NCV60用户权限红皮书Word下载.docx

1、图 2-6 建立集团界面2）初始化集团新建的集团需要经过业务初始化来初始化业务模块，否则无法正常使用，初始化工作在系统初始化业务初始化节点。图 2-7 初始化集团界面3）建立集团管理员系统管理员可以建立集团管理员，集团管理员是一类特殊的用户，承担集团内的管理职责，一个集团可以有多个集团管理员，一个集团管理员也可以管理多个集团，但只能有一个所属集团，集团管理员用户登录时，默认集团为其所属集团。图 2-8 建立集团管理员4）集团管理员功能管理通常情况下，集团管理员可以管理的事务是预置的，也即，集团管理员可以似乎用的功能节点是预置的，但并不排除在实施过程中有变化的情况，如需对集团管理员的功能进行变动

2、，进入系统初始化集团管理员功能管理节点，可以对集团管理员的功能进行修改，注意，此修改对所有集团管理员生效。图 2-9 集团管理员功能管理3 用户管理NC系统中的用户泛指能登录NC系统的帐号，广义上来说NC系统中的用户分为以下四种：超级管理员系统管理员集团管理员普通用户前三种用户属于系统预置的用户，承担者NC系统管理者的职责，而普通用户是企业业务系统中的真实用户，与企业的业务相关。图 3-1 用户类型节点位置：使用集团管理员登录NC系统企业建模平台权限管理用户管理。图 3-2 用户节点界面用户管理节点负责管理NC系统中的普通用户。具有以下职能3.1 用户基本信息维护用户的增删改查操作，6.0版本

3、的用户可以有不同的身份类型，目前支持员工，客户，供应商，外部系统，开发者等。6.0系统新增了用户组的概念，在业务上具有相似业务含义的用户，可以放在同一个用户组下，在建立用户的时候必须选择所属用户组。一个用户可以被共享至多个用户组下，但一个用户只能有一个所属用户组。图 3-3 用户基本信息维护界面3.2 用户共享6.0支持用户的共享，分为集团内共享和集团间共享，集团内共享是指将用户共享到集团内的其他业务单元的用户组下。而集团间共享则是指将用户共享到别的集团下，使得该用户具有跨集团业务的能力。无论是集团内共享还是集团间共享，共享用户不能被修改基本信息，只能被分配权限或者被参照引用。3.3 用户调动

4、6.0系统支持用户在集团内和集团间进行调动，调动与共享的不同之处在于，调动的用户可以被维护，而共享的用户只能被使用或者引用。3.4 密码更改与重置用户的初始密码为用户编码，在登录进系统之后，用户可以点右上角的用户口令菜单，修改自己的密码。图 3-4 密码更改操作而如果用户忘记口令，则可以向管理员提出申请，管理员登录系统之后对用户口令进行重置操作，重置之后的口令通过用户相关联的人员档案的邮件地址或者手机，以电子邮件或者短信的形式推送给用户。图 3-5 密码重置3.5 用户权限分配用户管理界面点击用户权限分配按钮可以进入用户权限分配节点：目前用户权限分配可以通过两种方式来进行：直接授权和间接授权。

5、图 3-6 授权模型间接授权是指用户需要关联角色才能拥有相应的权限，权限的授予主体是角色。NC6.0新增直接授权方式，直接授权是指直接为用户分配权限，权限的授予主体是用户，是一种快速为用户分配权限的方式。集团级参数：是否允许用户直接授权 用来控制系统是否其启用直接授权这种模式。企业建模平台基础数据参数设置：图 3-7 参数设置界面企业建模平台权限管理用户权限分配：图 3-8 用户权限分配用户直接授权界面： 图 3-9 用户直接授权界面4 角色管理角色是rbac模型核心，可以把角色理解为权限的集合，用户通过扮演不同的角色来完成权限的控制。从职能上分角色分为管理员角色和业务角色角色的管理从职能上进

6、行分离，业务类角色和管理类角色分开进行管理。图 4-1 角色管理4.1 角色基本信息维护负责角色的增删改查操作。角色编码集团内唯一。图 4-2 业务类角色与用户一样，NC6.0新增了角色组的概念，为角色从业务上进行分类。一个角色必须属于一个角色组。图 4-3 角色组4.2 角色与用户的关联在角色管理界面可以为角色关联用户，此操作在子表中可以进行。图 4-4 角色关联用户界面1）业务类角色只能关联业务类职责，所能操作的节点都是业务类节点，例如，客户基本信息，供应商基本信息，人员基本信息，物料档案维护等。2）管理类角色只能关联管理类职责，所能操作的节点是管理类节点，例如用户管理，角色管理，授权管理

7、，参数管理等。5 功能权限功能权限是指用户登录NC系统可以使用的功能，功能具体来说是指。可以见到并打开的节点节点中的页签节点中的按钮NC6.0新增了业务活动的概念，有业务含义的一组按钮被打包成为业务活动，不再支持单个按钮的授权，而改为对业务活动授权。5.1 功能权限模型NC6.0功能权限模型如下图，引入了职责的概念，我们认为职责是一组具有相关联的业务意义的功能节点，页签，和业务活动的打包，本版不再支持单独的节点，页签，按钮授权，必须组装成有业务意义的职责，才能够参与权限分配。图 5-1 功能权限模型根据前面提到的角色类型分工不同，本版的功能节点也对应有业务类和管理类两种类型，除此之外另有系统类

8、功能，仅供超级管理员和系统管理员使用，不参与权限分配。开发平台开发配置工具功能注册节点。图 5-2 功能注册节点5.2 职责管理职责分为业务类职责和管理类职责，顾名思义，业务类职责仅包含业务类的节点，管理类职责仅包含管理类节点。图 5-3 职责管理职责关联的功能明细可以在职责管理节点中进行设置，设置方式如下图所示，此处应先选择职责类型，这样功能节点会根据职责类型来进行过滤。顾名思义，业务类职责只能关联业务类节点，管理类职责只能关联管理类节点。图 5-4 职责关联5.3 组织分配NC6.0功能权限中增加了多组织的元素，组织授权是功能权限的一部分，组织权限与功能节点的关系如下图所示：图 5-5 组

9、织权限与功能节点关系图登录在打开节点做业务时，可以引用的组织就是登录用户有权限的组织，这些组织要经过功能节点的组织类型过滤。与当前节点的组织类型保持匹配。组织权限支持为角色分配以及为用户直接分配，在用户权限分配节点里进行，界面如下图：图 5-6 组织权限分配此处组织的展现形式是以主组织类型进行分类的。6 数据权限NC6.0系统中对数据权限做了重大调整，对资源实体做了扩充，引入了权限规则，操作等概念，模型概念图如下图所示：图 6-1 数据权限模型概念图6.1 资源实体是权限系统与NC系统中业务实体之间关系的桥梁，与元数据实体关联，是数据权限控制的对象。资源实体的注册在 开发平台 开发配置工具 业

10、务实体管理节点下。图 6-2 业务实体管理界面1）操作关联在业务实体上，分为维护类操作和使用类操作。维护类对业务实体进行维护，改变其属性的操作，例如删除，修改等维护类操作进阶：使用类不改变业务实体的属性，只是引用业务实体的操作，例如参照，引用等。使用类操作进阶：单据查询时：NC6.0系统支持在档案上定义使用权限，单据引用档案时，在使用查询模板查询单据时，默认情况下会根据档案上定义的数据权限规则，对单据进行过滤。2）参照：在业务实体上定义了使用权限之后，要在某参照中使得使用权限生效，则需要做以下步骤：调用父类nc.ui.bd.ref.AbstractRefModel中的方法。setResourc

11、eID（String resourceid） ，注意，此处传入的是注册的业务实体的编码，例如supplier,psndoc等。setOperataion_code（String opcode） ，此处传入定义的使用类操作（场景），利用使用类操作的编码不同，可以做到同样的参照在不同的使用场景下，使用不同的数据权限。如果不调用此语句，或者传入opcode为空，则默认使用该业务实体的通用引用，通用引用是注册业务实体时默认注册的一条使用类操作。每个业务实体都有一条该操作。3）规则类型关联在业务实体上，有两个主要属性用于扩展不同的规则类型：规则编辑器：nc.uap.rbac.core.rule.IPer

12、missionRuleEditor定义规则时的编辑界面，如果实体关联了元数据，则使用预置的元数据规则编辑器规则工厂：nc.uap.rbac.core.rule.IPermissionRuleFactory负责规则明细数据的自定义存取。注册一种规则类型，则意味着注册上述两个接口的实现类，两个属性对应上述两个接口的全类名。4）规则数据权限的授权单元，是对业务实体的逻辑划分。规则有且仅有一个规则类型，不同的规则类型，对规则的描述不不同，典型的规则有：元数据类型的规则：用元数据属性来描述规则。图 6-3 规则树离散规则：图 6-4 离散规则6.2 数据权限分配图 6-5 数据权限分配6.3 特殊权限特

13、殊权限作为权限的进阶引用，主要控制一些与特定角色，用户无关的权限。创建者权限：控制效果是启用了创建者权限之后，只有创建者可以对该单据进行某项操作。审核者权限：控制效果是启用了审核者权限之后，在审批流中，只有单据创建人能反审核该单据。主管权限：控制效果是启用了主管权限之后，只有单据制单人的行政上级有权维护这张单据。特殊权限的启用和关闭，在业务实体注册节点下：图 6-6 特殊权限的启用和关闭界面特殊权限设置节点在企业建模平台权限管理特殊数据权限。图 6-7 特殊数据权限7 权限审批NC6.0支持权限审批模式，集团级参数是否启用权限审批 控制了权限授予是否进入审批模式，进入审批模式之后，用户的权限的

14、获取只能通过填写权限申请单来获取。在NC产品中的体现是：不启用审批模式看不到审批节点；启用审批模式后可以看到两个审批节点，但是用户节点的用户权限分配功能，两个角色节点的已关联用户功能、已分配职责功能、已分配组织功能，用户权限分配节点的分配角色功能、分配职责功能、分配组织功能将变为不可用。参数的控制在 企业建模平台基础数据参数设置处。参数名称为：权限管理下的“权限变更是否审批”。参数含义：参数值选“是”，启用权限审批模式。选“否”关闭权限审批模式。权限审批包括如下两部分：用户权限申请单和角色权限申请单。7.1 用户权限申请单业务含义： 为当前集团下，某个组织的用户申请角色或者直接申请功能（包括职

15、责和组织）。最终效果如同用户权限分配。用户权限申请单的使用流程如下图所示：图 7-1 用户权限变更申请操作流程使用集团管理员登录NC系统 企业建模平台权限管理用户权限变更申请打开节点，用户可以看到与自己有关的审批单列表，如下图所示：图 7-2 用户权限审批单列表7.1.1 制单点击如上图红色箭头所指的“新增”按钮，进入如下图所示制单页面：图 7-3 用户权限申请-角色申请界面图 7-4 用户权限申请-功能申请界面如上图两幅图所示： 用户权限申请包括角色申请（效果相当于间接授权）和功能申请（效果相当于直接授权），功能申请处可以申请职责，也可以申请组织。在制单界面中，所属集团默认为当前集团且不可编

16、辑， 用户首先选择所属组织，然后选择待申请权限的用户，最后分别在角色申请和功能申请两个界面选择相应的权限。角色申请： 点击角色申请界面红色箭头所指“申请角色”按钮，弹出如下图所示角色选择对话框，进行角色的选择。图 7-5 角色申请-角色选择对话框在如上图所示的对话框中，首先选择业务单元，在左边的框中会显示当前业务单元下可以被分配的管理类角色和业务类角色。选择完后，设定权限的生效日期和失效日期。点击“确定”，即完成了角色的选择。职责申请：点击功能申请界面中红色箭头所指的“申请职责”按钮，弹出如下图所示的职责选择对话框，进行职责的选择。图 7-6 功能申请-职责选择对话框在如上图所示的对话框中，左

17、边待申请职责框中显示的是可以被申请的职责。选择需要申请的职责后点击“确定”按钮即可完成职责选择。如果左边没有所需的职责，还可以点击左下角的“新增”按钮来添加新的职责，添加完后点击刷新即可在左边待申请职责框中看到新增的职责。组织申请： 点击功能申请界面中红色箭头所指的“申请组织”按钮弹出如下图所示的组织选择对话框，进行组织的选择。图 7-7 功能申请-组织选择对话框在如上图所示的对话框中，在左边的待分配组织框中会显示当前可以被分配的所有组织。这些组织按照体系和类别以树形的样式展现出来，下方有针对此树的节点选择方式。设定需要的节点选中方式，选择要分配的组织，点击“确定”按钮完成组织权限的选择。当用

18、户填写完单据信息，选择完需要申请的权限资源后，点击“保存”按钮即完成了制单过程。7.1.2 提交如下图所示：图 7-8 用户权限申请-提交申请人选中要提交的单据，点击图中红色箭头所指的“提交”菜单，单据状态将会发生改变。由“自由”态变为下图所示的“提交”态。 “提交”菜单变为不可用，“收回”和“审批”菜单变为可用。图 7-9 用户权限申请-收回如果点击“收回”按钮，单据又将变回“自由”态。7.1.3 审批单据提交后，审核人登陆后会在自己的消息中心看到如下图所示的提示：图 7-10 用户权限申请-审核人消息中心提示审核人双击此项工作任务，即可弹出如下图所示的单据审核对话框：图 7-11 用户权限

19、申请-单据审核界面审核人审核单据无误后点击如上图中红色箭头所指的“审批”按钮，即弹出如下图所示的审核对话框。图 7-12 用户权限申请-审批对话框审核人可以有三个选择：“批准”、“不批准”、“驳回”。选择完审批意见后并在下方文本框中填写详细意见。最后点击“确定”完成审批。此时单据审核界面中“审批”按钮变为不可用，“取消审批”按钮变为可用。单据变为审核完毕的状态。图 7-13 用户权限申请-审批完毕审核人还可以点击上图中红色箭头所指“取消审批”菜单将放弃自己的审批从而进行重新审批。这样单据会再次变回上一个状态。7.1.4 审批结果反馈单据申请人登陆后可以在自己的消息中心看到如下图所示的单据审批结

20、果反馈信息：图 7-14 用户权限申请-审批结果反馈消息单据申请人双击工作任务即可看到如下图所示的详细的审批结果：图 7-15 用户权限申请-详细审批结果在单据提交后的任何一个阶段，每个操作者还可以点击如上图中红色箭头所示的“查看审批流程”，以弹出如下图所示的对话框来显示当前单据的状态全貌。图 7-16 用户权限申请-查看审批流程综上所述，即完成了一个完整的用户权限变更申请的审批流程。最终结果是，用户yy获得了编码为adminresp的职责权限。7.2 角色权限申请单 为当前集团下，某个组织的角色申请职责权限或者组织权限。角色权限申请单的使用流程如下图所示：图 7-17 角色权限变更申请操作流

21、程使用集团管理员登录NC系统 企业建模平台权限管理角色权限变更申请。角色权限变更申请的界面如下图所示：图 7-18 角色权限申请-审批单列表界面图 7-19 角色权限申请-单据-职责选择界面图 7-20 角色权限申请-单据-组织选择界面角色权限变更申请的整个申请审批流程与用户权限变更申请的申请审批流程完全一样，在此就不再做赘述。8 权限查询权限查询包括两类查询，一类是用户功能权限查询，另一类是数据权限查询。8.1 用户功能权限查询在系统中为用户分配好权限之后，可以在这个节点来查询用户在本集团范围内权限的授予情况。无论是按用户直接分配权限方式或者是按用户分配角色这种间接的方式来分配权限，在该节点都能够显示出所分配的具体的功能以及关联的组织，授权人，授权时间等。图 8-1 用户功能权限查询界面在查询条件区，可以按照任一独立的条件来查询，也可以按照多个条件组合的形式来查询，其中用户条件为必输入项。用户，功能名称，组织名称，授权人等属性支持选择多个条件项来进行查询。8.2 数据权限查询数据权限查询与功能权限查询类似，这个节点是用来查询用户可以在哪些资源实体上进行何种操作，以及用户进行操作时的授权规则等。图 8-2 数据权限查询界面9 结论附录