權(quán)限管理解決方案

1、閱讀使人充實(shí)，會(huì)談使人敏捷，寫(xiě)作使人精確。培根權(quán)限管理解決方案-用友咨詢實(shí)施方法論版本修訂:日期負(fù)責(zé)人版本說(shuō)明2014-09-181.0First Version ,初稿，供參考使用確認(rèn)記錄:日期負(fù)責(zé)人版本說(shuō)明2014-10-152.0確認(rèn)的文檔學(xué)問(wèn)是異常珍貴的東西，從任何源泉吸收都不可恥。阿卜日法拉茲目錄1. 基礎(chǔ)原理 2. 權(quán)限管理的基礎(chǔ)概念3. 權(quán)限架構(gòu)模型4. 各級(jí)管理員及業(yè)務(wù)賬戶功能5. 系統(tǒng)角色分類(lèi)6. 權(quán)限控制 1. 各級(jí)管理員管理與操作分工2. Root 管理員操作審批流程 3. 超級(jí)管理員日常與密碼管理（待完成事項(xiàng)） 4. 系統(tǒng)管理員操作審批流程5. 系統(tǒng)管理員日常與密碼管理

2、（待完成事項(xiàng)） 6. 集團(tuán)管理員操作審批流程7. 集團(tuán)管理員日常與密碼管理（待完成事項(xiàng)） 1. 用戶賬戶授權(quán)管理體系 2. 本部及HK用戶賬戶授權(quán)處理流程 3. 區(qū)域用戶賬戶授權(quán)處理流程4. 分公司用戶賬戶授權(quán)處理流程1. 人力授權(quán)體系 2. 財(cái)務(wù)授權(quán)體系 3. 供應(yīng)鏈?zhǔn)跈?quán)體系 、權(quán)限架構(gòu)原理與模型1 . 基礎(chǔ)原理NCV60的權(quán)限模型是基于 RBAC（Role-Based Access Control ,基于角色的訪問(wèn)控制）設(shè)計(jì)實(shí)現(xiàn)的以角色為核心的權(quán)限產(chǎn)品體系。通過(guò)分配和取消角色來(lái)完成用戶權(quán)限的授予和取消，根據(jù)不同的職能崗位劃分角色，資源訪問(wèn)許可被封裝 在角色中。用戶通過(guò)賦予角色間接地訪問(wèn)系統(tǒng)

3、資源和對(duì)系統(tǒng)資源進(jìn)行操作。授權(quán)者根據(jù)需要定義各種角色，并 設(shè)置合適的訪問(wèn)權(quán)限。而用戶根據(jù)其工作性質(zhì)和職責(zé)再被指派為不同的角色，完成權(quán)限授予。這樣，整個(gè)訪問(wèn) 控制過(guò)程就分成兩個(gè)部分，即訪問(wèn)權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的邏輯分離。2 .權(quán)限管理的基礎(chǔ)概念資源：是權(quán)限系統(tǒng)要保護(hù)的對(duì)象。系統(tǒng)中的資源，在本權(quán)限模型中主要有兩類(lèi)資源，一類(lèi)是資源實(shí)體，主要是各種業(yè)務(wù)對(duì)象，如銷(xiāo)售單、付款單等；一類(lèi)是 UI元素，例如節(jié)點(diǎn)、按鈕、頁(yè)簽操作類(lèi)型：對(duì)資源可能的訪問(wèn)方法，如增加、刪除、修改等維護(hù)操作功能分兩層：功能點(diǎn)，業(yè)務(wù)活動(dòng)。業(yè)務(wù)活動(dòng)是對(duì)資源的操作，可以是資源實(shí)體與操作類(lèi)型的二元組，如

4、增加銷(xiāo)售單、修改銷(xiāo)售單等，是最細(xì)粒度的業(yè)務(wù)職責(zé)；功能點(diǎn)是對(duì)應(yīng)一個(gè) FORM的、包含多個(gè)相關(guān)業(yè)務(wù)活動(dòng)的綜合功能包。數(shù)據(jù)對(duì)象：具體的業(yè)務(wù)對(duì)象，如甲公司、乙部門(mén)等等，包括所有涉及到數(shù)據(jù)權(quán)限的對(duì)象值；權(quán)限：角色/用戶可訪問(wèn)的資源及其操作，具體在我們產(chǎn)品中在部分通過(guò)功能權(quán)限和數(shù)據(jù)權(quán)限來(lái)體現(xiàn)職責(zé)：某種業(yè)務(wù)職能（如庫(kù)管）具備的權(quán)限范圍，在系統(tǒng)中體現(xiàn)為一些和組織無(wú)關(guān)的功能點(diǎn)和業(yè)務(wù)活動(dòng)的集合。一般情況下，按企業(yè)相關(guān)職務(wù)的權(quán)限范圍來(lái)設(shè)計(jì)對(duì)應(yīng)的職責(zé)。角色：為完成某種特定的業(yè)務(wù)職能（如倉(cāng)庫(kù)1的庫(kù)管）需要具備的權(quán)限范圍，在系統(tǒng)中體現(xiàn)為一些和組織相關(guān)的職責(zé)，以及數(shù)據(jù)權(quán)限的范圍。一般情況下，可以按企業(yè)的崗位設(shè)置情況來(lái)規(guī)劃和

5、定義角色。角色組：角色的分類(lèi)，單級(jí)次。主要用于管理員授權(quán)權(quán)范圍用戶：參與系統(tǒng)活動(dòng)的主體，如人，系統(tǒng)等用戶組：用戶的分類(lèi)，多級(jí)次。主要用于管理員授權(quán)權(quán)范圍3.權(quán)限架構(gòu)模型集團(tuán)系統(tǒng)管理員集團(tuán)業(yè)務(wù)管理員（整體規(guī)則設(shè)置） 1區(qū)域系統(tǒng)管理員業(yè)務(wù)賬戶（集團(tuán)）4 .各級(jí)管理員及業(yè)務(wù)賬戶功能Root管理員：可進(jìn)行應(yīng)用系統(tǒng)的后臺(tái)管理。支持應(yīng)用系統(tǒng)密碼控制策略的配置、可以創(chuàng)建系統(tǒng)管理員。系統(tǒng)管理員：創(chuàng)建集團(tuán)，維護(hù)集團(tuán)管理員，進(jìn)行系統(tǒng)初始化和配置基礎(chǔ)數(shù)據(jù)管控模式等。集團(tuán)管理員：主要用于集團(tuán)范圍內(nèi)的權(quán)限設(shè)置、組織管理、基礎(chǔ)數(shù)據(jù)管理、流程建模、系統(tǒng)管理等。集團(tuán)業(yè)務(wù)管理員：主要用于集團(tuán)整體業(yè)務(wù)規(guī)則的設(shè)置等。集團(tuán)系統(tǒng)管理員

6、：主要用于集團(tuán)范圍內(nèi)的權(quán)限設(shè)置、組織管理等。區(qū)域/分公司管理員：主要用于權(quán)限設(shè)置、組織管理、基礎(chǔ)數(shù)據(jù)管理、流程建模、系統(tǒng)管理、維護(hù)等。其權(quán)限及授權(quán)權(quán)范圍（可管理用戶組、可管理角色組、可轉(zhuǎn)授組織、可分配功能、可管理資源）是由創(chuàng)建他的管理員限定的。業(yè)務(wù)賬戶：由集團(tuán)管理員、區(qū)域或分公司管理員創(chuàng)建，處理業(yè)務(wù)。5 .系統(tǒng)角色分類(lèi)角色說(shuō)明主要業(yè)務(wù)授權(quán)方式備注系統(tǒng) 由系統(tǒng)管理員（Root用戶）創(chuàng)創(chuàng)建集團(tuán)和集團(tuán)管理員權(quán)限固定管理員建和維護(hù)，是應(yīng)用系統(tǒng)的管理進(jìn)行模塊啟用和配置基員，一個(gè)應(yīng)用礎(chǔ)數(shù)據(jù)管控模式通過(guò)修改配置文件可在實(shí)施階段調(diào)整應(yīng)用系統(tǒng)管理員的功能權(quán)限范圍系統(tǒng)可以有一個(gè)或多個(gè)應(yīng)用系統(tǒng)管理員集團(tuán)可以創(chuàng)建很多

7、個(gè)，由應(yīng)用系客戶化業(yè)務(wù)建模：（權(quán)管理員統(tǒng)管理員創(chuàng)建限、組織、基礎(chǔ)數(shù)據(jù)、流程建模）系統(tǒng)管理、維護(hù)、工具產(chǎn)品系統(tǒng)默認(rèn)其功能權(quán)限和授權(quán)權(quán)范圍所擁有的功能權(quán)限由應(yīng)用系統(tǒng)管理員通過(guò)“集團(tuán) 管理員功能范圍”進(jìn)行配 置；授權(quán)權(quán)范圍是所管轄集團(tuán)下的所有用戶、角色、組織普通管理員由集團(tuán)管理員或有相應(yīng)權(quán)限客戶化業(yè)務(wù)建模：（權(quán) 由集團(tuán)管理的管理員創(chuàng)建；一個(gè)集團(tuán)下可限、組織、基礎(chǔ)數(shù)據(jù)、員或擁有相以有多個(gè)管理員流程建模）應(yīng)授權(quán)權(quán)的系統(tǒng)管理、維護(hù)、工具管理員授權(quán)產(chǎn)品普通管理員只是一個(gè)擁有能夠進(jìn)行權(quán)限管理權(quán)限的普通用戶。功能權(quán)限不能大于對(duì)其授權(quán)的管理員；授權(quán)權(quán)范圍也是對(duì)其授權(quán)管理員授權(quán)權(quán)范圍的子集業(yè)務(wù)可以由管理員創(chuàng)建； 可

8、以很多業(yè)務(wù)角色個(gè)擁有相應(yīng)授權(quán)權(quán)的管理員授權(quán)業(yè)務(wù)角色分管理類(lèi)角色和業(yè)務(wù)類(lèi)角色擁有全局級(jí)節(jié)點(diǎn)權(quán)限的用戶可以做全局級(jí)業(yè)務(wù)6 . 權(quán)限控制薪資預(yù)警：凡查看到用戶薪資的操作將自動(dòng)發(fā)送郵件至指定郵箱。集團(tuán)管理員雙重身份驗(yàn)證：新建用戶及權(quán)限配置操作需通過(guò)兩個(gè)集團(tuán)管理員進(jìn)行雙重身份驗(yàn)證才可生效。、各級(jí)管理員授權(quán)管理體系1 .各級(jí)管理員管理與操作分工為加強(qiáng)對(duì)各級(jí)管理員的管理，基于資訊科技部各組的工作分工，系統(tǒng)架構(gòu)組負(fù)責(zé) Root管理員、系統(tǒng)管理員的日常操作與管理，系統(tǒng)操作組負(fù)責(zé)集團(tuán)管理員的日常操作與管理，業(yè)務(wù)系統(tǒng)組負(fù)責(zé)規(guī)則制定。Root管理員系統(tǒng)管理員集團(tuán)管理員系統(tǒng)操作組OP系統(tǒng)架構(gòu)組OPOP業(yè)務(wù)系統(tǒng)組MMMM

9、-整體管理（主要負(fù)責(zé)基本制度的制定等）O一一操作（主要負(fù)責(zé)日常操作）P密碼管理（主要負(fù)責(zé)密碼管理）2 . Root管理員操作審批流程Root賬戶管理系統(tǒng)管現(xiàn)M操作-I博艱統(tǒng)管鹿員用戶創(chuàng)理南碼里改用戶梆叫般骷管理NC出級(jí)管理處其礎(chǔ)架構(gòu)組3 .超級(jí)管理員日常與密碼管理（待完成事項(xiàng)）系統(tǒng)架構(gòu)組制定超級(jí)管理員密碼管理規(guī)范密碼由兩位同事共同管理，每人掌握一半密碼日常嚴(yán)格封存該賬戶，如操作需取得相關(guān)領(lǐng)導(dǎo)審批后，由指定人員操作并進(jìn)行記錄嚴(yán)格按照審批流程處理各類(lèi)申請(qǐng)業(yè)務(wù)系統(tǒng)組制定超級(jí)管理員管理規(guī)范制定并按需更新業(yè)務(wù)操作申請(qǐng)表4 .系統(tǒng)管理員操作審批流程5 .系統(tǒng)管理員日常與密碼管理（待完成事項(xiàng)）系統(tǒng)架構(gòu)組制定

10、系統(tǒng)管理員密碼管理規(guī)范密碼由兩位同事共同管理，每人掌握一半密碼每三個(gè)月由兩位同事共同修改密碼如操作需取得相關(guān)領(lǐng)導(dǎo)審批后，由指定人員操作并進(jìn)行記錄嚴(yán)格按照審批流程處理各類(lèi)申請(qǐng)業(yè)務(wù)系統(tǒng)組制定系統(tǒng)管理員管理規(guī)范制定并按需更新業(yè)務(wù)操作申請(qǐng)表6.集團(tuán)管理員操作審批流程A.區(qū)域與分公司申請(qǐng)?zhí)幚砹鞒蹋ùǎ〣.用戶賬戶申請(qǐng)?zhí)幚砹鞒?.集團(tuán)管理員日常與密碼管理（待完成事項(xiàng)）系統(tǒng)操作組制定集團(tuán)管理員密碼管理規(guī)范并嚴(yán)格執(zhí)行日常操作記錄由指定人員管理每三個(gè)月修改一次密碼定期公布用戶賬戶日常使用情況統(tǒng)計(jì)嚴(yán)格按照審批流程處理各類(lèi)申請(qǐng)業(yè)務(wù)系統(tǒng)組制定集團(tuán)管理員管理規(guī)范制定并按需更新用戶賬戶授權(quán)申請(qǐng)表 、區(qū)域與分公司管理員授

11、權(quán)申請(qǐng)表三、用戶授權(quán)管理體系1.用戶賬戶授權(quán)管理體系NC賬戶新建賬戶建立流程權(quán)限授予本部賬戶新建先建AD,后通過(guò)NC同步NC中直接授予分公司賬戶新建（有 AD情況）直接通過(guò)NC同步NC中直接授予分公司賬戶新建（無(wú) AD情況）先建AD,后通過(guò)NC同步NC中直接授予NC賬戶登錄（除超級(jí)管理員、系統(tǒng)管理員外）系統(tǒng)：賬套NC賬號(hào)：AD登錄用戶賬戶NC密碼：AD登錄用戶賬戶密碼NC驗(yàn)證碼：隨機(jī)生成的4位大寫(xiě)字母2.本部及HK用戶賬戶授權(quán)處理流程申請(qǐng)對(duì)象發(fā)起審核審批操作本部及HK一般人員信息辦授權(quán)崗位或直接領(lǐng)導(dǎo)主管領(lǐng)導(dǎo)集團(tuán)管理員業(yè)務(wù)部門(mén)指定人員本部及HK高層信息辦授權(quán)崗位或業(yè)務(wù)部門(mén)指定人員IT經(jīng)理-集團(tuán)管理員3.區(qū)域用戶賬戶授權(quán)處理流程申請(qǐng)對(duì)象發(fā)起審核審批操作區(qū)域一般人員信息辦授權(quán)崗位或區(qū)域指定人員直接領(lǐng)導(dǎo)區(qū)域總區(qū)域管理