《ERP項(xiàng)目管理與實(shí)施》課件第9章

9.1ERP系統(tǒng)管理下的崗位制度9.2根據(jù)崗位分配用戶(hù)權(quán)限

本章小結(jié)

習(xí)題

9.1.1企業(yè)管理制度變革的必然性

當(dāng)今企業(yè)的生存與發(fā)展面臨著巨大的壓力，主要的壓力有以下幾個(gè)方面。

1.競(jìng)爭(zhēng)環(huán)境復(fù)雜多變

競(jìng)爭(zhēng)環(huán)境復(fù)雜多變集中表現(xiàn)在兩個(gè)方面，一方面是全球化趨勢(shì)，另一方面是電子商務(wù)的出現(xiàn)。全球化生產(chǎn)是未來(lái)制造業(yè)的一個(gè)趨勢(shì)。世界各大汽車(chē)制造商已經(jīng)開(kāi)始實(shí)行零部件的“全球采購(gòu)”，通過(guò)全球范圍內(nèi)的專(zhuān)業(yè)化分工與合作，大型制造商可以獲得質(zhì)量最好、價(jià)格最低的部件，從而降低整車(chē)成本。9.1ERP系統(tǒng)管理下的崗位制度中國(guó)進(jìn)入WTO以后，對(duì)于中國(guó)的企業(yè)來(lái)說(shuō)，既是一次機(jī)遇，也是一次挑戰(zhàn)，我們的企業(yè)會(huì)與跨國(guó)企業(yè)在同一起跑線(xiàn)上同臺(tái)競(jìng)爭(zhēng)，外國(guó)企業(yè)進(jìn)入中國(guó)市場(chǎng)與中國(guó)企業(yè)競(jìng)爭(zhēng)，同時(shí)中國(guó)也應(yīng)該走出國(guó)門(mén)與其他國(guó)家的企業(yè)競(jìng)爭(zhēng)。電子商務(wù)是近年來(lái)出現(xiàn)的另一個(gè)商務(wù)模式，這種商務(wù)模式不但改變了企業(yè)的經(jīng)營(yíng)方式，同時(shí)也改變了人們的消費(fèi)方式。在電子商務(wù)環(huán)境下，企業(yè)需要思考新的經(jīng)營(yíng)策略、產(chǎn)品及企業(yè)業(yè)務(wù)流程，以便發(fā)展出一個(gè)新的管理模式。

2.滿(mǎn)足用戶(hù)需求的難度增加

現(xiàn)在的用戶(hù)對(duì)企業(yè)產(chǎn)品的需求也發(fā)生了變化，因?yàn)槿藗兊挠^(guān)念在改變，消費(fèi)者對(duì)企業(yè)產(chǎn)品的要求是產(chǎn)品交貨期要短，價(jià)格要低，質(zhì)量要高，服務(wù)要好，同時(shí)要有個(gè)性化。一句話(huà)，消費(fèi)者的要求不僅僅是比較價(jià)格或質(zhì)量，而是多方位的、全面的，特別是個(gè)性化的需求是當(dāng)今用戶(hù)需求的新特點(diǎn)。為此企業(yè)要建立快速響應(yīng)用戶(hù)需求的生產(chǎn)系統(tǒng)，這種生產(chǎn)系統(tǒng)就是敏捷制造與顧客化大規(guī)模定制生產(chǎn)模式。企業(yè)只有提高制造的敏捷響應(yīng)速度以實(shí)現(xiàn)顧客化需求，才能在未來(lái)的市場(chǎng)競(jìng)爭(zhēng)中立于不敗之地。

3.社會(huì)對(duì)企業(yè)的要求增加

人類(lèi)社會(huì)發(fā)展到今天，創(chuàng)造了不朽的科學(xué)技術(shù)與文化，人類(lèi)利用地球給予我們的資源來(lái)發(fā)展經(jīng)濟(jì)、創(chuàng)造文明的同時(shí)，也在不自覺(jué)地破壞了我們賴(lài)以生存的自然，這是工業(yè)化帶來(lái)的后果。當(dāng)今一個(gè)全球關(guān)注的問(wèn)題突現(xiàn)在我們面前，這就是可持續(xù)發(fā)展——我們不僅要發(fā)展經(jīng)濟(jì)滿(mǎn)足當(dāng)代人的物質(zhì)需求，更應(yīng)該保護(hù)子孫后代將要繼續(xù)生存與發(fā)展的自然資源。制造業(yè)在可持續(xù)發(fā)展戰(zhàn)略中擔(dān)負(fù)著不可推卸的歷史責(zé)任，這是社會(huì)對(duì)企業(yè)提出的新的要求。為此，制造業(yè)的生產(chǎn)制造方式要發(fā)生改變，要從粗放的生產(chǎn)轉(zhuǎn)向精細(xì)化生產(chǎn)，減少資源的浪費(fèi)，建立綠色清潔的制造系統(tǒng)與生產(chǎn)系統(tǒng)。面對(duì)這些壓力，許多企業(yè)都在尋求新的管理模式與管理手段，而信息技術(shù)和信息系統(tǒng)是達(dá)到目標(biāo)的必備手段和工具，ERP就是一個(gè)典型的代表。它不但是一個(gè)綜合的企業(yè)管理信息系統(tǒng)軟件，更為重要的是它是先進(jìn)的管理的典范。ERP融系統(tǒng)化管理、集成化管理、網(wǎng)絡(luò)化與全球化管理，業(yè)務(wù)流程重組等管理理論為一體，實(shí)現(xiàn)企業(yè)資源的開(kāi)發(fā)性管理與全局優(yōu)化。

ERP的核心理念是供應(yīng)鏈管理，而供應(yīng)鏈管理是一種新的管理理念，它強(qiáng)調(diào)在供應(yīng)商、制造商、分銷(xiāo)商、用戶(hù)之間形成一種合作性競(jìng)爭(zhēng)模式。它的基本思想集中體現(xiàn)在三個(gè)方面：集成性、系統(tǒng)性、協(xié)調(diào)性。供應(yīng)鏈管理第一個(gè)基本特征是集成性，即通過(guò)企業(yè)部門(mén)與部門(mén)之間、企業(yè)之間的集成(這種集成包括物流、工作流、信息流、資金流等的集成)實(shí)現(xiàn)資源優(yōu)化。從物質(zhì)資源管理的角度看，供應(yīng)鏈管理強(qiáng)調(diào)的是跳出企業(yè)的邊界，建立跨部門(mén)、跨企業(yè)的聯(lián)合，即建立擴(kuò)展型企業(yè)EE(ExtendedEnterprise)，企業(yè)資源的優(yōu)化空間從局部向全局?jǐn)U展，拓展資源的利用范圍，利用業(yè)務(wù)外包、動(dòng)態(tài)聯(lián)盟等新的管理手段，實(shí)現(xiàn)社會(huì)資源利用的最大化。從信息資源的利用角度看，供應(yīng)鏈管理實(shí)現(xiàn)了跨企業(yè)的信息共享與同步響應(yīng)，即實(shí)現(xiàn)了信息資源的共享性集成，消除了信息孤島現(xiàn)象。除了物質(zhì)資源、信息資源的共享集成外，對(duì)人力資源、技術(shù)資源等都可以通過(guò)建立供應(yīng)鏈聯(lián)盟實(shí)現(xiàn)優(yōu)化配置。傳統(tǒng)的信息系統(tǒng)無(wú)法滿(mǎn)足供應(yīng)鏈管理這種要求，ERP為供應(yīng)鏈的資源共享集成與優(yōu)化配置提供了有力的工具。

供應(yīng)鏈管理的第二個(gè)基本特征是系統(tǒng)性。系統(tǒng)化管理是強(qiáng)調(diào)把企業(yè)的各個(gè)部門(mén)、各個(gè)合作伙伴的經(jīng)營(yíng)活動(dòng)都要從供應(yīng)鏈整體的角度出發(fā)進(jìn)行規(guī)劃與控制，局部的優(yōu)化并不能獲得企業(yè)的最優(yōu)產(chǎn)出效果。因此，供應(yīng)鏈管理提倡“雙贏(yíng)”(Win-Win)的合作模式，并且對(duì)供應(yīng)鏈的評(píng)價(jià)也從供應(yīng)鏈的整體角度去考察。傳統(tǒng)的企業(yè)管理信息系統(tǒng)(MIS)的建設(shè)主要是從單個(gè)部門(mén)的角度進(jìn)行規(guī)劃的，缺乏對(duì)供應(yīng)鏈的整體資源優(yōu)化能力，而ERP從供應(yīng)鏈的上游供應(yīng)商管理到下游的客戶(hù)關(guān)系管理，都從供應(yīng)鏈系統(tǒng)的角度去優(yōu)化，保證了企業(yè)獲得真正的全局資源優(yōu)化。

供應(yīng)鏈管理的第三個(gè)基本特征就是協(xié)調(diào)性。供應(yīng)鏈管理強(qiáng)調(diào)合作，但是合作如果沒(méi)有協(xié)調(diào)機(jī)制作為保證，合作就很難長(zhǎng)久，因此供應(yīng)鏈管理需要協(xié)調(diào)。供應(yīng)鏈的協(xié)調(diào)從職能上看，包括供應(yīng)與制造的協(xié)調(diào)、制造與分銷(xiāo)的協(xié)調(diào)、多點(diǎn)庫(kù)存的協(xié)調(diào)；從協(xié)調(diào)的手段看，包括信息協(xié)調(diào)與非信息的協(xié)調(diào)。

既然ERP是新的管理理念和信息技術(shù)的結(jié)合，那么其應(yīng)用必然會(huì)使企業(yè)原有的管理制度發(fā)生變革，管理制度的變革又為ERP的有效使用打下良好的基礎(chǔ)。ERP系統(tǒng)上線(xiàn)后，如何保證其功能最大限度地發(fā)揮，“制度化”是很重要的一點(diǎn)。只有建立合理的系統(tǒng)運(yùn)行管理制度，才能保證ERP系統(tǒng)的穩(wěn)定運(yùn)行，達(dá)到預(yù)期效果，從而避免系統(tǒng)越運(yùn)行越混亂的現(xiàn)象。企業(yè)信息化系統(tǒng)的運(yùn)行管理工作主要包括日常運(yùn)行管理、運(yùn)行情況記錄以及對(duì)系統(tǒng)運(yùn)行情況進(jìn)行檢查與評(píng)價(jià)三方面內(nèi)容。日常運(yùn)行管理工作十分繁重，一般包括數(shù)據(jù)的收集、例行的信息處理及服務(wù)工作、計(jì)算機(jī)本身的運(yùn)行與維護(hù)、系統(tǒng)的安全管理等四項(xiàng)任務(wù)。這四項(xiàng)任務(wù)必須通過(guò)制定嚴(yán)格的規(guī)范來(lái)執(zhí)行。另外，常常有一些臨時(shí)性的信息服務(wù)要求會(huì)向信息系統(tǒng)提出，這些信息服務(wù)不在系統(tǒng)的日常工作范圍之內(nèi)但卻可能很重要，因此通過(guò)制定具有彈性的規(guī)范來(lái)滿(mǎn)足這種要求也不可或缺。運(yùn)行情況的記錄對(duì)系統(tǒng)管理、評(píng)價(jià)是十分重要和寶貴的資料，企業(yè)相關(guān)的主管人員應(yīng)該從系統(tǒng)運(yùn)行的開(kāi)始就注意積累系統(tǒng)運(yùn)行情況的詳細(xì)材料。一般需要收集和積累的資料包括以下方面：有關(guān)工作數(shù)量的信息，如開(kāi)機(jī)時(shí)間、報(bào)表數(shù)量、系統(tǒng)中積累的數(shù)據(jù)量等；有關(guān)工作效率的信息，如系統(tǒng)所提供的信息服務(wù)的質(zhì)量、系統(tǒng)的維護(hù)修改情況、系統(tǒng)的故障情況等。對(duì)系統(tǒng)運(yùn)行情況的檢查與評(píng)價(jià)能為系統(tǒng)的改進(jìn)、擴(kuò)展及后續(xù)開(kāi)發(fā)提供依據(jù)。這項(xiàng)工作應(yīng)該在“一把手”的直接領(lǐng)導(dǎo)下，由系統(tǒng)分析員或?qū)ｉT(mén)的審計(jì)人員會(huì)同各類(lèi)開(kāi)發(fā)人員和業(yè)務(wù)部門(mén)經(jīng)理共同參與，定期進(jìn)行。需要強(qiáng)調(diào)的是，信息化系統(tǒng)的管理不僅僅是對(duì)計(jì)算機(jī)硬件進(jìn)行管理，更重要的是對(duì)人員、數(shù)據(jù)及軟件的管理。9.1.2制定新的崗位制度

在結(jié)合企業(yè)實(shí)際和對(duì)ERP運(yùn)行管理內(nèi)容有深刻認(rèn)識(shí)的基礎(chǔ)之上，在ERP實(shí)施的前期應(yīng)制定相關(guān)制度。從而保證系統(tǒng)正常運(yùn)行、員工職責(zé)明確，以及系統(tǒng)的穩(wěn)定性和安全性。

首先是“信息中心”管理制度的建立。對(duì)于實(shí)施ERP的企業(yè)來(lái)說(shuō)，用于運(yùn)行信息系統(tǒng)這樣的“重地”應(yīng)該有嚴(yán)格的管理制度。這種制度一般包括如下內(nèi)容：什么人員才能出入及出入時(shí)間的規(guī)定，出入人員對(duì)系統(tǒng)操作行為的規(guī)定，計(jì)算機(jī)硬件設(shè)施的管理措施，安全的措施等等。其次是對(duì)企業(yè)人員管理的制度。應(yīng)使每一位操作計(jì)算機(jī)的人員養(yǎng)成遵守管理制度的習(xí)慣，將其工作職責(zé)以條款的形式予以明確，并且有必要對(duì)員工進(jìn)行考核和檢查，以使其完成工作任務(wù)。

另外，對(duì)于系統(tǒng)中的數(shù)據(jù)管理也是極其重要的，應(yīng)該有相應(yīng)的規(guī)章制度。對(duì)于企業(yè)來(lái)說(shuō)，某些數(shù)據(jù)可能意味著重大商機(jī)，對(duì)這類(lèi)數(shù)據(jù)應(yīng)該規(guī)定查看權(quán)限和操作權(quán)限，以防止企業(yè)因此受損。數(shù)據(jù)管理還包括數(shù)據(jù)備份，這是保證系統(tǒng)安全的一個(gè)重要措施，它能夠保證在系統(tǒng)發(fā)生故障后能恢復(fù)到最近的系統(tǒng)狀態(tài)。對(duì)數(shù)據(jù)備份也應(yīng)該寫(xiě)入管理制度中，比如多久備份一次等。最后，就是對(duì)信息系統(tǒng)運(yùn)行的檔案管理，主要包括系統(tǒng)開(kāi)發(fā)階段的可行性分析報(bào)告、系統(tǒng)說(shuō)明書(shū)、系統(tǒng)設(shè)計(jì)說(shuō)明書(shū)、程序清單、測(cè)試報(bào)告、用戶(hù)手冊(cè)、操作說(shuō)明、評(píng)價(jià)報(bào)告、運(yùn)行日記、維護(hù)日志等。這些文檔的管理同樣很重要，因?yàn)檫@些文檔保證了系統(tǒng)的可追溯性。相關(guān)檔案的借閱也必須建立嚴(yán)格的管理制度和必要的控制手段。9.2.1ERP系統(tǒng)的權(quán)限管理

一般的ERP系統(tǒng)中都對(duì)系統(tǒng)的權(quán)限進(jìn)行了管理，例如K/3系統(tǒng)中的權(quán)限管理提供了功能權(quán)限、數(shù)據(jù)權(quán)限、字段權(quán)限等多種方式，以滿(mǎn)足不同組織機(jī)構(gòu)對(duì)用戶(hù)的不同要求。

1.功能權(quán)限

功能權(quán)限是指對(duì)各子系統(tǒng)中功能模塊的操作權(quán)限，只有當(dāng)用戶(hù)擁有了子系統(tǒng)功能模塊的功能權(quán)限時(shí)，才能進(jìn)行對(duì)應(yīng)模塊的功能操作。功能權(quán)限的授權(quán)界面如圖9-1所示。9.2根據(jù)崗位分配用戶(hù)權(quán)限圖9-1功能權(quán)限的授權(quán)界面

“用戶(hù)管理_權(quán)限管理”界面的授權(quán)是一種快捷的授權(quán)方式，如果不進(jìn)行明細(xì)的授權(quán)則可以在此處授權(quán)，否則點(diǎn)擊“高級(jí)”按鈕直接在“用戶(hù)權(quán)限”界面中授權(quán)。功能權(quán)限的高級(jí)管理界面如圖9-2所示。圖9-2功能權(quán)限的高級(jí)管理界面

2.數(shù)據(jù)權(quán)限

數(shù)據(jù)權(quán)限是指對(duì)系統(tǒng)中具體數(shù)據(jù)的操作權(quán)限，分為數(shù)據(jù)查詢(xún)權(quán)、數(shù)據(jù)修改權(quán)、數(shù)據(jù)刪除權(quán)。系統(tǒng)中默認(rèn)所有數(shù)據(jù)均不進(jìn)行數(shù)據(jù)權(quán)限控制，用戶(hù)擁有數(shù)據(jù)類(lèi)別的功能操作權(quán)限就可以進(jìn)行該類(lèi)別下所有數(shù)據(jù)的操作。數(shù)據(jù)權(quán)限控制范圍包括基礎(chǔ)資料、BOM、等基礎(chǔ)資料?！霸O(shè)置數(shù)據(jù)權(quán)限控制”界面如圖9-3所示。圖9-3數(shù)據(jù)權(quán)限的設(shè)置界面當(dāng)授權(quán)用戶(hù)在【數(shù)據(jù)權(quán)限】菜單的【設(shè)置數(shù)據(jù)權(quán)限控制】功能中設(shè)置了該數(shù)據(jù)類(lèi)型【啟用數(shù)據(jù)權(quán)限控制】后才進(jìn)行數(shù)據(jù)權(quán)限檢查，這時(shí)只有同時(shí)擁有該數(shù)據(jù)類(lèi)別的功能操作權(quán)限和指定明細(xì)數(shù)據(jù)相應(yīng)的數(shù)據(jù)權(quán)限，才能對(duì)該數(shù)據(jù)進(jìn)行相應(yīng)的操作。圖9-4為針對(duì)“公共基礎(chǔ)資料”——“客戶(hù)”采用“按明細(xì)數(shù)據(jù)授權(quán)”方式進(jìn)行授權(quán)操作的示意圖。圖9-4“按明細(xì)數(shù)據(jù)授權(quán)”設(shè)置界面

3.字段權(quán)限

字段權(quán)限是指各子系統(tǒng)中某數(shù)據(jù)類(lèi)別的字段操作權(quán)限，默認(rèn)系統(tǒng)不進(jìn)行字段權(quán)限檢查。當(dāng)授權(quán)用戶(hù)對(duì)指定字段設(shè)置了字段權(quán)限控制后，用戶(hù)可對(duì)該數(shù)據(jù)類(lèi)別的指定字段進(jìn)行操作及權(quán)限檢查。在系統(tǒng)中，可以進(jìn)行字段授權(quán)的數(shù)據(jù)包括公共基礎(chǔ)資料(僅為核算項(xiàng)目)、BOS基礎(chǔ)資料和BOS單據(jù)。字段權(quán)限的授權(quán)界面如圖9-5所示。圖9-5字段權(quán)限的授權(quán)界面9.2.2根據(jù)用戶(hù)的崗位分配用戶(hù)權(quán)限

可以采用基于角色的訪(fǎng)問(wèn)控制(RoleBasedAccessControl，RBAC)的基本思想來(lái)進(jìn)行用戶(hù)權(quán)限的管理與分配。RBAC方法是目前公認(rèn)的解決大型企業(yè)統(tǒng)一資源訪(fǎng)問(wèn)控制的有效方法，其顯著的兩大特征是：①減小授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷(xiāo)；②靈活地支持企業(yè)的安全策略，并對(duì)企業(yè)的變化有很大的伸縮性。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(TheNationalInstituteofStandardsandTechnology，NIST)標(biāo)準(zhǔn)RBAC模型由四個(gè)部件模型組成，這四個(gè)部件模型分別是基本模型RBAC0(CoreRBAC)、角色分級(jí)模型RBAC1(HierarchalRBAC)、角色限制模型RBAC2(ConstraintRBAC)和統(tǒng)一模型RBAC3(CombinedRBAC)。RBAC0模型如圖9-6所示。圖9-6RBAC0模型

RBAC0定義了能構(gòu)成一個(gè)RBAC控制系統(tǒng)的最小的元素集合。在RBAC之中，包含用戶(hù)USERS(Users)、角色ROLES(Roles)、目標(biāo)OBS(Objects)、操作OPS(Operations)、許可權(quán)PRMS(Permissions)五個(gè)基本數(shù)據(jù)元素，權(quán)限被賦予角色而不是用戶(hù)，當(dāng)一個(gè)角色被指定給一個(gè)用戶(hù)時(shí)，此用戶(hù)就擁有了該角色所包含的權(quán)限。會(huì)話(huà)(Sessions)是用戶(hù)與激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪(fǎng)問(wèn)控制的差別在于增加了一層間接性，因此帶來(lái)了更大的靈活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴(kuò)展。

RBAC1引入角色間的繼承關(guān)系，角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。RBAC2模型中添加了責(zé)任分離關(guān)系。RBAC2的約束規(guī)定了權(quán)限被賦予角色時(shí)，或角色被賦予用戶(hù)時(shí)，以及當(dāng)用戶(hù)在某一時(shí)刻激活一個(gè)角色時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。責(zé)任分離包括靜態(tài)責(zé)任分離和動(dòng)態(tài)責(zé)任分離。約束與用戶(hù)-角色-權(quán)限關(guān)系一起決定了RBAC2模型中用戶(hù)的訪(fǎng)問(wèn)許可。

RBAC3包含了RBAC1和RBAC2，既提供了角色間的繼承關(guān)系，又提供了責(zé)任分離關(guān)系。

根據(jù)RBAC模型的權(quán)限設(shè)計(jì)思想，可以建立權(quán)限管理系統(tǒng)的核心對(duì)象模型。對(duì)象模型中包含的基本元素主要有用戶(hù)、用戶(hù)組、角色、目標(biāo)、訪(fǎng)問(wèn)模式、操作。主要的關(guān)系有角色權(quán)限分配(PermissionAssignment，PA)、用戶(hù)角色分配(UsersAssignmen，UA)。RBAC設(shè)計(jì)模型如圖9-7所示。圖9-7RBAC設(shè)計(jì)模型圖9-7中各主要元素的描述如下：

(1)控制對(duì)象：系統(tǒng)所要保護(hù)的資源(Resource)，可以被訪(fǎng)問(wèn)的對(duì)象。資源的定義需要注意以下兩個(gè)問(wèn)題：

①資源具有層次關(guān)系和包含關(guān)系。例如，網(wǎng)頁(yè)是資源，網(wǎng)頁(yè)上的按鈕、文本框等對(duì)象也是資源，是網(wǎng)頁(yè)節(jié)點(diǎn)的子節(jié)點(diǎn)，若能訪(fǎng)問(wèn)按鈕，則必須也能訪(fǎng)問(wèn)頁(yè)面。②這里提及的資源概念是指資源的類(lèi)別(ResourceClass)，而不是某個(gè)特定資源的實(shí)例(ResourceInstance)。資源的類(lèi)別和資源的實(shí)例的區(qū)分，以及資源的粒度的細(xì)分，有利于確定權(quán)限管理系統(tǒng)和應(yīng)用系統(tǒng)之間的管理邊界，權(quán)限管理系統(tǒng)需要對(duì)資源的類(lèi)別進(jìn)行權(quán)限管理，而應(yīng)用系統(tǒng)需要對(duì)特定資源的實(shí)例進(jìn)行權(quán)限管理。兩者的區(qū)分主要是基于以下兩點(diǎn)

考慮：一方面，資源實(shí)例的權(quán)限常具有資源的相關(guān)性，即根據(jù)資源實(shí)例和訪(fǎng)問(wèn)資源的主體之間的關(guān)聯(lián)關(guān)系，才可能進(jìn)行資源的實(shí)例權(quán)限判斷。例如，在管理信息系統(tǒng)中，需要按照營(yíng)業(yè)區(qū)域劃分不同部門(mén)的客戶(hù)，A區(qū)和B區(qū)都具有修改客戶(hù)資料這一受控的資源，這里“客戶(hù)檔案資料”屬于資源類(lèi)別的范疇。如果規(guī)定A區(qū)只能修改A區(qū)管理的客戶(hù)資料，就必須要區(qū)分出資料的歸屬，這里的資源屬于資源實(shí)例的范疇。客戶(hù)檔案(資源)本身應(yīng)該有其使用者的信息(客戶(hù)資料可能就含有營(yíng)業(yè)區(qū)域這一屬性)，才能區(qū)分特定資源的實(shí)例操作，可以修改屬于自己管轄的信息內(nèi)容。另一方面，資源的實(shí)例權(quán)限常具有相當(dāng)大的業(yè)務(wù)邏輯相關(guān)性，對(duì)不同的業(yè)務(wù)邏輯，常常意味著完全不同的權(quán)限判定原則和策略。

(2)訪(fǎng)問(wèn)模式：對(duì)受保護(hù)的資源操作的訪(fǎng)問(wèn)許可(Access

Permission)，是綁定在特定的資源實(shí)例上的。對(duì)應(yīng)地，訪(fǎng)問(wèn)策略(AccessStrategy)和資源類(lèi)別相關(guān)，不同的資源類(lèi)別可能采用不同的訪(fǎng)問(wèn)模式。例如，頁(yè)面具有能打開(kāi)、不能打開(kāi)的訪(fǎng)問(wèn)模式，按鈕具有可用、不可用的訪(fǎng)問(wèn)模式，文本編輯框具有可編輯、不可編輯的訪(fǎng)問(wèn)模式。同一資源的訪(fǎng)問(wèn)策略可能存在排斥和包含關(guān)系。例如，某個(gè)數(shù)據(jù)集的可修改訪(fǎng)問(wèn)模式就包含了可查詢(xún)?cè)L問(wèn)模式。

(3)用戶(hù)：權(quán)限的擁有者或主體。用戶(hù)和權(quán)限實(shí)現(xiàn)分離，通過(guò)授權(quán)管理進(jìn)行綁定。

(4)用戶(hù)組：一組用戶(hù)的集合。在業(yè)務(wù)邏輯的判斷中，可以實(shí)現(xiàn)基于個(gè)人身份或組的身份進(jìn)行判斷。系統(tǒng)弱化了用戶(hù)組的概念，主要實(shí)現(xiàn)了用戶(hù)(個(gè)人的身份)的方式。

(5)角色：權(quán)限分配的單位與載體。角色通過(guò)繼承關(guān)系支持分級(jí)的權(quán)限實(shí)現(xiàn)。例如，科長(zhǎng)角色同時(shí)具有科長(zhǎng)角色、科內(nèi)不同業(yè)務(wù)人員角色。

(6)操作：完成資源的類(lèi)別和訪(fǎng)問(wèn)策略之間的綁定。

(7)角色權(quán)限分配(PA)：實(shí)現(xiàn)操作和角色之間的關(guān)聯(lián)關(guān)系映射。

(8)用戶(hù)角色分配(UA)：實(shí)現(xiàn)用戶(hù)和角色之間的關(guān)聯(lián)關(guān)系映射。該對(duì)象模型最終將訪(fǎng)問(wèn)控制模型轉(zhuǎn)化為訪(fǎng)問(wèn)矩陣形式。訪(fǎng)問(wèn)矩陣中的行對(duì)應(yīng)于用戶(hù)，列對(duì)應(yīng)于操作，每個(gè)矩陣元素規(guī)定了相應(yīng)的角色，對(duì)應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪(fǎng)問(wèn)許可、實(shí)施行為。按訪(fǎng)問(wèn)矩陣中的行看，是訪(fǎng)問(wèn)能力表(AccessCapabilit