NCV5.7权限管理.ppt

NCV5权限管理 提纲 权限模型介绍 角色管理 权限分配 用户管理 权限-角色-用户 权限控制 权限查询 新特性 NCV5采用RBAC模型(Role-Based Access Control，基于角色的访问控制)。 引入角色，以角色为桥梁把用户和权限连接起来。 用户只需关注其在组织结构中担当的角色，而角色所拥有的权限由角色本身决定，这样用户通过担当角色而拥有相应权限。 权限模型介绍 权限模型介绍 角色管理 信任公司 角色管理 角色为权限的一个集合，具体表示组织中的一职责、或者一工作、或者一任务等等。 角色管理维护角色基本信息（编码、名称），设置角色中用户。上级公司可以管理本公司和所有下级公司角色。 角色管理 资源类型(公司类型、主体帐簿类型和复合类型)： 角色的资源类型不同能够分配的功能权限就不同。 主体帐簿类型的角色，只能分配总帐模块下节点的功能权限。 公司类型的角色，能够分配除总帐模块下节点外所有节点的功能权限。 复合类型的角色能够分配所有的功能权限。 信任公司：为角色设置信任公司(如上图)，为了达到角色让其他公司用户兼职目的（用户管理中完成），但角色在创建公司有效。例 1： C1公司 R1角色 C2公司 用户 信任 兼职 公司管理员角色 公司管理员角色：只负责用户权限管理的角色。其他角色不能进行用户权限管理。 担当此角色的用户可以管理本公司和下级公司的用户权限。 集团用户想要此角色，则由账套管理员进行委派；公司用户则由上级公司的管理员委派此角色。 角色管理(分配公司) 分配公司 角色管理(分配公司) 分配公司：角色可以分配给下级公司，相当于每个分配公司也产生了此角色（表示此角色除了属于创建公司外，也属于这些分配公司）。 例 2： C1公司 C2公司 分配 担当 R1角色 用户 R1角色 角色管理(分配公司) 角色的信任和分配的区别： 信任不改变角色的作用域，如在例 1中，R1角色只在C1公司有效；而分配则扩大了角色的作用域，如在例 2中，R1角色在C2公司也有效。 信任对于用户是扩大了作用域，而分配对于用户是部分扩大了作用域，部分获得了作用域。 信任角色分配是在被新任公司直接用户管理就可以添加角色。分配包括本公司用户以及被分配公司用户，被分配公司用户必须在角色所在公司的角色管理里面添加用户。 角色管理(设置用户) 角色管理(设置用户) 角色可以委派给本公司用户，分配到其它公司的角色也可以委派给上级公司用户。 例3(和例1、例2区别)： C1公司 C2公司 分配 R1角色 用户 R1角色 兼职 担当 分配到其它公司的角色也可以委派给那个公司的用户,如例2。 权限分配 公共权限 权限分配 权限：对数据进行访问的许可。 权限分配统一管理，包括功能权限和各种数据权限； 上级公司可以管理本公司和所有下级公司角色权限。 采用插件技术定制需要分配的各种权限；权限的业务扩展由插件决定，比如客商权限具体什么业务含义、是否上级控制等。 角色的公共权限和私有权限:公共权限，表示角色在创建公司和各分配公司都拥有这部分权限；私有权限，表示角色在各公司所拥有的私有权限；而角色在公司的权限由公共权限和在此公司的私有权限组成。 对于功能权限，分配总账节点权限时，也可以分配公共权限，则这部分权限能在所有主体账簿下使用，并且能给具体的主体账簿分配私有权限。 用户管理 用户管理 用户指能登录NC系统的用户，是登录账号。 用户管理主要维护用户基本信息（编码、名称、口令等），口令策略（认证方式、口令有效期）、用户对应的业务员、角色的委派（用户能够担当的本公司角色和其它公司角色）。 上级公司可以管理本公司和所有下级公司用户。 用户管理(委派角色) 分配了公司的角色 （可以选择部分） 没有分配公司的角色 信任当前公司的 其它公司角色 用户管理(委派角色) 用户可以委派本公司创建的角色，本公司创建的角色包括分配了公司的角色和没有分配公司的角色。参考例3。 用户还可以委派信任本公司的角色。参考例1。 权限-角色-用户 用户 角色 权限 C1公司 创建 信任 创建 担当 兼职 委派 分配 权限控制 权限控制 控制具体公司是否启用权限或者控制具体主体账簿是否启用权限。比如可以控制部分公司启用按钮权限，控制部分主体账簿启用会计科目权限。 上级公司可以管理本公司和所有下级的权限启用。 在公司或者主体账簿启用权限控制的前提下，还可以控制具体角色是否启用权限，这由角色管理完成。 功能权限最大集控制：限制用户能够分配的功能权限，不能超过用户拥有的功能权限。 功能权限查询 查询用户的功能权限、角色的功能权限、功能权限的用户清单、功能权限的角色清单。 使用查询引擎实现，可以根据业务需求增加或修改查询功能。 新特性 标准化、系统化。采用标准R