NCV5.7权限管理

1、权限模型介绍角色管理权限分配用户管理权限-角色-用户权限控制权限查询新特性lNCV5采用RBAC模型(Role-Based Access Control，基于角色的访问控制)。l引入角色，以角色为桥梁把用户和权限连接起来。l用户只需关注其在组织结构中担当的角色，而角色所拥有的权限由角色本身决定，这样用户通过担当角色而拥有相应权限。信任公司l角色为权限的一个集合，具体表示组织中的一职责、或者一工作、或者一任务等等。l角色管理维护角色基本信息（编码、名称），设置角色中用户。上级公司可以管理本公司和所有下级公司角色。l资源类型(公司类型、主体帐簿类型和复合类型)：角色的资源类型不同能够分配的功能权限

2、就不同。l主体帐簿类型的角色，只能分配总帐模块下节点的功能权限。l公司类型的角色，能够分配除总帐模块下节点外所有节点的功能权限。l复合类型的角色能够分配所有的功能权限。l信任公司：为角色设置信任公司(如上图)，为了达到角色让其他公司用户兼职目的（用户管理中完成），但角色在创建公司有效。例 1：C1公司公司R1角色角色C2公司公司用户信任信任兼职兼职l公司管理员角色：只负责用户权限管理的角色。其他角色不能进行用户权限管理。l担当此角色的用户可以管理本公司和下级公司的用户权限。l集团用户想要此角色，则由账套管理员进行委派；公司用户则由上级公司的管理员委派此角色。 分 配公司l分配公司：角色可以分配

3、给下级公司，相当于每个分配公司也产生了此角色（表示此角色除了属于创建公司外，也属于这些分配公司）。l例 2：C1公司公司C2公司公司分配分配担当担当R1角色角色用户R1角色角色l角色的信任和分配的区别：信任不改变角色的作用域，如在例 1中，R1角色只在C1公司有效；而分配则扩大了角色的作用域，如在例 2中，R1角色在C2公司也有效。信任对于用户是扩大了作用域，而分配对于用户是部分扩大了作用域，部分获得了作用域。信任角色分配是在被新任公司直接用户管理就可以添加角色。分配包括本公司用户以及被分配公司用户，被分配公司用户必须在角色所在公司的角色管理里面添加用户。l角色可以委派给本公司用户，分配到其它

4、公司的角色也可以委派给上级公司用户。例3(和例1、例2区别)：C1公司公司C2公司公司分配分配R1角色角色用户R1角色角色兼职兼职担当担当l分配到其它公司的角色也可以委派给那个公司的用户,如例2。公共权限l权限：对数据进行访问的许可。l权限分配统一管理，包括功能权限和各种数据权限；上级公司可以管理本公司和所有下级公司角色权限。l采用插件技术定制需要分配的各种权限；权限的业务扩展由插件决定，比如客商权限具体什么业务含义、是否上级控制等。 l角色的公共权限和私有权限角色的公共权限和私有权限: :公共权限，表示角色在创建公司和各分配公司都拥有这部分权限；私有权限，表示角色在各公司所拥有的私有权限；而

5、角色在公司的权限由公共权限和在此公司的私有权限组成。对于功能权限，分配总账节点权限时，也可以分配公共权限，则这部分权限能在所有主体账簿下使用，并且能给具体的主体账簿分配私有权限。 l用户指能登录NC系统的用户，是登录账号。l用户管理主要维护用户基本信息（编码、名称、口令等），口令策略（认证方式、口令有效期）、用户对应的业务员、角色的委派（用户能够担当的本公司角色和其它公司角色）。l上级公司可以管理本公司和所有下级公司用户。分配了公司的角色（可以选择部分）没有分配公司的角色信任当前公司的其它公司角色l用户可以委派本公司创建的角色，本公司创建的角色包括分配了公司的角色和没有分配公司的角色。参考例3

6、。 l用户还可以委派信任本公司的角色。参考例1。 用户角色角色权限权限C1公司公司创建创建信任信任创建创建担当担当兼职兼职委派委派分配分配l控制具体公司是否启用权限或者控制具体主体账簿是否启用权限。比如可以控制部分公司启用按钮权限，控制部分主体账簿启用会计科目权限。l上级公司可以管理本公司和所有下级的权限启用。 l在公司或者主体账簿启用权限控制的前提下，还可以控制具体角色是否启用权限，这由角色管理完成。 l功能权限最大集控制：限制用户能够分配的功能权限，不能超过用户拥有的功能权限。 l查询用户的功能权限、角色的功能权限、功能权限的用户清单、功能权限的角色清单。l使用查询引擎实现，可以根据业务需

7、求增加或修改查询功能。l标准化、系统化。采用标准RBAC模型，权限系统化。权限管理只能由少数特权用户完成（即担当公司管理员角色的用户）。l集中化管理。包括用户管理、角色管理、权限分配和权限控制，都可以由集团统一控制。l上下级垂直管理。上级公司可以管理下级公司，可以为下级公司进行用户管理、角色管理、权限分配和权限控制。 l插件化：权限分配和权限查询，各插件定制。lNC5不再直接为用户分配权限，废弃了NC3系列的用户组、用户关联公司和快捷分配。l角色外延了用户组，NC3系列的用户组只能在当前公司使用，而角色还可以跨公司、跨主体账簿共享权限。lNC3系列的“用户关联公司”表示“用户直接关联了公司后，相当于用户也属于关联公司”；而在NC5中，用户必须具有其他公司的角色，才间接表示用户关联了此公司。lNC3系列的快捷分配造成了大量的用户组以及重复的用户权限；而在NC5中，只需要角色分配多个公司，再分配公共权限，即可完成统一控制，减少了大量数据。 lNC5增加了权限的细粒度控制。lNCV5中，角色也可以控制是否启