目录1、权限管理的意义.2 2、权限的分类.2(1)功能权限.2(2)数据权限.2(3)组织权限.2 3、基于 RBAC的资源(权限模型).3 4、功能权限模型.3(1)功能权限的授权步骤.3(2)用户权限分配类别.3(3)功能节点.4(4)业务活动.4(5)业务活动权限启用.5(6)分配业务活动权限.6(7)角色.6 5、数据权限.8(1)数据权限的授权规则.8(2)如何使用数据权限:.8 6、特殊数据权限.9 7、用户管理.10(1)用户的身份类型.10(2)用户集团内共享.11(3)用户集团间共享.11(4)用户调动.11(5)授权.11 8、权限审批.13 名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 13 页 -1、权限管理的意义a)通过设置用户所能操作的功能和数据的范围,从而达到对企业中各职位相关人员所使用 ERP权限的有效管控,使其各司其职,权责分明b)权限管理是应用的基础,领域的应用 需要架构 于权限 平台之上2、权限的分类(1)功能权限通过功能权限授权控 制用户登录 NC系统可以 使用的 UI 元素,UI元素具体来说 是指:可以见到并打开 的节点、节点中的 页签、节点中的 按钮(2)数据权限是对用户数据的 访问权限控 制,被控制的对象是业务对 象,如供应商、客户、销售单、付款单。
有行权限(记录权限)和 列权限(字段权限)之分目前 nc 里的数据权限是 指行权限,列权限的控 制是通过模 板解决 的3)组织权限用户所有的操作和业务动作都必须在 有权限 主组织范围内,用于定义用户使用 这些 UI元素时可以在哪些 组织范围内 做业务对于组织 级的功能节点,功能授权 时如果没有指定组织权限,则 只能看见功能节点,不能做业务名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 13 页 -3、基于 RBAC 的资源(权限模型)4、功能权限模型(1)功能权限的授权步骤a)第一步建立职责、启用业务活动权限、分配权限(功能节点、页签、业务活动)b)第二步创建角色、创建用户、给角色分配职责、给角色分配组织、角色关 联用户c)第三步用户使用权限(2)用户权限分配类别目前用户权限分配 可以通过两种方式来进行:按角色授权 和直接授权角色用户名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 13 页 -a)按角色授权,是 指用户需要关联角色才能拥有相应的权限,权限的授 予主体 是角色b)直接授权是 指直接为 用户分配职责和组织权限,是一种快速为 用户分配权限的 方式c)集团级参数:是 否允许用户直接授权 用来控制系统是否其启用 直接授权这种模式。
3)功能节点a)业务类b)管理类c)业务+管理类d)系统类(4)业务活动a)是具有业务 含义的一组按钮被打 包成为业务活动,不再支持 单个按钮的授权,而 改为对业务活动授权建立用户委派角色组织有建立角色职责名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 13 页 -b)功能节点和 页签上都可以 挂业务活动5)业务活动权限启用a)不启用业务活动权限,则所有按钮都可以 使用;启用了业务活动 后,要再进行分配才能操作 按钮,不分配则 无权限b)考虑到企业中通 常只针对一些核心功能会控制到按钮一级,而其 他非核心 功能的所有按钮都可以 使用,不严格控制,所以默认为不启用名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 13 页 -(6)分配业务活动权限(7)角色i.角色类型角色的管理从职能 上进行 分离,业务类角色和管理类角色分开进行 管理a)业务类角色:只能关联业务类职责,所能操作的节点都是业务类节点,例如,客户、供应商信息,物料档案维护、销售订单、出货单等b)管理类角色:只能关联管理类职责,所能操作的节点是管理类节点,例如用户管理,角色管理,授权管理 等c)“是否启用管理权限 与业务权限 互斥控制”的参数:ii.角色关联用户、分配职责、分配组织业务类角色管理类角色.承担系统内的管理职责承担系统内的业务职责具 有分配管理员权限的职能没有分配管理员权限的职能名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 13 页 -iii.按角色授权即通过角色授权。
系统支持一个用户关 联多个角色,即支持多 角色的 复合授权,其拥有的权限是 多个角色权限的 并集iv.直接授权名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 13 页 -5、数据权限(1)数据权限的授权规则a)全部无 权:即禁止权,有 些关键业务数据,任何情况下不允许用户查看,可以通过设置禁止权实现b)按规则授权:比如只能维护制单人为本人的单据,或只能维护某 种客户分类的 单据c)全部有权(2)如何使用数据权限:分为数据维护权限和数据使用权限i.数据维护权限:对具体业务对 象的具体操作定义权限规则例如只能维护制单人为本人的 XX单据a)是对各类业务对 象的数据设置 维护权限,主要是各种业务对 象,包括基础档案,各类单据,如:销售单、付款单,凭证、采购合同等b)同一业务对 象可以按 操作(如 维护、审核、签字)授予不同的权限名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 13 页 -ii.数据使用权限对具体业务对 象的具体场景定义权限规则,其带来的好处是不用为每个业务单据分别设置数据权限例如 XX销售员只能查看华北区 客户的销售订单、出货单、应收单a)授权资源 为基本档案。
b)可以按 使用场景设置使用权限不同的部门对同一单据或者档案 所关心的数据 可能是不相同的,可以定义供应链使用场景的数据权限,也可以定 义财务使用 场景的数据权限6、特殊数据权限特殊数据权限是简化授权的一种方案,定义了特殊权限就等于定义了一套数据权限规则包括创建者权限、主管权限和审 核者权限三类:a)创建者权限应用 场景:在进行销售 订单的创建、修改、删除、查询等 操作中企业 希望能够达到这样的控制效果:一个用户只能够修改、删除和查询自己创建的销售订单b)主管权限应用 场景:在销售 订单进行 审核的时候,希望有这样的控制:如果登录 用户为相应的 主管,则其能 够查询、审批的 单据范围为其管辖范围内人员 创建的单据c)审核者权限应用 场景:在对销售订单进行 反审核的时候,希望有这样的控制:只有对其审核的人能 够对其进行反审核名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 13 页 -7、用户管理(1)用户的身份类型NC产品中人员 档案和用户是 两个档案,当用户 为企业内员 工的时候,需要设置用户对应的员 工;a)当用户为企业的 客户或者供应商的时候,需要设置用户对应的 客户或者供应商。
b)身份是 否必输,受全局参数用户为企业员 工、客户或者供应商的时候必须有明确身份控制名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 13 页 -(2)用户集团内共享例如:集团内有 两家分公司:分 公司一和分公司二,分别有 自己的权限管理员Admin1 和Admin2 对各自公司用户的权限 进行管理一个员工在两家公司兼职,其在分公司一的权限 由 Admin1负责管理,在分公司二的权限 由 Admin2 负责管理这种情况下,该员工对应的用户 在分公司一创建后,还需要共享给同集团内的分 公司二3)用户集团间共享新世纪纸 业集团和 新世纪钢铁 集团,分别有 自己的集团管理员 nc1 和 nc2 对各自集团进行管理一个员工在两个集团兼职,其在新世纪纸 业集团的权限 由 nc1负责管理,在新世纪钢铁 集团的权限由 nc2负责管理这种情况下,该员工对应的用户 在一个集团创建后,还需要共享给另外一个集团4)用户调动a)用户调动 支持 2 种:集团内调动和集团间调动集团内调动即用户在本集团内 部多个业务单元之 间进行调动;集团间调动 即用户在多个集团之间进行调动b)用户跨业务单元/集团调动 后,原业务单元/集团的管理员对其 不再有权限管理的权限,需要调入业务单元/集团的管理员 将其分配 给本业务单元/集团内的管理员 进行管理。
5)授权分层次的授权管理a)如同企业的 工作职能分配,授权过 程是自上而下的b)下级管理员的授权权 不能超越其上级管理员的授权权管理员的授权权c)授权范围:可管理的用户组,可管理的角色组、可分配的功能,可转授组织,可分配的资源 实体名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 13 页 -注意:1、用户节点分配权限关联到用户权限分配2、集团共享三个地方功能相同3、集团调动 两个地方功能相同名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页,共 13 页 -8、权限 审批a)参数控制是否启用权限审批,进入审批模 式之后,用户的权限的 获取只能通过 填写权限申请单来获取b)权限审批 包括:用户权限 申请单和角色权限 申请单名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 13 页 -。