2023年12月16日发(作者:)
权限管理解决方案
《权限管理解决方案》
-用友咨询实施方法论
1 / 13
权限管理解决方案
版本修订:
日期
2014-09-18
确认记录:
日期
2014-10-15
负责人
版本
1.0
说明
First Version,初稿,供参考使用
负责人
版本
2.0
说明
确认的文档
2 / 13
权限管理解决方案
目录
1. 基础原理........................................................................................................................................ 4
2. 权限管理的基础概念 .................................................................................................................... 4
3. 权限架构模型 ................................................................................................................................ 5
4. 各级管理员及业务账户功能 ........................................................................................................ 5
5. 系统角色分类 ................................................................................................................................ 5
6. 权限控制........................................................................................................................................ 7
二、各级管理员授权管理体系 ........................................................................................................................ 7
1. 各级管理员管理与操作分工 ........................................................................................................ 7
2. Root管理员操作审批流程 ........................................................................................................... 7
3. 超级管理员日常与密码管理(待完成事项) ............................................................................ 8
4. 系统管理员操作审批流程 ............................................................................................................ 8
5. 系统管理员日常与密码管理(待完成事项) ............................................................................ 9
6. 集团管理员操作审批流程 ............................................................................................................ 9
7. 集团管理员日常与密码管理(待完成事项) .......................................................................... 10
三、用户授权管理体系 .................................................................................................................................. 11
1. 用户账户授权管理体系 .............................................................................................................. 11
2. 本部及HK用户账户授权处理流程 ............................................................................................ 11
3. 区域用户账户授权处理流程 ...................................................................................................... 12
4. 分公司用户账户授权处理流程 .................................................................................................. 12
四、各模块授权体系(财务、供应链、人力等各模块) .......................................................................... 12
1. 人力授权体系 .............................................................................................................................. 12
2. 财务授权体系 .............................................................................................................................. 12
3. 供应链授权体系 .......................................................................................................................... 12
3 / 13
权限管理解决方案
一、权限架构原理与模型
1. 基础原理
NCV60的权限模型是基于RBAC(Role-Based Access Control,基于角色的访问控制)设计实现的以角色为核心的权限产品体系。
通过分配和取消角色来完成用户权限的授予和取消,根据不同的职能岗位划分角色,资源访问许可被封装在角色中。用户通过赋予角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色,并设置合适的访问权限。而用户根据其工作性质和职责再被指派为不同的角色,完成权限授予。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。
用户获取
角色访问
对象
2. 权限管理的基础概念
➢ 资源:是权限系统要保护的对象。系统中的资源,在本权限模型中主要有两类资源,一类是资源实体,主要是各种业务对象,如销售单、付款单等;一类是UI元素,例如节点、按钮、页签
➢ 操作类型:对资源可能的访问方法,如增加、删除、修改等维护操作
➢ 功能分两层:功能点,业务活动。业务活动是对资源的操作,可以是资源实体与操作类型的二元组,如增加销售单、修改销售单等,是最细粒度的业务职责;功能点是对应一个FORM的、包含多个相关业务活动的综合功能包。
➢ 数据对象:具体的业务对象,如甲公司、乙部门等等,包括所有涉及到数据权限的对象值;
➢ 权限:角色/用户可访问的资源及其操作,具体在我们产品中在部分通过功能权限和数据权限来体现
➢ 职责:某种业务职能(如库管)具备的权限范围,在系统中体现为一些和组织无关的功能点和业务活动的集合。一般情况下,按企业相关职务的权限范围来设计对应的职责。
➢ 角色:为完成某种特定的业务职能(如仓库1的库管)需要具备的权限范围,在系统中体现为一些和组织相关的职责,以及数据权限的范围。一般情况下,可以按企业的岗位设置情况来规划和定义角色。
权限管理解决方案
➢ 角色组:角色的分类,单级次。主要用于管理员授权权范围
➢ 用户:参与系统活动的主体,如人,系统等
➢ 用户组:用户的分类,多级次。主要用于管理员授权权范围
3. 权限架构模型
超级管理员系统管理员集团管理员集团系统管理员集团业务管理员(整体规则设置)业务账户(集团)业务账户(区域)区域系统管理员分公司系统管理员业务账户(分公司)
4. 各级管理员及业务账户功能
➢ Root管理员:可进行应用系统的后台管理。支持应用系统密码控制策略的配置、可以创建系统管理员。
➢ 系统管理员:创建集团,维护集团管理员,进行系统初始化和配置基础数据管控模式等。
➢ 集团管理员:主要用于集团范围内的权限设置、组织管理、基础数据管理、流程建模、系统管理等。
➢ 集团业务管理员:主要用于集团整体业务规则的设置等。
➢ 集团系统管理员:主要用于集团范围内的权限设置、组织管理等。
➢ 区域/分公司管理员:主要用于权限设置、组织管理、基础数据管理、流程建模、系统管理、维护等。其权限及授权权范围(可管理用户组、可管理角色组、可转授组织、可分配功能、可管理资源)是由创建他的管理员限定的。
➢ 业务账户:由集团管理员、区域或分公司管理员创建,处理业务。
5. 系统角色分类
5 / 13
权限管理解决方案
角色
系统
说明
由系统管理员(Root用主要业务
创建集团和集团管理员
授权方式
权限固定
备注
通过修改配置文件可在实施阶段调整应用系统管理员的功能权限范围
管理员 户)创建和维护,是应用系统的管理员,一个应用 进行模块启用和配系统可以有一个或多个应用系统管理员
集团 可以创建很多个, 由应用置基础数据管控模式
客户化业务建模:(权限、组织、基础数据、流程建模)
系统管理、维护、工具产品
系统默认其功能权限和授权权范围
所拥有的功能权限由应用系统管理员通过“集团管理员功能范围”进行配置;授权权范围是所管辖集团下的所有用户、角色、组织
管理员 系统管理员创建
普通 由集团管理员或有相应权客户化业务建模:(权限、组织、基础数据、流程建模)
系统管理、维护、工具产品
由集团管理员或拥有相应授权权的管理员授权
普通管理员只是一个拥有能够进行权限管理权限的普通用户。
功能权限不能大于对其授权的管理员;授权权范围也是对其授权管理员授权权范围的子集
管理员 限的管理员创建;一个集团下可以有多个管理员
业务
角色
可以由管理员创建;可以很多个
业务 拥有相应授权权的管理员授权
业务角色分管理类角色和业务类角色
拥有全局级节点权限的用户可以做全局级业务
6 / 13
权限管理解决方案
6. 权限控制
➢ 薪资预警:凡查看到用户薪资的操作将自动发送邮件至指定邮箱。
➢ 集团管理员双重身份验证:新建用户及权限配置操作需通过两个集团管理员进行双重身份验证才可生效。
二、各级管理员授权管理体系
1. 各级管理员管理与操作分工
为加强对各级管理员的管理,基于资讯科技部各组的工作分工,系统架构组负责Root管理员、系统管理员的日常操作与管理,系统操作组负责集团管理员的日常操作与管理,业务系统组负责规则制定。
系统操作组
系统架构组
业务系统组
Root管理员
OP
M
系统管理员
OP
M
集团管理员
OP
M
M——整体管理(主要负责基本制度的制定等)
O——操作(主要负责日常操作)
P——密码管理(主要负责密码管理)
2. Root管理员操作审批流程
7 / 13
权限管理解决方案
3. 超级管理员日常与密码管理(待完成事项)
系统架构组
➢ 制定《超级管理员密码管理规范》
➢ 密码由两位同事共同管理,每人掌握一半密码
➢ 日常严格封存该账户,如操作需取得相关领导审批后,由指定人员操作并进行记录
➢ 严格按照审批流程处理各类申请
业务系统组
➢ 制定《超级管理员管理规范》
➢ 制定并按需更新《业务操作申请表》
4. 系统管理员操作审批流程
8 / 13
权限管理解决方案
信息办
系统架构组
业务系统组
主管经理
填写申请操作
分析评估
批示
记录
记录
业务或功能测试
测试成功
反馈
反馈架构组再行操作或联系用友解决
测试不成功
5. 系统管理员日常与密码管理(待完成事项)
系统架构组
➢ 制定《系统管理员密码管理规范》
➢ 密码由两位同事共同管理,每人掌握一半密码
➢ 每三个月由两位同事共同修改密码
➢ 如操作需取得相关领导审批后,由指定人员操作并进行记录
➢ 严格按照审批流程处理各类申请
业务系统组
➢ 制定《系统管理员管理规范》
➢ 制定并按需更新《业务操作申请表》
6. 集团管理员操作审批流程
9 / 13
权限管理解决方案
A. 区域与分公司申请处理流程(待定)
信息办
系统操作组
业务系统组
主管经理
填写申请表并得到业务线领导的操作与记录
复核
审核
反馈
测试与使用
如有问题反馈业务系统组跟进
B. 用户账户申请处理流程
信息办
系统操作组
业务系统组
管理员账户
主管经理
填写申请表并得到业务线领导的复核
业务账户
审核
操作与记录
测试与使用
反馈
如有问题反馈业务系统组跟进
7. 集团管理员日常与密码管理(待完成事项)
系统操作组
➢ 制定《集团管理员密码管理规范》并严格执行
➢ 日常操作记录由指定人员管理
➢ 每三个月修改一次密码
➢ 定期公布用户账户日常使用情况统计
➢ 严格按照审批流程处理各类申请
10 / 13
权限管理解决方案
业务系统组
➢ 制定《集团管理员管理规范》
➢ 制定并按需更新《用户账户授权申请表》、《区域与分公司管理员授权申请表》
三、用户授权管理体系
1. 用户账户授权管理体系
NC账户新建
本部账户新建
分公司账户新建(有AD情况)
分公司账户新建(无AD情况)
账户建立流程
先建AD,后通过NC同步
权限授予
NC中直接授予
直接通过NC同步 NC中直接授予
先建AD,后通过NC同步 NC中直接授予
NC账户登录(除超级管理员、系统管理员外)
➢ 系统:账套
➢ NC账号: AD登录用户账户
➢ NC密码: AD登录用户账户密码
➢ NC验证码: 随机生成的4位大写字母
2. 本部及HK用户账户授权处理流程
申请对象 发起
信息办授权岗位或业务部门指定人员
信息办授权岗位或业务部门指定审核 审批 操作
本部及HK一般人员
直接领导 主管领导 集团管理员
本部及HK高层 IT经理 - 集团管理员
11 / 13
权限管理解决方案
人员
3. 区域用户账户授权处理流程
申请对象 发起
信息办授权岗位或区域指定人员
信息办授权岗位或区域指定人员
审核 审批 操作
区域一般人员 直接领导 区域总 区域管理员
区域高层 IT经理 - 集团管理员
4. 分公司用户账户授权处理流程
申请对象
分公司一般人员
分公司高层
发起
分公司指定人员
分公司指定人员
审核
直接领导
区域高层
审批
主管领导
IT经理
操作
分公司管理员
区域管理员
四、各模块授权体系(财务、供应链、人力等各模块)
1. 人力授权体系
待后续补充
2. 财务授权体系
待后续补充
3. 供应链授权体系
待后续补充
12 / 13
权限管理解决方案
内容总结
(1)《权限管理解决方案》
-用友咨询实施方法论
13 / 13
发布评论