金蝶EAS Cloud EAS权限实施解决方案.pdf

EAS权限（ACL）实施解决方案版本号变更说明变更者变更日志V1.0起稿A.K.2010.101.前言1.1.序1.2.本文档阅读标识所有二级目录均代表直接从用户登录界面中的菜单进入。所有三级目录均代表在当前所处的二级菜单的界面中操作的选项。着重注意点存在关联信息1.前言.................................................................................................................................................21.1.序.............................................................................................................................................21.2.本文档阅读标识.....................................................................................................................22.基本概念..........................................................................................................................................42.1.用户.........................................................................................................................................42.2.组织单元.................................................................................................................................52.3.权限项.....................................................................................................................................62.4.角色.........................................................................................................................................62.5.用户组织权限.........................................................................................................................62.6.角色权限.................................................................................................................................62.7.组织范围.................................................................................................................................62.8.功能权限.................................................................................................................................72.9.数据权限.................................................................................................................................72.10.特殊数据权限.........................................................................................................................72.11.字段权限.................................................................................................................................73.主要界面及流程..............................................................................................................................83.1.初始登录菜单界面.................................................................................................................83.2.用户管理...............................................................................................................................103.2.1.分配权限（授权）...........................................................................................................103.2.2.用户复制...........................................................................................................................113.2.3.组织范围维护...................................................................................................................113.2.4.查看权限...........................................................................................................................133.2.5.用户、用户组、用户权限导入.......................................................................................133.2.6.用户、用户组、用户权限导出.......................................................................................133.2.7.字段权限...........................................................................................................................143.3.角色管理...............................................................................................................................153.3.1.分配用户...........................................................................................................................153.3.2.分配权限...........................................................................................................................153.3.3.角色复制另存为...............................................................................................................163.3.4.角色查看权限...................................................................................................................163.4.认证管理员...........................................................................................................................173.5.用户组织权限三维查看.......................................................................................................173.6.特殊数据权限管理...............................................................................................................183.7.系统树设置界面...................................................................................................................203.8.同步权限项...........................................................................................................................213.9.参数列表界面.......................................................................................................................213.10.引入引出模板.......................................................................................................................223.11.权限测试界面.......................................................................................................................234.参考表............................................................................................................................................25菜单权限关联....................................................................................................................................25用户及角色........................................................................................................................................25权限相关............................................................................................................................................25组织范围维护....................................................................................................................................25授权规则............................................................................................................................................25字段权限............................................................................................................................................25特殊数据权限中的表........................................................................................................................262.基本概念2.1.用户终端用户，主要属性如下：属性名说明备注用户编码number用户实名用户密码密文由用户ID和密码明文生成用户策略security参考密码策略用户类型Type参考用户类型对照表用户组织范围类型参考用户类型对照表用户类型名称用户类型代码对应代号（数字类型）系统用户SYSTEM_VALUE=10;职员PERSON_VALUE=20;客户CUSTOMER_VALUE=30;供应商SUPPLIER_VALUE=40;其他OTHER_VALUE=50;认证管理员AUTHENTICATEADMIN_VALUE=60;参考认证管理员章节审计管理员AUDITADMIN_VALUE=70;2.2.组织单元组织单元：系统权限控制的隔离单位组织主要属性如下：属性名说明备注组织编码number组织类型Type参考组织单元类型对照表组织单元类型对照表组织类型名称组织类型代码对应代号（数字类型）--NONE_VALUE=-1;行政组织ADMIN_VALUE=0;财务组织COMPANY_VALUE=1;销售组织SALE_VALUE=2;采购组织PURCHASE_VALUE=3;库存组织STORAGE_VALUE=4;成本中心组织COSTCENTER_VALUE=5;利润中心组织PROFITCENTER_VALUE=6;合并范围单元UNIONDEBT_VALUE=8;控制单元CONTROLUNIT_VALUE=10;发运组织TRANSPORT_VALUE=24;质检中心QUALITY_VALUE=32;服务组织SERVICE_VALUE=100市场组织MARKET_VALUE=1012.3.权限项权限项：系统分配权限粗细粒度中的最小单位。属性名说明备注权限项编码number权限项别名支持国际化权限项类型Type10：系统管理；15：业务管理；20：业务功能；30：集成功能权限项分配状态10：拥有；20：禁止；30：转授2.4.角色角色：权限项的集合，系统分配权限粗细粒度中的又一单位。2.5.用户组织权限通过对组织分配单个或多个权限。2.6.角色权限通过对组织分配单个或多个角色。2.7.组织范围组织范围：用户权限控制中按功效进行的组织分类组织范围类型名称组织范围类型代码对应代号（数字类型）业务组织（管理单元）BIZ_ORG_TYPE=10;行政组织ADMIN_ORG_TYPE=20;管辖范围MANAGE_ORG_TYPE=30;合并组织UNION_ORG_TYPE=40;2.8.功能权限功能权限：控制用户操作2.9.数据权限数据权限：过滤数据2.10.特殊数据权限数据权限的一种特殊形式，过滤数据2.11.字段权限字段权限：开放或限制管理单元范围内用户相关对象属性的可视性功能参考子系统树设置章节3.主要界面及流程3.1.初始登录菜单界面登陆用户显示的菜单1.没有关联权限的菜单而且菜单类型为空或者为102.关联权限的菜单，按用户类型以及用户已分配的权限过滤，如下：相关权限项过滤规则如下（以用户类型过滤）：�认证管理员是否启用认证管理EnableAuthenticateAdmin，如果启用，则排除以下权限项关联的菜单(参数文件\server*\config\PermParam.properties)'bs_certify_authenticateAdmin',（没有启用的时候是排除这一个）'bs_permission_USBKeyUser_view''bs_permission_dynamicCard_View','bs_permission_IDSecondAuthenticate''bs_log_config'是否需要启用机器码认证isMachineRegisterEnabled，如果没有启动，则排除以下权限项关联的菜单（基础参数T_BAS_Param表中）'bs_mc_machineCodeRegister'再追加排除'bs_permission_auditAdmin'权限项级别为10或30的权限项select*fromt_pm_permitempmWHEREFIsLeaf=1AND(FType='10'ANDFNameNOTIN('排除的权限项')ORFType=15ORFType=30)�如果是审计管理员auditadminSELECTFIDASFPermItemIDFROMT_PM_PermItemWHEREFIsLeaf=1ANDFType=ANDFNameIN('bs_permission_auditAdmin','bs_log_config'�/如果是超级管理员CertifyAdmin只显示以下权限项名关联的菜单'bs_certify_authenticateAdmin','bs_permission_USBKeyUser_view','bs_permission_dynamicCard_View','bs_permission_IDSecondAuthenticate','bs_log_config'�如果是业务管理员BizAdmin：用户组织与角色分配的权限项（FPermType=10）以及权限项ftype=15的所有叶子权限项�如果是其他用户：仅仅查找用户组织与角色分配的权限项（FPermType=10）以上当中涉及到查找用户组织与角色分配的权限项时，需要验证是否启用IsShowAllOrgMenu（参考系统参数设置）如果启用，则查询时无关组织；否则添加系统组织11111111-1111-1111-1111-111111111111CCE7AED4，添加此用户组织范围内的业务组织3.2.用户管理3.2.1.分配权限（授权）/*用户授权界面左侧权限树（源权限项）*/左侧树目录中的权限项时以组织的类型集合过滤的，如果组织是成本中心类型，则只能看到所有成本中心的组织，以此而已，组织可以同时具有多种类型，权限项则取并集。（组织无关的权限项不会被过滤掉）3.2.2.用户复制1.复制业务组织范围：2.复制行政组织范围：3.复制管理单元范围或管辖组织范围4.复制已分配权限（包括角色）：这里不管角色中是否分配权限项，只要用户分配了角色就需要复制3.2.3.组织范围维护1组织范围维护如果存在用户组织关联权限的情况(包括用户组织已授权，角色已授权，用户组织字段授权，用户组织角色离散授权)，则会提示！用户所能维护的组织类型的范围：�当用户为普通用户，存在业务组织类型和行政组织类型的组织范围（是否包括下级）；�当用户为授权权用户，即业务管理员时，存在管辖组织类型的组织范围；�当用户为管理员时，只存在管理单元类型的组织范围。2组织范围批处理增加如果存在用户组织或角色关联权限项，则提示。3组织范围批处理删除如果存在用户组织或角色关联权限项，则提示。3.2.4.查看权限系统中唯一可以查看一个用户在某组织中真正具有的权限的地方，包括用户组织和角色分配的权限。（离散权限除外的所有权限）3.2.5.用户、用户组、用户权限导入3.2.6.用户、用户组、用户权限导出用户的导入导出，部分问题可以直接参考<引入引出模板>章节。3.2.7.字段权限在用户列表界面，通过“业务”菜单�“字段权限设置”打开字段权限设置界面。字段权限的左侧树目录的生成途径：（物理路径：mdbview-metas.jar中的com_kingdee_eas_base_fieldpermission.mdbview）�通过管理控制台中的生成子系统�通过业务建模工具中的生成子系统3.3.角色管理3.3.1.分配用户3.3.2.分配权限业务管理员可以分配权限（7.1版本后）/*角色授权界面（目标权限项）*/SELECTRolePerm.FID,RolePerm.FRoleID,RolePerm.FPermItemID,RolePerm.FPermType,RolePerm.FRuleStructure,RolePerm.FRuleExpr,PermItem.FOrgRelation,PermItem.FIsLeaf,PermItem.FParentID,PermItem.FObjectType,PermItem.FIsApplyToF7FROMT_PM_RolePermRolePermINNERJOINT_PM_PermItemPermItemONPermItem.FID=RolePerm.FPermItemIDWHERERolePerm.FRoleID='00000000-0000-0000-0000-00000000000013B6732A'3.3.3.角色复制另存为存在多国语言的判断。3.3.4.角色查看权限功能说明：查看当前角色已经分配的可转授、已分配、已禁止权限，以及各权限项同时绑定的数据规则，以及当前角色绑定的字段权限设置。重点提示：通过角色给用户分配的权限未必使此用户真正拥有了此权限。参考用户查看权限章节。3.4.认证管理员功能说明：认证管理员对用户认证通过3.5.用户组织权限三维查看功能说明：按行政组织范围或业务组织范围查看用户的权限3.6.特殊数据权限管理功能说明：对业务单据权限进行拥有者权限，拥有者例外以及主管权限的权限项级别的设置。�左侧业务对象列表显示（必须符合以下两条）1.通过配置文件加载其中的业务对象"BOS_PermissionConfiguration.xml","EAS_PermissionConfiguration.xml"，2.权限项定义中有除新增外的权限启用了数据权限，并且关联了此业务对象�右侧业务对象的权限项列表显示（6.0版本后）1.拥有者权限是否启用2.拥有者例外权限是否启用3.指定主管权限是否启用4.通用数据规则与特殊数据规则的逻辑关系，默认为“或者”（7.1版本后）（控制优先级：特殊数据权限项逻辑控制,如果没有设置则由集团参数LogicOfCommonAndSpecialRule控制）常见问题解决方案：确认上述配置都没问题，居然还是没有显示业务对象或者右侧的权限项分录打开服务器下的配置文件EAS_PermissionConfiguration.xml，在其中增加几个空格，目的是使此文件的最后更改时间为最新。然后重新打开特殊数据权限界面即可�拥有者权限：�主管权限：行政组织中的职位上下级汇报关系主管权限ORcreator.idIN(SELECTDISTINCTU.FIDFROMT_PM_USERUINNERJOINT_BD_PersonPersonONPerson.FID=U.FPersonIDINNERJOINT_ORG_PositionMemberPositionMemberONPerson.FID=PositionMember.FPersonIDINNERJOINT_ORG_PositionPositionONPosition.FID=PositionMember.FPositionIDINNERJOINT_ORG_PositionHierarchyPositionHierarchyONPositionMember.FPositionID=PositionHierarchy.FChildIDWHERE(PositionHierarchy.FLongNumberLIKEN'ZW.01.01!ZW.01.1002.01!ZW.01.1002.2001.01.02!ZW.01.1002.2001.01.03!%')ANDPositionHierarchy.FHierarchyID='00000000-0000-0000-0000-000000000001396FCAD0')/*获取用户的主管职位层次长编码*/SELECTPositionHierarchy.FLongNumber,Position.FIsRespPositionFROMT_ORG_PositionHierarchyPositionHierarchyINNERJOINT_ORG_PositionMemberPositionMemberONPositionHierarchy.FChildID=PositionMember.FPositionIDINNERJOINT_BD_PersonPersonONPositionMember.FPersonID=Person.FIDINNERJOINT_ORG_PositionPositionONPosition.FID=PositionMember.FPositionIDWHEREPositionHierarchy.FHierarchyID='00000000-0000-0000-0000-000000000001396FCAD0'ANDFPersonID=?)3.7.系统树设置界面功能说明：对系统中的各种子系统树结构的管理，包括客户化子系统树。客户化子系统文件物理路径,其他标准子系统请查看mdbview-metas.jar文件权限子系统树：\server\profiles\server1\config\subsystem\*.mdbview其他子系统树：\server\profiles\server1\config\easconfig\subsystem\*.mdbview常见问题解决方案：权限项丢失（给用户分配单个权限时左侧的源树中不存在相应的权限项）1.通过查询分析器查询到相应权限项，如果不存在，转3处理步骤；存在则转2处理步骤；2.通过查询分析器查询到相应组织的组织类型集，对照权限项的主业务组织类型是否包含在此组织的组织类型集合中；如果不包含，则联系现场及相关开发人员，变更组织类型或重新定义权限项主业务组织类型；结束。3.打开子系统树界面中的权限项树，查看标准树中是否存在对应权限项，如果不存在，请到服务器元数据路径中查看权限项元数据文件的部署，直到标准树种出现。如果存在再查看客户化树中是否存在相应权限项，如果不存在，跟现场沟通是否有特别权限项，然后进行子系统树备份，转4处理步骤；如果客户化树中本身就存在，同样转4处理步骤；4.同步权限项，同时查看日志是否有异常，无异常后转1处理步骤；存在异常转33.8.同步权限项SP3后的同步权限更新如下：�GUI客户端同步策略：通过配置文件中的eas\Server\server\profiles\server1\config下的PermParam.properties文件中的EnablePermSubsystemFile=true作为开关控制是否加载客户端权限子系统树文件目录如下：eas\Server\server\profiles\server1\config\easconfig\userCustomPerm.permission如果存在此参数且设置为true，则会查看上述目录下的子系统文件进行加载，否则，客户化的子系统树来源则是数据库中的数据；�控制台同步策略：只要存在客户化的子系统文件就会同步。3.9.参数列表界面在参数设置界面按F12即可打开参数编辑界面。权限部分一般设计公共参数下的参数。3.10.引入引出模板功能说明：系统中所有引入引出数据的设置设计表参照表常见问题解决方案：空指针或空字符串找到对应的引入引出模板，并打开到详细信息界面，对照其中的字段与当前XLS或其他格式文件中的相同字段，是否符合模板中的约束条件。常见问题解决方案：没有相应操作找到对应的引入引出模板，复选上即可。3.11.权限测试界面用户列表界面按F10即可打开权限测试页面4.参考表菜单权限关联T_BAS_SYSMENUITEM标准菜单表T_PM_MAINMENUITEM客户化菜单表用户及角色T_PM_SECURITY安全策略表T_PM_USER用户表T_ORG_BASEUNIT基础组织表T_PM_USERORGPERM用户组织权限分配表T_PM_ROLE角色表T_PM_ROLEPERM角色权限分配表T_PM_USERROLEORG用户角色组织分配表T_PM_GRANTUSERROLEORG用户角色转授组织表权限相关T_PM_PERMITEM权限信息表T_PM_PERMITEM1权限信息备份表T_PM_PERMDEPENDENCY权限依赖表T_PM_PERMITEMCHANGEREPORT权限异动报告表组织范围维护T_PM_ORGRANGE组织范围表T_PM_ORGRANGEINCLUDESUBORG含下级组织范围表授权规则T_PM_RULE授权规则表字段权限T_PM_FIELDACCESS字段权限设置表T_PM_FIELDACCESSSTRATEDY字段权限访问策略表T_PM_GRANTUSERFIELD转授用户字段访问权限表T_PM_GRANTROLEFILED转授角色字段访问权限表特殊数据权限中的表1单据类型表（左侧table）T_PM_SPECIALDATAPERM特殊数据权限表（关联单据类型--bostype）T_PM_OTHEROWNER其他拥有者表T_PM_SPEICALDIRECTORPERM指定主管表2单据类型相关的分录表（右侧table）T_PM_SPEICALDATAPERMENTRY拥有者权限表T_PM_OWNEREXCEPTPERMITEM拥有者例外权限表T_PM_SPECIALDIRECTORPERMITEM主管权限表3导入导出模板表T_DIE_TEMPLATE导入导出模板表