级角色,如参数为否则不可维护和管理企业账号级角色。3.2职能权限管理员1)公共参数“是否启用权限授权管控”需设置为启用管理员授权权,如项目上生产环境需启用管理员授权权需发邮件给杨亮(邮箱yangliangs@yonyou.com)申请,注意该参数一旦启用不可关闭,请谨慎操作。2)启用管理员授权权后,在管理员授权节点可以对所有管理类角色设置可授权应用、可授权组织、可管理角色,通过这三者来实现职能权限管理员的权限设置范围。3)可授权应用是指职能权限管理员在为角色做功能权限分配时可见的功能节点,比如可授权应用勾选了数字化建模、会计服务、销售服务、采购供应,那么职能权限管理员为角色做功能权限分配时不可选择除数字化建模、会计服务、销售服务、采购供应以外的功能权限。4)可授权组织是指职能权限管理员能够管理的功能权限分配时的主组织范围5)可管理角色是指职能权限管理员能够管理的角色范围,可维护指是否能够进行维护修改,可授权指是否能够使用,系统默认都是可维护及可授权,职能权限管理员在角色管理节点可维护及可授权角色受可管理角色控制,授权时角色范围按可管理角色过滤。4、注意事项无
