1、閱讀使人充實，會談使人敏捷，寫作使人精確。培根權限管理解決方案-用友咨詢實施方法論版本修訂:日期負責人版本說明2014-09-181.0First Version ,初稿，供參考使用確認記錄:日期負責人版本說明2014-10-152.0確認的文檔學問是異常珍貴的東西，從任何源泉吸收都不可恥。阿卜日法拉茲目錄1. 基礎原理 2. 權限管理的基礎概念3. 權限架構模型4. 各級管理員及業務賬戶功能5. 系統角色分類6. 權限控制 1. 各級管理員管理與操作分工2. Root 管理員操作審批流程 3. 超級管理員日常與密碼管理（待完成事項） 4. 系統管理員操作審批流程5. 系統管理員日常與密碼管理

2、（待完成事項） 6. 集團管理員操作審批流程7. 集團管理員日常與密碼管理（待完成事項） 1. 用戶賬戶授權管理體系 2. 本部及HK用戶賬戶授權處理流程 3. 區域用戶賬戶授權處理流程4. 分公司用戶賬戶授權處理流程1. 人力授權體系 2. 財務授權體系 3. 供應鏈授權體系 、權限架構原理與模型1 . 基礎原理NCV60的權限模型是基于 RBAC（Role-Based Access Control ,基于角色的訪問控制）設計實現的以角色為核心的權限產品體系。通過分配和取消角色來完成用戶權限的授予和取消，根據不同的職能崗位劃分角色，資源訪問許可被封裝 在角色中。用戶通過賦予角色間接地訪問系統

3、資源和對系統資源進行操作。授權者根據需要定義各種角色，并 設置合適的訪問權限。而用戶根據其工作性質和職責再被指派為不同的角色，完成權限授予。這樣，整個訪問 控制過程就分成兩個部分，即訪問權限與角色相關聯，角色再與用戶關聯，從而實現了用戶與訪問權限的邏輯分離。2 .權限管理的基礎概念資源：是權限系統要保護的對象。系統中的資源，在本權限模型中主要有兩類資源，一類是資源實體，主要是各種業務對象，如銷售單、付款單等；一類是 UI元素，例如節點、按鈕、頁簽操作類型：對資源可能的訪問方法，如增加、刪除、修改等維護操作功能分兩層：功能點，業務活動。業務活動是對資源的操作，可以是資源實體與操作類型的二元組，如

4、增加銷售單、修改銷售單等，是最細粒度的業務職責；功能點是對應一個 FORM的、包含多個相關業務活動的綜合功能包。數據對象：具體的業務對象，如甲公司、乙部門等等，包括所有涉及到數據權限的對象值；權限：角色/用戶可訪問的資源及其操作，具體在我們產品中在部分通過功能權限和數據權限來體現職責：某種業務職能（如庫管）具備的權限范圍，在系統中體現為一些和組織無關的功能點和業務活動的集合。一般情況下，按企業相關職務的權限范圍來設計對應的職責。角色：為完成某種特定的業務職能（如倉庫1的庫管）需要具備的權限范圍，在系統中體現為一些和組織相關的職責，以及數據權限的范圍。一般情況下，可以按企業的崗位設置情況來規劃和

5、定義角色。角色組：角色的分類，單級次。主要用于管理員授權權范圍用戶：參與系統活動的主體，如人，系統等用戶組：用戶的分類，多級次。主要用于管理員授權權范圍3.權限架構模型集團系統管理員集團業務管理員（整體規則設置） 1區域系統管理員業務賬戶（集團）4 .各級管理員及業務賬戶功能Root管理員：可進行應用系統的后臺管理。支持應用系統密碼控制策略的配置、可以創建系統管理員。系統管理員：創建集團，維護集團管理員，進行系統初始化和配置基礎數據管控模式等。集團管理員：主要用于集團范圍內的權限設置、組織管理、基礎數據管理、流程建模、系統管理等。集團業務管理員：主要用于集團整體業務規則的設置等。集團系統管理員

6、：主要用于集團范圍內的權限設置、組織管理等。區域/分公司管理員：主要用于權限設置、組織管理、基礎數據管理、流程建模、系統管理、維護等。其權限及授權權范圍（可管理用戶組、可管理角色組、可轉授組織、可分配功能、可管理資源）是由創建他的管理員限定的。業務賬戶：由集團管理員、區域或分公司管理員創建，處理業務。5 .系統角色分類角色說明主要業務授權方式備注系統 由系統管理員（Root用戶）創創建集團和集團管理員權限固定管理員建和維護，是應用系統的管理進行模塊啟用和配置基員，一個應用礎數據管控模式通過修改配置文件可在實施階段調整應用系統管理員的功能權限范圍系統可以有一個或多個應用系統管理員集團可以創建很多

7、個，由應用系客戶化業務建模：（權管理員統管理員創建限、組織、基礎數據、流程建模）系統管理、維護、工具產品系統默認其功能權限和授權權范圍所擁有的功能權限由應用系統管理員通過“集團 管理員功能范圍”進行配 置；授權權范圍是所管轄集團下的所有用戶、角色、組織普通管理員由集團管理員或有相應權限客戶化業務建模：（權 由集團管理的管理員創建；一個集團下可限、組織、基礎數據、員或擁有相以有多個管理員流程建模）應授權權的系統管理、維護、工具管理員授權產品普通管理員只是一個擁有能夠進行權限管理權限的普通用戶。功能權限不能大于對其授權的管理員；授權權范圍也是對其授權管理員授權權范圍的子集業務可以由管理員創建； 可

8、以很多業務角色個擁有相應授權權的管理員授權業務角色分管理類角色和業務類角色擁有全局級節點權限的用戶可以做全局級業務6 . 權限控制薪資預警：凡查看到用戶薪資的操作將自動發送郵件至指定郵箱。集團管理員雙重身份驗證：新建用戶及權限配置操作需通過兩個集團管理員進行雙重身份驗證才可生效。、各級管理員授權管理體系1 .各級管理員管理與操作分工為加強對各級管理員的管理，基于資訊科技部各組的工作分工，系統架構組負責 Root管理員、系統管理員的日常操作與管理，系統操作組負責集團管理員的日常操作與管理，業務系統組負責規則制定。Root管理員系統管理員集團管理員系統操作組OP系統架構組OPOP業務系統組MMMM

9、-整體管理（主要負責基本制度的制定等）O一一操作（主要負責日常操作）P密碼管理（主要負責密碼管理）2 . Root管理員操作審批流程Root賬戶管理系統管現M操作-I博艱統管鹿員用戶創理南碼里改用戶梆叫般骷管理NC出級管理處其礎架構組3 .超級管理員日常與密碼管理（待完成事項）系統架構組制定超級管理員密碼管理規范密碼由兩位同事共同管理，每人掌握一半密碼日常嚴格封存該賬戶，如操作需取得相關領導審批后，由指定人員操作并進行記錄嚴格按照審批流程處理各類申請業務系統組制定超級管理員管理規范制定并按需更新業務操作申請表4 .系統管理員操作審批流程5 .系統管理員日常與密碼管理（待完成事項）系統架構組制定

10、系統管理員密碼管理規范密碼由兩位同事共同管理，每人掌握一半密碼每三個月由兩位同事共同修改密碼如操作需取得相關領導審批后，由指定人員操作并進行記錄嚴格按照審批流程處理各類申請業務系統組制定系統管理員管理規范制定并按需更新業務操作申請表6.集團管理員操作審批流程A.區域與分公司申請處理流程（待定）B.用戶賬戶申請處理流程7.集團管理員日常與密碼管理（待完成事項）系統操作組制定集團管理員密碼管理規范并嚴格執行日常操作記錄由指定人員管理每三個月修改一次密碼定期公布用戶賬戶日常使用情況統計嚴格按照審批流程處理各類申請業務系統組制定集團管理員管理規范制定并按需更新用戶賬戶授權申請表 、區域與分公司管理員授

11、權申請表三、用戶授權管理體系1.用戶賬戶授權管理體系NC賬戶新建賬戶建立流程權限授予本部賬戶新建先建AD,后通過NC同步NC中直接授予分公司賬戶新建（有 AD情況）直接通過NC同步NC中直接授予分公司賬戶新建（無 AD情況）先建AD,后通過NC同步NC中直接授予NC賬戶登錄（除超級管理員、系統管理員外）系統：賬套NC賬號：AD登錄用戶賬戶NC密碼：AD登錄用戶賬戶密碼NC驗證碼：隨機生成的4位大寫字母2.本部及HK用戶賬戶授權處理流程申請對象發起審核審批操作本部及HK一般人員信息辦授權崗位或直接領導主管領導集團管理員業務部門指定人員本部及HK高層信息辦授權崗位或業務部門指定人員IT經理-集團管理員3.區域用戶賬戶授權處理流程申請對象發起審核審批操作區域一般人員信息辦授權崗位或區域指定人員直接領導區域總區域管理