系统权限管理体系介绍课件.ppt

1、XX权限管理体系介绍提提 纲纲权限管理权限管理内容内容1整体技术架构整体技术架构2功能介绍功能介绍3一、权限管理内容权限管理信息化系统安全运行的基础手段n 管理用户能够使用的模块n 限制用户能访问的数据n 控制用户对数据容许的操作n 记录用户的行为目标n 确保数据质量及安全n 确保业务人员易用n 确保信息人员易管n 可对用户进行行为分析提提 纲纲权限管理内容权限管理内容1整体技术架构整体技术架构2功能介绍功能介绍3二、整体技术架构1、设计思路油田业务体系业务用户岗位单位确定所负担的工作确定所使用业务模块应用系统中的组织结构管理、岗位管理、角色管理、用户管理、数据记录管理、日志管理，均是为此服务

2、。二、整体技术架构岗位角色按单位划分角色按业务划分角色用户业务模块以岗位角色为核心，驱动权限通过岗位角色实现用户与模块权限的关联。通过岗位角色实现用户与模块权限的解耦。1、设计思路二、整体技术架构用户数据应用模块岗位角色单位 权限关系图1、设计思路二、整体技术架构权限集中管控的基础业务系统集中注册用户集中管理1、设计思路三、功能介绍2、功能框架图权限管理体系用户管理用户管理角色管理角色管理单位管理单位管理岗位管理岗位管理组织机构管理组织机构管理权限管理权限管理用户权限管理应用系统管理服务及接口注册管理注册管理日志记录日志记录应用分析应用分析开发标准开发标准功能服务功能服务数据访问管理数据访问管

3、理数据访问管理二、整体技术架构3、调用接口设计软件开发人员 用户服务接口 单位服务接口 岗位服务接口 权限服务接口 模块服务接口 流程服务接口Web服务封装DLL封装用户角色配置权限平台权限资源将权限功能封装成标准接口，供平台内所有业务系统使用，实现用户、单位、权限、流程的统一管理。提提 纲纲权限管理内容权限管理内容1整体技术架构整体技术架构2功能介绍功能介绍3三、功能介绍应用集中注册运行时管理运行后管理支持业务系统追踪分析运行模式管理应用模块集中注册数据访问管理模块功能点管理运行日志记录日志挖掘分析1、业务系统及模块管理应用图表化分析三、功能介绍1、业务系统及模块管理业务模块及入口集中管理：

4、p 业务模块按业务分类管理p 支持CS模块管理p 支持BS模块管理p 支持独立进程模块管理p 支持依赖环境自动部署应用注册管理运行时管理运行后管理三、功能介绍1、业务系统及模块管理应用注册管理运行时管理运行后管理三、功能介绍1、业务系统及模块管理应用注册管理运行时管理运行后管理控制模块的数据访问：p 指定模块运行要连接的数据库p 模块运行情况可进行监控三、功能介绍1、业务系统及模块管理应用注册管理运行时管理运行后管理控制模块内的功能点：p 支持控制模块的入口级权限p 支持控制模块内各功能点权限入口级权限，控制用户能否看到该模块。功能点级权限，不能用户能看到单位也不同。三、功能介绍1、业务系统及

5、模块管理应用注册管理运行时管理运行后管理监控模块运行：p 模块的启动、关闭记录p 模块的敏感操作记录平台操作行为记录平台进入日志记录平台退出日志记录模块启动日志记录模块退出日志记录模块敏感操作记录n什么用户n什么时间n什么IP用户身份记录平台日志引擎日志表数据挖掘用户行为分析从模块、用户、单位三个维度，对应用情况进行分析，通过图表汇总展示。敏感数据操作记录三、功能介绍1、业务系统及模块管理应用注册管理运行时管理运行后管理日志挖掘分析：p 实现对应用日志的统计分析p 可按用户、业务系统、单位进行不同维度的分析三、功能介绍1、业务系统及模块管理 下步完善方案n应用注册、审批流程化、简单化n细化对用

6、户行为的挖掘n完善移动应用管理办公OA沟通Office网盘胜利油田门户公文审批系统车辆申请审批交接班应用申请申请三、功能介绍2、用户及权限管理用户信息新建及维护。用户管理单位角色用户权限用户变动用户组织机构及角色管理。用户的权限控制机制。用户单位、岗位变动引发的权限变动。三、功能介绍用户管理单位角色用户权限用户管理：p 用户信息管理及维护。p 支持统一身份认证p 支持从统一身份认证服务获取新用户信息。2、用户及权限管理三、功能介绍用户管理单位角色用户权限2、用户及权限管理三、功能介绍用户管理单位角色用户权限单位管理：p 单位基本信息管理。p 单位层级关系管理。2、用户及权限管理三、功能介绍用户

7、管理单位角色用户权限角色管理：p 支持公共角色管理。p 支持单位角色管理。p 支持系统角色管理。p 支持角色与用户的关联2、用户及权限管理三、功能介绍用户管理单位角色用户权限岗位管理：p 支持岗位的建立。p 支持岗位与用户的关联2、用户及权限管理三、功能介绍用户管理单位角色用户权限用户权限管控：p 支持用户权限设置p 支持角色权限设置p 支持权限时间限制p 支持分级授权机制分级授权2、用户及权限管理三、功能介绍用户管理单位角色用户权限2、用户及权限管理三、下步研发方向2、用户及权限管理 下步完善方案平台权限管理引擎用户基本信息使用业务系统操作的数据用户个人历史信息记录用户应用系统使用日志用户数

8、据操作日志用户操作行为限制三、功能介绍2、用户及权限管理 下步完善方案应用中淡化权限概念，权限管理来之于业务，服务于业务，最终要回归业务。单位变动岗位变动用户系统权限变动 思路1工作安排三、下步研发方向信息人员业务人员权限的管理由信息人员主导转向由业务人员主导2、用户及权限管理 下步完善方案 思路2权限分配业务化、业务操作日常化。三、下步研发方向2、用户及权限管理 下步完善方案 思路2初始化：由信息人员通过专用功能模块处理。日常管理日常管理2.通过权限管理模型，将用户日常业务管理操作，自动转化为计算机能识别的权限管控信息。1.业务人员融入到了日常工作之中，淡化专门的权限管理的概念。三、下步研发

9、方向信息人员业务人员功能表述由面向信息人员转向普通业务人员2、用户及权限管理 下步完善方案 思路3权限模块角色BSCS分级授权岗位活三、下步研发方向集成式复杂管理零散式简单管理操作过程由繁转简、逐级调整。2、用户及权限管理 下步完善方案 思路4管理功能简单化、简单功能业务化、业务功能日常化。三、下步研发方向与人相关数据都应具备时间属性。2、用户及权限管理 下步完善方案 思路5用户与用户相关的基本信息如单位、岗位、角色、权限都应拥有时效性，有一个开始与结束日期，支持信息反演及历史场景回放。三、下步研发方向2、用户及权限管理 下步完善方案 人员调动应用示例n 目前应用场景目前人员单位变动调整提供了

10、一个集成的展示界面，由信息人员统一维护管理，操作方式相对较复杂。三、下步研发方向2、用户及权限管理 下步完善方案 人员调动应用示例点击保存完成编辑。三、下步研发方向2、用户及权限管理 下步完善方案 人员调动应用示例n 新设计场景简化界面，去除不必要的信息量，符合业务人员的使用习惯，符合正常的工作流程，不必通过信息人员即可完成。东辛厂级用户现河厂级用户现河队级用户分配岗位三、下步研发方向2、用户及权限管理 下步完善方案 人员调动应用示例人员单位调动提交组织机构管理人员管理人员单位调动人员岗位调整人员信息综合查询组织机构管理综合查询孟一凡 1 孟一凡 男 东辛采油厂地质所 高工东辛采油厂单位人员选

11、择现河采油厂2014-12-19点击提交完成人员单位调动东辛厂级用户操作三、下步研发方向2、用户及权限管理 下步完善方案 人员调动应用示例人员安排提交孟一凡 1 孟一凡 男 东辛地质所 现河采油厂2014-12-19点击提交完成人员单位安排现河厂级用户操作采油一矿组织机构管理人员管理人员单位调动人员岗位调整人员安排组织机构管理综合查询三、下步研发方向2、用户及权限管理 下步完善方案 人员调动应用示例点击提交完成人员单位安排采油一矿用户操作人员安排提交组织机构管理人员管理人员单位调动人员岗位调整人员安排组织机构管理综合查询技术员三、下步研发方向2、用户及权限管理 下步完善方案 人员岗位调整人员岗

12、位调整提交组织机构管理人员管理人员单位调动人员岗位调整人员安排组织机构管理综合查询三、下步研发方向2、用户及权限管理 下步完善方案 单位合并单位合并提交组织机构管理单位管理单位信息查询单位合并单位拆分组织机构管理综合查询要连接哪个数据库、以什么方式连接，数据管理人员说了算，你做了什么，权限引擎能监控。三、下步研发方向3、数据访问管理直接连接系统模块数据库不安全、难以维护、难以管理数据访问层技术三、下步研发方向3、数据访问管理 数据连接集中管理数据连接管理数据访问分配数据访问层三、下步研发方向3、数据访问管理数据连接管理数据访问分配数据访问层 业务系统与模块中指定数据连接三、下步研发方向3、数据

13、访问管理 数据访问层数据连接管理数据访问分配数据访问层三、下步研发方向3、数据访问管理 数据访问层学习成本低复用性好不影响开发效率对执行效率影响小提高开发效率降低编码难度实现跨数据库支持实现跨平台开发支持(BS、CS、移动)解决开发中的难题：如Oracle客户端问题数据访问层三、下步研发方向3、数据访问管理 下步完善方案应用模块级权限控制更完善的权限管理体系数据权限管理体系由简单的模块级权限控制向模块加数据复合权限控制演进。三、下步研发方向3、数据访问管理 下步完善方案 增加表级权限驱动控制不能增加开发人员工作量 不能改变开发人员的编程习惯开发人员无法绕过权限控制具备灵活性、通用性去专业化，可

14、由业务人员管理三、下步研发方向3、数据访问管理 下步完善方案 增加表级权限驱动控制数据库系统模块要连接的库信息用户基本信息调用SQL语句SQL Select * from ys_dba01应用系统信息权限判断 根据当前用户的单位、岗位信息，获取用户权限。处理后SQL Select * from (select * from ys_dba01 where dwdm=300021)数据访问层获取数据根据处理后的SQL获取数据，可设置数据获取方式。日志记录记录用户信息、机器系统、获取数据信息等信息。返回返回用户要查询的数据表或错误信息。通过完善数据访问层实现三、下步研发方向3、数据访问管理 下步完善

15、方案 增加表级权限驱动控制表象核心表字段条件控制单位、岗位、工作安排数据表业务用户表记录级权限控制的核心，其实还是对表字段过滤条件的管理，但呈现给业务人员却是能看懂的对主数据的调整，如对单位、岗位的调整，对井、油田、区块等主数据的分配。三、下步研发方向4、标准及服务序号序号分类分类接口数量接口数量1用户操作接口142单位操作接口93岗位操作接口84角色操作接口55权限操作接口126模块操作接口107日志操作接口38统一身份认证接口4合计65 权限服务接口实现技术接口化、集成支持服务化三、下步研发方向4、标准及服务 模块开发规范序号序号标准系列标准系列名称名称1模块开发标准开发编码规范组件开发规

16、范CS模块开发规范BS模块开发规范模块通讯规范平台服务开发规范2数据服务数据访问规范合计7Company name兹介绍 等 位同志到 单位工作，请接洽！（附名单：）人员调动单姓名性别原工作部门原职务或职称级别附记档案材料：备注：工资转移证：限 前报道。随转后转随转后转东辛采油厂劳资科2014-12-19孟一凡 男 东辛采油厂地质所 高工孟一凡 1 提交2015-01-03现河采油厂东辛采油厂单位人员选择单位选择单位今有 等 位同志从 调至我单位。信息如下：人员安排姓名性别原职务职称详细信息单位安排现河采油厂劳资科2014-12-21限 前报道。孟一凡 男 高工孟一凡 1 东辛采油厂 确定20

17、15-01-03采油一矿今有 等 位同志从 调至我单位，经上级单位 划拨至我单位。人员信息如下：岗位安排姓名性别原职务职称详细信息岗位安排现河采油厂劳资科2014-12-21限 前报道。孟一凡 男 高工孟一凡 1 东辛采油厂 确定2015-01-03技术员劳资科采油一矿技术员资料员化验员设备员材料员由于工作需要，现将 等 位同志，工作岗位做出调整，调整人员信息如下：岗位调整姓名性别原岗位人员详细信息调整岗位现河采油厂采油一队2014-12-21限 前报道。张灵云 女 技术员张灵云 1确定2015-01-03设备员采油一矿技术员资料员化验员设备员材料员由于工作需要，现将 单位，并入 单位，相应人员 同时转入，个别用户调整如下：单位合并现河采油厂采油一队2014-12-21确定姓名人数原工作部门原职务职称调整单位附记档案材料：备注：工资转移证：随转后转随转后转孟一凡 7 现河采油九矿 技术员 现河采油厂赵凯非 2 现河采油九矿 助工 胜利采油厂现河采油九矿现河采油二矿512