用友NC权限管理V5.0.ppt

NCV5NCV5权限管理权限管理提纲提纲•权限模型介绍•角色管理•权限分配•用户管理•权限-角色-用户•权限控制•权限查询•新特性lNCV5采用RBAC模型(Role-Based Access Control，基于角色的访问控制)l引入角色，以角色为桥梁把用户和权限连接起来l用户只需关注其在组织结构中担当的角色，而角色所拥有的权限由角色本身决定，这样用户通过担当角色而拥有相应权限权限模型介绍权限模型介绍权限模型介绍权限模型介绍角色管理角色管理信任公司角色管理角色管理l角色为权限的一个集合，具体表示组织中的一职责、或者一工作、或者一任务等等l角色管理维护角色根本信息〔编码、名称〕，设置角色中用户上级公司可以管理本公司和所有下级公司角色角色管理角色管理l资源类型(公司类型、主体帐簿类型和复合类型)：l角色的资源类型不同能够分配的功能权限就不同l主体帐簿类型的角色，只能分配总帐模块下节点的功能权限l公司类型的角色，能够分配除总帐模块下节点外所有节点的功能权限l复合类型的角色能够分配所有的功能权限l信任公司：为角色设置信任公司(如上图)，为了到达角色让其他公司用户兼职目的〔用户管理中完成〕，但角色在创立公司有效。

例 1：C1公司公司R1角色角色C2公司公司用户信任信任兼职兼职公司管理员角色公司管理员角色l公司管理员角色：只负责用户权限管理的角色其他角色不能进行用户权限管理l担当此角色的用户可以管理本公司和下级公司的用户权限l集团用户想要此角色，那么由账套管理员进行委派；公司用户那么由上级公司的管理员委派此角色 角色管理角色管理( (分配公司分配公司) )分 配公司角色管理角色管理( (设置用户设置用户) )角色管理角色管理( (设置用户设置用户) )l角色可以委派给本公司用户，分配到其它公司的角色也可以委派给上级公司用户例3(和例1、例2区别)：C1公司公司C2公司公司分配分配R1角色角色用户R1角色角色兼职兼职担当担当l分配到其它公司的角色也可以委派给那个公司的用户,如例2权限分配权限分配公共权限权限分配权限分配l权限：对数据进行访问的许可l权限分配统一管理，包括功能权限和各种数据权限；l上级公司可以管理本公司和所有下级公司角色权限l采用插件技术定制需要分配的各种权限；权限的业务扩展由插件决定，比方客商权限具体什么业务含义、是否上级控制等 l角色的公共权限和私有权限:公共权限，表示角色在创立公司和各分配公司都拥有这局部权限；私有权限，表示角色在各公司所拥有的私有权限；而角色在公司的权限由公共权限和在此公司的私有权限组成。

l对于功能权限，分配总账节点权限时，也可以分配公共权限，那么这局部权限能在所有主体账簿下使用，并且能给具体的主体账簿分配私有权限 用户管理用户管理用户管理用户管理l用户指能登录NC系统的用户，是登录账号l用户管理主要维护用户根本信息〔编码、名称、口令等〕，口令策略〔认证方式、口令有效期〕、用户对应的业务员、角色的委派〔用户能够担当的本公司角色和其它公司角色〕l上级公司可以管理本公司和所有下级公司用户用户管理用户管理( (委派角色委派角色) )分配了公司的角色〔可以选择局部〕没有分配公司的角色信任当前公司的其它公司角色用户管理用户管理( (委派角色委派角色) )l用户可以委派本公司创立的角色，本公司创立的角色包括分配了公司的角色和没有分配公司的角色参考例3 l用户还可以委派信任本公司的角色参考例1 权限权限- -角色角色- -用户用户用户角色角色权限权限C1公司公司创建创建信任信任创建创建担当担当兼职兼职委派委派分配分配权限控制权限控制权限控制权限控制l控制具体公司是否启用权限或者控制具体主体账簿是否启用权限比方可以控制局部公司启用按钮权限，控制局部主体账簿启用会计科目权限。

l上级公司可以管理本公司和所有下级的权限启用l l在公司或者主体账簿启用权限控制的前提下，还可以控制具体角色是否启用权限，这由角色管理完成 l功能权限最大集控制：限制用户能够分配的功能权限，不能超过用户拥有的功能权限 功能权限查询功能权限查询l查询用户的功能权限、角色的功能权限、功能权限的用户清单、功能权限的角色清单l使用查询引擎实现，可以根据业务需求增加或修改查询功能新特性新特性1.标准化、系统化采用标准RBAC模型，权限系统化权限管理只能由少数特权用户完成〔即担当公司管理员角色的用户〕2.集中化管理包括用户管理、角色管理、权限分配和权限控制，都可以由集团统一控制3.上下级垂直管理上级公司可以管理下级公司，可以为下级公司进行用户管理、角色管理、权限分配和权限控制 新特性新特性4.插件化：权限分配和权限查询，各插件定制5.NC5不再直接为用户分配权限，废弃了NC3系列的用户组、用户关联公司和快捷分配6.角色外延了用户组，NC3系列的用户组只能在当前公司使用，而角色还可以跨公司、跨主体账簿共享权限7.NC3系列的“用户关联公司〞表示“用户直接关联了公司后，相当于用户也属于关联公司〞；而在NC5中，用户必须具有其他公司的角色，才间接表示用户关联了此公司。

8.NC3系列的快捷分配造成了大量的用户组以及重复的用户权限；而在NC5中，只需要角色分配多个公司，再分配公共权限，即可完成统一控制，减少了大量数据 新特性新特性6.NC5增加了权限的细粒度控制7.NCV5中，角色也可以控制是否启用权限 8.NCV5中，集团也可以设置是否启用按钮权限 9.在NC3系列中，即使公司没有启用按钮权限，也可以分配按钮权限，造成了大概50%的垃圾权限；而在NC5中，这种情况那么无法分配按钮权限，这点就能大大提高权限存取效率 标题区标题区。