企业建模平台权限管理用友软件股份有限公司姓名葛宁宁2012年11月2日2012YonyouSoftwareCo.,Ltd.权限管理的意义通过设置用户所能操作的功能和数据的范围,从而达到对企业中各职位相关人员所使用ERP权限的有效管控,使其各司其职,权责分明。权限管理是应用的基础,领域的应用需要架构于权限平台之上。2012YonyouSoftwareCo.,Ltd.目录权限管理的意义权限的分类权限模型功能权限数据权限特殊数据权限用户管理授权权权限查询权限审批业务功能认证2012YonyouSoftwareCo.,Ltd.权限的分类功能权限通过功能权限授权控制用户登录NC系统可以使用的UI元素,UI元素具体来说是指:可以见到并打开的节点、节点中的页签、节点中的按钮数据权限是对用户数据的访问权限控制,被控制的对象是业务对象,如供应商、客户、销售单、付款单。有行权限(记录权限)和列权限(字段权限)之分。目前nc里的数据权限是指行权限,列权限的控制是通过模板解决的。组织权限用户所有的操作和业务动作都必须在有权限主组织范围内,用于定义用户使用这些UI元素时可以在哪些组织范围内做业务。对于组织级的功能节点,功能授权时如果没有指定组织权限,则只能看见功能节点,不能做业务。2012YonyouSoftwareCo.,Ltd.基于RBAC的资源权限模型权限权限管理管理以RBAC为核心的权限模型,同时支持对特殊人群直接授予特殊业务权限的灵活性支持功能、数据、服务、报表等多类权限资源借助职责实现权限继承,简化、规范企业业务权限体系的规划集中与分层的授权体系,提供多角度审计报告,支持内控与审计支持权限申请、授权确认的自动化流程支持多种的安全认证方式,并且可扩展其他方式利用二次认证、数字签名等保护敏感业务和核心数据数据权限规则职责功能用户人员数据权限资源表组织角色2012YonyouSoftwareCo.,Ltd.新增职责概念新增业务活动授予组织权限:用户所有的操作和业务动作都必须在有权限主组织范围内,用于定义用户使用这些UI元素时可以在哪些组织范围内做业务。对于组织级的功能节点,功能授权时如果没有指定组织权限,则只能看见功能节点,不能做业务。功能权限模型职责-------功能节点------页签-----业务活动------业务活动主组织角色用户2012YonyouSoftwareCo.,Ltd.用户在登录系统后,只能看到自己有权限的模块和功能节点;在打开节点后,用户只能看到自己有权限的页签和按钮。在得到自己最终有权限的UI元素后,如果要开始业务动作。比如录入销售订单,在选取所属组织的时候,只能参选自己在当前打开节点下有权限的主组织。功能权限和组织权限的最终效果2012YonyouSoftwareCo.,Ltd.引入了职责的概念,职责是一组具有相关联的业务意义的功能节点,页签,和业务活动的打包,不能直接对单独的节点,页签,按钮授权,必须组装成有业务意义的职责,才能够参与权限分配。应用上通常按标准岗位建立职责。职责管理………最小的功能授权单元打包2012YonyouSoftwareCo.,Ltd.业务类管理类业务+管理类系统类功能节点2012YonyouSoftwareCo.,Ltd.职责分为业务类职责和管理类职责,业务类职责仅包含业务类的节点,管理类职责仅包含管理类节点。职责类型2012YonyouSoftwareCo.,Ltd.是具有业务含义的一组按钮被打包成为业务活动,不再支持单个按钮的授权,而改为对业务活动授权。功能节点和页签上都可以挂业务活动。业务活动2012YonyouSoftwareCo.,Ltd.不启用业务活动权限,则所有按钮都可以使用;启用了业务活动后,要再进行分配才能操作按钮,不分配则无权限。考虑到企业中通常只针对一些核心功能会控制到按钮一级,而其他非核心功能的所有按钮都可以使用,不严格控制,所以默认为不启用。业务活动权限启用2012YonyouSoftwareCo.,Ltd.分配业务活动权限2012YonyouSoftwareCo.,Ltd.角色是授权的核心,用户通过扮演不同的角色来完成权限的控制。角色跟5系列不同,建立角色时需要指定角色的所属组织,6系列里角色是指一类人在某个组织下所拥有权限的集合。角色管理2012YonyouSoftwareCo.,Ltd.角色应用举例角色所属组织角色编码角色名称职责编码职责名称已分配组织角色组AA01A01总账会计01总账会计AAAA02A02应收会计02应收会计AAAA03A03应付会计03应付会计AAAA04A04财务经理04财务经理AABB01B01总账会计01总账会计BBBB02B02应收会计02应收会计BBBB03B03应付会计03应付会计BBBB04B04财务经理04财务经理BB2012YonyouSoftwareCo.,Ltd.一是对业务含义相似的角色划分类别。二是应用于授权权,为上下级管理员进行权力传递时候划定可管理或者可使用的角色范围。角色组与角色一样分为管理类型和业务类型。创建时需要指定所属组织,可以是业务单元,也可以是当前集团。相同的类型的角色组可以设置上下级关系。角色组2012YonyouSoftwareCo.,Ltd.业务类角色管理类角色业务类角色:只能关联业务类职责,所能操作的节点都是业务类节点,例如,客户、供应商信息,物料档案维护、销售订单、出货单等。管理类角色:只能关联管理类职责,所能操作的节点是管理类节点,例如用户管理,角色管理,授权管理等。“是否启用管理权限与业务权限互斥控制”的参数:角色类型....承担系统内的管理职责承担系统内的业务职责具有分配管理员权限的职能没有分配管理员权限的职能角色的管理从职能上进行分离,业务类角色和管理类角色分开进行管理。2012YonyouSoftwareCo.,Ltd.角色互斥“是否启用管理权限与业务权限互斥控制”的参数:系统管理员不做业务或业务人员不参与系统管理的情况下设置。2012YonyouSoftwareCo.,Ltd.即角色的创建组织,建立角色时需要指定角色的所属组织。所属组织可以为XX业务单元,也可以为XX集团。角色在所属组织下创建2012YonyouSoftwareCo.,Ltd.给角色分配职责角色分配职责2012YonyouSoftwareCo.,Ltd.定义用户可以做业务的组织范围,这些组织要经过功能节点的组织类型过滤,与当前节点的组织类型保持匹配。打开节点做业务时,可以引用的组织就是用户有权限的组织。对于组织级的功能节点,角色分配时如果没有指定组织权限,则只能看见功能节点,不能做业务。角色分配组织2012YonyouSoftwareCo.,Ltd.角色关联用户2012YonyouSoftwareCo.,Ltd.按组织复制角色按职责、组织交叉生成角色角色批量创建2012YonyouSoftwareCo.,Ltd.目前用户权限分配可以通过两种方式来进行:按角色授权和直接授权。用户权限分配按角色授权,是指用户需要关联角色才能拥有相应的权限,权限的授予主体是角色。直接授权是指直接为用户分配职责和组织权限,是一种快速为用户分配权限的方式。集团级参数:是否允许用户直接授权用来控制系统是否其启用直接授权这种模式。建立用户委派角色组织有建立角色职责2012YonyouSoftwareCo.,Ltd.即通过角色授权。系统支持一个用户关联多个角色,即支持多角色的复合授权,其拥有的权限是多个角色权限的并集。按角色授权2012YonyouSoftwareCo.,Ltd.直接授权2012YonyouSoftwareCo.,Ltd.授权规则仅支持正向,未授权时默认为无权。权限控制的效果是:未授权,用户对该功能不可用;反之可用。功能权限的授权规则2012YonyouSoftwareCo.,Ltd.第一步建立职责、启用业务活动权限、分配权限(功能节点、页签、业务活动)。第二步创建角色、创建用户、给角色分配职责、给角色分配组织、角色关联用户第三步用户使用权限功能权限的授权步骤2012YonyouSoftwareCo.,Ltd.用户使用功能权限举例用户角色职责功能节点已分配组织应用效果区域销售经理刘娜销售经理角色销售经理职责物料维护北京营销中心只能录入北京营销中心的订单。可以维护北京营销中心和石家庄营销中心的销售计划。销售订单维护区域经理角色区域经理职责销售计划维护北京营销中心石家庄营销中心用户角色职责功能节点已分配组织应用效果销售经理李文销售经理角色销售经理职责销售订单维护可以看见功能节点,但无法做任何业务。应收单查询2012YonyouSoftwareCo.,Ltd.是对用户数据的访问权限控制,被控制的对象是业务对象。NC系统中的业务对象包括档案、单据等具体的业务数据。NC系统中的数据权限指行权限数据权限2012YonyouSoftwareCo.,Ltd.全部无权:即禁止权,有些关键业务数据,任何情况下不允许用户查看,可以通过设置禁止权实现。按规则授权:比如只能维护制单人为本人的单据,或只能维护某种客户分类的单据。全部有权数据权限的授权规则2012YonyouSoftwareCo.,Ltd.分为数据维护权限和数据使用权限数据维护权限:对具体业务对象的具体操作定义权限规则。例如只能维护制单人为本人的XX单据。是对各类业务对象的数据设置维护权限,主要是各种业务对象,包括基础档案,各类单据,如:销售单、付款单,凭证、采购合同等。同一业务对象可以按操作(如维护、审核、签字)授予不同的权限。数据权限2012YonyouSoftwareCo.,Ltd.数据使用权限:对具体业务对象的具体场景定义权限规则,其带来的好处是不用为每个业务单据分别设置数据权限。例如XX销售员只能查看华北区客户的销售订单、出货单、应收单。授权资源为基本档案。可以按使用场景设置使用权限。不同的部门对同一单据或者档案所关心的数据可能是不相同的,可以定义供应链使用场景的数据权限,也可以定义财务使用场景的数据权限。数据权限2012YonyouSoftwareCo.,Ltd.可以直接对用户分配数据权限,可以通过角色对用户分配数据权限。数据权限2012YonyouSoftwareCo.,Ltd.第一步建立规则:对具体业务对象的具体操作定义权限规则;或者对具体业务对象的具体场景定义权限规则。第二步将规则作为数据权限分配给角色或用户第三步用户使用权限数据权限的授权步骤2012YonyouSoftwareCo.,Ltd.特殊数据权限是简化授权的一种方案,定义了特殊权限就等于定义了一套数据权限规则。包括创建者权限、主管权限和审核者权限三类:创建者权限应用场景:在进行销售订单的创建、修改、删除、查询等操作中。企业希望能够达到这样的控制效果:一个用户只能够修改、删除和查询自己创建的销售订单。主管权限应用场景:在销售订单进行审核的时候,希望有这样的控制:如果登录用户为相应的主管,则其能够查询、审批的单据范围为其管辖范围内人员创建的单据。审核者权限应用场景:在对销售订单进行反审核的时候,希望有这样的控制:只有对其审核的人能够对其进行反审核特殊数据权限2012YonyouSoftwareCo.,Ltd.特殊权限针对权限资源对象设置,不针对角色设置。其中创建者权限需要定义到权限资源对象的操作级别,主管权限和审核者权限只需要定义到权限资源对象级别即可。特殊数据权限2012YonyouSoftwareCo.,Ltd.用户管理:集团企业分级权限管理系统管理员系统管理员集团级管理员集团级管理员普通管理员普通管理员业务人员业务人员业务人员业务人员业务人员业务人员超级管理员集团1集团22012YonyouSoftwareCo.,Ltd.用户管理角色类别角色主要业务授权方式备注应用系统管理员由超级管理员(Root用户)创建和维护,是应用系统的管理员,一个应用系统可以有一个或多个应用系统管理员创建集团和集团管理员进行模块启用和配置基础数据管控模式权限固定通过修改配置文件可在实施阶段调整应用系统管理员的功能权限范围集团管理员可以创建很多个,由应用系统管理员创建客户化业务建模:(权限、组织、基础数据、流程建模)系统管理、维护、工具产品系统默认其功能权限和授权权范围所拥有的功能权限由应用系统管理员通过“集团管理员功能范围”进行配置;授权权范围是所管辖啊集团下的所有用户、角色、组织普通管理员由集团管理员或有相应权限的管理员创建;一个集团下可以有多个管理员客户化业务建模:(权限、组织、基础数据、流程建模)系统管理、维护、工具产品由集团管理员或拥有相应授权权的管理员授权普通管理员只是一个拥有能够进行权限管理权限的普通用户。功能权限不能大于对其授权的管理员;授权权范围也是对其授权管理员授权权范围的子集业务角色可以由管理员创建;可以很多个业务拥有相应授权权的管理员授权业务角色分管理类角色和业务类角色拥有全局级节点权限的用户可以做全局级业务2012YonyouSoftwareCo.,Ltd.一是对业务相似的用户划分类别,二是应用于授权权,为上下级管理员进行权力传递时候划定可管理或者可使用的用户范围。可以按组织机构导入用户组。用户组2012YonyouSoftwareCo.,Ltd.用户可以有不同的身份类型,目前支持员工,客户,供应商,外部系统,开发者等。用户的身份类型2012YonyouSoftwareCo.,Ltd.NC产品中人员档案和用户是两个档案,当用户为企业内员工的时候,需要设置用户对应的员工;当用户为企业的客户或者供应商的时候,需要设置用户对应的客户或者供应商。身份是否必输,受全局参数[用户为企业员工、客户或者供应商的时候必须有明确身份]控制。控制一个人员是否可以关联多个用户是由参数[R允许人员关联多用户]控制。用户关联人员2012YonyouSoftwareCo.,Ltd.分为集团内共享和集团间共享。用户共享2012YonyouSoftwareCo.,Ltd.例如:集团内有两家分公司:分公司一和分公司二,分别有自己的权限管理员Admin1和Admin2对各自公司用户的权限进行管理。一个员工在两家公司兼职,其在分公司一的权限由Admin1负责管理,在分公司二的权限由Admin2负责管理。这种情况下,该员工对应的用户在分公司一创建后,还需要共享给同集团内的分公司二。。用户集团内共享2012YonyouSoftwareCo.,Ltd.新世纪纸业集团和新世纪钢铁集团,分别有自己的集团管理员nc1和nc2对各自集团进行管理。一个员工在两个集团兼职,其在新世纪纸业集团的权限由nc1负责管理,在新世纪钢铁集团的权限由nc2负责管理。这种情况下,该员工对应的用户在一个集团创建后,还需要共享给另外一个集团。用户集团间共享2012YonyouSoftwareCo.,Ltd.用户调动支持2种:集团内调动和集团间调动。集团内调动即用户在本集团内部多个业务单元之间进行调动;集团间调动即用户在多个集团之间进行调动。用户跨业务单元/集团调动后,原业务单元/集团的管理员对其不再有权限管理的权限,需要调入业务单元/集团的管理员将其分配给本业务单元/集团内的管理员进行管理。用户调动2012YonyouSoftwareCo.,Ltd.多种身份认证:静态密码验证、CA验证。支持设置密码策略,可以为不同层次的用户确定不同的密码安全级别,选择一种密码策略对用户的密码进行控制。体现了用户的层次管理和系统安全的重要性原则。密码策略在NC的系统管理工作台中设置(有单独地址提供登录NC系统管理工作台)。支持设置用户的生效时间和失效时间支持用户的启用、停用、锁定、解锁支持密码重置,对用户在使用过程中有忘记密码的情况而设计,当该用户关联了人员档案记录时,系统自动向该人员发送短信和邮件通知消息。支持初始密码设置。用户安全管理2012YonyouSoftwareCo.,Ltd.分层次的授权管理如同企业的工作职能分配,授权过程是自上而下的下级管理员的授权权不能超越其上级管理员的授权权管理员的授权权授权范围:可管理的用户组,可管理的角色组、可分配的功能,可转授组织,可分配的资源实体授权权2012YonyouSoftwareCo.,Ltd.授权权分解模式可以在管理员间形成系统管理权分立:用户管理员;权限管理员可以沿组织层次:集团管理员公司管理员、工厂管理员;也可以沿专业管理层次:集团管理员预算权限管理员、财务权限管理员、人力资源权限管理员授权权组织4管理员集团管理员组织1管理员组织2管理员组织3管理员HR管理员财务管理员预算管理员XX管理员组织1组织2组织3组织4组织业务HR财务预算XX组织4管理员2012YonyouSoftwareCo.,Ltd.支持按策略查询。例如:按用户查功能按角色查功能按功能查用户按功能查角色按职责查用户按职责查角色权限查询2012YonyouSoftwareCo.,Ltd.参数控制是否启用权限审批,进入审批模式之后,用户的权限的获取只能通过填写权限申请单来获取。权限审批包括:用户权限申请单和角色权限申请单。权限审批2012YonyouSoftwareCo.,Ltd.用于对系统中的关键功能和关键数据,进行二次权限认证。支持定义关键功能:设置关键功能在被操作员操作的时候,是否需要对操作员进行重新认证,以及认证的方式。支持定义关键数据:设置关键数据在被操作员操作的时候,是否需要对操作员进行重新认证,以及认证的方式。业务功能认证
