審批流程系統(tǒng)設(shè)計(jì)

GCC權(quán)限系統(tǒng)分析和設(shè)計(jì)潘大勇2008-12-06提綱設(shè)計(jì)目標(biāo)限制條件需求范圍業(yè)務(wù)需求原型演示案例研究理論基礎(chǔ)需求驗(yàn)證方案比較需求決策里程碑劃分結(jié)束語(yǔ)設(shè)計(jì)目標(biāo)滿足施工企業(yè)公司級(jí)權(quán)限管理需求可以完全滿足90%的權(quán)限需求基本滿足權(quán)限設(shè)計(jì)和開發(fā)的需要提供完整的需求規(guī)格提供完整的原型系統(tǒng)符合開發(fā)的能力要求限制條件原有方案改造符合現(xiàn)有框架要求符合現(xiàn)有技術(shù)要求需求范圍分級(jí)的管理權(quán)限要求按組織機(jī)構(gòu)的層級(jí)的數(shù)據(jù)權(quán)限要求業(yè)務(wù)需求案例演示理論基礎(chǔ)—RBAC模型及變體UsersRolesSessionsOBSOPSDepartsUserAssignmentPermissionAssignmentUser_SessionsSession_RolesRoleHierarchyRoleAssignment案例分析主要要求1.可以按照組織機(jī)構(gòu)進(jìn)行分級(jí)授權(quán)管理2.上級(jí)角色（崗位）具有下級(jí)角色（崗位）的全部權(quán)限3.無(wú)隸屬關(guān)系的角色之間也可以相互查看所屬數(shù)據(jù)4.支持按機(jī)構(gòu)的分級(jí)數(shù)據(jù)查看案例分析析—基本用例例執(zhí)行者：：系統(tǒng)管管理員主成功場(chǎng)場(chǎng)景：1.SA構(gòu)建本本級(jí)系系統(tǒng)的的組織織機(jī)構(gòu)構(gòu)（含含崗位位與部部門掛掛接））；2.SA建立本本級(jí)系系統(tǒng)的的人員員（用用戶））名冊(cè)冊(cè)（含含與角角色掛掛接））；3.SA鑒于組組織復(fù)復(fù)雜，，啟用用子部部門系系統(tǒng)管管理員員；并并分配配子部部門系系統(tǒng)管管理員員可管管理的的資源源；4.SA建立角角色的的行政政或業(yè)業(yè)務(wù)的的直接接上級(jí)級(jí)關(guān)系系；5.SA為指定定角色色分配配資源源權(quán)限限，若若上級(jí)級(jí)沒有有特殊殊權(quán)限限，則則不需需要分分配；；6.用例結(jié)結(jié)束擴(kuò)展用用例：：3a)SA鑒于組組織簡(jiǎn)簡(jiǎn)單，，不啟啟用任任何子子部門門系統(tǒng)統(tǒng)管理理員，，直接接進(jìn)入入主成成功場(chǎng)場(chǎng)景第第4步；4a)SA不指定定上下下級(jí)關(guān)關(guān)系4a1SA為所有有角色色分配配資源源權(quán)限限4a2用例結(jié)結(jié)束案例分分析—組織機(jī)機(jī)構(gòu)廣聯(lián)達(dá)達(dá)建筑筑公司司總經(jīng)理理財(cái)務(wù)部部經(jīng)營(yíng)部部北京施施工項(xiàng)項(xiàng)目部部天津施施工項(xiàng)項(xiàng)目部部總工程程師財(cái)務(wù)主主管經(jīng)營(yíng)主主管預(yù)算員員項(xiàng)目經(jīng)經(jīng)理項(xiàng)目經(jīng)經(jīng)理預(yù)算科科預(yù)算科科預(yù)算員員預(yù)算員員技術(shù)部部物資部部總會(huì)計(jì)計(jì)師技術(shù)科科技術(shù)科科角色機(jī)構(gòu)部門案例分分析—部門級(jí)級(jí)系統(tǒng)統(tǒng)管理理員廣聯(lián)達(dá)達(dá)建筑筑公司司系統(tǒng)管管理員員財(cái)務(wù)部部經(jīng)營(yíng)部部北京施施工項(xiàng)項(xiàng)目部部天津施施工項(xiàng)項(xiàng)目部部部門級(jí)級(jí)系統(tǒng)統(tǒng)管理理員部門級(jí)級(jí)系統(tǒng)統(tǒng)管理理員預(yù)算科科預(yù)算科科技術(shù)部部物資部部技術(shù)科科技術(shù)科科案例分分析—分級(jí)授授權(quán)系統(tǒng)管管理員員北項(xiàng)系系統(tǒng)管管理員員北項(xiàng)子子部門門系統(tǒng)統(tǒng)管理理員天項(xiàng)系系統(tǒng)管管理員員天項(xiàng)子子部門門系統(tǒng)統(tǒng)管理理員業(yè)務(wù)下下屬案例分分析—角色下下屬和和角色色信任任總經(jīng)理理總經(jīng)濟(jì)濟(jì)師財(cái)務(wù)主主管經(jīng)營(yíng)主主管預(yù)算員員天項(xiàng)\項(xiàng)目經(jīng)經(jīng)理北項(xiàng)\項(xiàng)目經(jīng)經(jīng)理北項(xiàng)\預(yù)算員員天項(xiàng)\預(yù)算員員總會(huì)計(jì)計(jì)師行政下下屬信任案例分分析—權(quán)限范范圍（（自己己與他他人））每個(gè)預(yù)預(yù)算員員只能能修改改自己己登記記的中中標(biāo)合合同，，但是是可以以查看看其他他預(yù)算算員登登記的的中標(biāo)標(biāo)合同同。預(yù)算員員中標(biāo)合合同瀏覽自己修改自己瀏覽全部修改全部經(jīng)營(yíng)主主管張三李四瀏覽全部修改張三/李四修改全部案例分分析——內(nèi)置的的權(quán)限限一些單單據(jù)或或報(bào)表表在編編制時(shí)時(shí)就已已經(jīng)確確認(rèn)了了其所所屬的的組織織機(jī)構(gòu)構(gòu)，系系統(tǒng)將將為這這些數(shù)數(shù)據(jù)賦賦予內(nèi)內(nèi)置的的權(quán)限限。即即僅有有所屬屬機(jī)構(gòu)構(gòu)或其其上級(jí)級(jí)管理理機(jī)構(gòu)構(gòu)缺省省有權(quán)權(quán)利管管理這這些數(shù)數(shù)據(jù)。。其平平行機(jī)機(jī)構(gòu)只只有通通過(guò)信信任授授權(quán)方方式才才可以以取得得這些些數(shù)據(jù)據(jù)的管管理權(quán)權(quán)。案例分分析—數(shù)據(jù)的的內(nèi)置置權(quán)限限管理理項(xiàng)目2分包合合同項(xiàng)目1分包合合同項(xiàng)目1項(xiàng)目2北京項(xiàng)項(xiàng)目部部天津項(xiàng)項(xiàng)目部部北項(xiàng)\預(yù)算員員天項(xiàng)\預(yù)算員員預(yù)算員員角色隸隸屬角色信信任數(shù)據(jù)隸隸屬中介數(shù)據(jù)管管理案例分分析—公共資資源管管理1.每種資資源類類別都都有具具體的的分類類2.各種模模塊與與具體體資源源直接接相關(guān)關(guān)3.管理員員授予予不同同角色色管理理不同同的具具體資資源4.數(shù)據(jù)權(quán)權(quán)限就就這樣樣被切切分資源獨(dú)獨(dú)有資源共共享資源無(wú)無(wú)關(guān)需求驗(yàn)驗(yàn)證支持權(quán)權(quán)限的的繼承承支持按按機(jī)構(gòu)構(gòu)/項(xiàng)目/中標(biāo)合合同的的內(nèi)置置權(quán)限限管理理支持分分級(jí)授授權(quán)管管理方案比比較對(duì)比項(xiàng)目原方案新方案權(quán)限控制角度崗位可以授權(quán)，不具備隸屬關(guān)系不可授權(quán)人員不可授權(quán)。人員歸屬多崗位和多部門，但無(wú)法區(qū)分同一個(gè)人在不同部門下的崗位和職能。不可授權(quán)。人員歸屬單一角色（即部門下的崗位），從而明確區(qū)分同一個(gè)人在不同部門下的職能。部門不可授權(quán)不可授權(quán)角色無(wú)此項(xiàng)可以授權(quán)權(quán)限控制方式外部控制按崗位的權(quán)限控制按角色的權(quán)限控制；通過(guò)角色之間級(jí)隸屬關(guān)系，實(shí)現(xiàn)權(quán)限繼承關(guān)系；通過(guò)角色之間信任關(guān)系，實(shí)現(xiàn)權(quán)限轉(zhuǎn)移。內(nèi)置權(quán)限按項(xiàng)目/部門的權(quán)限控制，通過(guò)部門上下級(jí)實(shí)現(xiàn)權(quán)限繼承關(guān)系。按部門的權(quán)限控制，通過(guò)部門下管理的角色和角色之間的隸屬關(guān)系實(shí)現(xiàn)權(quán)限的管理和繼承關(guān)系。授權(quán)管理模式僅提供一個(gè)內(nèi)置的系統(tǒng)管理員管理全部權(quán)限，系統(tǒng)管理員工作十分復(fù)雜每個(gè)部門都可以建立自己的一個(gè)系統(tǒng)管理員角色，并且可以由多個(gè)人員承擔(dān)，上級(jí)系統(tǒng)管理員可以授權(quán)和管理下級(jí)系統(tǒng)管理員，下級(jí)系統(tǒng)管理員在上級(jí)指定的權(quán)限范圍內(nèi)進(jìn)行權(quán)限管理。從而實(shí)現(xiàn)職責(zé)的分配和傳遞，簡(jiǎn)化系統(tǒng)管理過(guò)程。需求決決策待決問(wèn)題需求描述建議方案建議理由崗位授權(quán)將崗位的公共權(quán)限授予在崗位字典上，從而減輕角色授權(quán)的工作量和復(fù)雜度。不支持這只是一種加速授權(quán)的方式，不影響授權(quán)的實(shí)質(zhì)，并且導(dǎo)致權(quán)限模型復(fù)雜化。人員授權(quán)在人員上直接授權(quán)，角色相同角色不同人員權(quán)限范圍的不同不支持不同人員權(quán)限不同時(shí)，可以通過(guò)增加細(xì)分角色（崗位）來(lái)解決。大多數(shù)情況下在人員授權(quán)的幾率不高，人員授權(quán)將導(dǎo)致權(quán)限模型的極端復(fù)雜化。