yonyousoftwareCo.,Ltd.用友软件股份有限公司姓名**2013年*月*日多级集团管控·全产业链协同·动态企业建模·大企业云平台NC63企业建模平台—权限管理篇目录yonyousoftwareCo.,Ltd.权限分类介绍权限整体模型产品主要功能介绍V6.3改进功能权限管理的意义通过设置用户所能操作的功能和数据的范围,从而达到对企业中各职位相关人员所使用ERP权限的有效管控,使其各司其职,权责分明。权限管理是应用的基础,领域的应用需要架构于权限平台之上。权限分类功能权限通过功能权限授权控制用户登录NC系统可以使用的UI元素,UI元素具体来说是指:可以见到并打开的节点、节点中的页签、节点中的按钮数据权限是对用户数据的访问权限控制,被控制的对象是业务对象,如供应商、客户、销售单、付款单。有行权限(记录权限)和列权限(字段权限)之分。目前nc里的数据权限是指行权限,列权限的控制是通过模板解决的。组织权限用户所有的操作和业务动作都必须在有权限主组织范围内,用于定义用户使用这些UI元素时可以在哪些主组织范围内做业务。对于组织级的功能节点,功能授权时如果没有指定组织权限,则只能看见功能节点,不能做业务。基于RBAC的资源权限模型数据权限规则职责功能用户人员数据权限资源表组织角色功能权限模型新增职责概念新增业务活动授予组织权限:用于定义用户使用这些功能时可以在哪些组织范围内做业务。用户所拥有的职责可以决定用户的业务组织范围。职责-------功能节点------页签-----业务活动------业务活动主组织角色用户功能权限和组织权限应用的最终效果用户在登录系统后,只能看到自己有权限的模块和功能节点;在打开节点后,用户只能看到自己有权限的页签和按钮。在得到自己最终有权限的UI元素后,如果要开始业务动作。比如录入销售订单,在选取所属组织的时候,只能参选自己在当前打开节点下有权限的主组织。职责管理职责职责是一组具有相关联的业务意义的功能节点,页签,和业务活动的打包,不能直接对单独的节点,页签,按钮授权,必须组装成有业务意义的职责,才能够参与权限分配。应用上通常按标准岗位建立职责。节点1页签1业务活动业务活动页签2业务活动节点2页签1业务活动业务活动页签2业务活动……….职责最小的功能授权单元打包职责管理职责类型职责分为业务类职责和管理类职责,业务类职责仅包含业务类的节点,管理类职责仅包含管理类节点。业务活动业务活动是具有业务含义的一组按钮被打包成为业务活动,不再支持单个按钮的授权,而改为对业务活动授权。功能节点和页签上都可以挂业务活动。业务活动业务活动是具有业务含义的一组按钮被打包成为业务活动,不再支持单个按钮的授权,而改为对业务活动授权。功能节点和页签上都可以挂业务活动。业务活动业务活动启用不启用业务活动权限,则所有按钮都可以使用;启用了业务活动后,要再进行分配才能操作按钮,不分配则无权限。考虑到企业中通常只针对一些核心功能会控制到按钮一级,而其他非核心功能的所有按钮都可以使用,不严格控制,所以默认为不启用。角色管理角色角色是授权的核心,用户通过扮演不同的角色来完成权限的控制。角色跟5系列不同,6系列里角色是指一类人在某些组织下所拥有权限的集合,所谓权限集合包括功能权限、数据权限、和组织权限。角色的所属组织即角色的创建组织,可以在业务单元下创建,也可以在集团下创建。角色管理按角色授予功能权限举例角色所属组织角色编码角色名称职责编码职责名称已分配组织角色组AA01A01总账会计01总账会计AAAA02A02应收会计02应收会计AAAA03A03应付会计03应付会计AAAA04A04财务经理04财务经理AABB01B01总账会计01总账会计BBBB02B02应收会计02应收会计BBBB03B03应付会计03应付会计BBBB04B04财务经理04财务经理BB两种授权方式直接授权:直接为用户分配职责和组织权限,是一种快速为用户分配权限的方式。通过参数【是否允许用户直接授权】用来控制系统是否其启用直接授权这种模式。按角色授权,是指用户需要关联角色才能拥有相应的权限,权限的授予主体是角色。建立用户委派角色组织有建立角色职责角色管理角色批量创建按组织复制角色按职责、组织交叉生成角色角色管理角色分配职责角色管理角色分配组织定义用户可以做业务的主组织范围,这些组织要经过功能节点的组织类型过滤,与当前节点的组织类型保持匹配。节点对于组织级的功能节点,角色分配时如果没有指定组织权限,则只能看见功能节点,不能做业务。角色管理角色分配用户角色管理一个用户可以关联多个角色,其拥有的权限时多个角色权限的并集。用户角色职责功能节点已分配组织应用效果区域销售经理刘娜销售经理角色销售经理职责物料维护北京营销中心只能录入北京营销中心的订单。可以维护北京营销中心和石家庄营销中心的销售计划。销售订单维护区域经理角色区域经理职责销售计划维护北京营销中心石家庄营销中心用户角色职责功能节点已分配组织应用效果销售经理李文销售经理角色销售经理职责销售订单维护可以看见功能节点,但无法做任何业务。应收单查询角色管理功能权限授权规则授权规则仅支持正向,未授权时默认为无权。权限控制的效果是:未授权,用户对该功能不可用;反之可用。授权规则仅支持正向,未授权时默认为无权。权限控制的效果是:未授权,用户对该功能不可用;反之可用。角色管理角色组一是对业务含义相似的角色划分类别。二是应用于授权权,为上下级管理员进行权力传递时候划定可管理或者可使用的角色范围。角色组与角色一样分为管理类型和业务类型。创建时需要指定所属组织,可以是业务单元,也可以是当前集团。角色管理角色的管理从职能上进行分离,业务类角色和管理类角色分开进行管理。业务类角色:只能关联业务类职责,所能操作的节点都是业务类节点,例如,客户、供应商信息,物料档案维护、销售订单、出货单等。管理类角色:只能关联管理类职责,所能操作的节点是管理类节点,例如用户管理,角色管理,授权管理等。业务类角色管理类角色....承担系统内的管理职责承担系统内的业务职责具有分配管理员权限的职能没有分配管理员权限的职能功能权限授权步骤功能权限授权步骤第一步建立职责、启用业务活动权限、分配权限(功能节点、页签、业务活动)。第二步创建角色组、角色、创建用户、给角色分配职责、给角色分配组织、角色关联用户第三步用户使用权限角色管理角色组一是对业务含义相似的角色划分类别。二是应用于授权权,为上下级管理员进行权力传递时候划定可管理或者可使用的角色范围。角色组与角色一样分为管理类型和业务类型。创建时需要指定所属组织,可以是业务单元,也可以是当前集团。角色管理角色互斥。“是否启用管理权限与业务权限互斥控制”的参数:系统管理员不做业务或业务人员不参与系统管理的情况下设置。数据权限是对用户数据的访问权限控制,被控制的对象是业务对象。NC系统中的业务对象包括档案、单据等具体的业务数据NC系统中的数据权限指行权限。数据权限的授权规则全部无权:即禁止权,有些关键业务数据,任何情况下不允许用户查看,可以通过设置禁止权实现。按规则授权:比如只能维护制单人为本人的单据,或只能维护某种客户分类的单据。全部有权数据权限分为数据维护权限和数据使用权限数据维护权限:对具体业务对象的具体操作定义权限规则。例如只能维护制单人为本人的XX单据。是对各类业务对象的数据设置维护权限,主要是各种业务对象,包括基础档案,各类单据,如:销售单、付款单,凭证、采购合同等。同一业务对象可以按操作(如维护、审核、签字)授予不同的权限。数据权限分为数据维护权限和数据使用权限数据使用权限:对具体业务对象的具体场景定义权限规则,其带来的好处是不用为每个业务单据分别设置数据权限。例如XX销售员只能查看华北区客户的销售订单、出货单、应收单。授权资源为基本档案。以按使用场景设置使用权限。数据权限可以直接对用户分配数据权限,可以通过角色对用户分配数据权限。数据权限授权步骤。第一步建立规则:对具体业务对象的具体操作定义权限规则;或者对具体业务对象的具体场景定义权限规则。第二步将规则作为数据权限分配给角色或用户第三步用户使用权限特殊数据权限特殊数据权限是简化授权的一种方案,定义了特殊权限就等于定义了一套数据权限规则。包括创建者权限、主管权限和审核者权限三类:创建者权限应用场景:在进行销售订单的创建、修改、删除、查询等操作中。企业希望能够达到这样的控制效果:一个用户只能够修改、删除和查询自己创建的销售订单。主管权限应用场景:在销售订单进行审核的时候,希望有这样的控制:如果登录用户为相应的主管,则其能够查询、审批的单据范围为其管辖范围内人员创建的单据。审核者权限应用场景:在对销售订单进行反审核的时候,希望有这样的控制:只有对其审核的人能够对其进行反审核特殊权限针对权限资源对象设置,不针对角色设置。其中创建者权限需要定义到权限资源对象的操作级别,主管权限和审核者权限只需要定义到权限资源对象级别即可。用户管理分层用户管理应用系统应用系统系统管理员系统管理员集团级管理员集团级管理员普通管理员普通管理员业务人员业务人员业务人员业务人员业务人员业务人员超级管理员集团1集团2用户管理分层用户管理角色类别角色主要业务授权方式备注应用系统管理员由超级管理员(Root用户)创建和维护,是应用系统的管理员,一个应用系统可以有一个或多个应用系统管理员创建集团和集团管理员进行模块启用和配置基础数据管控模式权限固定通过修改配置文件可在实施阶段调整应用系统管理员的功能权限范围集团管理员可以创建很多个,由应用系统管理员创建客户化业务建模:(权限、组织、基础数据、流程建模)系统管理、维护、工具产品系统默认其功能权限和授权权范围所拥有的功能权限由应用系统管理员通过“集团管理员功能范围”进行配置;授权权范围是所管辖啊集团下的所有用户、角色、组织普通管理员由集团管理员或有相应权限的管理员创建;一个集团下可以有多个管理员客户化业务建模:(权限、组织、基础数据、流程建模)系统管理、维护、工具产品由集团管理员或拥有相应授权权的管理员授权普通管理员只是一个拥有能够进行权限管理权限的普通用户。功能权限不能大于对其授权的管理员;授权权范围也是对其授权管理员授权权范围的子集业务角色可以由管理员创建;可以很多个业务拥有相应授权权的管理员授权业务角色分管理类角色和业务类角色拥有全局级节点权限的用户可以做全局级业务用户组一是对业务相似的用户划分类别,二是应用于授权权,为上下级管理员进行权力传递时候划定可管理或者可使用的用户范围。可以按组织机构导入用户组。用户用户的身份类型:员工,客户,供应商,外部系统,开发者等。用户NC产品中人员档案和用户是两个档案,当用户为企业内员工的时候,需要设置用户对应的员工;当用户为企业的客户或者供应商的时候,需要设置用户对应的客户或者供应商。身份是否必输,受全局参数[用户为企业员工、客户或者供应商的时候必须有明确身份]控制。用户共享集团内共享:集团内有两家公司:公司一和公司二,分别有自己的权限管理员Admin1和Admin2对各自公司用户的权限进行管理。一个员工在两家公司兼职,其在公司一的权限由Admin1负责管理,在公司二的权限由Admin2负责管理。这种情况下,该员工对应的用户在公司一创建后,还需要共享给同集团内的公司二。集团间共享:新世纪纸业集团和新世纪钢铁集团,分别有自己的集团管理员nc1和nc2对各自集团进行管理。一个员工在两个集团兼职,其在新世纪纸业集团的权限由nc1负责管理,在新世纪钢铁集团的权限由nc2负责管理。这种情况下,该员工对应的用户在一个集团创建后,还需要共享给另外一个集团。用户调动集团内调动即用户在本集团内部多个业务单元之间进行调动;集团间调动即用户在多个集团之间进行调动。。用户跨业务单元/集团调动后,原业务单元/集团的管理员对其不再有权限管理的权限,需要调入业务单元/集团的管理员将其分配给本业务单元/集团内的管理员进行管理。权限安全管理多种身份认证:静态密码验证、CA验证。支持设置密码策略,可以为不同层次的用户确定不同的密码安全级别,选择一种密码策略对用户的密码进行控制。体现了用户的层次管理和系统安全的重要性原则。密码策略在NC的系统管理工作台中设置(有单独地址提供登录NC系统管理工作台)。支持设置用户支持用户的启用、停用、锁定、解锁支持密码重置,对用户在使用过程中有忘记密码的情况而设计,当该用户关联了人员档案记录时,系统自动向该人员发送短信和邮件通知消息。支持初始密码设置授权权可以沿组织层次:集团管理员区域管理员公司管理员工厂、库存组织管理员;也可以沿专业管理层次:集团管理员预算权限管理员、财务权限管理员、人力资源权限管理员也可以在管理员间形成系统管理权分立:用户管理员;权限管理员集团管理员组织1管理员组织2管理员组织3管理员HR管理员财务管理员预算管理员XX管理员组织1组织2组织3组织4组织业务HR财务预算XX组织4管理员权限查询支持按策略查询。例如:按用户查功能按角色查功能按功能查用户按功能查角色按职责查用户按职责查角色权限审批参数控制是否启用权限审批,进入审批模式之后,用户的权限的获取只能通过填写权限申请单来获取。权限审批包括:用户权限申请单和角色权限申请单。业务功能认证用于对系统中的关键功能和关键数据,进行二次权限认证。支持定义关键功能:设置关键功能在被操作员操作的时候,是否需要对操作员进行重新认证,以及认证的方式。支持定义关键数据:设置关键数据在被操作员操作的时候,是否需要对操作员进行重新认证,以及认证的方式。权限报表用户功能权限报表职责角色报表职责功能报表角色功能报表63改进功能内容原因增加两个集团级参数[允许客户关联多个用户]、[允许供应商关联多个用户]。参数为是时,同一客户身份可以创建多个用户。电子销售会出现客户企业中多个角色参与网上商务活动,不同角色参与的商务环节不同;电子采购也会,但比电子销售这类状况少。增加角色批量创建的功能节点。按照现有产品模型,相仿的职责必须在每个组织下生成角色,然后再赋予相关人员。客户首先遇到的是上线初期角色的创建,港华粗步估算有5000~6000个角色需要建立,一个一个处理很麻烦,珠江投资单位规模比港华还多,角色规模数万,该问题也比较突出;其次是这大量角色的后期维护。职责主列表画面和卡片界面均增加[生成角色]的功能按钮,并在主画面上增加关联角色的查看页签。通过[生成角色]功能快速选择组织生成角色,并在职责主画面的关联角色页签里查看相关的角色。可以很方便的看出当前职责影响到的角色范围,进而可以察知哪些人拥有这个职责;当职责内容改变时,也能直观地看到调整作用到了哪些角色、哪些人身上。职责卡片界面增加引入功能的功能按钮,职责分配时可以选择已有的职责,将其功能分配给当前职责。将比较接近的职责复制到另一个职责上,然后再修改,比如:将财务经理的职责复制到总经理上,然后再修改总经理的职责。63改进功能完善用户权限分配画面。分配角色功能,找角色的画面要优化,能够按照所属组织、职责、角色、已分配组织等维度快速查找到角色。已用户分配角色列表画面,角色信息要显示完整。用户分配角色画面:不能跨组织选择角色,只能一个组织一个组织的选;不能按职责选择角色,在珠投经常会有一个用户在多个组织任职相同的情况,比如一个总账会计管理5个项目公司,这样特别不好找角色;找到角色后,角色的信息只有编码名称,不能正确地确定是所要找的角色,希望能将角色的组织、职责都能显示出来。角色分配的结果画面没有显示角色的所属组织、职责等信息,不能正确地确定是所要找的角色root密码策略硬编码,不可配置:长度8位,必须数字、字母、特殊字符组合;允许尝试3次,3次4.7.2后必须通过用友服务渠道处理;密码有效期30天,到期提醒但不强制修改,历史密码记忆3次。为加强root密码的安全性,后台预置硬编码策略,不可配置.支持合法客户端管理:通过后台配置文件限定超级管理员使用的IP来源,不能使用未设限定的IP登录系统管理,提示:不能使用此IP非法登录。为加强系统安全性,需要限制只有固定的几个IP可以用超级管理员登录进行系统管理。系统后台配置文件中增加[是否强制启用CA]的设置,按应用系统配置,为是时,该系统下所有的系统管理员修改保存时,都要求其认证方式为CA认证。为加强系统安全性,需要能够设置系统管理员必须启用CA。63改进功能改造用户功能权限查询分成几个查询场景。原有的查询无法满足用户需求。增加权限报表满足权限打印审批的需求。在密码策略里增加字段[是否自动解锁]、[锁定期限]:当[是否自动解锁]为true时,用户被锁定后,要记录锁定的时间,按密码策略中设置的期限,到期后进行自动解锁;为否时,不自动解锁,只能由管理员手工解锁。对于像电子商务应用里的用户,很多都是客户方或者供应商方的用户,这新用户如果被锁定后是无法找到企业的管理员来帮忙解锁的,因此需提供锁定一段时间后自动解锁的功能。用户修改密码时,要求录入原密码,对原密码录入的不正确次数要受密码策略里定义的[错误允许数]的控制,超出后将自动锁定用户并且退出系统。为防止用户登录系统后,离开但没有退出系统地情况下,被其他人恶意修改密码的可能性。密码策略:最低长度:整数,且要求不能小于6。密码强度去掉弱密码强度这个枚举。处于安全考虑修改现有平台密码规则配置最低要求为:密码长度最低为6位,密码必须包含字母和数字。低于此策略不能保存。出于安全考虑,设置初始密码时,要求用户生成的密码强度要符合如下要求,密码长度为8位,必须数字、字母组成,并且在录入新密码时给出密码强度要求的提示。出于安全考虑出于安全考虑,重置密码时,要求用户生成的密码强度要符合如下要求,密码长度为8位,必须数字、字母组成。出于安全考虑yonyousoftwareCo.,Ltd.多级集团管控·全产业链协同·动态企业建模·大企业云平台大型企业管理与电子商务平台
