GCC权限系统分析与设计课件

GCC权限系统分析和设计潘大勇2008-12-06GCC权限系统分析和设计潘大勇2008-12-06提纲设计目标限制条件需求范围业务需求原型演示案例研究理论基础需求验证方案比较需求决策里程碑划分结束语提纲设计目标设计目标满足施工企业公司级权限管理需求可以完全满足90%的权限需求基本满足权限设计和开发的需要提供完整的需求规格提供完整的原型系统符合开发的能力要求设计目标满足施工企业公司级权限管理需求本资料来源本资料来源限制条件原有方案改造符合现有框架要求符合现有技术要求限制条件原有方案改造需求范围分级的管理权限要求按组织机构的层级的数据权限要求需求范围分级的管理权限要求业务需求业务需求案例演示案例演示理论基础—RBAC模型及变体UsersRolesSessionsOBSOPSDepartsUserAssignmentPermissionAssignmentUser_SessionsSession_RolesRoleHierarchyRoleAssignment理论基础—RBAC模型及变体UsersRolesSessio案例分析主要要求1.可以按照组织机构进行分级授权管理2.上级角色（岗位）具有下级角色（岗位）的全部权限3.无隶属关系的角色之间也可以相互查看所属数据4.支持按机构的分级数据查看案例分析主要要求案例分析—基本用例执行者：系统管理员主成功场景：1.SA构建本级系统的组织机构（含岗位与部门挂接）；2.SA建立本级系统的人员（用户）名册（含与角色挂接）；3.SA鉴于组织复杂，启用子部门系统管理员；并分配子部门系统管理员可管理的资源；4.SA建立角色的行政或业务的直接上级关系；5.SA为指定角色分配资源权限，若上级没有特殊权限，则不需要分配；6.用例结束扩展用例：3a)SA鉴于组织简单，不启用任何子部门系统管理员，直接进入主成功场景第4步；4a)SA不指定上下级关系

4a1SA为所有角色分配资源权限

4a2用例结束案例分析—基本用例执行者：系统管理员案例分析—组织机构广联达建筑公司总经理财务部经营部北京施工项目部天津施工项目部总工程师财务主管经营主管预算员项目经理项目经理预算科预算科预算员预算员技术部物资部总会计师技术科技术科角色机构部门案例分析—组织机构广联达建筑公司总经理财务部经营部北京施工项案例分析—部门级系统管理员广联达建筑公司系统管理员财务部经营部北京施工项目部天津施工项目部部门级系统管理员部门级系统管理员预算科预算科技术部物资部技术科技术科案例分析—部门级系统管理员广联达建筑公司系统管理员财务部经营案例分析—分级授权系统管理员北项系统管理员北项子部门系统管理员天项系统管理员天项子部门系统管理员案例分析—分级授权系统管理员北项系统管理员北项子部门系统管理业务下属案例分析—角色下属和角色信任总经理总经济师财务主管经营主管预算员天项\项目经理北项\项目经理北项\预算员天项\预算员总会计师行政下属信任业务下属案例分析—角色下属和角色信任总经理总经济师财务主管经案例分析—权限范围（自己与他人）每个预算员只能修改自己登记的中标合同，但是可以查看其他预算员登记的中标合同。预算员中标合同浏览自己修改自己浏览全部修改全部经营主管张三李四浏览全部修改张三/李四修改全部案例分析—权限范围（自己与他人）每个预算员只能修改自己登记的案例分析——内置的权限一些单据或报表在编制时就已经确认了其所属的组织机构，系统将为这些数据赋予内置的权限。即仅有所属机构或其上级管理机构缺省有权利管理这些数据。其平行机构只有通过信任授权方式才可以取得这些数据的管理权。案例分析——内置的权限一些单据或报表在编制时就已经确认了其所案例分析—数据的内置权限管理项目2分包合同项目1分包合同项目1项目2北京项目部天津项目部北项\预算员天项\预算员预算员角色隶属角色信任数据隶属中介数据管理案例分析—数据的内置权限管理项目2分包合同项目1分包合同项目案例分析—公共资源管理1.每种资源类别都有具体的分类2.各种模块与具体资源直接相关3.管理员授予不同角色管理不同的具体资源4.数据权限就这样被切分资源独有资源共享资源无关案例分析—公共资源管理1.每种资源类别都有具体的分类资源独有需求验证支持权限的继承支持按机构/项目/中标合同的内置权限管理支持分级授权管理需求验证支持权限的继承方案比较对比项目原方案新方案权限控制角度岗位可以授权，不具备隶属关系不可授权人员不可授权。人员归属多岗位和多部门，但无法区分同一个人在不同部门下的岗位和职能。不可授权。人员归属单一角色（即部门下的岗位），从而明确区分同一个人在不同部门下的职能。部门不可授权不可授权角色无此项可以授权权限控制方式外部控制按岗位的权限控制按角色的权限控制；通过角色之间级隶属关系，实现权限继承关系；通过角色之间信任关系，实现权限转移。内置权限按项目/部门的权限控制，通过部门上下级实现权限继承关系。按部门的权限控制，通过部门下管理的角色和角色之间的隶属关系实现权限的管理和继承关系。授权管理模式仅提供一个内置的系统管理员管理全部权限，系统管理员工作十分复杂每个部门都可以建立自己的一个系统管理员角色，并且可以由多个人员承担，上级系统管理员可以授权和管理下级系统管理员，下级系统管理员在上级指定的权限范围内进行权限管理。从而实现职责的分配和传递，简化系统管理过程。方案比较对比项目原方案新方案权限控制角度岗位可以授权，不具备需求决策待决问题需求描述建议方案建议理由岗位授权将岗位的公共权限授予在岗位字典上，从而减轻角色授权的工作量和复杂度。不支持这只是一种加速授权的方式，不影响授权的实质，并且导致权限模型复杂化。人员授权在人员上直接授权，角色相同角色不同人员权限范围的不同不支持不同人员权限不同时，可以通过增加细分角色（岗位）来解决。大多数情况下在人员授权的几率不高，人员授权将导致权限模型的极端复杂化。部门授权在部门上直接授权，通过部门的树形关系，实现公共权限由上到下的派生或者通过部门隶属关系，实现私有权限由下至上的延伸。不支持1.可以由上到下派生的公共权限很少；2.部门上下级不能视为私有权限的上下级拥有关系，因此不能视为自动的私有权限延伸。需求决策待决问题需求描述建议方案建议理由岗位授权将岗位的公共里程碑划分里程碑划分演讲完毕，谢谢观看！演讲完毕，谢谢观看！GCC权限系统分析和设计潘大勇2008-12-06GCC权限系统分析和设计潘大勇2008-12-06提纲设计目标限制条件需求范围业务需求原型演示案例研究理论基础需求验证方案比较需求决策里程碑划分结束语提纲设计目标设计目标满足施工企业公司级权限管理需求可以完全满足90%的权限需求基本满足权限设计和开发的需要提供完整的需求规格提供完整的原型系统符合开发的能力要求设计目标满足施工企业公司级权限管理需求本资料来源本资料来源限制条件原有方案改造符合现有框架要求符合现有技术要求限制条件原有方案改造需求范围分级的管理权限要求按组织机构的层级的数据权限要求需求范围分级的管理权限要求业务需求业务需求案例演示案例演示理论基础—RBAC模型及变体UsersRolesSessionsOBSOPSDepartsUserAssignmentPermissionAssignmentUser_SessionsSession_RolesRoleHierarchyRoleAssignment理论基础—RBAC模型及变体UsersRolesSessio案例分析主要要求1.可以按照组织机构进行分级授权管理2.上级角色（岗位）具有下级角色（岗位）的全部权限3.无隶属关系的角色之间也可以相互查看所属数据4.支持按机构的分级数据查看案例分析主要要求案例分析—基本用例执行者：系统管理员主成功场景：1.SA构建本级系统的组织机构（含岗位与部门挂接）；2.SA建立本级系统的人员（用户）名册（含与角色挂接）；3.SA鉴于组织复杂，启用子部门系统管理员；并分配子部门系统管理员可管理的资源；4.SA建立角色的行政或业务的直接上级关系；5.SA为指定角色分配资源权限，若上级没有特殊权限，则不需要分配；6.用例结束扩展用例：3a)SA鉴于组织简单，不启用任何子部门系统管理员，直接进入主成功场景第4步；4a)SA不指定上下级关系

4a1SA为所有角色分配资源权限

4a2用例结束案例分析—基本用例执行者：系统管理员案例分析—组织机构广联达建筑公司总经理财务部经营部北京施工项目部天津施工项目部总工程师财务主管经营主管预算员项目经理项目经理预算科预算科预算员预算员技术部物资部总会计师技术科技术科角色机构部门案例分析—组织机构广联达建筑公司总经理财务部经营部北京施工项案例分析—部门级系统管理员广联达建筑公司系统管理员财务部经营部北京施工项目部天津施工项目部部门级系统管理员部门级系统管理员预算科预算科技术部物资部技术科技术科案例分析—部门级系统管理员广联达建筑公司系统管理员财务部经营案例分析—分级授权系统管理员北项系统管理员北项子部门系统管理员天项系统管理员天项子部门系统管理员案例分析—分级授权系统管理员北项系统管理员北项子部门系统管理业务下属案例分析—角色下属和角色信任总经理总经济师财务主管经营主管预算员天项\项目经理北项\项目经理北项\预算员天项\预算员总会计师行政下属信任业务下属案例分析—角色下属和角色信任总经理总经济师财务主管经案例分析—权限范围（自己与他人）每个预算员只能修改自己登记的中标合同，但是可以查看其他预算员登记的中标合同。预算员中标合同浏览自己修改自己浏览全部修改全部经营主管张三李四浏览全部修改张三/李四修改全部案例分析—权限范围（自己与他人）每个预算员只能修改自己登记的案例分析——内置的权限一些单据或报表在编制时就已经确认了其所属的组织机构，系统将为这些数据赋予内置的权限。即仅有所属机构或其上级管理机构缺省有权利管理这些数据。其平行机构只有通过信任授权方式才可以取得这些数据的管理权。案例分析——内置的权限一些单据或报表在编制时就已经确认了其所案例分析—数据的内置权限管理项目2分包合同项目1分包合同项目1项目2北京项目部天津项目部北项\预算员天项\预算员预算员角色隶属角色信任数据隶属中介数据管理案例分析—数据的内置权限管理项目2分包合同项目1分包合同项目案例分析—公共资源管理1.每种资源类别都有具体的分类2.各种模块与具体资源直接相关3.管理员授予不同角色管理不同的具体资源4.数据权限就这样被切分资源独有资源共享资源无关案例分析—公共资源管理1.每种资源类别都有具体的分类资源独有需求验证支持权限的继承支持按机构/项目/中标合同的内置权限管理支持分级授权管理需求验证支持权限的继承方案比较对比项目原方案新方案权限控制角度岗位可以授权，不具备隶属关系不可授权人员不可授权。人员归属多岗位和多部门，但无法区分同一个人在不同部门下的岗位和职能。不可授权。人员归属单一角色（即部门下的岗位），从而明确区分同一个人在不同部门下的职能。部门不可授权不可授权角色无此项可以授权权限控制方式外部控制按岗位的权限控制按角色的权限控制；通过角色之间级隶属关系，实现权限继承关系；通过角色之间信任关系，实现权限转移。内置权限按项目/部门的权限控制，通过部门上下级实现权限继承关系。按部门的权限控制，通过部门下管理的角色和角色之间的隶属关系实现权限的管理和继承关系。授权管理模式仅提供一个内置的系统管理员管理全部权限，系统管理员工作十分复杂每个部门都可以建立自己的一个系统管理员角色，并且可以由多个人员承担，上级系统管理员可以授权和管理下级系统管理员，下级系统管理员在上级指定的权限范围内进行权限管理。从而实现职责的分配和传递，简化系统管理过程。方案比较对比项目原方案新方案权限控制角度岗位可以授权，不具备需求决策待决问题需求描述建议方案建议理由岗位授权将岗位的公共权限授予在岗位字典上，从而减轻角色授权的工作量和复杂度。不支持这只是一种加速授权的方式，不影响授权的实质，并且导致权限模型复杂化。