审批流程系统设计

GCC权限系统分析和设计潘大勇2008-12-06提纲设计目标限制条件需求范围业务需求原型演示案例研究理论基础需求验证方案比较需求决策里程碑划分结束语设计目标满足施工企业公司级权限管理需求可以完全满足90%的权限需求基本满足权限设计和开发的需要提供完整的需求规格提供完整的原型系统符合开发的能力要求限制条件原有方案改造符合现有框架要求符合现有技术要求需求范围分级的管理权限要求按组织机构的层级的数据权限要求业务需求案例演示理论基础—RBAC模型及变体UsersRolesSessionsOBSOPSDepartsUserAssignmentPermissionAssignmentUser_SessionsSession_RolesRoleHierarchyRoleAssignment案例分析主要要求1.可以按照组织机构进行分级授权管理2.上级角色（岗位）具有下级角色（岗位）的全部权限3.无隶属关系的角色之间也可以相互查看所属数据4.支持按机构的分级数据查看案例分析—基本用例执行者：系统管理员主成功场景：1.SA构建本级系统的组织机构（含岗位与部门挂接）；2.SA建立本级系统的人员（用户）名册（含与角色挂接）；3.SA鉴于组织复杂，启用子部门系统管理员；并分配子部门系统管理员可管理的资源；4.SA建立角色的行政或业务的直接上级关系；5.SA为指定角色分配资源权限，若上级没有特殊权限，则不需要分配；6.用例结束扩展用例：3a)SA鉴于组织简单，不启用任何子部门系统管理员，直接进入主成功场景第4步；4a)SA不指定上下级关系4a1SA为所有角色分配资源权限4a2用例结束案例分析—组织机构广联达建筑公司总经理财务部经营部北京施工项目部天津施工项目部总工程师财务主管经营主管预算员项目经理项目经理预算科预算科预算员预算员技术部物资部总会计师技术科技术科角色机构部门案例分析—部门级系统管理员广联达建筑公司系统管理员财务部经营部北京施工项目部天津施工项目部部门级系统管理员部门级系统管理员预算科预算科技术部物资部技术科技术科案例分析—分级授权系统管理员北项系统管理员北项子部门系统管理员天项系统管理员天项子部门系统管理员业务下属案例分析—角色下属和角色信任总经理总经济师财务主管经营主管预算员天项\项目经理北项\项目经理北项\预算员天项\预算员总会计师行政下属信任案例分析—权限范围（自己与他人）每个预算员只能修改自己登记的中标合同，但是可以查看其他预算员登记的中标合同。预算员中标合同浏览自己修改自己浏览全部修改全部经营主管张三李四浏览全部修改张三/李四修改全部案例分析——内置的权限一些单据或报表在编制时就已经确认了其所属的组织机构，系统将为这些数据赋予内置的权限。即仅有所属机构或其上级管理机构缺省有权利管理这些数据。其平行机构只有通过信任授权方式才可以取得这些数据的管理权。案例分析—数据的内置权限管理项目2分包合同项目1分包合同项目1项目2北京项目部天津项目部北项\预算员天项\预算员预算员角色隶属角色信任数据隶属中介数据管理案例分析—公共资源管理1.每种资源类别都有具体的分类2.各种模块与具体资源直接相关3.管理员授予不同角色管理不同的具体资源4.数据权限就这样被切分资源独有资源共享资源无关需求验证支持权限的继承支持按机构/项目/中标合同的内置权限管理支持分级授权管理方案比较对比项目原方案新方案权限控制角度岗位可以授权，不具备隶属关系不可授权人员不可授权。人员归属多岗位和多部门，但无法区分同一个人在不同部门下的岗位和职能。不可授权。人员归属单一角色（即部门下的岗位），从而明确区分同一个人在不同部门下的职能。部门不可授权不可授权角色无此项可以授权权限控制方式外部控制按岗位的权限控制按角色的权限控制；通过角色之间级隶属关系，实现权限继承关系；通过角色之间信任关系，实现权限转移。内置权限按项目/部门的权限控制，通过部门上下级实现权限继承关系。按部门的权限控制，通过部门下管理的角色和角色之间的隶属关系实现权限的管理和继承关系。授权管理模式仅提供一个内置的系统管理员管理全部权限，系统管理员工作十分复杂每个部门都可以建立自己的一个系统管理员角色，并且可以由多个人员承担，上级系统管理员可以授权和管理下级系统管理员，下级系统管理员在上级指定的权限范围内进行权限管理。从而实现职责的分配和传递，简化系统管理过程。需求决策待决问题需求描述建议方案建议理由岗位授权将岗位的公共权限授予在岗位字典上，从而减轻角色授权的工作量和复杂度。不支持这只是一种加速授权的方式，不影响授权的实质，并且导致权限模型复杂化。人员授权在人员上直接授权，角色相同角色不同人员权限范围的不同不支持不同人员权限不同时，可以通过增加细分角色（岗位）来解决。大多数情况下在人员授权的几率不高，人员授权将导致权限模型的极端复杂化。部门授权在部门上直接授权，通过部门的树形关系，实现公共权限由上到下的派生或者通过部门隶属关系，实现私有权限由下至上的延伸。不支持1.可以由上到下派生的公共权限很少；2.部门上下级不能视为私有权限的上下级拥有关系，因此不能视为自动的私有权限延伸。里程碑划分结束语谢谢各位支持与参与。