【动态建模平台】—权限管理用友YonBIPV3.0(R1_2207_1)高级版全产品培训高级版应用平台开发部2022年9月目录模型及基本概念1典型应用2本版新增功能3PART1模型及基本概念模型及基本概念-模型支持应用权限、数据权限、组织权限、参数权限多类权限资源;支持基于数据对象的数据权限控制;借助职责简化、规范企业业务权限体系的规划;支持多种的安全认证方式,并且可扩展其他方式;利用二次认证、数字签名等保护敏感业务和核心数据;支持对特殊人群直接授予特殊业务权限的灵活性;支持企业对权限资源类型的灵活定义,支持根据业务需要对资源访问权限的随时调整;支持集中与分层的授权管理,以可转授组织、可分配应用、可管理用户组、可管理角色组、可管理数据资源来描述授权模型;支持组织、档案等的使用权延伸到引用这些对象的业务数据的数据权限控制,简化业务数据权限定义,并支持不同场景下使用权的差异。数据权限规则职责应用用户人员数据权限资源表1:n1:n1:n1:11:n1:n组织角色数据权限应用权限模型及基本概念-职责职责是一组具有相关联业务意义的应用的打包,不支持应用的直接授权,必须组装成有业务意义的职责,才能够参与权限分配。职责分为业务类职责和管理类职责,业务类职责仅包含业务类的应用,管理类职责仅包含管理类应用。管理职责打包……管理应用1管理应用2最小的功能授权单元……业务应用1业务应用2业务职责打包模型及基本概念-角色角色是权限建模的核心,可以把角色理解为权限的集合,用户通过扮演不同的角色来完成权限的控制。从职能上可将角色分为业务类角色和管理类角色:业务类角色:只能关联业务类职责,所能操作的应用都是业务类型的应用,例如,客户、供应商信息,物料档案维护、销售订单、出货单等。管理类角色:只能关联管理类职责,所能操作的应用是管理类型的应用,例如用户管理,角色管理,授权管理等。管理类角色承担系统内的管理职责具有分配管理员权限的职能业务类角色承担系统内的业务职责没有分配管理员权限的职能模型及基本概念-角色组一是对业务含义相似的角色划分类别。二是应用于授权权,为上下级管理员进行权力传递时候划定可维护或者可使用的角色范围。角色组与角色一样分为管理类型和业务类型。创建时需要指定所属组织,可以是业务单元,也可以是当前集团。模型及基本概念-用户超级管理员系统管理员集团管理员业务员帐套管理集团与集团管理员管理权限管理组织管理集团级基础数据业务系统预置由上级分配普通管理员权限管理组织管理组织级基础数据用户泛指能登录系统的帐号,广义上来说系统中的用户分为以下五种:超级管理员:即root用户,为系统内置的后台系统管理员,可登录YonBIP高级版的系统管理工作台,可进行应用系统的后台管理,例如:应用系统创建、维护、应用系统管理员创建等。系统管理员:主要用于创建集团和集团管理员,及进行模块启用和配置基础数据管控模式等。由root创建和维护,可以有多个应用系统管理员。集团管理员:主要用于集团范围内的权限设置、组织管理、基础数据管理、流程建模、系统管理等,由系统管理员在系统初始化中创建并授权。普通管理员:由集团管理员或拥有相应授权权的管理员创建并授权,功能权限不能大于对其授权的管理员,主要用于权限设置、组织管理、基础数据管理、流程建模、系统管理、维护等,通过系统提供的【管理类角色】应用进行设置。普通用户:企业业务系统中的真实用户,与企业的业务相关,通过系统提供的【业务类角色】应用进行设置。模型及基本概念-用户组一是对业务相似的用户划分类别,二是应用于授权权,为上下级管理员进行权力传递时候划定可维护或者可使用的用户范围。可以按组织机构导入用户组。PART2典型应用典型应用-创建普通用户及权限典型应用-创建普通用户典型应用-创建职责典型应用-创建角色典型应用-创建角色按规则分配组织:已当前登录用户为变量确定关联的组织,例如:“用户所属组织选项”,系统自动取当前登录用户的所属组织,可实现在集团设置一套角色供全集团使用。典型应用-创建角色1.用户所属组织2.用户所属组织及所有下级组织3.用户所属组织及直接下级组织4.指定组织及所有下级5.指定组织及直接下级6.指定部门及所有下级7.指定部门及直接下级8.用户所属组织的财务核算账簿9.用户所属组织及所有下级组织的财务核算账簿10.用户所属组织及直接下级组织的财务核算账簿11.用户关联人员主职组织12.用户关联人员主职组织及所有下级组织13.用户关联人员主职组织及直接下级组织14.用户关联人员兼职组织15.用户关联人员兼职组织及所有下级组织16.用户关联人员兼职组织及直接下级组织17.用户关联人员主职组织的财务核算账簿18.用户关联人员主职组织及所有下级组织的财务核算账簿19.用户关联人员主职组织及直接下级组织的财务核算账簿20.用户关联人员兼职组织的财务核算账簿21.用户关联人员兼职组织及所有下级组织的财务核算账簿22.用户关联人员兼职组织及直接下级组织的财务核算账簿典型应用-直接授权除了通过角色为用户授权之外,还保留了为用户直接授权的功能,用于直接为用户分配职责和组织权限。但是是否允许为用户直接授权,是由参数[RBAC008-允许直接为用户授权]控制的,如图所示,只有当该参数的值为“是”时,图中的直接授权页签才可见。典型应用-业务活动权限若应用级别的权限颗粒度不满足需求,可以通过业务活动权限实现按钮级别的权限控制,业务活动可以理解为按钮的组合,不启用业务活动权限,则所有按钮都可以使用;启用了业务活动后,要对业务活动进行分配才能操作按钮,没有加入业务活动的按钮不受业务活动权限的控制。典型应用-业务活动权限业务活动权限启用有两种方式:分配应用时启用业务活动权限;在【动态建模平台】→【权限管理】→【职责管理】→【业务活动权限启用】节点进行启用。典型应用-创建普通管理员及权限对于大型集团企业,经常给某个下属成员单位设置一个普通管理员,负责该成员单位的用户管理、权限分配等业务操作,但是同时需要限制普通管理员可管理的权限:创建流程:创建的流程与普通用户相同,区别在于管理员关联的角色为管理类角色。需要用系统管理员登录系统开启相关参数,之后可以对管理类角色进行授权权设置,实现对普通管理员可管理权限更精细的管理。可转授组织:管理类角色创建其他角色时能够为其他角色分配的组织范围可管理用户组:可维护的用户组是指修改用户和共享用户时可见的用户组;可使用的用户组:是指在用户分配角色和角色关联用户时可见的用户组。可管理角色组:可维护的角色组是指修改角色和为角色分配权限时可见的角色组;可使用的角色组是指为用户分配角色时可见的角色组。可分配应用:创建其他角色时能够为其他角色分配的应用节点已分配资源:管理类角色为其他角色分配数据权限时,能够参照到的资源实体典型应用-创建普通管理员及权限授权权应用示例典型应用-数据权限数据权限是对用户数据的访问权限控制,被控制的对象是业务对象。YonBIP高级版系统中的业务对象包括档案、单据等具体的业务数据。例如,HR只能只能查看负责部门的人员信息,可以通过设置数据使用权限实现对人员信息的数据权限控制。数据维护权限:用来定义角色或者用户能够维护数据的范围,控制资源实体或其属性变更的操作,如资源实体的增加、删除、修改等。一般用于单据。数据使用权限:控制资源实体的使用类型的操作,只对一些基础档案进行设置,一般不涉及资源实体及其属性的变更,是基础档案被其它资源实体引用时的权限,大多体现在参照、引用基础档案的查询上。可以定义使用场景,表明定义的使用权限会在哪里应用。如果没有定义其他的使用场景,则默认的“通用引用”适用于所有使用该资源实体的场景。典型应用-数据权限授权规则:通过配置规则表达式实现权限控制全部有权:如果对这个资源实体有全部权限,就选择“全部有权”;全部无权:即禁止权,有些关键业务数据,任何情况下不允许用户查看,可以通过设置禁止权实现。例如一个用户关联了多个角色,其中一个角色对“薪资档案”的维护权限为“全部无权”,那么就禁止了该用户对薪资档案的维护权限,即使是该用户关联的其他角色对“薪资档案”的维护权限设置为“全部有权”。按规则授权:通过配置规则表达式实现权限控制典型应用-数据权限参数[RBAC008-允许直接为用户授权]开启后,可直接为用户进行授权,只有该参数值为“是”时,“按用户授权”选项才可见典型应用-特殊数据权限特殊数据权限是简化授权的一种方案,定义了特殊数据权限就等于定义了一套数据权限规则。包括创建者权限、主管权限和审核者权限三类,这里以“销售订单”为例:创建者权限应用场景:在进行销售订单的创建、修改、删除、打印等操作中,企业希望能够达到这样的控制效果:一个用户只能够修改、删除和打印自己创建的销售订单。主管权限应用场景:在销售订单进行审核的时候,希望有这样的控制:如果登录用户为相应的主管,则其能够查询、审批的单据范围为其管辖范围内人员创建的单据。审核者权限应用场景:在对销售订单进行反审核的时候,希望有这样的控制:只有对其审核的人能够对其进行反审核特殊权限针对权限资源对象设置,不针对角色设置。其中创建者权限需要定义到权限资源对象的操作级别,主管权限和审核者权限只需要定义到权限资源对象级别即可。典型应用-权限变更申请企业的IT内控要求权限管理不能直接由管理员进行授权,权限变更需要进行审批通过之后才能生效。开启参数[RBAC010权限变更是否审批]后,可以看到权限变更申请应用。变更申请单支持标准审批流程。典型应用-用户共享与调动集团内共享:集团内有两家公司:公司一和公司二,分别有自己的权限管理员Admin1和Admin2对各自公司用户的权限进行管理。一个员工在两家公司兼职,其在公司一的权限由Admin1负责管理,在公司二的权限由Admin2负责管理。这种情况下,该员工对应的用户在公司一创建后,还需要共享给同集团内的公司二。集团间共享:新世纪纸业集团和新世纪钢铁集团,分别有自己的集团管理员YB1和YB2对各自集团进行管理。一个员工在两个集团兼职,其在新世纪纸业集团的权限由YB1负责管理,在新世纪钢铁集团的权限由YB2负责管理。这种情况下,该员工对应的用户在一个集团创建后,还需要共享给另外一个集团。集团内调动:即用户在本集团内部多个业务单元之间进行调动。集团间调动即用户在多个集团之间进行调动。用户跨业务单元/集团调动后,原业务单元/集团的管理员对其不再有权限管理的权限,需要调入业务单元/集团的管理员将其分配给本业务单元/集团内的管理员进行管理。典型应用-权限查询 功能权限支持按角色查职责支持按角色查应用支持按职责查角色支持按职责查用户支持按应用查角色支持按应用查用户支持按用户查应用支持按用户查职责 组织权限支持按用户查已分配的组织支持按已分配的组织查用户 数据权限支持按用户查数据权限支持按角色查数据权限PART3本版新增功能本版新增功能-职责角色报表、角色职责报表按停启用状态过滤用户
