您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 市场营销 > Windchill权限介绍.
Windchill权限介绍站点、组织、产品权限层级站点组织产品/存储库/(Root)DemoProjectPDM华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线Folder在列表筐中显示的是Windchill系统中的域,以树状结构显示,每个域接点分为:域名和显示名称,例如:Default(站点)域名:Default,显示名称:站点一般在Default、PDM、Project域中创建和修改访问控制规则;创建新的域,不推荐在非(Default、PDM、Project)域中创建新的域。更新存在的域,同样不推荐更新非(Default、PDM、Project)域。权限权限是由与对象相关联的一组规则定义的策略,它规定了承担者(何人)对存储在特定区域(何处)并处于某阶段(何时)的数据(何物)所拥有的各项操作功能及限制(如何)权限研发活动多以项目的形成展开,而项目的特征是具有一定的时间性,各成员是阶段性的参与项目(灵活的进行访问策略的授予和收回)研发活动所积累的知识和经验需要得到继承和传递,后期的研发需要对历史的经验进行参考和借鉴(充分的进行共享、传播)研发管理追求过程一致性,保证活动可以得到重复执行(各岗位职责(而非人员的职责)需要清晰的定义和固化)基于B/S架构的各信息系统,用户只需通过IE即可实现对服务器进行访问。结果可以便捷的访问系统,同时也造成了对安全控制更高要求(非法区域登陆、下载、打印…)访问控制策略为了确保适当的承担者能够对所需的对象进行恰当的访问,必须定义一些规则。Windchill系统提供了丰富的权限定义方式和规则组合,能够方便、快捷对各种对象进行细化的权限配置。部件成品CAD文档文档文件夹受管理的基线问题报告变更请求企业变更通告实施计划容器(库)Windchill系统受权限管理的对象列表,上述对象所衍生的软类型同样可进行权限的控制访问控制策略Windchill系统提供了非常精细的权限操作功能,能够对各类型的对象进行灵活、便捷的权限控制并非所有的权限控制功能都适用于全部的对象类型,例如“下载”权限是用于将对象的实体内容下载到用户本地的操作功能,而部件类型的对象是通过一组属性来描述零部件特征,它本身并没有实体内容可供下载查看,所以“下载”权限不适用于部件类型C_创建R_读取M_修改D_删除L_下载X_修订P_升级S_设置状态OC_修改内容CD_变更域CB_通过移动创建CC_变更上下文OI_修改标识A_管理NV_新建视图版本CE_变更权限访问控制策略权限合并计算:在企业岗位设置中,通过会由一个用户担任多个职责或属于多个组,所以他所拥有的权限会发生重叠、合并权限合并计算过程中遵循谨慎原则,以拒绝权限为优先如果未定义的权限,默认为拒绝用户组1权限组2权限组3权限最终权限备注张工C、R、MC、R、MC、R、M一般情况下权限按并集进行赋予杨工R、M、DC、R、-(D)R、DC、R、M拒绝权限优于正向权限李工R、M-(M)R拒绝权限优于正向权限访问控制策略通常根据授权对象类型及授权方式的不同,通过将权限归纳为静态权限和动态权限二大类:静态权限——在系统的策略管理器对域进行授权,可以按类型进行批量的权限授予。在创建容器(或文件夹)时选择已定义权限的域,承担者在容器内就能够继承预先所定义的权限规则;动态权限——通过对生命周期(或工作流)进行授权,当生命周期状态到达预定阶段时权限被自动授予给承担者,当生命周期状态状态发生变更后权限被自动中止;静态与动态权限发生重叠、全并时,遵循动态权限优于静态权限的原则动态权限(工作流程权限)动态权限(生命周期)静态权限(域权限)静态权限静态权限控制静态权限控制方式是对域进行访问控制、通知策略、索引建立规则实现的。域与特定的上下文级别相关联,在创建上下文的同时也会生成一个对应的域,即每个上下文都可以拥有自己的域和域策略。其中子项域会继承父项域的策略,包括根级别的初始策略及组织层域的策略:站点组织产品/存储库/(Root)DemoProjectPDM华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线Folder静态权限控制根据企业岗位职责分工、组织形式等因素,静态权限静态权限控制可以分为对组织(组)授权、对容器授权(角色)、对文件夹授权三种模式:通过我们建议在组织层或容器层进行域策略的控制站点组织产品/存储库/(Root)DemoProjectPDM华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线Folder静态权限控制_组对组授权:预先在策略管理器中对组织层(对组)进行权限的定制和分配+在组织按组对成员进行划分,创建容器时选择继承组织域并在容器团队中维护成员(不需对应到具体的角色或组,只需添加为成员即可),成员即可拥有预选所定义的权限规则;适用情况:按职能领域(横向)分工,各岗位职责定义较清晰(一个成员通常只会属于一个角色,而同一个角色会有多个成员),规模比较大,成员同时参与的项目较多;优点:当需要对权限策略进行定义(调整)时,只需要在组织层进行一次调整,各容器就能够获取权限策略,简便易于维护;缺点:由于Windchill9.0及以后版本的工作流程采用自动解析团队成员的方式,如果在组织组中维护了成员还需要在容器团队中再维护一次(否则流程无法解析到所需的评审成员),造成重复工作;如果启动自动搜索成员的方式添加评审活动的参与者,可以考虑此种权限控制方式静态权限控制_角色对角色授权:利用OOTB模板预先创建一个模板容器,在策略管理器中对模板容器上下文(角色)进行权限的定制和分配,将模板容器另存为容器模板。创建容器时选择容器模板,并在新创建的容器团队按角色维护成员,成员即可拥有预选所定义的权限规则;适用情况:按职能领域(横向)分工不足,同一个成员会承担多个岗位职责(一个成员通常会属于多个角色,而同一个角色会有多个成员),规模不大,成员同时参与的项目较少;优点:适应Windchill9.0及以后版本工作流程中自动解析团队成员的方式,维护团队较简便、快捷;缺点:当需要对权限策略进行调整(追加)时,需要为每个已创建的容器进行权限的调整,工作量繁重且容易遗漏;考虑到已实现了客制化开发进行权限的替换和导入,此种权限控制方式的缺点可以忽略不计,重点推荐此种方式静态权限控制_文件夹对文件夹授权:创建一个新的域,参考对角色授权的方式创建域策略。利用OOTB模板预先创建一个模板容器,在模板容器中创建文件夹并选择预先定义的域,再将模板容器另存为容器模板(可同时创建多个域并维护多个不同的域策略,以便可以创建多个类型文件夹)。创建容器时选择容器模板,并在新创建的容器团队按角色维护成员,即可实现文件夹权限的控制(例如机械文件夹只能创建机械图纸类的文档,而电子文件夹只能存放原理图、PCB图);适用情况:需要按文件夹来规划存储区域和权限,安全级别要求比较高;优点:实现对数据存储和权限精细的控制,满足严格的权限控制要求;缺点:权限下定义的过程较复杂,发生变更时维护工作量较大;除非客户能明确、固化权限规则,否则不建议采用此种权限管理方式静态权限配置在上下文域中对角色进行权限的授予选择授权的对象为文档类型100选择授权的对象的生命周期状态为正在工作指定权限的承担者为质量工程师角色给予的权限为创建只给予创建权限,而不给予更高的权限,如修改、删除静态权限配置检查已配置好的权限域策略中可以看到承担者质量工程师拥有对100类型文档正在工作状态时创建的权限练习一静态权限1.新建产品库,然后在产品团队中增加“设计工程师”,“测试工程师”两个角色,在域策略中为测试工程师配置对WTPart对象的“只读”权限,对“设计工程师”配置对Wtpart对象的“创建,读,修改”权限,然后分别用这两个角色的用户登录系统,观察在改产品库下有什么不同2.用户设计组权限评审组权限协同设计组权限最终权限备注张工C、R、MC、R、MC、R、M一般情况下权限按并集进行赋予杨工R、M、DC、R、-(D)R、DC、R、M拒绝权限优于正向权限李工R、M-(M)R拒绝权限优于正向权限在系统中按下表创建“张工,杨工,李工”三个用户和“设计组,评审组,协同设计组”三个组,并创建如下针对Wtdocument对象的权限,然后观察三个组权限综合后的最终权限有什么特点?动态权限动态权限控制动态权限控制方式根据实现方式的不同,可分为工作流动态权限和生命周期动态权限控制二种模式,而生命周期权限又可细分为转变条件和访问控制二个部分组成:选择“站点(组织、产品,存储库)”下的“实用程序”下的“生命周期管理器”;创建、更新或者查看生命周期模板;动态权限-基于生命周期的访问控制策略1、如果生命周期的类型为“基本”,应该改为“高级”;2、选择状态,例如:“原型”,选择“角色”,将需要指定权限的角色从“可用角色”添加到”选定角色“动态权限-基于生命周期的访问控制策略选择“访问控制”选项卡,在“选定角色”中就出现了在“角色”选项卡中选定的角色,分别为这些角色指定权限(权限的定义和前面的一样),被添加进的角色默认具有“读取”权限。动态权限-基于生命周期的访问控制策略动态权限控制动态权限控制方式根据实现方式的不同,可分为工作流动态权限和生命周期动态权限控制二种模式,而生命周期权限又可细分为转变条件和访问控制二个部分组成:比较从建立访问控制规则的两中方式可以看出,它们有一些差异:基于域建立访问控制规则:它可以分别为“组”、“用户”、“角色”、“组织”建立访问控制规则,但是角色必须要被添加进团队,在建立访问控制规则是需要指定对象类型;基于生命周期建立访问控制规则:它只能够为角色指定访问控制规则,角色不一定要添加进团队,它可以选择整个Windchill系统的所以角色;不需要指定类型(其实,它已经默认指定了,因为生命周期需要同对象类型绑定,因此访问控制基于的类型就是生命周期绑定的类型)访问控制权限需考虑的事项父对象类型应用于父对象类型的“访问控制规则”也适用于其所有的子项类型;产品和存储库访问对于单个域策略内的每一对象类型和生命周期状态,每个承担者只能拥有一个“授予”规则和一个“拒绝”规则;如果没有任何访问控制规则,则将拒绝承担者访问该对象;如果针对同一对象类型和生命周期状态定义了“授于”权限和“拒绝”权限,则“拒绝”权限优先;明确地“授予”或“拒绝”用户的权限将始终覆盖组权限;建议在建立规划访问控制时,最好围绕组和角色(而非用户);将访问控制规则数保持在尽可能少的数目,以实现业务要求;用限制性规则,例如,在上下文级别授予“读取”访问权限,然后在生命周期内授予“修改”权限;除非绝对必要,否则避免使用“拒绝”权限;练习二动态权限1.在类型和属性管理器中创建一个文档软类型,JWDocument2.创建生命周期LC_JWDocument包含如下状态(正在工作,正在审阅,设计,已发布四个状态),在“正在工作”状态对角色“作者”添加“下载,修改,修订”权限,在“正在审阅”状态对角色“作者”添加“读取”权限3.创建WF_JWDocument工作流,工作流包含“开始”-“提交评审活动”-“设置正在审阅状态”-“专家评审活动”-“结束”几个节点4.将工作流WF_JWDocument关联到生命周期LC_JWDocument的“正在工作”状态5.创建文档类型JWDocument,然后启动工作流观察在不同生命周期状态下,角色“作者”的权限有什么变化?谢谢
本文标题:Windchill权限介绍.
链接地址:https://www.777doc.com/doc-2867522 .html