NC63企业建模平台-权限管理

yonyousoftwareCo.,Ltd.用友软件股份有限公司姓名**2013年*月*日多级集团管控·全产业链协同·动态企业建模·大企业云平台NC63企业建模平台—权限管理篇目录yonyousoftwareCo.,Ltd.权限分类介绍权限整体模型产品主要功能介绍V6.3改进功能权限管理的意义通过设置用户所能操作的功能和数据的范围，从而达到对企业中各职位相关人员所使用ERP权限的有效管控，使其各司其职，权责分明。权限管理是应用的基础，领域的应用需要架构于权限平台之上。权限分类功能权限通过功能权限授权控制用户登录NC系统可以使用的UI元素，UI元素具体来说是指：可以见到并打开的节点、节点中的页签、节点中的按钮数据权限是对用户数据的访问权限控制，被控制的对象是业务对象，如供应商、客户、销售单、付款单。有行权限（记录权限）和列权限（字段权限）之分。目前nc里的数据权限是指行权限，列权限的控制是通过模板解决的。组织权限用户所有的操作和业务动作都必须在有权限主组织范围内，用于定义用户使用这些UI元素时可以在哪些主组织范围内做业务。对于组织级的功能节点，功能授权时如果没有指定组织权限，则只能看见功能节点，不能做业务。基于RBAC的资源权限模型数据权限规则职责功能用户人员数据权限资源表组织角色功能权限模型新增职责概念新增业务活动授予组织权限：用于定义用户使用这些功能时可以在哪些组织范围内做业务。用户所拥有的职责可以决定用户的业务组织范围。职责-------功能节点------页签-----业务活动------业务活动主组织角色用户功能权限和组织权限应用的最终效果用户在登录系统后，只能看到自己有权限的模块和功能节点；在打开节点后，用户只能看到自己有权限的页签和按钮。在得到自己最终有权限的UI元素后，如果要开始业务动作。比如录入销售订单，在选取所属组织的时候，只能参选自己在当前打开节点下有权限的主组织。职责管理职责职责是一组具有相关联的业务意义的功能节点，页签，和业务活动的打包，不能直接对单独的节点，页签，按钮授权，必须组装成有业务意义的职责，才能够参与权限分配。应用上通常按标准岗位建立职责。节点1页签1业务活动业务活动页签2业务活动节点2页签1业务活动业务活动页签2业务活动……….职责最小的功能授权单元打包职责管理职责类型职责分为业务类职责和管理类职责，业务类职责仅包含业务类的节点，管理类职责仅包含管理类节点。业务活动业务活动是具有业务含义的一组按钮被打包成为业务活动，不再支持单个按钮的授权，而改为对业务活动授权。功能节点和页签上都可以挂业务活动。业务活动业务活动是具有业务含义的一组按钮被打包成为业务活动，不再支持单个按钮的授权，而改为对业务活动授权。功能节点和页签上都可以挂业务活动。业务活动业务活动启用不启用业务活动权限，则所有按钮都可以使用；启用了业务活动后，要再进行分配才能操作按钮，不分配则无权限。考虑到企业中通常只针对一些核心功能会控制到按钮一级，而其他非核心功能的所有按钮都可以使用，不严格控制，所以默认为不启用。角色管理角色角色是授权的核心，用户通过扮演不同的角色来完成权限的控制。角色跟5系列不同，6系列里角色是指一类人在某些组织下所拥有权限的集合，所谓权限集合包括功能权限、数据权限、和组织权限。角色的所属组织即角色的创建组织，可以在业务单元下创建，也可以在集团下创建。角色管理按角色授予功能权限举例角色所属组织角色编码角色名称职责编码职责名称已分配组织角色组AA01A01总账会计01总账会计AAAA02A02应收会计02应收会计AAAA03A03应付会计03应付会计AAAA04A04财务经理04财务经理AABB01B01总账会计01总账会计BBBB02B02应收会计02应收会计BBBB03B03应付会计03应付会计BBBB04B04财务经理04财务经理BB两种授权方式直接授权：直接为用户分配职责和组织权限，是一种快速为用户分配权限的方式。通过参数【是否允许用户直接授权】用来控制系统是否其启用直接授权这种模式。按角色授权，是指用户需要关联角色才能拥有相应的权限，权限的授予主体是角色。建立用户委派角色组织有建立角色职责角色管理角色批量创建按组织复制角色按职责、组织交叉生成角色角色管理角色分配职责角色管理角色分配组织定义用户可以做业务的主组织范围，这些组织要经过功能节点的组织类型过滤，与当前节点的组织类型保持匹配。节点对于组织级的功能节点，角色分配时如果没有指定组织权限，则只能看见功能节点，不能做业务。角色管理角色分配用户角色管理一个用户可以关联多个角色，其拥有的权限时多个角色权限的并集。用户角色职责功能节点已分配组织应用效果区域销售经理刘娜销售经理角色销售经理职责物料维护北京营销中心只能录入北京营销中心的订单。可以维护北京营销中心和石家庄营销中心的销售计划。销售订单维护区域经理角色区域经理职责销售计划维护北京营销中心石家庄营销中心用户角色职责功能节点已分配组织应用效果销售经理李文销售经理角色销售经理职责销售订单维护可以看见功能节点，但无法做任何业务。应收单查询角色管理功能权限授权规则授权规则仅支持正向，未授权时默认为无权。权限控制的效果是：未授权，用户对该功能不可用；反之可用。授权规则仅支持正向，未授权时默认为无权。权限控制的效果是：未授权，用户对该功能不可用；反之可用。角色管理角色组一是对业务含义相似的角色划分类别。二是应用于授权权，为上下级管理员进行权力传递时候划定可管理或者可使用的角色范围。角色组与角色一样分为管理类型和业务类型。创建时需要指定所属组织，可以是业务单元，也可以是当前集团。角色管理角色的管理从职能上进行分离，业务类角色和管理类角色分开进行管理。业务类角色：只能关联业务类职责，所能操作的节点都是业务类节点，例如，客户、供应商信息，物料档案维护、销售订单、出货单等。管理类角色：只能关联管理类职责，所能操作的节点是管理类节点，例如用户管理，角色管理，授权管理等。业务类角色管理类角色....承担系统内的管理职责承担系统内的业务职责具有分配管理员权限的职能没有分配管理员权限的职能功能权限授权步骤功能权限授权步骤第一步建立职责、启用业务活动权限、分配权限（功能节点、页签、业务活动）。第二步创建角色组、角色、创建用户、给角色分配职责、给角色分配组织、角色关联用户第三步用户使用权限角色管理角色组一是对业务含义相似的角色划分类别。二是应用于授权权，为上下级管理员进行权力传递时候划定可管理或者可使用的角色范围。角色组与角色一样分为管理类型和业务类型。创建时需要指定所属组织，可以是业务单元，也可以是当前集团。角色管理角色互斥。“是否启用管理权限与业务权限互斥控制”的参数：系统管理员不做业务或业务人员不参与系统管理的情况下设置。数据权限是对用户数据的访问权限控制，被控制的对象是业务对象。NC系统中的业务对象包括档案、单据等具体的业务数据NC系统中的数据权限指行权限。数据权限的授权规则全部无权：即禁止权，有些关键业务数据，任何情况下不允许用户查看，可以通过设置禁止权实现。按规则授权：比如只能维护制单人为本人的单据，或只能维护某种客户分类的单据。全部有权数据权限分为数据维护权限和数据使用权限数据维护权限：对具体业务对象的具体操作定义权限规则。例如只能维护制单人为本人的XX单据。是对各类业务对象的数据设置维护权限，主要是各种业务对象，包括基础档案，各类单据，如：销售单、付款单，凭证、采购合同等。同一业务对象可以按操作（如维护、审核、签字）授予不同的权限。数据权限分为数据维护权限和数据使用权限数据使用权限：对具体业务对象的具体场景定义权限规则，其带来的好处是不用为每个业务单据分别设置数据权限。例如XX销售员只能查看华北区客户的销售订单、出货单、应收单。授权资源为基本档案。以按使用场景设置使用权限。数据权限可以直接对用户分配数据权限，可以通过角色对用户分配数据权限。数据权限授权步骤。第一步建立规则：对具体业务对象的具体操作定义权限规则；或者对具体业务对象的具体场景定义权限规则。第二步将规则作为数据权限分配给角色或用户第三步用户使用权限特殊数据权限特殊数据权限是简化授权的一种方案，定义了特殊权限就等于定义了一套数据权限规则。包括创建者权限、主管权限和审核者权限三类：创建者权限应用场景：在进行销售订单的创建、修改、删除、查询等操作中。企业希望能够达到这样的控制效果：一个用户只能够修改、删除和查询自己创建的销售订单。主管权限应用场景：在销售订单进行审核的时候，希望有这样的控制：如果登录用户为相应的主管，则其能够查询、审批的单据范围为其管辖范围内人员创建的单据。审核者权限应用场景：在对销售订单进行反审核的时候，希望有这样的控制：只有对其审核的人能够对其进行反审核特殊权限针对权限资源对象设置，不针对角色设置。其中创建者权限需要定义到权限资源对象的操作级别，主管权限和审核者权限只需要定义到权限资源对象级别即可。用户管理分层用户管理应用系统应用系统系统管理员系统管理员集团级管理员集团级管理员普通管理员普通管理员业务人员业务人员业务人员业务人员业务人员业务人员超级管理员集团1集团2用户管理分层用户管理角色类别角色主要业务授权方式备注应用系统管理员由超级管理员（Root用户）创建和维护，是应用系统的管理员，一个应用系统可以有一个或多个应用系统管理员创建集团和集团管理员进行模块启用和配置基础数据管控模式权限固定通过修改配置文件可在实施阶段调整应用系统管理员的功能权限范围集团管理员可以创建很多个,由应用系统管理员创建客户化业务建模：（权限、组织、基础数据、流程建模）系统管理、维护、工具产品系统默认其功能权限和授权权范围所拥有的功能权限由应用系统管理员通过“集团管理员功能范围”进行配置；授权权范围是所管辖啊集团下的所有用户、角色、组织普通管理员由集团管理员或有相应权限的管理员创建；一个集团下可以有多个管理员客户化业务建模：（权限、组织、基础数据、流程建模）系统管理、维护、工具产品由集团管理员或拥有相应授权权的管理员授权普通管理员只是一个拥有能够进行权限管理权限的普通用户。功能权限不能大于对其授权的管理员；授权权范围也是对其授权管理员授权权范围的子集业务角色可以由管理员创建；可以很多个业务拥有相应授权权的管理员授权业务角色分管理类角色和业务类角色拥有全局级节点权限的用户可以做全局级业务用户组一是对业务相似的用户划分类别，二是应用于授权权，为上下级管理员进行权力传递时候划定可管理或者可使用的用户范围。可以按组织机构导入用户组。用户用户的身份类型：员工，客户，供应商，外部系统，开发者等。用户NC产品中人员档案和用户是两个档案，当用户为企业内员工的时候，需要设置用户对应的员工；当用户为企业的客户或者供应商的时候，需要设置用户对应的客户或者供应商。身份是否必输，受全局参数[用户为企业员工、客户或者供应商的时候必须有明确身份]控制。用户共享集团内共享：集团内有两家公司：公司一和公司二，分别有自己的权限管理员Admin1和Admin2对各自公司用户的权限进行管理。一个员工在两家公司兼职，其在公司一的权限由Admin1负责管理，在公司二的权限由Admin2负责管理。这种情况下，该员工对应的用户在公司一创建后，还需要共享给同集团内的公司二。集团间共享：新世纪纸业集团和新世纪钢铁集团，分别有自己的集团管理员nc1和nc2对各自集团进行管理。一个员工在两个集团兼职，其在新世纪纸业集团的权限由nc1负责管理，在新世纪钢铁集团的权限由nc2负责管理。这种情况下，该员工对应的用户在一个集团创建后，还需要共享给另外一个集团。用户调动集团内调动即用户在本集团内部多个业务单元之间进行调动；集团间调动即用户在多个集团之间进行调动。。用户跨业务单元/集团调动后，原业务单元/集团的管理员对其不再有权限管理的权限，需要调入业务单元/集团的管理员将其分配给本业务单元/集团内的管理员进行管理。权限安全管理多种身份认证:静态密码验证、CA验证。支持设置密码策略，可以为不同层次的用户确定不