用友NC权限管理V5.0

1、NCV5权限管理提纲权限模型介绍角色管理权限分配用户管理权限-角色-用户权限控制权限查询新特性NCV5采用RBAC模型(Role-Based Access Control，基于角色的访问控制)。引入角色，以角色为桥梁把用户和权限连接起来。用户只需关注其在组织结构中担当的角色，而角色所拥有的权限由角色本身决定，这样用户通过担当角色而拥有相应权限。权限模型介绍权限模型介绍角色管理信任公司角色管理角色为权限的一个集合，具体表示组织中的一职责、或者一工作、或者一任务等等。角色管理维护角色根本信息编码、名称，设置角色中用户。上级公司可以管理本公司和所有下级公司角色。角色管理资源类型(公司类型、主体帐簿类

2、型和复合类型)：角色的资源类型不同能够分配的功能权限就不同。主体帐簿类型的角色，只能分配总帐模块下节点的功能权限。公司类型的角色，能够分配除总帐模块下节点外所有节点的功能权限。复合类型的角色能够分配所有的功能权限。信任公司：为角色设置信任公司(如上图)，为了到达角色让其他公司用户兼职目的用户管理中完成，但角色在创立公司有效。例 1：C1公司R1角色C2公司用户信任兼职公司管理员角色公司管理员角色：只负责用户权限管理的角色。其他角色不能进行用户权限管理。担当此角色的用户可以管理本公司和下级公司的用户权限。集团用户想要此角色，那么由账套管理员进行委派；公司用户那么由上级公司的管理员委派此角色。 角

3、色管理(分配公司)分配公司角色管理(分配公司)分配公司：角色可以分配给下级公司，相当于每个分配公司也产生了此角色表示此角色除了属于创立公司外，也属于这些分配公司。例 2：C1公司C2公司分配担当R1角色用户R1角色角色管理(分配公司)角色的信任和分配的区别：信任不改变角色的作用域，如在例 1中，R1角色只在C1公司有效；而分配那么扩大了角色的作用域，如在例 2中，R1角色在C2公司也有效。信任对于用户是扩大了作用域，而分配对于用户是局部扩大了作用域，局部获得了作用域。信任角色分配是在被新任公司直接用户管理就可以添加角色。分配包括本公司用户以及被分配公司用户，被分配公司用户必须在角色所在公司的角

4、色管理里面添加用户。角色管理(设置用户)角色管理(设置用户)角色可以委派给本公司用户，分配到其它公司的角色也可以委派给上级公司用户。例3(和例1、例2区别)：C1公司C2公司分配R1角色用户R1角色兼职担当分配到其它公司的角色也可以委派给那个公司的用户,如例2。权限分配公共权限权限分配权限：对数据进行访问的许可。权限分配统一管理，包括功能权限和各种数据权限；上级公司可以管理本公司和所有下级公司角色权限。采用插件技术定制需要分配的各种权限；权限的业务扩展由插件决定，比方客商权限具体什么业务含义、是否上级控制等。 角色的公共权限和私有权限:公共权限，表示角色在创立公司和各分配公司都拥有这局部权限；

5、私有权限，表示角色在各公司所拥有的私有权限；而角色在公司的权限由公共权限和在此公司的私有权限组成。对于功能权限，分配总账节点权限时，也可以分配公共权限，那么这局部权限能在所有主体账簿下使用，并且能给具体的主体账簿分配私有权限。 用户管理用户管理用户指能登录NC系统的用户，是登录账号。用户管理主要维护用户根本信息编码、名称、口令等，口令策略认证方式、口令有效期、用户对应的业务员、角色的委派用户能够担当的本公司角色和其它公司角色。上级公司可以管理本公司和所有下级公司用户。用户管理(委派角色)分配了公司的角色可以选择局部没有分配公司的角色信任当前公司的其它公司角色用户管理(委派角色)用户可以委派本公

6、司创立的角色，本公司创立的角色包括分配了公司的角色和没有分配公司的角色。参考例3。 用户还可以委派信任本公司的角色。参考例1。 权限-角色-用户用户角色权限C1公司创建信任创建担当兼职委派分配权限控制权限控制控制具体公司是否启用权限或者控制具体主体账簿是否启用权限。比方可以控制局部公司启用按钮权限，控制局部主体账簿启用会计科目权限。上级公司可以管理本公司和所有下级的权限启用。 在公司或者主体账簿启用权限控制的前提下，还可以控制具体角色是否启用权限，这由角色管理完成。 功能权限最大集控制：限制用户能够分配的功能权限，不能超过用户拥有的功能权限。 功能权限查询查询用户的功能权限、角色的功能权限、功

7、能权限的用户清单、功能权限的角色清单。使用查询引擎实现，可以根据业务需求增加或修改查询功能。新特性标准化、系统化。采用标准RBAC模型，权限系统化。权限管理只能由少数特权用户完成即担当公司管理员角色的用户。集中化管理。包括用户管理、角色管理、权限分配和权限控制，都可以由集团统一控制。上下级垂直管理。上级公司可以管理下级公司，可以为下级公司进行用户管理、角色管理、权限分配和权限控制。 新特性插件化：权限分配和权限查询，各插件定制。NC5不再直接为用户分配权限，废弃了NC3系列的用户组、用户关联公司和快捷分配。角色外延了用户组，NC3系列的用户组只能在当前公司使用，而角色还可以跨公司、跨主体账簿共享权限。NC3系列的“用户关联公司表示“用户直接关联了公司后，相当于用户也属于关联公司；而在NC5中，用户必须具有其他公司的角色，才间接表示用户关联了此公司。NC3系列的快捷分配造成了大量的用户组以及重复的用户权限；而在NC5中，只需要角色分配多个公司，再分配公共权限，即可完成统一控制，减少了大量数据。 新特性NC5增加了权限的细粒度控制。NCV5中，角色也可