统一用户和权限管理设计

《统一用户和权限管理设计》由会员分享，可在线阅读，更多相关《统一用户和权限管理设计（47页珍藏版）》请在金锄头文库上搜索。

1、江苏电力信息化登高项目2010.5统一用户和权限管理方案汇报n工作背景n现状、问题和建议n设计目标 n设计原则n设计方案n现实方案目录n工作背景n现状、问题和建议n设计目标 n设计原则n设计方案n现实方案目录SG186期间国网完成了全国统一的目录部署。SG186期间江苏建力了统一框架，实现了自开发业务系统（生产、配电、综合管理、财务、物资、法律）的统一授权和功能统一展现。SG186期间江苏完成了门户与协同办公的建设，实现了门户和OA系统的很好的整合。江苏作为SGERP的试点，正在做企业架构设计和业务梳整，并准备上线SAP系统中的部分模块。SG186期间国网推广了SAP和很多配套的管控系统 ，迅

2、速提升了全国电网信息化的水平。SGERP期间国网正在做统一的信息化设计。工作背景4江苏省电力公司信息化登高项目 | * n工作背景n现状、问题和建议n设计目标 n设计原则n设计方案n现实方案目录现状、问题和建议6江苏省电力公司信息化登高项目 | * 现状问题建议1.国网和江苏的门户目前都 只是做了业务系统的主界面 链结。 1.门户不能统一展现所有业务系 统的业务功能，用户在做具体业 务的时候还是要进到各个业务系 统的主界面做业务。1.建立企业级统一权限管理， 所有业务系统使用统一权限进 行权限管理，门户根据统一权 限显示所有业务系统的功能菜 单。2.国网和网省的业务系统通 过功能页面链结做了一

3、些功 能的对接，比如国网通过链 结访问江苏的生产系统的功 能。2.国网要对国网的用户在业务系 统中针对该功能做授权，在网省 也要对国网的用户做相同的授权 ，两边的授权很难保持一至，导 至可操作性很差。2.建立从国网角度看上下级逻 辑上一体化的权限体系。3.江苏在SG186期间做了统 一权限3.只从网省自己而不是从整个国 网角度去设计统一权限。比如用 户ID在全网范围内不一至等。3.充分考虑国网和网省的场景 ，使得从国网角度向下看到的 是整个国网范围内完整的权限 信息，并跟国网充分沟通，使 得江苏跟国网的权限方案一至 。现状、问题和建议7江苏省电力公司信息化登高项目 | * 现状问题建议4.统一

4、权限中基准组织、用 户、岗位从人资同步数据 。 4.人资系统组织机构、岗位信息 变更过于频繁，引起统一权限部 分维护工作量过大。5.人员临时借用在人资系统没有 体现。4. 使用修改流程而不是直接同 步的方式处理基准组织、用户 、岗位的同步。同时可以通过 在统一权限中做组织机构和岗 位与人资组织机构、岗位的对 照来避免频繁的变更。 5.江苏使用的目录产品是AD 域6.目录产品与国网典设不一至。5. 目录部分使用于国网典设一 至的方案。n工作背景n现状、问题和建议n设计目标 n设计原则n设计方案n现实方案目录设计目标-全国网范围内所有系统统一授权9江苏省电力公司信息化登高项目 | * 业务系统A部

5、 署在国网业务系统B部 署在国网业务系统C部 署在国网业务系统D部 署在国网业务系统A部 署在网省业务系统B部 署在网省业务系统C部 署在网省国网用户网省用户从国网角度看目前状况1.各个业务系统权限模型不一致，有好有差 ；增加了企业内部部门和人员权限变更及企 业部门重组时的调整难度。2.最终用户要面对很多系统的很多功能，增 加用户使用难度。3.过于明确的业务系统界线，不利于企业从 全公司角度协调和控制业务系统的划分和实 现。4.二级部署的应用，对于要使用网省应用功 能的国网用户，要在国网和网省进行两次授 权，或者要让用户分别访问部署在各个网省 的应用，可维护性很差，并且增加了最终用 户的使用难

6、度。使 用 业 务 系 统使 用 业 务 系 统国网业务系统 权限管理员国网业务系统 权限管理员国网业务系统 权限管理员国网业务系统 权限管理员网省业务系统 权限管理员网省业务系统 权限管理员网省业务系统 权限管理员权 限 管 理权 限 管 理权 限 管 理权 限 管 理设计目标-全国网范围内所有系统统一授权10江苏省电力公司信息化登高项目 | * 国网部署结点省网部署结点国网用户网省用户统 一 展 现 层业务系统A业务系统B业务系统C业务系统D国网部署结点省网部署结点国网部署结点省网部署结点国网部署结点统一用户和 权限管理资源目录国网权限 管理员网省权限 管理员使 用 业 务 功 能权 限

7、授 权业务系统E省网部署结点统 一 展 现 业 务 功 能获取权限信息保存权限信息1.把各种部署方式的业务系统从 逻辑上整合成一个业务，使得从 国网角度看到全局而又简洁的业 务系统。2.用户统一通过统一展现层使用 所有业务系统的功能，带来： A.改善用户体验 B.可以根据业务需要 在统一展现层重组业务模块划分 ，模糊了业务应用的边界，更易 调协业务应用和实现。3.统一权限模型和权限管理流程 ，简化企业权限管理的工作。目标状况设计目标-提供用户的分级管理11江苏省电力公司信息化登高项目 | * 国网LDAP网省LDAP把国网用户 同步到网省把 用 户 同 步 到 各 业 务 系 统把 用 户 同

8、 步 到 各 业 务 系 统业务系统A部 署在国网业务系统B部 署在国网业务系统C部 署在国网业务系统D部 署在国网业务系统A部 署在网省业务系统B部 署在网省业务系统C部 署在网省国网业务系统 人员管理员从国网角度看目前状况1.用户信息同步到业务系统，并不能做到完 全自动，还是需要管理维护： A.增加了业务系统维护量； B.两边信息很有可能产生不一致； C.增加了系统运维维护量。2.需要针对各个业务系统分配人员管理员国网统一用户 管理网省统一用户 管理国网业务系统 人员管理员国网业务系统 人员管理员国网业务系统 人员管理员网省业务系统 人员管理员网省业务系统 人员管理员网省业务系统 人员管理

9、员 网省统一人员 管理员国网统一人员 管理员设计目标-提供用户的分级管理12江苏省电力公司信息化登高项目 | * 业务系统A业务系统B业务系统C业务系统D统一用户和 权限管理资源目录用户管理员需 要 用 户 信 息 时 动 态 获 取业务系统E1.用户管理只在统一用户和权限管理中进行，业务系统不做用户管理相关的任何操作，简单化管理工作量 。2.通过把管理工作分解到下级单位和部门，使得处理用户变化更为及时。目标状况国家电网财务部审计部XX部XX省电力公司财务部审计部XX部用户管理员用户管理员用户管理员XX市公司财务部审计部XX部用户管理员用户管理员用户管理员用户管理员用户管理员用户管理员用户管理

10、员设计目标-提供权限的分级管理13江苏省电力公司信息化登高项目 | * 业务系统A业务系统B业务系统C业务系统D统一用户和 权限管理资源目录权限管理员需 要 权 限 信 息 时 动 态 获 取业务系统E1.通过把权限管理工作分解到下级单位和部门，使得处理权限变化更为及时。目标状况国家电网财务部审计部XX部XX省电力公司财务部审计部XX部权限管理员权限管理员权限管理员XX市公司财务部审计部XX部权限管理员权限管理员权限管理员权限管理员权限管理员权限管理员权限管理员设计目标-为企业级流程业务提供统一的组织机构用户权限14江苏省电力公司信息化登高项目 | * 部门门休假 审审批人江苏苏省电电力 公司

11、财务财务 管理部部门门休假 审审批人人资资模块块休假申 请审批申请人 申请休假申请人所在部门的 “部门休假审批人 ”审批申请人所在单位的 “单位休假审批人 ”审批李四业务流 程财务财务 部主任休假情况 查看人员基本 情况查看江苏苏省电电力 公司统一用户和权限提供的 信息n工作背景n现状、问题和建议n设计目标 n设计原则n设计方案n现实方案目录满足当前需要 ：满足国网公司对当前信息化工作的管理要求；满足可见的未来的需要 ：最大程度上适应电力未来业务变更的建设要求；参照标准：如果有正好合适的标准直接使用标准，如果有相近的标准要参照该标准。简化操作：在满足需求的前提下尽可能简化涉及的概念和操作。系统

12、可靠性：尽可能提供系统的可靠性。设计原则16江苏省电力公司信息化登高项目 | * n工作背景n现状、问题和建议n设计目标 n设计原则n设计方案n现实方案目录行政组织组织18江苏省电力公司信息化登高项目 | * 组织机构权限模型 企业组织分析李四XX公司总经总经 理工作 部主任财务财务 部总经总经 理XX下级级公 司张张三XX部李四主任企业用来管理人员的组织体系，它的层级和分枝会 比较详细。由于组织 、岗位、人员构成通常来自于人资管理。19江苏省电力公司信息化登高项目 | * 组织机构权限模型 企业组织分析业务组织业务组织XX公司总经总经 理工作 部部门门合同审审批人财务财务 部巨额额合同审审批

13、 人XX下级级公 司XX部部门门合同审审批人业务组织用来表达业务系统权限的 分配、支持业务流程的运行由组织、角色、企业角色组成比如： SAP中的利润成本中心、仓库、工 厂 党务体系、工会体系 项目性业务对应的项目组组织20江苏省电力公司信息化登高项目 | * 组织机构权限模型 企业组织分析数据组织组织XX公司XX下级级公 司设备设备 1设备设备 2设备设备 3设备设备 4设备设备 5设备隶属于业务对象中表达该对象的归 口管理组织或隶属组织由组织构成行政组织组织21江苏省电力公司信息化登高项目 | * 组织机构权限模型 企业组织分析李四XX公司总经总经 理工作 部 主任财务财务 部总经总经 理X

14、X下级级公 司张张三XX部李四主任业务组织业务组织XX公司总经总经 理工作 部 部门门休假 审审批人财务财务 部巨额额合同审审批 人XX下级级公 司XX部部门门休假 审审批人数据组织组织XX公司XX下级级公 司三者很有可能不一至，数据组织通常表示业务对象的归口管理和隶属，也就内含 着权限的分配，所以通常可以把企业组织和数据组织合并。 行政组织只做人员管理。22江苏省电力公司信息化登高项目 | * 组织机构权限模型 总体模型基准组织组织 与用户户角色体系业务组织业务组织 体系系统统功能体系相互关系23江苏省电力公司信息化登高项目 | * 组织机构权限模型 基准组织与用户基准组织体系：企业主要的行

15、政组织体系 。 人：参与到本企业运营的所有人员，并且不再区分用户和人，角色性质的用户的 业务内涵由业务组织角色来完成。比如用户“系统管理员”，原则上不允许存在， 可以建一个业务组织角色“系统管理员”，然后把相应的人加到这个业务组织角色 中即可。 其数据分两部分： A：被人力资源管理模块的数据（全民、集体、农电员工 ） B：非人力资源管理模块管理的数据（临时员工、外来的临时人员）李四江苏苏省电电力 公司财务财务 部主任24江苏省电力公司信息化登高项目 | * 组织机构权限模型业务组织体系业务组织体系：通常一个企业都会存在不同的 业务模块或业务模型，比如党务管理、财务管 理、营销管理、生产管理，通

16、常因为业务运转 的需要业务模型会对应一套或多套于基准组织 并不完全一至的组织体系，我们把这种组织体 系称为业务组织体系，一套业务组织体系可以 被多个业务系统共享 基准 组织单元 组成的组织体系也作为组织体 系中的一套。业务组织四个作用： 一：作为该组织下的业务组织角色拥有的功能 权限在组织这个维度上的数据权限； 二：可以基于业务组织做权限的分级管理，从 上图中可以看出业务组织角色是隶属于业务组 织的，从而可以很方便的做到本单位或本部门 的管理员管理本部门的人和权限，而不需要专 门分配专业的权限管理人员； 三：作为业务系统中业务数据之一使用； 四：在业务流程中可以以业务组织为基础定义 出集团内部相对通用的参与者。这四个作用依据业务系统的需要进行取舍，比 如可以把业务组织只当成业务数据之一来使用 。25江苏省电力公司信息化登高项目 | * 组织机构权限模型角色体系权限模型基于RBAC模型扩展。 业务角色、业务组织角色用于分配资源（功能、权限对象