金蝶BOS培训-BOS权限管理控制.ppt

,BOS权限管理控制,大纲,权限的基本介绍,第二部分,ERP软件权限管理,第三部分,BOS权限模型,第四部分,BOS权限分类介绍,第五部分,BOS权限管理常见问题,第六部分,FAQ,权限基本介绍,权限指执能权利范围，即行为的限制定义：是指为了保证职责的有效履行，任职者必须具备的，对某事项进行决策的范围和程度。权限应用场景数据库管理，银行系统，QQ空间，论坛权限的作用便于管理，保证数据安全，维护自身利益,大纲,权限的基本介绍,ERP软件权限管理,第三部分,BOS权限模型,第四部分,BOS权限分类介绍,第五部分,BOS权限管理常见问题,第六部分,FAQ,第一部分,ERP软件权限管理,为什么ERP软件需要严格的权限控制权限管理目的：为有效管理公司各职位的ERP权限，以确保数据正确性，并分清权责，以便在数据异常时有迹可循，进而达到管理的目的一个复杂的ERP系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别，ERP提供一个怎样的设计思路做到如此精细的权限控制的.,大纲,权限的基本介绍,ERP软件权限管理,第二部分,BOS权限模型,第四部分,BOS权限分类介绍,第五部分,BOS权限管理常见问题,第六部分,FAQ,第一部分,BOS权限模型,BOS权限模型,五项原则在系统中用户单元是权限系统的基础核心.组织功能权限用户三个构成权限的基本要素.用户建立后默认是没有任何功能权限.用户一旦拥有功能权限，则默认其拥有该功能所有数据权限权限管理权和业务权限分离,BOS权限模型,用户一个职员实名允许对应多个用户用户一旦使用不允许修改用户实名系统类用户不需要授权,BOS权限模型,组织架构权限控制依赖组织架构，支持分级管理和数据隔离用户所属组织业务组织范围行政组织范围管辖组织范围,BOS权限模型,BOS权限系统是基于用户、角色、组织、权限的思维权限模型，能够控制系统的功能、数据、属性各个维度，包括以下一些方面：权限项元数据：是所需要控制的功能的元数据模型，由开发人员在开发期间创建，元数据中可绑定界面操作功能、服务端方法、查询（query），部署时系统会将元数据信息同步到数据库中BOS权限项定义用户权限角色权限组织权限,BOS权限模型,权限项元数据扩展属性:orgRelation（权限项主业务组织类型）权限项主业务组织类型，取值范围为：NONE：跟组织类型无关，只要给任一组织分配了该权限，则所有组织都有权、Admin：行政组织类型、Company：财务组织类型、Sale：销售组织类型、Purchase：采购组织类型、Storage：库存组织类型、CostCenter：成本中心组织类型、ProfitCenter：盈利中心组织类型、ControlUnit：管理单元，只要在管理单元中分配了该权限，则在该管理单元下的所有组织都有权、UnionDebt：责任中心，HRO：人事组织。注意：当权限项上的主业务组织类型不为空时（即权限项扩展属性orgRelation不为空），权限系统会优先读取该属性值作为权限项的主组织类型.,BOS权限模型,权限项元数据权限项扩展属性：permItemType（权限项类型）权限项类型，取值范围为：10(系统管理功能)、15（业务管理功能）、20(业务功能)、30(综合功能)系统用户（超级管理员或CU管理员）不能操作业务功能，默认拥有所有的系统管理功能类、业务管理功能类和综合功能类的权限，不需授权。普通用户（包括业务管理员）不能操作系统管理功能，只能操作业务功能。需要授权才可以具有业务功能类和综合功能类的相关权限。当用户为业务管理员时，默认拥有业务管理功能类的权限。如果不确定某个权限项的权限项类型,请与相关需求人员确认.,BOS权限模型,权限项元数据扩展属性enableDataPermission是否启用数据权限，true：启用，false:不启用；如果选择为true,则该权限项必须关联实体同步权限项权限定义的信息存放在元数据中，部署的时候，执行同步权限项，会将权限项信息同步至数据库中的T_PM_Permitem表；同步过程如果出现问题，界面会提示，在服务器的日志中可以查看到错误原因。,BOS权限模型,权限项元数据扩展属性enableDataPermission是否启用数据权限，true：启用，false:不启用；如果选择为true,则该权限项必须关联实体同步权限项权限定义的信息存放在元数据中，部署的时候，执行同步权限项，会将权限项信息同步至数据库中的T_PM_Permitem表；同步过程如果出现问题，界面会提示，在服务器的日志中可以查看到错误原因。,BOS权限模型,实体设置1）首先选择实体，然后选择实体支持字段权限：设置扩展属性：enableFieldPermission为true2）选择字段，然后在扩展属性中选择容许字段权限:设置扩展属性：enableFieldPermission为true3）在权限项中关联支持字段权限的实体生成字段子系统树设置好实体元数据后需要生成子系统树生成的字段子系统树保存在com_kingdee_eas_base_fieldpermission.mdbview,大纲,权限的基本介绍,ERP软件权限管理,第二部分,BOS权限模型,第三部分,BOS权限分类介绍,第五部分,BOS权限管理常见问题,第六部分,FAQ,第一部分,BOS权限分类介绍,数据权限,特殊数据权限,一般数据权限,主管权限,创建者权限,离散权限,字段权限,功能权限,6、功能权限用户授权,选择用户确定用户组织范围选择组织确定可授权权限项选择权限项授予用户保存,用户,业务组织,功能权限,可转授页签只对有授权权的用户可用。用来确定该用户可转授给其它用户的权限。,权限项图标不同，表示能否支持数据授权。,功能权限用户授权,可授权权限树会根据授权组织过滤，显示的权限的组织类型(orgRelation)在授权组织的组织类型内。如果被分配权限用户是业务管理员，则可以分配可转授权限，即该用户可以给其他用户分配的权限。禁止权限：禁止权限优先于其他一切权限，即如果某权限被禁止了，那么该用户就没有该权限授权组织的范围：授权组织限制在被分配用户的业务组织范围内技术方面功能验权接口都定义在com.kingdee.eas.base.permission.IPermission中,功能授权角色授权,角色是一批权限项的集合.注意：角色权限与组织无关角色的权限在分配用户之前，并未生效角色也能分配数据权限,角色,给角色授权,分配用户,选择组织,功能权限禁止权,禁止某个或者某些操作的权限，是个负权限禁止权优先于任何权限多数用来控制业务互斥的操作授权也用来调整用户的权限,适用于业务管理员界定其能管理的权限范围和组织范围可转授权和操作权分离,功能权限可转授,功能权限已分配角色权限,权限演练,动画演示permission.swf,数据权限,数据权限不是必须的在用户组织范围内默认有权针对数据授权意味着缩小用户权限一般数据权限特殊数据权限.主管权限创建者权限离散权限字段权限,一般数据权限,一般数据权限可以控制用户可以操作哪些数据记录，可以通过定义授权规则，限制用户拥有操作哪些数据的权限，这是一种纵向的数据控制；EAS系统有一个系统参数enableDataPermission对数据权限是否启用进行控制，true:启用数据权限，false:禁用数据权限，禁用的情况下，系统所有的数据权限控制失效权限要支持数据权限，首先要在权限项中定义扩展属性dataPermission为true,并且权限项必须关联实体,一般数据权限,通过数据规则（过滤条件）授权；将数据规则绑定在功能权限上；控制的力度到了操作级别。,角色/用户,功能权限,数据权限,组织,增加行和删除行按钮可以增加和删除规则。通过上移下移按钮调整规则排列的顺序,选中这个节点，可以给所有的下级权限项授数据规则,特殊数据权限主管权限,特殊数据权限CU隔离只能由管理员启用减少规则定义和数据授权工作量主管权限对行政主管赋予的特殊权限，对主管可以查看和处理的数据范围做默认值；例如：主管可以查看和维护其下属做的单据和凭证。主管权限受功能权限控制,特殊数据权限指定主管,指定非负责人职位的职员作为主管指定主管后要指定主管哪个或者哪些组织指定主管在指定组织中，享有与正常主管一样的权利指定主管能随时上任，随时下岗,特殊数据权限拥有者权限,对业务对象的拥有者赋予的特殊权限例如：谁建的单据或者物料等，只能由谁来修改、删除、作废；自己不能审核自己做的单据和物料等记录；拥有者允许增加拥有者权限有例外指定部分用户不受拥有者权限的限制,分管理单元启用拥有者权限和主管权限。,启用拥有者权限之后，才允许对功能权限进行设置。,创建拥有者权限,功能菜单系统平台安全管理特殊数据权限管理修改集成配置文件：bs_permissiondevsrccomkingdeeeasbasepermissionappconfigPermissionConfiguration.xmlcom.kingdee.eas.fi.gl.app.Voucher2652E01E如果要新增请按照如上内容格式在本地增加测试通过后，由权限模块负责人员添加到权限模块注：如果不能生效，请删除如下数据：delete*fromT_PM_SpecialDataPermEntrydelete*fromT_PM_SpecialDataPerm,特殊数据权限个别（离散）授权,针对数据记录的操作授权；数据记录不成规则，或者用规则描述比较复杂；系统管理员无法操作业务数据。特点：明确到数据记录级别，直观简捷,特殊数据权限个别（离散）授权,需要经过功能授权后，才能有个别授权权；目前在自定义页签、报表等业务中使用；针对角色和用户均可授权；,特殊数据权限个别（离散）授权,改进后的个别授权界面：,特殊数据权限字段权限,针对字段级别的授权，又称列权限CU隔离，默认有权编辑界面和序时簿界面展现不同暂不支持报表用户组织功能字段权限,特殊数据权限字段权限效果.,编辑界面无权查看字段，会用“无权限”遮盖编辑界面无权修改的字段，灰掉。序时簿界面，将无权查看的字段用*替代序时簿界面，不处理修改权。,字段权限,首先选择实体，然后选择实体支持字段权限（注意实体不是继承自ObjectBase）,字段权限,选择字段，然后在扩展属性中选择容许字段权限,字段权限,设置权限项，注意一定要选择正确的关联容许字段权限的实体,字段权限,在用户管理界面中选择菜单文件中的字段权限设置，设置容许哪些字段可以进行数据权限的授权，特别注意如果是新增加的部分需要重新生成树文件。Bim可以直接使用功能生成，而bosstudio需要参与大构建输出才会生成。树文件名称：com_kingdee_eas_base_fieldpermission.mdbview,字段权限,在用户授权界面选择字段授权，可以对用户进行指定字段的授权,大纲,权限的基本介绍,ERP软件权限管理,第二部分,BOS权限模型,第三部分,BOS权限分类介绍,第四部分,BOS权限管理常见问题,第六部分,FAQ,第一部分,BOS权限管理常见问题,某单据（实体）没有出现在授权规则左边的树中问题原因：该单据没有关联权限项，或者关联的权限项没有启用数据权限；或者没有分配为授权实体；再或者是忘记同步权限项了，没有产生子系统树，没有通过com.kingdee.eas.base.permission.BizObjectForRole进行分配解决办法：将该单据关联到权限项，并将该权限项设置为支持数据权限