授权管理使用文档.docx

慧正工作流系统（V6.2）授权管理手册文件状态： 草稿 正式发布 正在修改文件标识：HZ_HORIZON6_D02_003当前版本：6.2作 者：发布日期：审批人审批日期高平鞠2013-06-25版 本 历 史版本/状态作 者参 与 者起 止 日 期 备 注目录1 授权管理32 角色管理32.1人员角色设置32.2角色成员审核72.3设置权限说明72.3.1应用空间72.3.2应用菜单72.3.3菜单示例72.3.4组织机构72.3.5管理菜单72.3.6模块72.3.7流程72.4权限审核开关设置72.5人员涉密等级设置72.6相关涉密等级配置72.6.1密级安全校验开关72.6.2配置流程操作类72.6.1开启审核总开关72.7位初始化资源72.8防止数据高密低传72.8.1文件配置步骤72.8.2产品设置72.8.2.1密级设置72.8.2.2密级字段设置72.8.3验证功能72.8.3.1相关密级配置步骤72.8.3.2密级应用131 授权管理本系统的授权管理是基于角色管理（RBAC），就是给不同的角色授权，控制角色下的人员能做什么。在给系统中添加组织结构和人员信息后，接下来要做的就是对所添加的人员进行授权和密级设定。登录“管理”端后，操作步骤如下：2 角色管理2.1人员角色设置如图1所示：用系统预定义的管理员登陆管理端，进入授权管理角色管理图1角色管理系统初始阶段已经预定义好几种分类，后续可相应怎加分类，点击不同分类，找到相应角色授权，如图2：图2 角色分类进入具体角色后，在“角色成员”标签中可以在组织机构中添加相应人员，如图 3图3 选择人员在“权限设置”标签中，设置角色具体可执行权利。 图 4 权限设置2.2角色成员审核在如下图5所示，选择好人员：图 5 选择人员此时分配的角色还有没生效，需要审核管理员进行审核通过后才可生效。在权限审核开关开启的状态下，在相关人员角色变动时，要在“角色成员变更审核”菜单中审核，如下；图6 角色成员变更审核进入角色权限详细设置页面：图7 角色权限详细设置2.3设置权限说明：2.3.1应用空间：详细分配角色成员能登陆到本空间的各个工具的权限，如图：2.3.1应用菜单：应用开发完后挂接到前台，需要授予应用菜单的访问的权利，并且在模块中也要授予访问的权限，并在模块授权中具体细化到按钮等访问权利，如图：管理：给菜单授予管理的管理，那么人员登陆管理端，在应用管理应用菜单管理中可以管理相应的应用菜单。分级授权：上述的授权就是分级授权。见第三条例子：2.3.3菜单示例：admin下建立普通用户角色并授权，例如对某一个菜单授权，需要把这个菜单的“访问”、“管理”、“分级授权”都选上，那普通用户角色下成员再建立角色时，这个角色也对这个菜单有相应的授权，否则没有。如图：2.3.4组织机构:可以针对部门，群组、角色设置管理的权限和分级授权的权限，其次还需要在模块中，授予用户管理、群组管理、岗位管理等视图表单按钮等访问的权利。2.3.5管理菜单：与应用菜单类似。2.3.6模块：在设计端设计出应用的基本构件（表单，视图，导航菜单）后，需要对每一项进行访问授权。其中如果选择设计则表示角色人员具有对改模块设计的权利，分级授权为角色人员具有对该模块再次授权的权利。2.3.7流程：在流程授权中我们分了三种方式：设计、管理、分级授权。a)设计：在设计端，角色下的人员可以对该流程进行详细设计。b)管理：在流成管理实例监控中，可以分实例管理流程。c)分级授权：角色下成员可以有分级授权的权利。2.4权限审核开关设置三权分立中有个授权审核管理员，在系统初始状态中授权管理员和授权审核管理员为同一个超级管理员，并且授权审核默认关闭状态（即任何授权操作为默认通过状态，不需要审核），如果有审核需求的用户需要手动开启审核开关，如下：找到工程中/WEB-INF/control-conf/configuration.xml文件，配置为： 1 2.5人员涉密等级设置选中相应的人员，点击“设置”，在设置成功后，也需要审核（授权审核开关关闭状态则不用）。在“人员涉密审核”选项中，点击“通过”，则密级设定成功，“不通过”则密级设定失败。注：审核只是审核授权，而不审核消权。2.6相关涉密等级配置2.6.1 数据访问校验开关：/WEB-INF/control-conf/configuration.xml on 2.6.2配置流程操作类：/WEB-INF/control-conf/horizon-config-sys-workflow.xml将class=com.horizon.workflow.flowengine.pub.XMLWorkFrame修改为 class=com.horizon.example.XMLWorkFrameSecretLevel2.6.1开启审核总开关/WEB-INF/control-conf/configuration.xml中： 1 2.7未初始化资源就是将做好的模块用初始化的方式初始化到系统中，可参见现有的解决方案例子。2.8防止数据高密低传在公文发布中，有时会涉及到文件的“密级”属性。为了防止高密低传事件（机密泄露事件）的发生，需要进行如下配置。2.8.1文件配置步骤：2.8.1.1密级安全校验开关：在/WEB-INF/control-conf/configuration.xml中 配置数据访问密级安全校验开关： on 2.8.1.1流程操作实现类：在/WEB-INF/control-conf/horizon-config-sys-workflow.xml中 配置流程操作实现类：将class=com.horizon.workflow.flowengine.pub.XMLWorkFrame修改为 class=com.horizon.example.XMLWorkFrameSecretLevel2.8.1.1审核总开关：如果需要设置人员密级时，进行审核才生效则要设置在/WEB-INF/control-conf/configuration.xml中： 1将1设置为12.8.2产品设置2.8.2.1密级设置需要对用户的秘密等级行进设置。 图为用户秘密等级的设置2.8.2.2密级字段设置表单必须引入“密级字段”。字段的录入类型必须选择“密级标识”。如图：对如上操作完成后，进行确认保存，重启Tomcat服务，功能才可以正常运转。2.8.3功能验证2.8.3.1相关密级配置步骤在实际工作中，用户可能会有对数据进行分级查阅的需求，例如：在公文发布中，标识文件为的“绝密”属性。那么身份低于“绝密”的人员是不能访问到此文件。具体配置如下：进行流程运转，选择办理人时，系统会自动根据文档所设定的密级程度与所选的办理人密级