统一用户和权限管理设计PPT参考幻灯片

1、江苏电力信息化登高项目,2010.5,统一用户和权限管理方案汇报,工作背景 现状、问题和建议 设计目标 设计原则 设计方案 现实方案,目录,2,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,工作背景 现状、问题和建议 设计目标 设计原则 设计方案 现实方案,目录,3,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,SG186期间国网完成了全国统一的目录部署。 SG186期间江苏建力了统一框架，实现了自开发业务系统（生产、配电、综合管理、财务、物资、法律）的统一授权和功能统一展现。 SG186期间江苏完成了门户与协同办公的建设，实现了门户和OA系统的很好的整合。

2、 江苏作为SGERP的试点，正在做企业架构设计和业务梳整，并准备上线SAP系统中的部分模块。 SG186期间国网推广了SAP和很多配套的管控系统 ，迅速提升了全国电网信息化的水平。 SGERP期间国网正在做统一的信息化设计。,工作背景,4,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,4,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,工作背景 现状、问题和建议 设计目标 设计原则 设计方案 现实方案,目录,5,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,现状、问题和建议,6,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,

3、6,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,现状、问题和建议,7,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,7,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,工作背景 现状、问题和建议 设计目标 设计原则 设计方案 现实方案,目录,8,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,设计目标-全国网范围内所有系统统一授权,9,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,业务系统A部署在国网,业务系统B部署在国网,业务系统C部署在国网,业务系统D部署在国网,业务系统A部署在网省,业务系统B部署在网

4、省,业务系统C部署在网省,国网用户,网省用户,从国网角度看目前状况,1.各个业务系统权限模型不一致，有好有差；增加了企业内部部门和人员权限变更及企业部门重组时的调整难度。 2.最终用户要面对很多系统的很多功能，增加用户使用难度。 3.过于明确的业务系统界线，不利于企业从全公司角度协调和控制业务系统的划分和实现。 4.二级部署的应用，对于要使用网省应用功能的国网用户，要在国网和网省进行两次授权，或者要让用户分别访问部署在各个网省的应用，可维护性很差，并且增加了最终用户的使用难度。,使用业务系统,使用业务系统,国网业务系统权限管理员,国网业务系统权限管理员,国网业务系统权限管理员,国网业务系统权限

5、管理员,网省业务系统权限管理员,网省业务系统权限管理员,网省业务系统权限管理员,权限管理,权限管理,权限管理,权限管理,9,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,设计目标-全国网范围内所有系统统一授权,10,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,国网部署结点,省网部署结点,国网用户,网省用户,统一展现层,业务系统A,业务系统B,业务系统C,业务系统D,国网部署结点,省网部署结点,国网部署结点,省网部署结点,国网部署结点,统一用户和权限管理,资源目录,国网权限管理员,网省权限管理员,使用业务功能,权限授权,业务系统E,省网部署结点,统一展现业务

6、功能,获取权限信息,保存权限信息,1.把各种部署方式的业务系统从逻辑上整合成一个业务，使得从国网角度看到全局而又简洁的业务系统。 2.用户统一通过统一展现层使用所有业务系统的功能，带来： A.改善用户体验 B.可以根据业务需要在统一展现层重组业务模块划分，模糊了业务应用的边界，更易调协业务应用和实现。 3.统一权限模型和权限管理流程，简化企业权限管理的工作。,目标状况,10,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,设计目标-提供用户的分级管理,11,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,国网LDAP,网省LDAP,把国网用户同步到网省,把用户同

7、步到各业务系统,把用户同步到各业务系统,业务系统A部署在国网,业务系统B部署在国网,业务系统C部署在国网,业务系统D部署在国网,业务系统A部署在网省,业务系统B部署在网省,业务系统C部署在网省,国网业务系统人员管理员,从国网角度看目前状况,1.用户信息同步到业务系统，并不能做到完全自动，还是需要管理维护： A.增加了业务系统维护量； B.两边信息很有可能产生不一致； C.增加了系统运维维护量。 2.需要针对各个业务系统分配人员管理员,国网统一用户管理,网省统一用户管理,国网业务系统人员管理员,国网业务系统人员管理员,国网业务系统人员管理员,网省业务系统人员管理员,网省业务系统人员管理员,网省业

8、务系统人员管理员,网省统一人员管理员,国网统一人员管理员,11,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,设计目标-提供用户的分级管理,12,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,业务系统A,业务系统B,业务系统C,业务系统D,统一用户和权限管理,资源目录,用户管理员,需要用户信息时动态获取,业务系统E,用户管理只在统一用户和权限管理中进行，业务系统不做用户管理相关的任何操作，简单化管理工作量。 通过把管理工作分解到下级单位和部门，使得处理用户变化更为及时。,目标状况,国家电网,财务部,审计部,XX部,XX省电力公司,财务部,审计部,XX部,用户

9、管理员,用户管理员,用户管理员,XX市公司,财务部,审计部,XX部,用户管理员,用户管理员,用户管理员,用户管理员,用户管理员,用户管理员,用户管理员,12,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,设计目标-提供权限的分级管理,13,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,业务系统A,业务系统B,业务系统C,业务系统D,统一用户和权限管理,资源目录,权限管理员,需要权限信息时动态获取,业务系统E,通过把权限管理工作分解到下级单位和部门，使得处理权限变化更为及时。,目标状况,国家电网,财务部,审计部,XX部,XX省电力公司,财务部,审计部,XX部,

10、权限管理员,权限管理员,权限管理员,XX市公司,财务部,审计部,XX部,权限管理员,权限管理员,权限管理员,权限管理员,权限管理员,权限管理员,权限管理员,13,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,设计目标-为企业级流程业务提供统一的组织机构用户权限,14,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,部门休假审批人,江苏省电力公司,财务管理部,部门休假审批人,人资模块,休假申请审批,申请人 申请休假,申请人所在部门的“部门休假审批人”审批,申请人所在单位的“单位休假审批人”审批,李四,业务流程,财务部,主任,休假情况查看,人员基本情况查看,江苏省

11、电力公司,统一用户和权限提供的信息,14,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,工作背景 现状、问题和建议 设计目标 设计原则 设计方案 现实方案,目录,15,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,满足当前需要 ：满足国网公司对当前信息化工作的管理要求； 满足可见的未来的需要 ：最大程度上适应电力未来业务变更的建设要求； 参照标准：如果有正好合适的标准直接使用标准，如果有相近的标准要参照该标准。 简化操作：在满足需求的前提下尽可能简化涉及的概念和操作。 系统可靠性：尽可能提供系统的可靠性。,设计原则,16,江苏省电力公司信息化登高项目 | 2

12、020年10月21日星期三,16,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,工作背景 现状、问题和建议 设计目标 设计原则 设计方案 现实方案,目录,17,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,行政组织,18,江,组织机构权限模型 企业组织分析,李四,XX公司,总经理工作部,主任,财务部,总经理,XX下级公司,张三,XX部,李四,主任,企业用来管理人员的组织体系，它的层级和分枝会比较详细。 由于组织 、岗位、人员构成 通常来自于人资管理。,19,江,组织机构权限模型 企业组织分析,业务组织,XX公司,总经理工作部,部门合同审批人,财务部,巨额合同

13、审批人,XX下级公司,XX部,部门合同审批人,业务组织用来表达业务系统权限的分配、支持业务流程的运行 由组织、角色、企业角色组成 比如： SAP中的利润成本中心、仓库、工厂 党务体系、工会体系 项目性业务对应的项目组组织,20,江,组织机构权限模型 企业组织分析,数据组织,XX公司,XX下级公司,设备1,设备2,设备3,设备4,设备5,设备隶属于,业务对象中表达该对象的归口管理组织或隶属组织 由组织构成,行政组织,21,江,组织机构权限模型 企业组织分析,李四,XX公司,总经理工作部,主任,财务部,总经理,XX下级公司,张三,XX部,李四,主任,业务组织,XX公司,总经理工作部,部门休假审批人

14、,财务部,巨额合同审批人,XX下级公司,XX部,部门休假审批人,数据组织,XX公司,XX下级公司,三者很有可能不一至，数据组织通常表示业务对象的归口管理和隶属，也就内含着权限的分配，所以通常可以把企业组织和数据组织合并。 行政组织只做人员管理。,22,江,组织机构权限模型 总体模型,基准组织与用户,角色体系,业务组织体系,系统功能体系,相互关系,23,江,组织机构权限模型 基准组织与用户,基准组织体系：企业主要的行政组织体系 。 人：参与到本企业运营的所有人员，并且不再区分用户和人，角色性质的用户的业务内涵由业务组织角色来完成。比如用户“系统管理员”，原则上不允许存在，可以建一个业务组织角色“

15、系统管理员”，然后把相应的人加到这个业务组织角色中即可。 其数据分两部分： A：被人力资源管理模块的数据（全民、集体、农电员工 ） B：非人力资源管理模块管理的数据（临时员工、外来的临时人员）,李四,江苏省电力公司,财务部,主任,24,江,组织机构权限模型业务组织体系,业务组织体系：通常一个企业都会存在不同的业务模块或业务模型，比如党务管理、财务管理、营销管理、生产管理，通常因为业务运转的需要业务模型会对应一套或多套于基准组织并不完全一至的组织体系，我们把这种组织体系称为业务组织体系，一套业务组织体系可以被多个业务系统共享 基准 组织单元 组成的组织体系也作为组织体系中的一套。 业务组织四个作

16、用： 一：作为该组织下的业务组织角色拥有的功能权限在组织这个维度上的数据权限； 二：可以基于业务组织做权限的分级管理，从上图中可以看出业务组织角色是隶属于业务组织的，从而可以很方便的做到本单位或本部门的管理员管理本部门的人和权限，而不需要专门分配专业的权限管理人员； 三：作为业务系统中业务数据之一使用； 四：在业务流程中可以以业务组织为基础定义出集团内部相对通用的参与者。 这四个作用依据业务系统的需要进行取舍，比如可以把业务组织只当成业务数据之一来使用。,25,江,组织机构权限模型角色体系,权限模型基于RBAC模型扩展。 业务角色、业务组织角色用于分配资源（功能、权限对象）；分组是根据业务需要

17、将角色进行归类。 业务角色：一个业务系统的业务角色，指要完成该业务系统的业务需要几种角色来完成。业务角色属于业务系统，它与业务组织没有关系。 业务组织角色：业务组织角色是具体关联业务角色、业务组织机构、和人的对象，它会继承与之对应的业务角色上的功能权限，同时它也位于某个业务组织下，并且要在业务角色上分配人员。 角色体系作用： 1.集中控制角色权限分配方案。 2.在工作流部分可以通过角色定义出与业务组织没有绝对关系的参与者，从而实现业务流程集中控制 。,26,江,组织机构权限模型角色体系,部门休假审批人,江苏省电力公司,财务管理部,部门休假审批人,人资模块,27,江,组织机构权限模型系统功能体系

18、,全面描述每个业务系统有哪些功能、有哪需要权限控制的数据,休假情况查看,人员基本情况查看,薪酬管理,新增,删除,修改,人资模块,休假申请审批,28,江,组织机构权限模型相互关系,门户,29,江,组织机构权限模型统一展现,部门休假审批人,江苏省电力公司,财务管理部,部门休假审批人,人资模块,休假申请审批,李四,江苏省电力公司,财务部,主任,休假情况查看,人员基本情况查看,业务组织单元,业务模块,基准组织单元,业务功能,业务角色,业务组织角色,岗位,人员,人资管理,休假情况查看,人员基本情况查看,通过 用户标识获取当前用户所有功能权限,XX管理,30,江,组织机构权限模型功能和流程,部门休假审批人

19、,江苏省电力公司,财务管理部,部门休假审批人,人资模块,休假申请审批,申请人 申请休假,申请人所在部门的“部门休假审批人”审批,申请人所在单位的“单位休假审批人”审批,省公司/财务部/张三,李四,李四,设计时,运行时,江苏省电力公司,财务部,主任,休假情况查看,人员基本情况查看,业务组织单元,业务模块,基准组织单元,业务功能,业务角色,业务组织角色,岗位,人员,31,江,统一权限内新增用户的可选流程,增加人员,授权,增加人员,统一用户管理确认,执行人：被修改人员所在部门的人员管理员 执行内容：确认该人员可以使用哪些业务系统。,用户申请使用系统,授权,执行人：新增人员所有所在岗位的所在部门可用系

20、统的业务系统管理员 执行内容：给新增人员授权,授权,执行人：新增人员可用系统的本单位的业务系统管理员 执行内容：给新增人员授权,执行人：申请使用的系统的本单位的业务系统管理员 执行内容：给申请人员授权,该流程需要事先在部门上设置各部门会使用哪些业务系统,32,江,统一权限内修改用户所在岗位的可选流程,调整人员岗位,调整授权,调整人员,统一用户管理确认,执行人：被修改人员所在部门的人员管理员 执行内容：确认该人员调整后可以使用哪些业务系统。,用户申请使用系统,授权,执行人：被调整人员调整之前所有所在岗位和调整之后所在岗位的所在部门可用系统的业务系统管理员 执行内容：给人员调整授权,授权,执行人：

21、被调整人员之前可用系统和之后可用系统的本单位的业务系统管理员 执行内容：给人员调整授权,执行人：申请使用的系统的本单位的业务系统管理员 执行内容：给申请人员授权,该流程需要事先在部门上设置各部门会使用哪些业务系统,33,江,统一权限方案逻辑图,1.国网总部和网省及各部门管理员都通过统一用户和权限管理进行所有业务系统的授权，从国网总部和网省的授权信息逻辑上组合成一个完整的企业的权限信息。 2.业务系统通过统一用户和权限管理获取当前登录用户在本系统中的权限。,统一用户和权限管理,业务系统,管理员,34,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,国网部署结点,省网部署结点,国网

22、用户,网省用户,统一展现层,业务系统A,业务系统B,业务系统C,业务系统D,国网部署结点,省网部署结点,国网部署结点,省网部署结点,国网部署结点,统一用户和权限管理,资源目录,国网权限管理员,网省权限管理员,使用业务功能,权限授权,业务系统E,省网部署结点,统一展现业务功能,获取权限信息,保存权限信息,1.把各种部署方式的业务系统从逻辑上整合成一个业务，使得从国网角度看到全局而又简洁的业务系统。 2.用户统一通过统一展现层使用所有业务系统的功能，带来： A.改善用户体验 B.可以根据业务需要在统一展现层重组业务模块划分，模糊了业务应用的边界，更易调协业务应用和实现。 3.统一权限模型和权限管理

23、流程，简化企业权限管理的工作。,统一权限方案逻辑图,34,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,工作背景 现状、问题和建议 设计目标 设计原则 设计方案 现实方案,目录,35,江苏省电力公司信息化登高项目 | 2020年10月21日星期三,基准组织与用户,业务组织体系和业务组织角色,系统功能和业务角色,36,江,实现方案-主要对象存储格式,人员,组织机构,岗位,角色分组,业务组织机构,业务组织角色,业务系统,业务角色,业务组织体系,功能,权限对象,数据类型,数据集,其它关系通过对象属性来表达,部署模块,部署结点,权限相关信息存储在资源目录。,统一权限管理,37,江,实

24、现方案与业务系统对接方式,自开发业务系统 （无权限、用户相关信息表）,统一权限管理,SAP系统,获取功能和数据权限信息,把角色同步到统一权限， 统一权限把用户到角色的分配信息同步到SAP,权限相关信息,岗位,SAP角色,SAP系统,SAP角色,功能,数据,SAP把角色同步到统一权限,统一权限把用户到角色的分配信息同步到SAP,统一权限管理,38,江,实现方案与SAP系统对接方式2,岗位,业务组织1,SAP系统,SAP角色1,功能权限,数据权限,统一权限把业务组织角色、用户到角色的分配信息同步到SAP； 同时调用SAP中的角色授权界面进行当前角色的功能和数据权限的授权；,业务组织角色1,业务组织

25、角色2,业务组织2,业务组织角色21,业务组织角色2X,SAP角色2,功能权限,数据权限,SAP角色21,功能权限,数据权限,SAP角色2X,功能权限,数据权限,1.SAP的角色也统一在统一权限中管理，可以与流程使用的角色统筹考虑。,同步,39,江,实现方案基准组织数据来源,1.基准组织、岗位、人员将从人资模块同步。 2.人资模块到统一权限由原来的自动同步改成部分变化（增、删、改）必须通过流程转和部分变化可以自动同步。 3.统一权限在确认变更使变更生效后要走后续变更流程。,40,江,实现方案用户数据的变更流程,人资增加人员,统一用户管理确认,确认新增,新增的人员原来在统一用户中就存在,执行人：

26、新增人员所在部门的人员管理员 执行内容：确认新增的人员是否已经存在。如果存在系统把人员对应的人资管理中的ID修正即可,人资删除人员,统一用户管理确认,处理权限 （被删除人员涉及角色的各业务系统的权限管理员）,确认删除,不是真的删除,执行人：被删除人员所在部门的人员管理员 执行内容：确认删除是否真删除。如果是真删除，把该用户的状态设置成失效。,人资系统修改人员属性以及人员所在部门属性不通过流程，直接同步。,授权,执行人：新增人员所有所在岗位的所在部门可用系统的业务系统管理员 执行内容：给新增人员授权,41,江,实现方案基准组织机构数据的变更流程,人资增加机构,统一用户管理确认,人资修改机构名称和

27、上级机构属性,统一用户管理确认,处理 （被删除机构涉及的各业务系统的业务系统管理员）,确认有删除,只是简单的改名称,执行人：新增机构的机构管理员 执行内容：确认新增的机构是否已经存在。如果存在系统把机构对应的人资管理中的ID修正即可,执行人：被修改部门的机构管理员 执行内容：确认是同一个机构改一下姓名，还是把一个机构改成了另一个机构。如果是把一个机构改成了另一个机构，要分解成删除原机构、增加新机构的操作。并且在增加新增机构时还要判断新机构是否已经存在，如果存在系统把机构对应的人资管理中的ID修正即可。,人资删除机构,统一用户管理确认,处理 （被删除机构涉及的各业务系统的业务系统管理员）,确认删除,不是真的删除,执行人：被删除机构的机构管理