构建幸福企业创新改变未来NC6产品手册权限管理用友软件股份有限公司构建幸福企业创新改变未来目录变更记录.31.概述.11.1RBAC介绍..11.2NCV60权限模型.11.3价值优势.21.4基本概念.31.4.1用户与用户组.31.4.2角色与角色组.31.4.3角色分类.31.4.4功能权限.51.4.5组织权限.51.4.6数据权限.51.4.7职责.52.集团管理员的创建.62.1创建系统管理员.62.2创建集团管理员.73.应用流程.83.1应用流程图.103.2操作步骤.103.2.1新增用户组.113.2.2新增用户.113.2.3新增职责.143.2.4分配功能.143.2.5新增角色组.163.2.6新增角色.173.2.7分配职责.233.2.8分配组织.243.2.9分配数据权限.263.2.10分配参数维护权.283.2.11关联用户.293.2.12分配角色.304.典型应用.324.1如何创建一个普通管理员.324.1.1场景1-基于集团组织结构的分权管理.334.1.2场景2-基于业务领域的分权管理.344.2如何创建一个采购业务员.355.其他功能.375.1用户管理.375.1.1用户维护.375.1.2集团内共享.385.1.3集团间共享.405.1.4用户调动.435.2授权管理.445.2.1用户权限分配.44用友软件股份有限公司构建幸福企业创新改变未来5.2.2特殊数据权限.455.3业务功能认证.475.3.1应用场景.475.3.2关键功能定义.475.3.3关键数据定义.475.4权限查询.475.4.1用户功能权限查询.475.4.2用户数据权限查询.485.5权限变更申请.495.5.1应用场景.495.5.2用户权限变更申请.495.5.3角色权限变更申请.51附录:本文参见其他手册清单..52用友软件股份有限公司构建幸福企业创新改变未来变更记录序号章节号章节名称变更主要内容备注11.1.4功能权限补充部分内容,删除部分内容22.2创建集团管理员调整步骤1的内容。35.3.1应用场景新增45.5.1应用场景新增55.5.2用户权限变更申请补充部分内容65.5.3角色权限变更申请补充部分内容用友软件股份有限公司用友软件股份有限公司构建幸福企业创新改变未来11.概述NCV60的权限模型是基于RBAC(Role-BasedAccessControl,基于角色的访问控制)设计实现的以角色为核心的权限产品体系。1.1RBAC介绍RBAC授权模型的基本思想是通过分配和取消角色来完成用户权限的授予和取消,根据不同的职能岗位划分角色,资源访问许可被封装在角色中。用户通过赋予角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色,并设置合适的访问权限。而用户根据其工作性质和职责再被指派为不同的角色,完成权限授予。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。图1.1传统的访问控制和RBAC模型1.2NCV60权限模型以“角色为核心”的权限产品体系,如图1.2所示,即将系统所有的权限(包括功能权限、组织权限、数据权限等)一起打包分配给角色,用户通过成为适当角色的成员而得到这些角色的权限,这就极大地简化了权限的管理。用友软件股份有限公司构建幸福企业创新改变未来2图1.2NCV60权限模型 NC产品中人员档案和用户是两个档案,一个用户只能关联一个人员,反过来,一个人员可以关联一个或多个用户,一个人员是否可以关联多个用户是由参数[RBAC009-允许人员关联多用户]控制的,如果该参数的参数值为“是”,一个人员可以关联多个用户; 职责和功能权限是多对多的关系; 角色和职责是多对多的关系,一个角色可以关联多个职责,一个职责也可以分配给多个用户; 当一个角色关联了多个职责时,该角色拥有这些职责所对应的功能权限的合集; 角色和组织权限是多对多的关系; 角色和资源实体是多对多的关系; 角色和用户是多对多的关系;一个角色可以关联多个用户,一个用户也可以分配多个角色; 当一个用户关联了多个角色时,该用户拥有多个角色所对应的权限的合集; 可以定义集团级的角色和业务单元级的角色。1.3价值优势以RBAC为核心的权限模型;支持功能权限、数据权限、组织权限、参数权限多类权限资源;支持基于数据对象的数据权限控制;借助职责简化、规范企业业务权限体系的规划;用友软件股份有限公司构建幸福企业创新改变未来3支持多种的安全认证方式,并且可扩展其他方式;利用二次认证、数字签名等保护敏感业务和核心数据;支持对特殊人群直接授予特殊业务权限的灵活性;支持企业对权限资源类型的灵活定义,支持根据业务需要对资源访问权限的随时调整;支持集中与分层的授权管理,以可管理组织、可授权功能/服务、可管理数据资源、可管理用户、可管理角色来描述授权权模型;支持组织、档案等的使用权延伸到引用这些对象的业务数据的数据权限控制,简化业务数据权限定义,并支持不同场景下使用权的差异。1.4基本概念1.4.1用户与用户组用户是参与系统活动的主体,可以是人或系统,一般指人。用户组是用户的分类,多级次。主要用于管理员授权权范围。1.4.2角色与角色组角色是相同岗位所拥有的一组权限的统称,在系统中体现为一些相关的职责,以及数据权限的范围。用户通过扮演不同的角色来完成权限的控制。对用户比较多,管理上要求角色职责分明的公司可以通过以角色是为中间环节,实现更快捷的批量授权功能。角色分为业务类角色和管理类角色,将角色的管理从职能上进行分离。角色组是角色的分类,单级次。主要用于管理员授权权范围。1.4.3角色分类NC系统内有4大类角色,按照他们在系统中生成的先后顺序,分为:超级管理员、系统管理员、集团管理员(包括集团管理员和普通管理员)和业务员,如图1.2.4所示。用友软件股份有限公司构建幸福企业创新改变未来4图1.2.4角色分类 超级管理员:即root/super用户,为系统内置的超级用户,root有单独的登陆地址:http://xx.xx.xx.xx:port/admin.jsp,输入口令,进入NC的系统管理工作台,可进行应用系统的后台管理,例如应用系统创建、维护。支持应用系统密码控制策略的配置、可以创建其他超级管理员和系统管理员。 系统管理员:主要职能是创建其他集团,维护集团管理员,进行系统初始化和配置基础数据管控模式等。由超级管理员创建和维护,可以有多个系统管理员。 集团管理员:主要用于集团范围内的权限设置、组织管理、基础数据管理、流程建模、系统管理等,由系统管理员在系统初始化中创建并授权,一个集团可以有多个集团管理员。集团管理员的权限由系统管理员在【集团管理员功能管理】节点中配置。 普通管理员:由集团管理员或拥有相应授权权的管理员创建并授权,其权限不能大于对其授权的管理员,其授权权范围(可管理用户组、可管理角色组、可转授组织、可分配功能、可管理资源)是由创建他的管理员限定的。主要用于权限设置、组织管理、基础数据管理、流程建模、系统管理、维护等,通过系统提供的【管理类角色】节点进行设置。 业务员:由集团管理员或普通管理员创建,普通管理员只能为业务员分配其授权权范围内的权限。企业业务系统中的真实用户,与企业的业务相关,通过系统提供的【业务类角色】节点进行设置。用友软件股份有限公司构建幸福企业创新改变未来51.4.4功能权限功能权限的授权资源分为3部分:功能节点、功能页签和业务活动。1.功能节点:NC的产品功能是通过菜单呈现的,功能节点即功能导航时所选择的菜单功能;2.2.功能页签:功能页签是打开功能节点后所能看到的页签,这些页签中可能包含不同的信息。在NC的某一个功能节点中,可能有多个页签。比如:【物料-集团】是一个功能节点,打开这个功能节点后有“基本信息”、“财务信息”、“采购信息”、“销售信息”、“库存信息”、“计划信息”、“生产信息”、“成本信息”8个页签,这些功能页签也需要进行权限控制。1.4.53.业务活动:是有业务含义的一组按钮的集合。当以集团管理员登录时,可以在【企业建模平台】→【权限管理】→【职责管理】→【业务活动权限启用】节点上设置业务活动以及业务活动对应的按钮,按钮的授权通过业务活动实现。组织权限NC每个业务功能节点都有其主组织,组织权限是对用户进入该业务节点时,能够参照到的主组织进行限制。1.4.6数据权限数据权限是对用户能够操作的数据以及能够使用的数据进行限制,被控制的对象是资源实体,例如销售订单。数据权限的基本模型包括:角色―资源实体―资源操作―授权规则。资源实体:主要是各种业务对象,包括基础数据对象、日常业务单据对象、报表数据对象,如总账凭证、应付单、销售单等。资源操作:例如新增、修改、删除、保存、审核等。授权规则:用来设定数据的范围,即能够对哪些数据进行操作,例如:价税合计<10000元的销售订单。1.4.7职责职责是功能节点、页签和业务活动的集合,在集团内同一类型的组织中,都有职责类似甚至一致的角色。例如在所有库存组织中都有库管员,他们所能访问的功能节点和业务活动都是一样的。用友软件股份有限公司构建幸福企业创新改变未来62.集团管理员的创建只有以集团管理员或普通管理员的身份登录NC系统,才能进行权限管理的相关操作,所以进行权限管理之前需要先创建集团管理员,如1.2.3章节所述,集团管理员需要由系统管理员创建。2.1创建系统管理员以超级用户root或super登录http://xx.xx.xx.xx:port/admin.jsp,,进入NC系统,选择【系统管理】节点,可以看到已有的系统管理员列表,如图2.1-1所示,可以点击“增加”按钮,在系统管理员列表里增加新的系统管理员。图2.1-1系统管理员维护界面然后输入管理员编码、名称、生效日期、失效日期、密码、密码级别、认证方式,点击“保存”按钮,一个系统管理员就创建完成了。密码级别:密码级别是按照用户对于密码安全性的需要,将密码强度进行分级的机制。每个用户信息的设置都要应用一种密码策略,按照该密码策略的规则对其密码进行设置。用root用户登录系统,在【系统管理】→【密码策略】节点中维护,可以新增、修改、删除。如图2.1-2所示,默认有3种:管理级、普通级和预置级。 管理级要求密码为数字、字母和特殊字符的混合; 普通级要求密码为数字和字母混合;用友软件股份有限公司构建幸福企业创新改变未来7 预置级对密码无要求。图2.1-2密码策略维护界面关于密码策略的详细介绍,请参见《NCV61产品手册—系统管理》。认证方式:是指用户在登录的时候,以什么方式来确认其身份。包括CA认证和静态密码2种方式。 默认为静态密码验证,在这种登录认证方式的控制下,用户登录的时候不仅要录入用户编码还要录入用户密码,系统才允许该用户登录; CA认证用在资金产品中,在后台进行配置后才能使用。2.2创建集团管理员步骤1:以章节2.1中创建的系统管理员登录http://xx.xx.xx.xx:port/login.jsp,进入NC系统;步骤2:进入【应用系统管理】→【系统初始化】→【集团管理员】,点击“新增”按钮,如下图所示:图2.2-1集团管理员新增界面输入用户编码、名称、所属集团,密码安全级别编码,数据格式,内容语种,认证类型,身份类型,身份,生效日期、失效日期等信息,点击保存。步骤3:集团管理员创建之后,还需设置该集团管理员能够管理的集团,一个集团管理员可以管理多个集用友软件股份有限公司构建幸福企业创新改变未来8团,一个集团也可以有多个集团管理员。在可管理的集团页签,点击“新增”按钮,如下图所示:图2.2-2集团管理员可管理集团维护界面步骤4:从所有的集团列表中选择一个集团,点击“保存”按钮。3.应用流程以章节2.2中创建的集团管理员的身份登录NC系统,就可以进行权限管理的相关操作。登录系统后,如果该集团管理员可以管理多个集团,那么该集团管理员可以在多个集团之间进行切换,如图3所示。在进行切换时,相当于重新登录系统,进行环境变量的初始化,所有打开的窗口会被关闭后重新打开。用友软件股份有限公司构建幸福企业创新改变未来9图3集团管理员管理多个集团用友软件股份有限公司构建幸福企业创新改变未来103.1应用流程图图3.1权限管理应用流程图3.2操作步骤如图3.1所示,权限管理的实施步骤按照①②③…⑫顺序进行,每个流程的操作分别与下列章节顺序对应。用友软件股份有限公司构建幸福企业创新改变未来113.2.1新增用户组因为新增用户时,用户必须属于一个用户组,所以要先建立用户组。可以在集团、业务单元下创建用户组,用户组在一个组织(集团或业务单元)内支持多级。以集团管理员的身份登录NC系统,进入【企业建模平台】→【权限管理】→【用户管理】→【用户组】,从用户组树菜单中选择一个用户组,表示新的用户组将会创建在该用户组下方,点击“新增”按钮,输入用户组编码、名称,点击“保存”。图3.2.1新增用户组上级用户组用户组可以分层级,创建一个上下级的用户组时,上级用户组的所属组织自动填充到下级用户组中,并且不可修改;所属组织可选范围是当前集团和集团内所有的业务单元。可以创建集团级的用户组和业务单元级的用户组。在哪个集团/业务单元下创建用户组,就属于该集团/业务单元。3.2.2新增用户新建了一个用户组之后,就可以创建该用户组下的用户了。进入【企业建模平台】→【权限管理】→【用户管理】→【用户】,输入所属组织、所属用户组、用户编注意:如图3.1所示,用户、职责和角色的创建顺序是并行的,即这3个流程分支不分先后顺序,可以按照用户的操作习惯任意选择;不是每个实施步骤都是必须的,如图中的“⑨分配数据权限”和“⑩分配参数维护权”只有在某些特殊要求的情况下才需要配置。用友软件股份有限公司构建幸福企业创新改变未来12码、用户名称、身份类型、身份、认证类型,密码安全级别编码、数据格式等信息,点击【保存】。3.2.2-1新增用户所属组织一个用户的所属组织与所属用户组的所属组织相同。即新建用户时,选定用户所属组织后,再选择所属用户组时,只列出用户所属组织下的所有用户组。在哪个集团/业务单元的用户组下创建用户,用户就属于该集团/业务单元。身份类型在本节点可为企业内的员工创建其对应的用户,也可以为企业的客户、供应商或者审计人员创建其对应的用户。本属性就是用来说明当前的用户是企业内的员工、企业的客户、供应商还是审计人员。身份NC产品中人员档案和用户是两个档案,当用户为企业内员工的时候,需要在这里设置用户对应的员工;当用户为企业的客户或者供应商的时候,需要在这里设置用户对应的客户或者供应商。身份是否必输,受全局参数[RBAC001-用户为企业员工、客户或者供应商的时候必须有明确身份]控制,如图3.2.2-2所示。3.2.2-2参数RBAC001-用户为企业员工、客户或者供应商的时候必须有明确身份用友软件股份有限公司构建幸福企业创新改变未来13一个用户只能关联一个人员,反过来,一个人员可以关联一个或多个用户,一个人员是否可以关联多个用户是由参数[RBAC009-允许人员关联多用户]控制的,如果该参数的参数值为“是”,表明一个人员可以关联多个用户,如图3.2.2-3所示。图3.2.2-3参数RBAC009-允许人员关联多用户认证类型是指用户在登录的时候,以什么方式来确认其身份。数据格式用来设置用户习惯的数据格式。举例:为一个美国人创建用户的时候,若其习惯按照月、日、年的顺序查看日期,则在这里需要将数据格式设置为-美国英语-。内容语种用户登录的时候,默认按照登录语言显示数据内容。如果当前登录的语种不在内容语种范围内,找不到和登录语种匹配的内容语种,则按照在这里设置的语种,显示数据内容。用户习惯用哪一种语言,这里就设置哪一种语言。是否锁定用来标识用户是否已经被锁定,被锁定的用户不能登录NC系统。最常见的用法是:用户登录系统的时候,输入错误密码的次数超过系统允许的次数,这时候用户就会被自动锁定。“错误允许数”在密码策略中设置,如图3.2.2-4所示。图3.2.2-4密码策略-错误允许数用友软件股份有限公司构建幸福企业创新改变未来14注意:用户在一个应用系统内是唯一的,用户编码必须保证不能重复(考虑到单点登陆);用户分类:除传统企业管理系统操作用户外,支持其他类别的用户-供应商、客户、审计临时用户等;供应商、客户用户必须关联到系统中的一个供应商或客户。3.2.3新增职责职责即业务职能所具备的权限范围,是一组具有相互关联的业务意义的功能节点,页签,和业务活动的集合。通常按照企业相关职务的权限范围来建立职责并划分职责的功能范围,通过以职责为中间环节,为角色或用户分配功能权限,使得角色的定义更加清晰、一目了然。例如:会计的工作内容是负责日常账务的处理,那么就可以创建一个职责-“会计”,包含【财务会计】下所有的功能权限。进入【企业建模平台】→【权限管理】→【职责管理】→【职责】,点击“新增”按钮,输入编码、名称和职责类型,点击“保存”按钮。职责类型职责分为管理类职责和业务类职责,管理类职责只能分配给管理类的角色,业务类职责只能分配给业务类的角色。3.2.4分配功能新建了一个职责之后,还需要给职责分配功能权限。在职责页签中,点击【分配功能】,从左边的待选功能树中选择功能,选到右边的已选功能树中,点击【确定】,已选择的功能会显示在页面下方,如图3.2.4-1所示。用友软件股份有限公司构建幸福企业创新改变未来15图3.2.4-1为职责分配功能管理类的职责只能分配管理类的功能权限,当为管理类型的职责分配功能时,系统会自动列出管理类型的功能资源树,如图3.2.4-2所示。图3.2.4-2管理类型的功能资源树用友软件股份有限公司构建幸福企业创新改变未来16业务类的职责只能分配业务类的功能权限,当为业务类型的职责分配功能时,系统会自动列出业务类型的功能资源树,如图3.2.4-3所示。图3.2.4-3业务类型的功能资源树注意:职责只是限定了功能权限,没有限制组织权限。组织权限的分配将在3.2.8中描述。3.2.5新增角色组新建角色时,角色必须属于一个角色组,所以要新建角色组。集团管理员能够创建的角色分为管理类角色和业务类角色,角色组也同样分为管理类型的角色组和业务类型的角色组。可以在集团、业务单元下创建角色组,角色组在一个组织内(集团或业务单元)内支持多级。进入【企业建模平台】→【权限管理】→【角色管理】→【角色组】,从角色组树菜单中,选择管理类型或业务类型,点击“新增”按钮,输入角色组编码、角色组名称、所属组织,点击保存,如图3.2.5所示。用友软件股份有限公司构建幸福企业创新改变未来17图3.2.5新增角色组所属组织当在已有的角色组下新建一个角色组时,子角色组的所属组织与父角色组的所属组织是相同的。3.2.6新增角色新建了一个角色组之后,就可以创建该角色组下的角色了。3.2.6.1管理类角色当要创建普通管理员时,就需要创建一个管理类角色。进入【企业建模平台】→【权限管理】→【角色管理】→【管理类角色】,点击“新增”按钮,选择所属组织,输入角色编码、角色名称、选择角色组,点击保存。所属组织角色的所属组织与所属角色组的所属组织是相同的。创建管理类角色即创建普通管理员的角色,如章节1.2.3中所述,集团管理员在创建普通管理员时,可以限定普通管理员的授权权范围(可管理用户组、可管理角色组、可转授组织、可分配功能、可管理资源),如图3.2.6.1-1所示。用友软件股份有限公司构建幸福企业创新改变未来18图3.2.6.1-1授权权范围管理页签图中的可分配功能、可管理资源、可转授组织、可管理用户组、可管理角色组这5个页签是否可见分别是由参数[RBAC002-功能授权权控制]、[RBAC003-资源实体授权权控制]、[RBAC004-组织授权权控制]、[RBAC006-用户授权权控制]、[RBAC007-角色授权权控制]控制的,具体设置在【应用系统管理】→【系统初始化】→【系统参数设置】中,如图3.2.6.1-2所示:图3.2.6.1-2授权权范围相关参数设置可管理用户组:设置该管理类角色可以管理的用户组。当参数[RBAC006-用户授权权控制]的参数值设置为“是”时,该页签可见,否则不可见。点击可管理用户组页签(图3.2.6.1-1)中的,可以设置该角色的可管理用户组,如图3.2.6.1-3所示。用友软件股份有限公司构建幸福企业创新改变未来19图3.2.6.1-3可管理用户组设置界面管理类型:可使用、可维护; 可维护的用户组:是指修改用户和共享用户时可见的用户组; 可使用的用户组:是指在用户分配角色和角色关联用户时可见的用户组。如图3.2.6.1-4所示,提供【可维护】、【不可维护】、【可使用】、【不可使用】四个按钮。【可维护】和【不可维护】是一对互斥按钮,即其中一个按钮使能时,另外一个按钮变为不使能;【可使用】和【不可使用】也是一对互斥按钮。图3.2.6.1-4可管理用户组的维护按钮用友软件股份有限公司构建幸福企业创新改变未来20分配方式:按用户组、按组织。 按用户组:按照用户分组的结构显示所有的用户组; 按组织:将用户组按照组织的形式归类,选择了某个组织,就选择了该组织下的用户组。可管理角色组:当参数[RBAC007-角色授权权控制]的参数值设置为“是”时,该页签可见,否则不可见。设置该管理类角色可以管理的角色组。管理类型:可使用、可维护;分配方式:按角色组、按组织,如图3.2.6.1-5所示。 可维护的角色组:是指修改角色和为角色分配权限时可见的角色组; 可使用的角色组:是指为用户分配角色时可见的角色组。图3.2.6.1-5可管理角色组设置界面可转授组织:当参数[RBAC004-组织授权权控制]的参数值设置为“是”时,该页签可见,否则不可见。设置该管理类角色可以转授的组织,即该管理类角色创建其他角色时能够为其他角色分配的组织范围,如图3.2.6.1-6所示。用友软件股份有限公司构建幸福企业创新改变未来21图3.2.6.1-6可管理组织设置界面可分配功能:当参数[RBAC002-功能授权权控制]的参数值设置为“是”时,该页签可见,否则不可见。设置该管理类角色可以分配的功能,即该管理类角色创建其他角色时能够为其他角色分配的功能节点,如图3.2.6.1-7所示。用友软件股份有限公司构建幸福企业创新改变未来22图3.2.6.1-7可分配功能设置界面可管理资源:当参数[RBAC003-资源实体授权权控制]的参数值设置为“是”时,该页签可见,否则不可见。设置该管理类角色可以管理的资源实体,即该管理类角色为其他角色分配数据权限时,能够参照到的资源实体,如图3.2.6.1-8所示。用友软件股份有限公司构建幸福企业创新改变未来23图3.2.6.1-8可管理资源设置界面3.2.6.2业务类角色要创建业务类角色,进入【企业建模平台】→【权限管理】→【角色管理】→【业务类角色】,点击“新增”按钮,选择所属组织,输入角色编码、角色名称、选择角色组,点击保存。所属组织角色的所属组织与所属角色组的所属组织是相同的。3.2.7分配职责创建了一个角色之后,还需要给该角色分配职责。职责分为管理类职责和业务类职责,管理类的角色只能被分配管理类职责,业务类的角色只能被分配业务类职责。在已分配职责页签中,点击按钮,如图3.2.7-1所示:用友软件股份有限公司构建幸福企业创新改变未来24图3.2.7-1已分配职责页签显示待分配职责和已分配职责,如图3.2.7-2所示,从左边的待分配职责列表中,通过“<”、“<<”、“>”、“>>”按钮选择一个或多个职责到右边的已分配职责列表中,点击“确定”按钮。图3.2.7-2职责分配界面3.2.8分配组织组织权限是为功能权限服务的,NC每个业务功能节点都有其主组织,如果为角色分配了功能权限,而没有分配组织权限,功能权限实际上也是无意义的(因为在做单据时,选择不了组织)。。例如:【应收管理】这个业务功能节点用到的主组织是财务组织,如果为角色分配了该业务功能,还需要为角色分配相应的财务组织。在已分配组织页签中点击按钮,从左边的待分配组织列表中通过“<”、“<<”、“>”、“>>”按钮选择一个或多个组织到右边的已分配组织列表中,如图3.2.8-1所示,为角色分配了财务组织:“分公司一”。用友软件股份有限公司构建幸福企业创新改变未来25图3.2.8-1分配组织权限为业务员分配了【应收管理】,并分配了财务组织:分公司一之后,当业务员新增一个应收期初单据时,能够参照到的主组织就是分公司一,如图3.2.8-2所示。图3.2.8-2应收期初的主组织用友软件股份有限公司构建幸福企业创新改变未来263.2.9分配数据权限出于对一些业务数据保护的需要,就要限定角色或用户对这些数据的维护权限和使用权限。如果没有为角色/用户针对某一种资源实体分配数据权限,则表示该角色/用户对该资源实体有全部的权限。数据权限分为维护权限和使用权限。维护权限用来定义角色或者用户能够维护数据的范围,控制资源实体或其属性变更的操作,如资源实体的增加、删除、修改.
