UAP平臺V6學習記錄

1、1. 組織管理1.1. 概要：基于j2ee架構；平臺創(chuàng)新：企業(yè)動態(tài)建模平臺：支持全球化、多集團、多組織應用；動態(tài)企業(yè)建模特點：1、 多集團：全球化背景下的多集團企業(yè)建模；支持多級集團管控；2、 多組織：基于業(yè)務單元為核心的多組織建模；支持集團企業(yè)矩陣式的組織上下級管理；基于組織間業(yè)務委托關系的業(yè)務流程；3、 動態(tài)建模：組織模型變革，基礎數據集團管控變化支持；業(yè)務流程改進，業(yè)務規(guī)則變更，權限資源變更；4、 國際化：界面、數據多語言、多時區(qū)，多主幣，國家數據格式；支持本地化的代碼架構；5、 行業(yè)化、個性化：行業(yè)擴展開發(fā)框架，行業(yè)應用、資產管理；NC個性化開發(fā)框架；優(yōu)勢：滿足中國集團企業(yè)成長性的需求

2、；為集團企業(yè)提供商業(yè)創(chuàng)新平臺，最小TCO支持企業(yè)管理升級；提供成長中最適合IT方案，取代500強最佳時間，避免下馬拉大車；內容：動態(tài)組織建模：支持企業(yè)組織變革、重組、并購；支持組織多版本管理；支持組織設計、啟用管理；動態(tài)流程建模：支持業(yè)務流程創(chuàng)新設計；支持隨需而變的流程重組、流程變更；支持ADHOC定義的工作流、審批流程；動態(tài)主數據建模：支持跨系統(tǒng)的主數據統(tǒng)一管理；支持主數據與具體組織分離；支持集團企業(yè)數據的三級管控管理要求；動態(tài)資源建模：支持企業(yè)對資源的靈活定義；根據業(yè)務需要對資源訪問權限的隨時調整；RBAC權限體系，內控；1.2. 多組織模型概述NCV6目標客戶群客戶群定位：高端集團企業(yè)；

3、 中期目標：幫助中國集團企業(yè)走向世界500； 遠期目標：世界級高端解決方案；NCV6三類關鍵目標客戶 中國跨國公司（如聯系、華潤、南光、香港的一些大集團企業(yè)） 超大型集團企業(yè)（如中糧、中海油、中聯通、中國建筑） 知名外資企業(yè)（世界500）在中國/亞洲機構；NCV6目標客戶特性 全球化運營、多集團管控、多組織協(xié)作； 機構龐大、流程復雜； 高成長性、變更快； 管理理念先進，行業(yè)化要求高；1.3. V6的主組織相關概念全局（Global）:系統(tǒng)管理上是指一個NC系統(tǒng)的一個客戶安裝環(huán)境，技術上是指是一個NC數據源（不能突破一個數據庫的范圍）。是指跨越系統(tǒng)內所有集團的一個范圍。集團（Business G

4、roup）：業(yè)務上是指大型集團企業(yè)多個子集團和多個業(yè)務板塊，每個子集團和業(yè)務板塊是一個集團。技術上集團是NC系統(tǒng)中主數據和部分組織數據的隔離范圍，系統(tǒng)中全局下可以建立多個集團（用戶角色設置是在集團的層次上做的隔離，產品里面處理業(yè)務節(jié)點是按照集團隔離的）。組織單元（Org Unit）:一般直接對應企業(yè)的公司、分公司、工廠、辦事處、部門等組織。多組織類型是針對組織單位所具有的業(yè)務職能而言。（虛擬（如：項目組）或實際）。（多組織：多組織類型）（組織更傾向表示業(yè)務類型或職能是什么）（如：營銷體系內的所有分公司都屬于銷售組織單元）。1. 業(yè)務的主體組織是承擔該業(yè)務職能的組織單元，也叫業(yè)務執(zhí)行單元（OU）

5、,是企業(yè)運營時承載數據的重要載體。一個組織單元可以同時具備多種業(yè)務職能。2. 企業(yè)管理、核算的最小單位作為一個獨立的組織單元。3. 我們提的組織一般指集團下的組織單元和機構型組織（成本域、信用控制域），廣義來講集團也是一類組織。主組織：主組織（Master org）：是指業(yè)務發(fā)生的核心組織，是業(yè)務數據隔離的范圍。主組織都是相對于一個業(yè)務來講的，業(yè)務單據、功能節(jié)點作為一個業(yè)務數據和業(yè)務功能的具體體現，都有其主組織。NC主組織主要承擔的職能作為權限劃分的依據。分配功能節(jié)點時必須指定有權限的主組織，自然以主組織來隔離權限。作為業(yè)務數據隔離的依據。體現在檔案盒單據都有自己的主組織。承載單據信息上下文的

6、背景，即單據中參照一般會按照單據主組織來過濾。獲取UAP公共資源的依據。例如：參照、模板、流程配置、工作流、審批流程、預警條目。為了的設計規(guī)范有體現。1.4. 多組織模型概述多組織模型要素靜態(tài)結構 單元：業(yè)務單元（管理單元，執(zhí)行單元，分析單元）部門，成本中心 體系：管控，報告，分析（能夠描述體系） 職能：多組織類型表達多種組織職能（） 關系：業(yè)務管控，業(yè)務委托（上下級關系，匯總關系、業(yè)務委托關系（公共的服務中心或職能中心把其他經營機構的只能剝離出來，與成本單位直接是業(yè)務委托關系）動態(tài)管理 設計、啟用、變更、停用-個體組織生命周期管理 組織視圖，組織多版本-企業(yè)組織架構演變過程舉例：2. 權限管

7、理1.1. 權限建?；靖拍钯Y源是權限系統(tǒng)要保護的對象。系統(tǒng)中的資源，在本權限模型中主要有兩類資源，一類是資源實體，主要是各種業(yè)務對象，如銷售單、付款單等；一類是UI元素，例如節(jié)點、按鈕、頁簽。操作類型：對資源可能的訪問方法，如增加、刪除、修改等維護操作。功能 分兩層:功能點,業(yè)務活動 業(yè)務活動是對資源的操作，可以是資源實體與操作類型的二元組，如增加銷售單、修改銷售單等,是最細粒度的業(yè)務職責;功能點是對應一個FORM的、包含多個相關業(yè)務活動的綜合功能包（含義?）。數據對象：具體的業(yè)務對象，如甲公司、乙部門等等，包括所有涉及到數據權限的對象值；權限：角色/用戶可訪問的資源及其操作，具體在我們產品

8、中在部分通過功能權限和數據權限來體現。職責：某種業(yè)務職能（如庫管）具備的權限范圍，在系統(tǒng)中體現為一些和組織無關的功能點和業(yè)務活動的集合。一般情況下，按企業(yè)相關職務的權限范圍來設計對應的職責。角色：為完成某種特定的業(yè)務職能（如倉庫1的庫管）需要具備的權限范圍，在系統(tǒng)中體現為一些和組織相關的職責，以及數據權限的范圍。一般情況下，可以按企業(yè)的崗位設置情況來規(guī)劃和定義角色。角色組：角色的分類，單級次。主要用于管理員授權權范圍。用戶：參與系統(tǒng)活動的主體，如人，系統(tǒng)等。 用戶組：用戶的分類，多級次。主要用于管理員授權權范圍。1.2. 基于RBAC的資源權限管理體系權限管理：1. 以RBAC為核心的權限模型

9、，同時支持對特殊人群直接授予特殊業(yè)務權限的靈活性。2. 支持功能、數據、服務、報表等多類權限資源。3. 借助職責實現權限繼承，簡化、規(guī)范企業(yè)業(yè)務權限體系的規(guī)劃。4. 集中與分層的授權體系，提供多角度審計報告，支持內控與審計。5. 支持權限申請、授權確認的自動化流程。6. 支持多種的安全認證方式，并且可擴展其他方式。7. 利用二次認證、數字簽名等保護敏感業(yè)務和核心數據。1.3. 授權控制模型1.3.1. 功能權限的授權要素1. 功能權限的授權資源· 功能權限的授權資源為： 功能點-組織 -頁簽-組織 -業(yè)務活動 -業(yè)務活動·  我們的功能權限除了以功能為資源對象外，

10、還打包了組織權限 2. 功能權限 · 功能權限的授權資源是功能點和業(yè)務活動。· 產品功能是通過菜單呈現的。功能權限授權時只是通過菜單進行功能的導航選擇。但是我們依然通過被授權的功能與菜單元素的綁定關系來處理其菜單元素的可見性· 授權方式僅支持正向，權限控制的效果是：未授權，用戶對該功能不可用；反之可用3. 組織權限 · 每個功能點必需有一個主組織類型，可以是：全局、集團、業(yè)務單元、或其它組織類型· 全局級功能點是跨集團使用的，其權限也不受其授予集團的約束· 主組織是功能授權默認的邏輯區(qū)分分類，NC每個功能點都有其主組織，分配功能點權限

11、后還要指定有權限的主組織。組織級功能授權時不指定主組織，認為沒有任何主組織權限，事實上功能權限無效功能權限的基本授權模型1.3.2. 功能權基本授權模型· 仍然保持無權即不可見的原則，簡潔用戶界面· 不再需要理解軟件按鈕與企業(yè)業(yè)務權限的關系，而是把按鈕級權限轉換為業(yè)務活動權限· 業(yè)務活動是企業(yè)中存在的一個不可再細分的工作環(huán)節(jié)· 產品預置業(yè)務活動與軟件上按鈕間的關聯· 不再需要角色或用戶直接分配功能點和業(yè)務活動，而是通過業(yè)務上更容易理解的職責 · 職責由領域需求分析，按領域、行業(yè)預置，可以在實施階段調整；也可以自定義職責· 利

12、用職責有效地隔離軟件模型和應用需求，降低軟件使用難度· 對每個角色（或用戶直接授權部分），擁有的功能權限范圍為：主組織集中的所有主組織 *職責集 中包含的所有功能點、頁簽和業(yè)務活動 1.3.3. 數據權限模型· 數據權限模型-維護權限 · 數據權限的授權資源是資源實體，例如銷售訂單，BU目錄；數據權限區(qū)分資源實體的操作，例如修改、刪除、保存、審核 · 數據權限基本模型：角色資源實體組織- 操作規(guī)則 ·  資源實體按照“產品模塊組件實體”4級來組織，實體下可細分操作,例如:財務會計.總賬.憑證管理.憑證.修改（四級組織+操作）·

13、; 數據維護權限示例:· 數據的主組織是數據權限默認的邏輯區(qū)分分類，不需要用戶再去設置規(guī)則進行區(qū)分，而用戶其他的數據權限區(qū)分，則需要進行數據權限的授權· 數據權限授權粒度需要支持到組織一級，基本的數據權限模型是：角色.資源實體.組織.操作.規(guī)則。即可以支持：一個銷售人員，對于銷售訂單，在銷售組織1和銷售組織2下，查詢訂單的權限規(guī)則分別為訂單金額<100萬和訂單金額<500萬1.3.4. 數據維護權限數據權限案例· 規(guī)則定義· 規(guī)則：人員.部門.編碼like 01%；規(guī)則：人員.人員類別= 正式員工；規(guī)則：人員.性別男· 規(guī)則：采購訂

14、單.金額< 500萬；規(guī)則5：采購訂單.金額< 1000萬· 以上授權的含義及實際效果：· Role1.人員.公司.修改.rule=規(guī)則and(規(guī)則or規(guī)則)role1能修改公司 中編碼以01開頭的部門下的正式員工和男員工；不能刪除公司1下的人員· Role1.人員.公司.查詢.rule=規(guī)則 role1能查詢出到公司中編碼以01開頭的部門下的所有員工，能查詢公司2下所有人員· Role1.人員.公司2.修改.rule=規(guī)則3 role1能修改到公司下的男員工· Role1.訂單.采購組織.保存.rule=規(guī)則4 role1能保存采

15、購組織下金額小于萬的訂單· Role1.訂單.采購組織.刪除.rule=規(guī)則 role1能刪除采購組織下金額小于10萬的訂單1.3.5. 特殊數據權限1. 特殊數據權限· 是簡化授權的一種方案,本質是一個公共數據權限規(guī)則· 可以在一個集團內針對一類資源實體啟用特殊數據權限· 在一個user適配擁有者權限和主管權限時，優(yōu)先作為部門主管進行匹配· 即在集團內啟用一類資源實體的特殊權限的同時，仍然允許針對角色來設置該單據的數據權限。對禁止型的特殊權限優(yōu)先解釋。例如對銷售訂單的擁有者權限，設置了擁有者無權審核，那么不管權限規(guī)則和其它特殊權限如何定義，銷

16、售訂單的制單人永遠不能審自己的單據。 其它情況下按數據權限的并集處理 2. 擁有者權限擁有者權限實現的場景是控制本人能查看、維護但是不能審批本人創(chuàng)建的單據或檔案，所以擁有者權限的啟用細分到實體的操作上3. 審核者權限主要為支持不通過審批流完成審批的業(yè)務,控制只有審核人才能做反審核 4. 主管權限主管權限實現的場景是部門經理能查看、維護、審批其下級創(chuàng)建的單據或檔案，啟用時不細分到實體的操作，其作用范圍等同于擁有者權限的作用范圍，全部為有權 。1.3.6. 權限的分權管理體系 1.3.6.1. 角色的系統(tǒng)分類1.3.6.2. 授權權分層次的授權管理1) 如同企業(yè)的工作職能分配，授權過程是自上而下的

17、2) 下級管理員的授權權不能超越其上級管理員的授權權管理員的授權權1) 功能權限2) 授權范圍：功能，組織，實體（數據權限資源），服務，用戶，角色授權權分解模式1) 可以在管理員間形成系統(tǒng)管理權分立：用戶管理員；權限管理員2) 可以沿組織層次：集團管理員à公司管理員、工廠管理員；也可以沿專業(yè)管理層次：集團管理員à預算權限管理員、財務權限管理員、人力資源權限管理員1. 授權權管理授權范圍細則· 功能：即可分配功能，指該管理員在為角色做功能權限分配時，可見的功能點、業(yè)務活動。· 資源實體：即可分配資源實體，指該管理員在為角色做數據權限分配時，可見的資源實體；

18、授權范圍中不描述到實體下的操作。· 組織范圍：可管理組織，是指該管理員在為角色做權限分配時，可見的組織。· 用戶范圍：即可管理用戶組，是指在做用戶修改和用戶共享時可見的用戶范圍是這些組下的用戶（用戶組的增刪改，用戶的增、刪不控制），在用戶關聯角色、角色關聯用戶時可見的用戶范圍是這些組下的用戶。· 角色范圍：分可使用的角色組和可維護的角色組；可維護的角色組是指在做角色修改和為角色做權限分配兩處可見的是這些組下的角色（角色組增、刪、改和角色增加、刪除可不控制權限）；可使用角色組是指在角色關聯用戶和繼承基準角色兩處可見的是這些組下的角色；1.3.6.3. 用戶管理1.

19、用戶權限獲得以RBAC為基本模型,兼顧靈活性· 用戶通過分配角色，獲得角色擁有的權限· 系統(tǒng)支持一個用戶關聯到兩個以上角色，即支持多角色的復合授權 · 一個用戶關聯到多個角色時，其擁有的權限是多個角色權限的并集· 打開開關,也允許直接對用戶授予權限(不通過角色)權限分配過程支持管理流程· 支持一個管理員的授權由另一個管理員審核 · 支持對一個員工的授權由其主管進行確認跨集團、跨組織的人員兼職授權· 方案是用戶共享：即把用戶共享到另一個集團，由對方集團的管理員關聯對方集團的角色從而獲得對方集團下的權限。· 集團內用戶

20、獲得多BU權限，只要有權限的管理員授予相應業(yè)務權限即可。2. 用戶與人員管理聯動用戶與人員的關聯關系· 目前產品中人員檔案和用戶已經是兩個檔案，我們不考慮進行整合 。· 業(yè)務用戶必須關聯人員檔案，即每個用戶必須在被指定人員檔案之后，才能關聯普通業(yè)務角色。· 一個人員檔案只能關聯一個用戶。· 集團級用戶指定人員檔案時默認在本集團（含所有BU）內人員選擇，兼職過來的人員也可以；BU級用戶默認在本BU內選擇，兼職過來的人員也可以。BU指什么？公司級？用戶與人員異動的關聯處理 · 人員檔案中的人員被封存或離職，應可以自動凍結其對應的用戶；·

21、人員檔案中的人員發(fā)生跨工作調配，應可以自動凍結其對應的用戶或做用戶調動；· 考慮將人員在不同集團的兼職，與其用戶共享到兼職集團做成聯動；3. 用戶的密碼管理注：該密碼管理策略不適用System和集團管理員用戶密碼控制策略· 密碼等級管理· 密碼強制規(guī)則· 重復密碼次數初始密碼策略設置 · 在應用服務器的管理工作臺的密碼策略增加一項：初始密碼規(guī)則；· 每一套密碼策略對應一套初始密碼規(guī)則；· 初始密碼規(guī)則支持內容可手工編輯，但支持“用戶編碼”“用戶名”“創(chuàng)建日期”3個變量；· 用戶創(chuàng)建時直接按照規(guī)則產生初始密碼，密碼不

22、允許修改；密碼重置· 針對用戶在使用過程中有忘記密碼的情況而設計，實施引導集團管理員才擁有；· 操作了密碼重置后，該用戶密碼按照其密碼級別對應的初始化密碼規(guī)則重新產生；· 密碼重置保留操作記錄：重置人、重置時間、被重置用戶；·  當該被重置用戶關聯了人員檔案記錄時，系統(tǒng)自動向該人員發(fā)送短信和郵件通知消息；1.3.7. 權限系統(tǒng)的其它特性 1.3.7.1. 二次權限認證-業(yè)務需求業(yè)務場景1：有權限的人登陸后，離開自己的機器，為防止其他人會冒名處理關鍵業(yè)務，為此需要二次認證重新核實身份業(yè)務場景2：在企業(yè)中一類單據需要一個審批過程，但是需要控制幾個核心審批環(huán)節(jié)，必須做二次認證，以保護核心業(yè)務。例如委托付款單的結算中心財務主管審核環(huán)節(jié)（非識別審批角色）。業(yè)務場景3：對于一些交易的關鍵數據進行操作時，需要強制CA認證，通常企業(yè)敏感的是對外支付