权限管理解决方案.docxVIP

.

.

精品word文档

精品word文档

.

精品word文档

《

《权限管理解决方案》

-用友咨询实施方法论

.

.

精品word文档

精品word文档

.

精品word文档

版本修订：

日期

负责人

版本

说明

2014-09-18

1.0

FirstVersion，初稿，供参考使用

确认记录：

日期

负责人

版本

说明

2014-10-15

2.0

确认的文档

.

.

精品word文档

精品word文档

.

精品word文档

目录

TOC\o1-3\h\z\u1. 基础原理 4

2. 权限管理的基础概念 4

3. 权限架构模型 5

4. 各级管理员及业务账户功能 5

5. 系统角色分类 5

6. 权限控制 6

二、各级管理员授权管理体系 7

1. 各级管理员管理与操作分工 7

2. Root管理员操作审批流程 7

3. 超级管理员日常与密码管理（待完成事项） 7

4. 系统管理员操作审批流程 8

5. 系统管理员日常与密码管理（待完成事项） 8

6. 集团管理员操作审批流程 9

7. 集团管理员日常与密码管理（待完成事项） 9

三、用户授权管理体系 10

1. 用户账户授权管理体系 10

2. 本部及HK用户账户授权处理流程 10

3. 区域用户账户授权处理流程 11

4. 分公司用户账户授权处理流程 11

四、各模块授权体系（财务、供应链、人力等各模块） 11

1. 人力授权体系 11

2. 财务授权体系 11

3. 供应链授权体系 12

.

.

精品word文档

精品word文档

.

精品word文档

一、权限架构原理与模型

基础原理

NCV60的权限模型是基于RBAC（Role-BasedAccessControl，基于角色的访问控制）设计实现的以角色为核心的权限产品体系。

通过分配和取消角色来完成用户权限的授予和取消，根据不同的职能岗位划分角色，资源访问许可被封装在角色中。用户通过赋予角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色，并设置合适的访问权限。而用户根据其工作性质和职责再被指派为不同的角色，完成权限授予。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。

获取访问

获取

访问

权限管理的基础概念

资源：是权限系统要保护的对象。系统中的资源，在本权限模型中主要有两类资源，一类是资源实体，主要是各种业务对象，如销售单、付款单等；一类是UI元素，例如节点、按钮、页签

操作类型：对资源可能的访问方法，如增加、删除、修改等维护操作

功能分两层:功能点,业务活动。业务活动是对资源的操作，可以是资源实体与操作类型的二元组，如增加销售单、修改销售单等,是最细粒度的业务职责;功能点是对应一个FORM的、包含多个相关业务活动的综合功能包。

数据对象：具体的业务对象，如甲公司、乙部门等等，包括所有涉及到数据权限的对象值；

权限：角色/用户可访问的资源及其操作，具体在我们产品中在部分通过功能权限和数据权限来体现

职责：某种业务职能（如库管）具备的权限范围，在系统中体现为一些和组织无关的功能点和业务活动的集合。一般情况下，按企业相关职务的权限范围来设计对应的职责。

角色：为完成某种特定的业务职能（如仓库1的库管）需要具备的权限范围，在系统中体现为一些和组织相关的职责，以及数据权限的范围。一般情况下，可以按企业的岗位设置情况来规划和定义角色。

角色组：角色的分类，单级次。主要用于管理员授权权范围

用户：参与系统活动的主体，如人，系统等

用户组：用户的分类，多级次。主要用于管理员授权权范围

.

.

精品word文档

精品word文档

.

精品word文档

权限架构模型

各级管理员及业务账户功能

Root管理员：可进行应用系统的后台管理。支持应用系统密码控制策略的配置、可以创建系统管理员。

系统管理员：创建集团，维护集团管理员，进行系统初始化和配置基础数据管控模式等。

集团管理员：主要用于集团范围内的权限设置、组织管理、基础数据管理、流程建模、系统管理等。

集团业务管理员：主要用于集团整体业务规则的设置等。

集团系统管理员：主要用于集团范围内的权限设置、组织管理等。

区域/分公司管理员：主要用于权限设置、组织管理、基础数据管理、流程建模、系统管理、维护等。其权限及授权权范围（可管理用户组、可管理角色组、可转授组织、可分配功能、可管理资源）是由创建他的管理员限定的。

业务账户：由集团管理员、区域或分公司管理员创建，处理业务。

系统角色分类

角色

说明

主要业务

授权方式

备注

.

.

精