移动资管系统权限管理子系统操作手册v30.docx

1、移动资管系统权限管理子系统操作手册v30 权限管理子系统操作手册版本号：3.0 浪潮乐金信息系统有限公司2005年7月第一章 引言一.1 编写目的为了保证用户熟练使用浪潮乐金权限管理软件，有效地管理浪潮乐金综合网管系统中的权限，为系统的使用提供方便的指导，浪潮乐金NMS产品部WEB项目组编写了浪潮乐金权限管理子系统用户操作手册。本手册的读者包括各使用浪潮综合网管系统的用户、研发部、质量管理部、新品规划部、工程部及其它相关部门和人员。一.2 背景说明： 软件系统的名称：浪潮乐金权限管理软件 本项目的任务提出者：NMS产品部 本项目的开发者：山东浪潮乐金信息系统有限公司NMS产品部WEB研发组 本

2、项目的用户：各通信公司网络管理中心维护操作人员 实现该系统的计算机中心或计算机网络：各通信集团公司广域网、各省公司广域网、省网管中心局域网和地市网管中心局域网； 该系统同其他系统相互来往关系：本系统为其他网管系统提供集中鉴权功能，其他系统通过本系统来管理权限相关事宜。 其它说明：本项目是根据中国移动通信集团公司和中国联通有关规范中的安全自身管理部分要求和网管系统实施规划而提出的，本项目的开发目的是为综合网管系统提供集中灵活的权限管理功能，实现对用户使用者所有权限的集中控制和灵活分配。一.3 定义 本文件中可能用到的缩略语定义如下：RBACRole Based Access ControlBSC

3、Base Station ControllerBTSBase Transceiver StationGSMGlobal System for Mobile communicationHLRHome Location RegisterMSCMobile Switching CenterNENetwork ElementNMCNetwork Management CenterOMCOperation & Maintenance CenterOMC-BOMC for the Base Station SubsystemOMC-SOMC for the Switching SubsystemOMC-R

4、OMC for the Radio subsystemPLMNPublic Land Mobile NetworkPSTNPublic Switched Telephone NetworkPMPerformance ManagementQoSQuality of ServiceSSSSwitching SubsystemVLRVisiting Location RegisterWSWork Station权限 基本功能项 + 该功能所涉及的资源项角色 权限的集合 ，角色基本对应于实际应用当中的职位用户 系统使用人员，原则上与员工一一对应用户组用户的集合，对应于实际应用中的部门，或虚拟部门实体角

5、色，用户组，用户等具有一定自身属性在系统具有特定属性的对象功能各个综合网管系统一.4 参考资料山东移动通信集团公司：山东移动话务网网管系统三期技术方案.doc：建设原则及功能要求 （2003年11月）中国移动通信集团公司：附件一：中国移动网安全管理系统规范.doc：（2002年11月）中国联通：CDMA95/1X网络管理技术规范 第2部分：总部网管系统技术要（暂行）National Institute of Standards and Technology：Proposed NIST Standard for Role-Based 一.5 用户的特点本软件的最终用户是各通信公司网管中心，操作人

6、员一般是网管中心负责移动网络运行、维护和管理的有关人员，大部分是高等院校的毕业生，专业一般是通信、电子或计算机应用，熟知网络管理的流程，通晓WEB操作，可以熟练使用本的权限管理软件。一.6 使用范围本文件适用于浪潮乐金权限管理子系统v2.0。一.7 使用环境Windows 平台，需要IE5.5以上浏览器软件。其它平台，需要相应高版本浏览器软件。第二章 系统操作二.1 功能概述二.1.1 模块关系图此系统共有七部分组成,包括：基本信息维护，资源维护，功能维护，角色管理，组管理，用户管理和日志管理。其关系图如下：图1.1模块关系图二.1.2 赋权流程 系统提供了多种赋权流程，如图1中绿色路线和红色

7、路线所示。详细思路说明如下： 绿色通道：权限角色用户组用户极力推荐赋权流程！根据管理模式，创建角色，角色支持继承，可以通过先分配小角色，然后形成综合角色，体现用户组织的管理结构，把权限分配给角色。然后根据组织结构，创建组，组可以对应具体的公司部门，体系组织层次结构。把角色分配给组。然后为员工创建用户账号，把用户分配到组中，完成赋权。本流程充分利用了角色和用户组，通过权限管理子系统，展示出客户公司的管理模式和组织结构。思路清晰，灵活，简便（权限可以逐层分配）。 蓝色路线：权限角色用户适用情况：为少数几个用户分配不同的特殊临时权限。可以通过“角色管理”创建几个不同的角色，然后进行“功能分配”，为角

8、色分配权限，再通过“用户管理”“角色分配”，直接把角色分配给用户，完成赋权。本流程也体现了角色的功能，可以使用，但如果要给大批用户进行赋权，则不太方便。 红色路线1：权限组用户适用情况：为大量用户分配或禁止少数几个权限。可以先把权限分配给组，然后把用户分配到组里，实现赋权流程。根据需要灵活使用。 红色路线2：权限用户适用情况：需要对某个用户进行禁用或赋予某些特权。用户直接赋权。根据需要灵活使用。二.1.3 权限规则 权限具有等级：从高到低次序为：用户权限用户组权限角色权限。用户直接获得权限高于通过组获得的权限，通过组获得权限高于通过角色获得的权限。 权限必须明确定义：只有经过明确授权用户才能访

9、问相应的功能和资源。若没有设定则无访问权限。 权限具有层次性：不同用户由于拥有的权限不同，所能进行的操作也不同。权限会逐层缩减。 权限支持自动发现新资源：如果没有选定某个资源类别，则可以自动发现下面所有的资源。二.2 登录二.2.1 操作通过在浏览器中输入：http:/ IP:PORT/ebAppName (使用实际发布的连接地址，类似格式为：http:/10.16.1.2:8088/qxgl )进入系统登录界面（通过单点登录系统中的相关连接访问）输入用户名/密码直接登录本系统。（说明1：因为WEB系统会根据需要进行相应更新，实际使用中的WEB界面可能与本处图示有所不同，但操作类似。下同，不再

10、另外说明）。图2.1 登录界面以超级管理员登录后，用户将看到主界面如下。上面是主功能模块导航菜单，点击各个连接后；左面会显示具体功能的导航菜单；点击具体功能后，右面信息显示界面会出现具体的操作界面。（说明2：用户所能使用的功能和资源与权限密切相关，所以用户可能无法使用本操作手册中所提供的功能或无法对特定资源进行操作。下同，不再另外说明）图2.2 root用户系统主界面图2.3 以某个子用户登录后的主界面二.2.2 说明如果一个用户在一定时间内（例如5分钟）连续错误登录一定次数（例如6次），系统会暂时锁定该用户或永久锁定该用户。暂时锁定的意思是用户过一定时间后，如果能输入正确的用户名和密码，还可

11、以登录，系统会对该用户自动解锁；永久锁定是指用户被永久锁定，除非管理员为该用户解锁。在参数设置中有相的参数，参数名称为“登录锁定”。二.3 用户管理管理用户登录帐号,包括新建帐号, 用户查询，修改帐号信息,锁定帐号,激活账号，删除帐号等功能。每个功能包括若干个功能点，来完成对用户基本属性和权限的操作。二.3.1 新建用户用于为员工创建登录帐号。其中包括四个功能点：用户基本属性，角色分配，组分配，功能分配。二.3.1.1 用户属性： 页面显示新建用户时，需要设置的帐号、密码、员工名等一些基本属性和锁定，访问日期和访问时间等访问控制项。图3.1 用户属性二.3.1.1.1 基本信息用户帐号：用户登

12、录使用。 密码、确认密码：用户登录时使用密码，此密码已采用MD5加密处理，即使超级管理员也无法知道用户的密码。 员工：选择新建的帐号所属的员工，系统账号必须与员工对应。如为临时账号则发布图3.2 选择员工二.3.1.1.2 访问控制 访问星期： 用于控制帐号访问日期。 开始时间： 能访问的日期的开始时间(输入时间时的格式必须时HH：MM：SS ) 结束时间： 能访问的日期的结束时间(输入时间时的格式必须时HH：MM：SS )锁定状态： 修改帐号状态(锁定状态指用户仍然存在,但不能使用登录。正常状态：能正常用于登录状态)注意：本处所设置的访问控制仅针对采用本系统鉴权的系统。二.3.1.2 角色分

13、配点击 “角色分配”标签，页面显示如下，图3.3 角色分配可用角色： 用户能够使用的角色，包括本用户所创建的角色和规则所容许使用的角色。已选角色： 用户已经选择的角色。功能说明： 新建用户时，可以通过已有角色来获得其所具有的权限。使用说明：a) 选中可用角色中的角色,单击向右箭头,添加到已选角色b) 选中已选角色,单击向左箭头,删除已选角色c) 按住Ctrl 键可进行复选,可一次加或减多个角色d) 按住Shift键单击起始角色,中止角色可连续选择多个角色,一次加或减多个角色二.3.1.3 组分配点击 “组分配”标签，页面显示如下。图3.4 组分配可选择组： 显示用户能够使用的组，显示用户创建的

14、组和通过规则容许使用的组，具体规则设定请参考“规则维护”。已选组： 已经选择的组功能说明： 新建用户时可以通过把用户分配到已有组来获得组所具有的权限使用说明：a) 选中可选择组中组名,单击向右箭头,添加成已选组b) 选中已选组,单击向左箭头,删除已选组c) 按住Ctrl 键可进行复选,可一次加或减多个角色d) 按住Shift键单击起始角色,中止角色可连续选择多个角色二.3.1.4 功能分配 可以直接给用户分配权限。此处分配的权限比用户通过其他途径获得的权限级别高。即此处可以禁止通过其他途径获得的权限。不推荐采用本方式进行常规赋权。 点击上面的“功能分配”标签，页面显示如下：分为两个部分：左侧是

15、功能类别选择框和功能树，右侧是功能详细信息与具体资源信息。当设定完毕功能详细信息和资源信息后，一定要“保存全部”，这样所有设定才会起作用。详细功能参考“角色管理”中的“功能分配”。2.显示登录用户具有的本功能类别的详细功能信息。5.设定详细资源信息资源3.选择本资源类别图3.5 功能分配操作说明：标记1处的下拉菜单显示可分配的功能类别；标记2显示该功能类别所具有的子功能，如图所示为权限管理所具有的功能；如果想给当前用户分配资源，例如点击“用户管理”前面的加号，展开其功能项，选中“用户查询”前面的复选框，点击“用户查询”，则右面显示标记3处的选项，点击标记4处的复选框，然后点击标记3处“权限管理

16、_公司”，然后标记5处显示可供选择的公司，选中前面的复选框，点击“保存设置”按钮，页面弹出保存设定成功的信息。其它功能项则资源分配的操作也如此。最后完成所有操作后，点击“提交”按钮，完成“新建用户”的操作。 二.3.2 用户查询 根据查询条件进行模糊查询，通过右健菜单提供相关功能操作。主界面如下：图3.6用户查询二.3.2.1 查询用户 可以选择公司和部门，输入条件查询符合条件的用户,也可不输入条件单击查询查询所有用户。用户所能查到的数据与用户所具有的权限有关。查询结果分页显示,每页10条记录,可单击上一页,下一页进行翻页查看。也可在”转到”后输入框内输入页数,直接回车或单击后面的箭头，可转到

17、相应页。若蓝色显示上/下一页，表示存在上/下页，否则黑色显示。底部中间显示查询结果的一些汇总信息：符合条件的总记录数，总页数，当前页数。二.3.2.2 修改用户 查询用户,将鼠标放到要操作用户记录上,单击右键。弹出菜单如下：图3.7 用户查询右健菜单 添加新用户： 同新建用户基本属性： 显示用户基本信息，可以修改基本属性,页面除用户名不能修改外其他都可修改。 角色信息： 显示用户角色信息，可以修改分配角色,可进行添加。删除,操作同新建时分配角色 组信息： 显示用户组信息，可以修改分配组,可进行添加。删除帐号所属组。操作同新建时分配组功能信息： 显示用户功能信息，可以修改分配功能。可修改此用户功

18、能分配。操作同新建时分配功能上述四项功能参见“新建用户”。锁定： 将此用户状态设成锁定状态(帐号仍存在。但不能使用其登录)激活： 将此用户状态设成激活状态，用户可以正常登录。删除：删除此用户。权限详情：显示本用户具有的权限详细信息，如下图所示:通过显示信息可以知道本用户具有用户查询的权限，可以查询四个分公司的用户信息，还可以删除，修改用户的权限信息。支持鼠标双击事件，在某一数据行上双击鼠标，则直接进入本记录修改界面。二.3.2.3 删除用户删除单个用户：方法1： 选中要删除的记录前的复选框，然后点击左下方的删除按钮,弹出确认窗口,选确定即可删除此帐号。方法2： 在要删除的记录空白处，点击鼠标右

19、键，然后选择删除批量删除用户：在用户查询页面上选中每条记录前的复选框,单击左下方的按钮”删除”,弹出确信窗口,单击确定。技巧：单击标题行前的复选框,可全选中或取消所有记录。二.3.3 修改密码 点击导航菜单，用户管理-修改密码，进入修改密码界面。 图3.8 修改密码 提供修改当前用户(登录用户)的密码功能。输入原密码,当原密码正确才能修改。注意：密码不能为空二.3.4 退出登录 单击右栏导航菜单“退出登录”,该用户退出该系统，返回登录界面。二.4 用户组管理点击导航菜单的“用户组管理”，出现子菜单，可以选择“新建用户组”和组查询。通过用户组查询，点击右健菜单将出现各个相关连接。图4.1 组管理

20、导航菜单二.4.1 新建组 点击导航菜单的“新建组”或在用户查询中点击右健，通过选择“新建组”，进入新建组主界面。图4.2 新建组二.4.1.1 用户组属性 在组属性标签中，带红色(*)标志的内容表示必须。所属公司表明该组所在公司，管理员列表可以选择为该组的管理员。注意：英文名称默认以g_开头,如输入不以g_开头,系统自动将英文名称改成以g_开头。建议以公司为单位划分组。二.4.1.2 角色分配 可以把当前用户通过规则所具有权限和所创建的角色，分配给用户组。每个人可以分配的角色跟自己的权限有关。图4.3 组角色分配操作与“新建用户”里的角色分配相同。二.4.1.3 功能分配 可以直接为组分配单

21、独的临时权限或禁止某些通过角色获得的权限。与“新建用户”里的“功能分配”。图4.4组功能分配 二.4.1.4 成员分配为用户组分配成员，所有属于本组的成员都可以获得组已经具有的权限。图4.5 组成员分配使用说明：c) 选中可选择成员中用户名,单击向左箭头,添加到词组中。d) 选中已选成员中某用户,单击向右箭头,将用户从已选成员中删除。c) 按住Ctrl 键可进行复选,可一次选中或减去多个成员。d) 按住Shift键单击起始成员中止成员可同时操作多个用户。二.4.2 组查询通过点击“组管理”“组查询”菜单，进入组查询主界面。页面提供查询、删除、新建、翻页等功能。图4.6 组查询二.4.2.1 组

22、查询 输入条件进行查询。输入条件单击“查询”按钮，系统将进行模糊查询。图4.7 查询结果查询结果分页显示,每页10条记录,可单击上一页,下一页进行翻页查看。也可在”转到”后输入框内输入页数,直接回车或单击后面的箭头，可转到相应页。若蓝色显示上/下一页，表示存在上/下页，否则黑色显示。底部中间显示查询结果的一些汇总信息：符合条件的总记录数，总页数，当前页数。支持鼠标双击，在某一行上双击某条记录，则可以直接进入修改页面。二.4.2.2 组修改查询完成后。要对一个组修改,将鼠标移到记录上方,单击右键，弹出右健菜单如下：图4.8 弹出菜单右健菜单说明：新建用户组： 新建用户组，同上。基本信息：进入修改

23、用户组的基本信息。角色信息：进入角色修改界面。功能信息：进入功能分配界面。成员信息：为组分配成员。权限详情：显示本用户具有的权限详细。删除此用户组： 删除此组(一次只删除一个)。点击修改用户组，进入修改界面：图4.9修改用户组主界面各个操作与新建组类似。点击组权限信息后，出现某个组的权限详细信息界面图4.10 组权限详情二.4.2.3 删除用户组一次删除单条记录： 方法1： 右键单击要删除记录空白处,选择删除此用户组即可删除此用户组。方法2： 选中记录前的复选框,单击左下方的删除按钮,在弹出窗口中选确定即可删除。图4.10 删除单个用户组批量删除：方法： 选中本页所有要删除记录前的复选框,点击

24、左下方删除按钮。弹出确认按钮,点击确定就可删除。图4.11 批量删除用户组技巧： 单击标题行的复选框可全部选定或全部取消选定。二.5 角色管理角色是权限的集合，是权限分配的基本单位。角色的正确划分是正确使用权限管理系统的前提。通过点击导航菜单中的“角色管理”，展开下拉菜单如下：图5.1 角色管理导航菜单点击“新建角色”进入角色新建界面，点击“角色查询”进入查询界面，在查询界面上通过按钮和右健菜单提供方便的新建、删除、修改相关操作的连接。二.5.1 角色新建二.5.1.1 5.1.1角色属性角色基本属性。带红色(*)标志为必填项。注意：角色英文名默认以r_开头,如果名称前没有r_,系统自动添加。

25、图5.2 新建角色二.5.1.2 功能分配通过给角色分配功能和设定功能所辖具体资源，构成权限实体。各个页面元素意义如下图所示。分为两个部分：左侧是功能类别选择框和功能树，右侧是功能详细信息与具体资源信息。当设定完毕功能详细信息和资源信息后，一定要“保存全部”，这样所有设定才会起作用。检查权限设定是否成功的方法：1. 如果已经提交，请通过“角色查询”找到本功能后，在本记录的空白处点击鼠标右键，选择“分配功能”，然后选定相应的功能大类后，已经选定的就是设定好的权限。2. 若未提交，可以通过再次点击相关功能来查看其权限详细信息。图5.3 功能分配二.5.1.3 角色继承 角色的继承关系体现一个组织的

26、管理机制。通过设定不同层次的基本角色来构成更大权限的角色，方便进行权限的分配和管理。图5.4 角色继承作用： 为新建角色分配继承已有角色。使用说明：a) 选中可供分配角色中角色名,单击向左箭头,添加成已有角色b) 选中已有角色,单击向右箭头,删除已有角色中的选中角色。c) 按住Ctrl 键可进行复选,可一次添加或减少多个角色。d) 按住Shift键单击起始角色,中止角色可连续选择多个角色,一次添加或减少多个角色二.5.2 角色查询通过点击导航菜单的角色查询来进入界面，每个用户只能查询自己权限范围内的角色。图5.5 角色查询主界面页面提供查询、删除、新建、翻页等功能。二.5.2.1 查询角色 作

27、用： 根据角色的中文名称，进行模糊查询符合条件的角色。 使用方法： 输入条件单击查询,查询符合条件的角色,如不输条件查询所有角色。图5.6 查询结果查询结果分页显示,每页10条记录,可单击上一页,下一页进行翻页查看。也可在”转到”后输入框内输入页数,直接回车或单击后面的箭头，可转到相应页。若蓝色显示上/下一页，表示存在上/下页，否则黑色显示。底部中间显示查询结果的一些汇总信息：符合条件的总记录数，总页数，当前页数。二.5.2.2 修改角色 将鼠标移到要修改的角色的空白处,单击右键，出现右健菜单如下：图5.7 右健菜单右健菜单说明： 新建角色： 同上新建角色。 修改角色： 除角色英文名不能修改为

28、,其他同新建角色 删除角色： 删除此角色。点击修改角色，进入修改界面：图5.8角色修改主界面 各个操作功能与“新建角色”相同。二.5.2.3 删除角色 删除单个角色： 方法1： 将鼠标移到记录空白处单击右键,选”删除角色”,可删除此角色方法2： 选中要删除角色前的复选框。单击左下方的删除,单击弹出窗口的确认按钮,即可删除选中的角色。 批量删除角色：选中要所有删除角色前的复选框,点击左下方的”删除”按钮,弹出确认窗口,选确定就可删除。 技巧： 单击标题行的复选框,则全部选中或全部取消本页记录。二.6 功能维护功能类型对应网管系统中的各个子系统，功能项对应各个子系统提供的功能点。在本系统初始化和其

29、他系统升级的时候必须先把整个系统提供的功能和每个功能所辖资源设置完毕。本功能由软件开发商技术人员使用，用户可以在厂商技术人员指导下进行操作，根据需要可以调整某些功能项设置。 二.6.1 功能类型图6.1功能类型查询主界面页面提供新增、删除等功能的操作连接。二.6.1.1.1 功能类型新建 进入方法： 方法1： 单击功能类型维护页面新建按钮。 方法2： 在功能类型维护某条记录上空白处单击右键,选功能类型新建 图6.2新建功能类型注意： 功能类型的英文名,中文名不可为空。在功能类型维护上英文名为别名,中文名为功能名称二.6.1.1.2 功能类型修改 通过右键单击要修改的功能类型,弹出右健菜单，分别

30、点击各个连接，进入新建类型,修改类型界面或删除单条记录。图6.3 右健菜单 功能类型修改：图6.4 修改功能类型功能类型修改只能修改中文名称,并且不能为空功能类型删除： 删除右键单击记录的单条纪律记录。 二.6.1.1.3 功能类型删除 删除单条功能类型：方法1： 鼠标右键单击要删除记录的空白处,选”删除此功能类型”。即可删除此功能类型方法2： 选中要删除记录前的复选框,单击左下方的删除按钮,在弹出的确认窗口中选确定即可删除选中记录。 批量删除功能类型：在功能类型维护页面中选中所有要删除记录前的复选框,点击左下方的删除。弹出确认窗口,单击确定,删除选中的功能类型。 技巧： 击标题行的复选框,可全部选择,或全部取消选择。二.6.2 功能项 点击“功能维护”导航菜单，点击下面的子菜单“功能项”，进入功能项查询界面。二.6.2.1 功能项查询图6.5 查询功能项页面直接提供查询、删除、新增、翻页等功能，通过右健菜单 提供对某条记录的修改功能。功能项查询：输入查询条件进