权限管理解决方案.docx
- 文档编号:2789913
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:10
- 大小:215.55KB
权限管理解决方案.docx
《权限管理解决方案.docx》由会员分享,可在线阅读,更多相关《权限管理解决方案.docx(10页珍藏版)》请在冰点文库上搜索。
权限管理解决方案
《权限管理解决方案》
-用友咨询实施方法论
版本修订:
日期
负责人
版本
说明
2014-09-18
1.0
FirstVersion,初稿,供参考使用
确认记录:
日期
负责人
版本
说明
2014-10-15
2.0
确认的文档
一、权限架构原理与模型
1.基础原理
NCV60的权限模型是基于RBAC(Role-BasedAccessControl,基于角色的访问控制)设计实现的以角色为核心的权限产品体系。
通过分配和取消角色来完成用户权限的授予和取消,根据不同的职能岗位划分角色,资源访问许可被封装在角色中。
用户通过赋予角色间接地访问系统资源和对系统资源进行操作。
授权者根据需要定义各种角色,并设置合适的访问权限。
而用户根据其工作性质和职责再被指派为不同的角色,完成权限授予。
这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。
2.权限管理的基础概念
Ø资源:
是权限系统要保护的对象。
系统中的资源,在本权限模型中主要有两类资源,一类是资源实体,主要是各种业务对象,如销售单、付款单等;一类是UI元素,例如节点、按钮、页签
Ø操作类型:
对资源可能的访问方法,如增加、删除、修改等维护操作
Ø功能分两层:
功能点,业务活动。
业务活动是对资源的操作,可以是资源实体与操作类型的二元组,如增加销售单、修改销售单等,是最细粒度的业务职责;功能点是对应一个FORM的、包含多个相关业务活动的综合功能包。
Ø数据对象:
具体的业务对象,如甲公司、乙部门等等,包括所有涉及到数据权限的对象值;
Ø权限:
角色/用户可访问的资源及其操作,具体在我们产品中在部分通过功能权限和数据权限来体现
Ø职责:
某种业务职能(如库管)具备的权限范围,在系统中体现为一些和组织无关的功能点和业务活动的集合。
一般情况下,按企业相关职务的权限范围来设计对应的职责。
Ø角色:
为完成某种特定的业务职能(如仓库1的库管)需要具备的权限范围,在系统中体现为一些和组织相关的职责,以及数据权限的范围。
一般情况下,可以按企业的岗位设置情况来规划和定义角色。
Ø角色组:
角色的分类,单级次。
主要用于管理员授权权范围
Ø用户:
参与系统活动的主体,如人,系统等
Ø用户组:
用户的分类,多级次。
主要用于管理员授权权范围
3.权限架构模型
4.各级管理员及业务账户功能
ØRoot管理员:
可进行应用系统的后台管理。
支持应用系统密码控制策略的配置、可以创建系统管理员。
Ø系统管理员:
创建集团,维护集团管理员,进行系统初始化和配置基础数据管控模式等。
Ø集团管理员:
主要用于集团范围内的权限设置、组织管理、基础数据管理、流程建模、系统管理等。
Ø集团业务管理员:
主要用于集团整体业务规则的设置等。
Ø集团系统管理员:
主要用于集团范围内的权限设置、组织管理等。
Ø区域/分公司管理员:
主要用于权限设置、组织管理、基础数据管理、流程建模、系统管理、维护等。
其权限及授权权范围(可管理用户组、可管理角色组、可转授组织、可分配功能、可管理资源)是由创建他的管理员限定的。
Ø业务账户:
由集团管理员、区域或分公司管理员创建,处理业务。
5.系统角色分类
角色
说明
主要业务
授权方式
备注
系统
管理员
由系统管理员(Root用户)创建和维护,是应用系统的管理员,一个应用
系统可以有一个或多个应用系统管理员
创建集团和集团管理员
进行模块启用和配置基础数据管控模式
权限固定
通过修改配置文件可在实施阶段调整应用系统管理员的功能权限范围
集团
管理员
可以创建很多个,由应用系统管理员创建
客户化业务建模:
(权限、组织、基础数据、流程建模)
系统管理、维护、工具产品
系统默认其功能权限和授权权范围
所拥有的功能权限由应用系统管理员通过“集团管理员功能范围”进行配置;授权权范围是所管辖集团下的所有用户、角色、组织
普通
管理员
由集团管理员或有相应权限的管理员创建;一个集团下可以有多个管理员
客户化业务建模:
(权限、组织、基础数据、流程建模)
系统管理、维护、工具产品
由集团管理员或拥有相应授权权的管理员授权
普通管理员只是一个拥有能够进行权限管理权限的普通用户。
功能权限不能大于对其授权的管理员;授权权范围也是对其授权管理员授权权范围的子集
业务
角色
可以由管理员创建;可以很多个
业务
拥有相应授权权的管理员授权
业务角色分管理类角色和业务类角色
拥有全局级节点权限的用户可以做全局级业务
6.权限控制
Ø薪资预警:
凡查看到用户薪资的操作将自动发送邮件至指定邮箱。
Ø集团管理员双重身份验证:
新建用户及权限配置操作需通过两个集团管理员进行双重身份验证才可生效。
二、各级管理员授权管理体系
1.各级管理员管理与操作分工
为加强对各级管理员的管理,基于资讯科技部各组的工作分工,系统架构组负责Root管理员、系统管理员的日常操作与管理,系统操作组负责集团管理员的日常操作与管理,业务系统组负责规则制定。
Root管理员
系统管理员
集团管理员
系统操作组
OP
系统架构组
OP
OP
业务系统组
M
M
M
M——整体管理(主要负责基本制度的制定等)
O——操作(主要负责日常操作)
P——密码管理(主要负责密码管理)
2.Root管理员操作审批流程
3.超级管理员日常与密码管理(待完成事项)
系统架构组
Ø制定《超级管理员密码管理规范》
Ø密码由两位同事共同管理,每人掌握一半密码
Ø日常严格封存该账户,如操作需取得相关领导审批后,由指定人员操作并进行记录
Ø严格按照审批流程处理各类申请
业务系统组
Ø制定《超级管理员管理规范》
Ø制定并按需更新《业务操作申请表》
4.系统管理员操作审批流程
5.系统管理员日常与密码管理(待完成事项)
系统架构组
Ø制定《系统管理员密码管理规范》
Ø密码由两位同事共同管理,每人掌握一半密码
Ø每三个月由两位同事共同修改密码
Ø如操作需取得相关领导审批后,由指定人员操作并进行记录
Ø严格按照审批流程处理各类申请
业务系统组
Ø制定《系统管理员管理规范》
Ø制定并按需更新《业务操作申请表》
6.集团管理员操作审批流程
A.区域与分公司申请处理流程(待定)
B.用户账户申请处理流程
7.集团管理员日常与密码管理(待完成事项)
系统操作组
Ø制定《集团管理员密码管理规范》并严格执行
Ø日常操作记录由指定人员管理
Ø每三个月修改一次密码
Ø定期公布用户账户日常使用情况统计
Ø严格按照审批流程处理各类申请
业务系统组
Ø制定《集团管理员管理规范》
Ø制定并按需更新《用户账户授权申请表》、《区域与分公司管理员授权申请表》
三、用户授权管理体系
1.用户账户授权管理体系
NC账户新建
账户建立流程
权限授予
本部账户新建
先建AD,后通过NC同步
NC中直接授予
分公司账户新建(有AD情况)
直接通过NC同步
NC中直接授予
分公司账户新建(无AD情况)
先建AD,后通过NC同步
NC中直接授予
NC账户登录(除超级管理员、系统管理员外)
Ø系统:
账套
ØNC账号:
AD登录用户账户
ØNC密码:
AD登录用户账户密码
ØNC验证码:
随机生成的4位大写字母
2.本部及HK用户账户授权处理流程
申请对象
发起
审核
审批
操作
本部及HK一般人员
信息办授权岗位或业务部门指定人员
直接领导
主管领导
集团管理员
本部及HK高层
信息办授权岗位或业务部门指定人员
IT经理
-
集团管理员
3.区域用户账户授权处理流程
申请对象
发起
审核
审批
操作
区域一般人员
信息办授权岗位或区域指定人员
直接领导
区域总
区域管理员
区域高层
信息办授权岗位或区域指定人员
IT经理
-
集团管理员
4.分公司用户账户授权处理流程
申请对象
发起
审核
审批
操作
分公司一般人员
分公司指定人员
直接领导
主管领导
分公司管理员
分公司高层
分公司指定人员
区域高层
IT经理
区域管理员
四、各模块授权体系(财务、供应链、人力等各模块)
1.人力授权体系
待后续补充
2.财务授权体系
待后续补充
3.供应链授权体系
待后续补充
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 权限 管理 解决方案