權(quán)限管理解決方案

1、 用友咨詢實(shí)施方法論權(quán)限管理解決方案-用友咨詢實(shí)施方法論2 / 12版本修訂：日期負(fù)責(zé)人版本說(shuō)明2014-09-181.0First Version，初稿，供參考使用確認(rèn)記錄：日期負(fù)責(zé)人版本說(shuō)明2014-10-152.0確認(rèn)的文檔 用友咨詢實(shí)施方法論目錄1.基礎(chǔ)原理42.權(quán)限管理的基礎(chǔ)概念43.權(quán)限架構(gòu)模型54.各級(jí)管理員及業(yè)務(wù)賬戶功能55.系統(tǒng)角色分類56.權(quán)限控制6二、各級(jí)管理員授權(quán)管理體系71.各級(jí)管理員管理與操作分工72.Root管理員操作審批流程73.超級(jí)管理員日常與密碼管理（待完成事項(xiàng)）74.系統(tǒng)管理員操作審批流程85.系統(tǒng)管理員日常與密碼管理（待完成事項(xiàng)）86.集團(tuán)管理員操作審批

2、流程97.集團(tuán)管理員日常與密碼管理（待完成事項(xiàng)）9三、用戶授權(quán)管理體系101.用戶賬戶授權(quán)管理體系102.本部及HK用戶賬戶授權(quán)處理流程103.區(qū)域用戶賬戶授權(quán)處理流程114.分公司用戶賬戶授權(quán)處理流程11四、各模塊授權(quán)體系（財(cái)務(wù)、供應(yīng)鏈、人力等各模塊）111.人力授權(quán)體系112.財(cái)務(wù)授權(quán)體系113.供應(yīng)鏈?zhǔn)跈?quán)體系123 / 12 用友咨詢實(shí)施方法論一、權(quán)限架構(gòu)原理與模型1. 基礎(chǔ)原理NCV60的權(quán)限模型是基于RBAC（Role-Based Access Control，基于角色的訪問(wèn)控制）設(shè)計(jì)實(shí)現(xiàn)的以角色為核心的權(quán)限產(chǎn)品體系。通過(guò)分配和取消角色來(lái)完成用戶權(quán)限的授予和取消，根據(jù)不同的職能崗位劃

3、分角色，資源訪問(wèn)許可被封裝在角色中。用戶通過(guò)賦予角色間接地訪問(wèn)系統(tǒng)資源和對(duì)系統(tǒng)資源進(jìn)行操作。授權(quán)者根據(jù)需要定義各種角色，并設(shè)置合適的訪問(wèn)權(quán)限。而用戶根據(jù)其工作性質(zhì)和職責(zé)再被指派為不同的角色，完成權(quán)限授予。這樣，整個(gè)訪問(wèn)控制過(guò)程就分成兩個(gè)部分，即訪問(wèn)權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的邏輯分離。獲取訪問(wèn)2. 權(quán)限管理的基礎(chǔ)概念 資源：是權(quán)限系統(tǒng)要保護(hù)的對(duì)象。系統(tǒng)中的資源，在本權(quán)限模型中主要有兩類資源，一類是資源實(shí)體，主要是各種業(yè)務(wù)對(duì)象，如銷售單、付款單等；一類是UI元素，例如節(jié)點(diǎn)、按鈕、頁(yè)簽 操作類型：對(duì)資源可能的訪問(wèn)方法，如增加、刪除、修改等維護(hù)操作 功能分兩層:功能

4、點(diǎn),業(yè)務(wù)活動(dòng)。業(yè)務(wù)活動(dòng)是對(duì)資源的操作，可以是資源實(shí)體與操作類型的二元組，如增加銷售單、修改銷售單等,是最細(xì)粒度的業(yè)務(wù)職責(zé);功能點(diǎn)是對(duì)應(yīng)一個(gè)FORM的、包含多個(gè)相關(guān)業(yè)務(wù)活動(dòng)的綜合功能包。 數(shù)據(jù)對(duì)象：具體的業(yè)務(wù)對(duì)象，如甲公司、乙部門(mén)等等，包括所有涉及到數(shù)據(jù)權(quán)限的對(duì)象值； 權(quán)限：角色/用戶可訪問(wèn)的資源及其操作，具體在我們產(chǎn)品中在部分通過(guò)功能權(quán)限和數(shù)據(jù)權(quán)限來(lái)體現(xiàn) 職責(zé)：某種業(yè)務(wù)職能（如庫(kù)管）具備的權(quán)限范圍，在系統(tǒng)中體現(xiàn)為一些和組織無(wú)關(guān)的功能點(diǎn)和業(yè)務(wù)活動(dòng)的集合。一般情況下，按企業(yè)相關(guān)職務(wù)的權(quán)限范圍來(lái)設(shè)計(jì)對(duì)應(yīng)的職責(zé)。 角色：為完成某種特定的業(yè)務(wù)職能（如倉(cāng)庫(kù)1的庫(kù)管）需要具備的權(quán)限范圍，在系統(tǒng)中體現(xiàn)為一些和

5、組織相關(guān)的職責(zé)，以及數(shù)據(jù)權(quán)限的范圍。一般情況下，可以按企業(yè)的崗位設(shè)置情況來(lái)規(guī)劃和定義角色。 角色組：角色的分類，單級(jí)次。主要用于管理員授權(quán)權(quán)范圍 用戶：參與系統(tǒng)活動(dòng)的主體，如人，系統(tǒng)等 用戶組：用戶的分類，多級(jí)次。主要用于管理員授權(quán)權(quán)范圍3. 權(quán)限架構(gòu)模型4. 各級(jí)管理員及業(yè)務(wù)賬戶功能 Root管理員：可進(jìn)行應(yīng)用系統(tǒng)的后臺(tái)管理。支持應(yīng)用系統(tǒng)密碼控制策略的配置、可以創(chuàng)建系統(tǒng)管理員。 系統(tǒng)管理員：創(chuàng)建集團(tuán)，維護(hù)集團(tuán)管理員，進(jìn)行系統(tǒng)初始化和配置基礎(chǔ)數(shù)據(jù)管控模式等。 集團(tuán)管理員：主要用于集團(tuán)范圍內(nèi)的權(quán)限設(shè)置、組織管理、基礎(chǔ)數(shù)據(jù)管理、流程建模、系統(tǒng)管理等。 集團(tuán)業(yè)務(wù)管理員：主要用于集團(tuán)整體業(yè)務(wù)規(guī)則的設(shè)置

6、等。 集團(tuán)系統(tǒng)管理員：主要用于集團(tuán)范圍內(nèi)的權(quán)限設(shè)置、組織管理等。 區(qū)域/分公司管理員：主要用于權(quán)限設(shè)置、組織管理、基礎(chǔ)數(shù)據(jù)管理、流程建模、系統(tǒng)管理、維護(hù)等。其權(quán)限及授權(quán)權(quán)范圍（可管理用戶組、可管理角色組、可轉(zhuǎn)授組織、可分配功能、可管理資源）是由創(chuàng)建他的管理員限定的。 業(yè)務(wù)賬戶：由集團(tuán)管理員、區(qū)域或分公司管理員創(chuàng)建，處理業(yè)務(wù)。5. 系統(tǒng)角色分類角色說(shuō)明主要業(yè)務(wù)授權(quán)方式備注系統(tǒng)管理員由系統(tǒng)管理員（Root用戶）創(chuàng)建和維護(hù)，是應(yīng)用系統(tǒng)的管理員，一個(gè)應(yīng)用系統(tǒng)可以有一個(gè)或多個(gè)應(yīng)用系統(tǒng)管理員創(chuàng)建集團(tuán)和集團(tuán)管理員進(jìn)行模塊啟用和配置基礎(chǔ)數(shù)據(jù)管控模式權(quán)限固定通過(guò)修改配置文件可在實(shí)施階段調(diào)整應(yīng)用系統(tǒng)管理員的功能權(quán)

7、限范圍集團(tuán)管理員可以創(chuàng)建很多個(gè), 由應(yīng)用系統(tǒng)管理員創(chuàng)建客戶化業(yè)務(wù)建模：（權(quán)限、組織、基礎(chǔ)數(shù)據(jù)、流程建模）系統(tǒng)管理、維護(hù)、工具產(chǎn)品系統(tǒng)默認(rèn)其功能權(quán)限和授權(quán)權(quán)范圍所擁有的功能權(quán)限由應(yīng)用系統(tǒng)管理員通過(guò)“集團(tuán)管理員功能范圍”進(jìn)行配置；授權(quán)權(quán)范圍是所管轄集團(tuán)下的所有用戶、角色、組織普通管理員由集團(tuán)管理員或有相應(yīng)權(quán)限的管理員創(chuàng)建；一個(gè)集團(tuán)下可以有多個(gè)管理員客戶化業(yè)務(wù)建模：（權(quán)限、組織、基礎(chǔ)數(shù)據(jù)、流程建模）系統(tǒng)管理、維護(hù)、工具產(chǎn)品由集團(tuán)管理員或擁有相應(yīng)授權(quán)權(quán)的管理員授權(quán)普通管理員只是一個(gè)擁有能夠進(jìn)行權(quán)限管理權(quán)限的普通用戶。功能權(quán)限不能大于對(duì)其授權(quán)的管理員；授權(quán)權(quán)范圍也是對(duì)其授權(quán)管理員授權(quán)權(quán)范圍的子集業(yè)務(wù)角色

8、可以由管理員創(chuàng)建；可以很多個(gè)業(yè)務(wù)擁有相應(yīng)授權(quán)權(quán)的管理員授權(quán)業(yè)務(wù)角色分管理類角色和業(yè)務(wù)類角色擁有全局級(jí)節(jié)點(diǎn)權(quán)限的用戶可以做全局級(jí)業(yè)務(wù)6. 權(quán)限控制 薪資預(yù)警：凡查看到用戶薪資的操作將自動(dòng)發(fā)送郵件至指定郵箱。 集團(tuán)管理員雙重身份驗(yàn)證：新建用戶及權(quán)限配置操作需通過(guò)兩個(gè)集團(tuán)管理員進(jìn)行雙重身份驗(yàn)證才可生效。二、各級(jí)管理員授權(quán)管理體系1. 各級(jí)管理員管理與操作分工為加強(qiáng)對(duì)各級(jí)管理員的管理，基于資訊科技部各組的工作分工，系統(tǒng)架構(gòu)組負(fù)責(zé)Root管理員、系統(tǒng)管理員的日常操作與管理，系統(tǒng)操作組負(fù)責(zé)集團(tuán)管理員的日常操作與管理，業(yè)務(wù)系統(tǒng)組負(fù)責(zé)規(guī)則制定。Root管理員系統(tǒng)管理員集團(tuán)管理員系統(tǒng)操作組OP系統(tǒng)架構(gòu)組OPOP

9、業(yè)務(wù)系統(tǒng)組MMMM整體管理（主要負(fù)責(zé)基本制度的制定等）O操作（主要負(fù)責(zé)日常操作）P密碼管理（主要負(fù)責(zé)密碼管理）2. Root管理員操作審批流程3. 超級(jí)管理員日常與密碼管理（待完成事項(xiàng)）系統(tǒng)架構(gòu)組 制定超級(jí)管理員密碼管理規(guī)范 密碼由兩位同事共同管理，每人掌握一半密碼 日常嚴(yán)格封存該賬戶，如操作需取得相關(guān)領(lǐng)導(dǎo)審批后，由指定人員操作并進(jìn)行記錄 嚴(yán)格按照審批流程處理各類申請(qǐng)業(yè)務(wù)系統(tǒng)組 制定超級(jí)管理員管理規(guī)范 制定并按需更新業(yè)務(wù)操作申請(qǐng)表4. 系統(tǒng)管理員操作審批流程填寫(xiě)申請(qǐng)表分析評(píng)估批示記錄操作業(yè)務(wù)或功能測(cè)試測(cè)試成功測(cè)試不成功反饋反饋架構(gòu)組再行操作或聯(lián)系用友解決信息辦系統(tǒng)架構(gòu)組業(yè)務(wù)系統(tǒng)組主管經(jīng)理記錄5

10、. 系統(tǒng)管理員日常與密碼管理（待完成事項(xiàng)）系統(tǒng)架構(gòu)組 制定系統(tǒng)管理員密碼管理規(guī)范 密碼由兩位同事共同管理，每人掌握一半密碼 每三個(gè)月由兩位同事共同修改密碼 如操作需取得相關(guān)領(lǐng)導(dǎo)審批后，由指定人員操作并進(jìn)行記錄 嚴(yán)格按照審批流程處理各類申請(qǐng)業(yè)務(wù)系統(tǒng)組 制定系統(tǒng)管理員管理規(guī)范 制定并按需更新業(yè)務(wù)操作申請(qǐng)表6. 集團(tuán)管理員操作審批流程A. 區(qū)域與分公司申請(qǐng)?zhí)幚砹鞒蹋ùǎ┨顚?xiě)申請(qǐng)表并得到業(yè)務(wù)線領(lǐng)導(dǎo)的審批復(fù)核審核反饋操作與記錄測(cè)試與使用信息辦系統(tǒng)操作組業(yè)務(wù)系統(tǒng)組主管經(jīng)理如有問(wèn)題反饋業(yè)務(wù)系統(tǒng)組跟進(jìn)B. 用戶賬戶申請(qǐng)?zhí)幚砹鞒烫顚?xiě)申請(qǐng)表并得到業(yè)務(wù)線領(lǐng)導(dǎo)的審批復(fù)核審核反饋操作與記錄測(cè)試與使用信息辦系統(tǒng)操作組業(yè)

11、務(wù)系統(tǒng)組主管經(jīng)理管理員賬戶業(yè)務(wù)賬戶如有問(wèn)題反饋業(yè)務(wù)系統(tǒng)組跟進(jìn)7. 集團(tuán)管理員日常與密碼管理（待完成事項(xiàng)）系統(tǒng)操作組 制定集團(tuán)管理員密碼管理規(guī)范并嚴(yán)格執(zhí)行 日常操作記錄由指定人員管理 每三個(gè)月修改一次密碼 定期公布用戶賬戶日常使用情況統(tǒng)計(jì) 嚴(yán)格按照審批流程處理各類申請(qǐng)業(yè)務(wù)系統(tǒng)組 制定集團(tuán)管理員管理規(guī)范 制定并按需更新用戶賬戶授權(quán)申請(qǐng)表、區(qū)域與分公司管理員授權(quán)申請(qǐng)表三、用戶授權(quán)管理體系1. 用戶賬戶授權(quán)管理體系NC賬戶新建賬戶建立流程權(quán)限授予本部賬戶新建先建AD，后通過(guò)NC同步NC中直接授予分公司賬戶新建（有AD情況）直接通過(guò)NC同步NC中直接授予分公司賬戶新建（無(wú)AD情況）先建AD，后通過(guò)NC同步NC中直接授予NC賬戶登錄（除超級(jí)管理員、系統(tǒng)管理員外） 系統(tǒng)：賬套 NC賬號(hào)： AD登錄用戶賬戶 NC密碼： AD登錄用戶賬戶密碼 NC驗(yàn)證碼： 隨機(jī)生成的4位大寫(xiě)字母2. 本部及HK用戶賬戶授權(quán)處理流程申請(qǐng)對(duì)象發(fā)起審核審批操作本部及HK一般人員信息辦授權(quán)崗位或業(yè)務(wù)部門(mén)指定人員直接領(lǐng)導(dǎo)主管領(lǐng)導(dǎo)集團(tuán)管理員本部及HK高層信息辦授權(quán)崗位或業(yè)務(wù)部門(mén)指定人員IT經(jīng)理-集團(tuán)管理員3. 區(qū)域用戶賬戶授權(quán)處理流程申請(qǐng)對(duì)象發(fā)起審核審批操作區(qū)域一般人員信息辦授權(quán)崗位或區(qū)域指定人員直接領(lǐng)導(dǎo)區(qū)域總區(qū)域管