系统权限管理体系介绍

,3333,*,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style, , , , , , ,*,XX,权限管理体系介绍,提 纲,权限管理内容,1,整体技术架构,2,功能介绍,3,一、权限管理内容,权限管理,信息化系统安全运行的基础,手段,管理用户能够使用的,模块,限制用户能,访问,的,数据,控制用户,对,数据容许的,操作,记录用户的行为,目标,确保数据质量及安全,确保业务人员易用,确保信息人员易管,可对用户进行行为分析,提 纲,权限管理内容,1,整体技术架构,2,功能介绍,3,二、整体技术架构,1,、设计思路,油田业务体系,业务用户,岗位,单位,确定所负担的工作,确定所使用业务模块,应用系统中的,组织结构管理、岗位管理、角色管理、用户管理、数据记录管理、日志管理,，均是为此服务。,二、整体技术架构,岗位角色,按单位划分,角色,按业务划分,角色,用户,业务模块,以岗位角色为核心，驱动权限,通过岗位角色实现用户与模块权限的关联。,通过岗位角色实现用户与模块权限的解耦。,1,、设计思路,二、整体技术架构,用户,数据,应用模块,岗位,角色,单位,权限关系图,1,、设计思路,二、整体技术架构,权限集中管控的基础,业务系统集中注册,用户集中管理,1,、设计思路,三、功能介绍,2,、功能框架图,权限管理体系,用户管理,角色管理,单位管理,岗位管理,组织机构管理,权限管理,用户权限管理,应用系统管理,服务及接口,注册管理,日志记录,应用分析,开发标准,功能服务,数据访问管理,数据访问管理,二、整体技术架构,3,、调用接口设计,软件开发人员,用户服务接口,单位服务接口,岗位服务接口,权限服务接口,模块服务接口,流程服务接口,Web,服务封装,DLL,封装,用户,角色,配置,权限,平台权限资源,将权限功能封装成标准接口，供平台内所有业务系统使用，实现用户、单位、权限、流程的统一管理。,提 纲,权限管理内容,1,整体技术架构,2,功能介绍,3,三、功能介绍,应用集中注册,运行时管理,运行后管理,支持业务系统追踪分析,运行模式管理,应用模块,集中注册,数据访问管理,模块功能点管理,运行日志记录,日志挖掘分析,1,、业务系统及模块管理,应用图表化分析,三、功能介绍,1,、业务系统及模块管理,业务模块及入口集中管理：,业务模块按业务分类管理,支持,CS,模块管理,支持,BS,模块管理,支持独立进程模块管理,支持依赖环境自动部署,应用注册管理,运行时管理,运行后管理,三、功能介绍,1,、业务系统及模块管理,应用注册管理,运行时管理,运行后管理,三、功能介绍,1,、业务系统及模块管理,应用注册管理,运行时管理,运行后管理,控制模块的数据访问：,指定模块运行要连接的数据库,模块运行情况可进行监控,三、功能介绍,1,、业务系统及模块管理,应用注册管理,运行时管理,运行后管理,控制模块内的功能点：,支持,控制模块的入口级权限,支持控制模块内各功能点权限,入口级权限，控制用户能否看到该模块。,功能点级权限，不能用户能看到单位也不同。,三、功能介绍,1,、业务系统及模块管理,应用注册管理,运行时管理,运行后管理,监控模块运行：,模块的启动、关闭记录,模块的敏感操作记录,平台操作行为记录,平台进入日志记录,平台退出日志记录,模块启动日志记录,模块退出日志记录,模块敏感操作记录,什么,用户,什么时间,什么,IP,用户身份记录,平台日志引擎,日志表,数据挖掘,用户行为分析,从模块、用户、单位三个维度，对应用情况进行分析，通过图表汇总展示。,敏感数据操作记录,三、功能介绍,1,、业务系统及模块管理,应用注册管理,运行时管理,运行后管理,日志挖掘分析：,实现对应用日志的统计分析,可按用户、业务系统、单位进行不同维度的分析,三、功能介绍,1,、业务系统及模块管理,下步完善方案,应用注册、审批流程化、简单化,细化对用户行为的挖掘,完善移动应用管理,XX,移动应用程序商店,办公,OA,沟通,Office,网盘,胜利油田门户,公文审批系统,车辆申请审批,交接班应用,申请,申请,三、功能介绍,2,、用户及权限管理,用户信息,新建及维护。,用户,管理,单位,角色,用户,权限,用户,变动,用户组织机构及角色管理。,用户的权限控制机制。,用户单位、岗位变动引发的权限变动。,三、功能介绍,用户管理,单位角色,用户权限,用户管理：,用户信息管理及维护。,支持统一身份认证,支持从统一身份认证服务获取新用户信息。,2,、用户及权限管理,三、功能介绍,用户管理,单位角色,用户权限,2,、用户及权限管理,三、功能介绍,用户管理,单位角色,用户权限,单位管理：,单位基本信息管理。,单位层级关系管理。,2,、用户及权限管理,三、功能介绍,用户管理,单位角色,用户权限,角色管理：,支持公共角色管理。,支持单位角色管理。,支持系统角色管理。,支持角色与用户的关联,2,、用户及权限管理,三、功能介绍,用户管理,单位角色,用户权限,岗位管理：,支持岗位的建立。,支持岗位与用户的关联,2,、用户及权限管理,三、功能介绍,用户管理,单位角色,用户权限,用户权限管控：,支持用户权限设置,支持角色权限设置,支持权限时间限制,支持分级授权机制,分级授权,2,、用户及权限管理,三、功能介绍,用户管理,单位角色,用户权限,2,、用户及权限管理,三、下步研发方向,2,、用户及权限管理,下步完善方案,平台权限管理引擎,用户基本信息,使用业务系统,操作的数据,用户个人历史信息记录,用户应用系统使用日志,用户数据操作日志,用户操作行为限制,三、功能介绍,2,、用户及权限管理,下步完善方案,应用中淡化权限概念，权限管理来之于业务，服务于业务，最终要回归业务。,单位变动,岗位变动,用户系统权限变动,思路,1,工作安排,三、下步研发方向,信息人员,业务人员,权限的管理由信息人员主导转向由业务人员主导,2,、用户及权限管理,下步完善方案,思路,2,权限分配业务化、业务操作日常化,。,三、下步研发方向,2,、用户及权限管理,下步完善方案,思路,2,初始化：,由信息人员通过专用功能模块处理。,日常管理,2.,通过权限管理模型，将用户日常业务管理操作，自动转化为计算机能识别的权限管控信息。,1.,业务人员融入到了日常工作之中，淡化专门的权限管理的概念。,三、下步研发方向,信息人员,业务人员,功能表述由面向信息人员转向普通业务人员,2,、用户及权限管理,下步完善方案,思路,3,权限,模块,角色,BS,CS,分级,授权,岗位,活,三、下步研发方向,集成式复杂管理,零散式简单管理,操作过程由繁转简、逐级调整。,2,、用户及权限管理,下步完善方案,思路,4,管理功能简单化、简单功能业务化、业务功能日常化。,三、下步研发方向,与人相关数据都应具备时间属性。,2,、用户及权限管理,下步完善方案,思路,5,用户,与用户相关的基本信息如单位、岗位、角色、权限都应拥有时效性，有一个开始与结束日期，支持信息反演及历史场景回放。,三、下步研发方向,2,、用户及权限管理,下步完善方案,人员调动应用示例,目前应用场景,目前人员单位变动调整提供了一个集成的展示界面，由信息人员统一维护管理，操作方式相对较复杂。,三、下步研发方向,2,、用户及权限管理,下步完善方案,人员调动应用示例,点击保存完成编辑。,三、下步研发方向,2,、用户及权限管理,下步完善方案,人员调动应用示例,新设计场景,简化界面，去除不必要的信息量，符合业务人员的使用习惯，符合正常的工作流程，不必通过信息人员即可完成。,东辛厂级用户,现河厂级用户,现河队级用户,分配岗位,三、下步研发方向,2,、用户及权限管理,下步完善方案,人员调动应用示例,人员单位调动,提交,组织机构管理,人员管理,人员单位调动,人员岗位调整,人员信息综合查询,组织机构管理,综合查询,孟一凡,1,孟一凡 男 东辛采油厂地质所 高工,东辛采油厂,单位,人员选择,现河采油厂,2014-12-19,点击提交完成人员单位调动,东辛厂级用户操作,三、下步研发方向,2,、用户及权限管理,下步完善方案,人员调动应用示例,人员安排,提交,孟一凡,1,孟一凡 男 东辛地质所,现河采油厂,2014-12-19,点击提交完成人员单位安排,现河厂级用户操作,采油一矿,组织机构管理,人员管理,人员单位调动,人员岗位调整,人员安排,组织机构管理,综合查询,三、下步研发方向,2,、用户及权限管理,下步完善方案,人员调动应用示例,点击提交完成人员单位安排,采油一矿用户操作,人员安排,提交,组织机构管理,人员管理,人员单位调动,人员岗位调整,人员安排,组织机构管理,综合查询,技术员,三、下步研发方向,2,、用户及权限管理,下步完善方案,人员岗位调整,人员岗位调整,提交,组织机构管理,人员管理,人员单位调动,人员岗位调整,人员安排,组织机构管理,综合查询,三、下步研发方向,2,、用户及权限管理,下步完善方案,单位合并,单位合并,提交,组织机构管理,单位管理,单位信息查询,单位合并,单位拆分,组织机构管理,综合查询,要连接哪个数据库、以什么方式连接，,数据管理人员,说了算，你做了什么，,权限引擎,能监控。,三、下步研发方向,3,、数据访问管理,直接连接,系统模块,数据库,不安全、难以维护、难以管理,数据访问层技术,三、下步研发方向,3,、数据访问管理,数据连接集中管理,数据连接管理,数据访问分配,数据访问层,三、下步研发方向,3,、数据访问管理,数据连接管理,数据访问分配,数据访问层,业务系统与模块中指定数据连接,三、下步研发方向,3,、数据访问管理,数据访问层,数据连接管理,数据访问分配,数据访问层,三、下步研发方向,3,、数据访问管理,数据访问层,学习成本低,复用性好,不影响开发效率,对执行效率影响小,提高开发效率,降低编码难度,实现跨数据库支持,实现跨平台开发支持,(BS,、,CS,、移动,),解决开发中的难题：如,Oracle,客户端问题,特点,好处,数据访问层,三、下步研发方向,3,、数据访问管理,下步完善方案,应用模块级权限控制,更完善的权限管理体系,数据权限管理体系,由简单的模块级权限控制向模块加数据复合权限控制演进。,三、下步研发方向,3,、数据访问管理,下步完善方案,增加表级权限驱动控制,不能增加开发人员工作量,不能改变开发人员的编程习惯,开发人员无法绕过权限控制,具备灵活性、通用性,去专业化，可由业务人员管理,表级权限控制的设计原则,三、下步研发方向,3,、数据访问管理,下步完善方案,增加表级权限驱动控制,数据库,系统模块,要连接的库信息,用户基本信息,调用,SQL,语句,SQL,Select * from,ys_dba01,应用系统信息,权限判断,根据当前用户的单位、岗位信息，获取用户权限。,处理后,SQL,Select * from (,select * from ys_dba01 where dwdm=300021,),数据访问层,获取数据,根据处理后的,SQL,获取数据，可设置数据获取方式。,日志记录,记录用户信息、机器系统、获取数据信息等信息。,返回,返回用户要查询的数据表或错误信息。,通过完善数据访问层实现,三、下步研发方向,3,、数据访问管理,下步完善方案,增加表级权限驱动控制,表象,核心,表字段,条件控制,单位、,岗位、,工作安排,数据表,业务用户,表记录级权限控制的核心，其实还是对表字段过滤条件的管理，但呈现给业务人员却是能看懂的对主数据的调整，如对单位、岗位的调整，对井、油田、区块等主数据的分配。,三、下步研发方向,4,、标准及服务,序号,分类,接口数量,1,用户操作接口,14,2,单位操作接口,9,3,岗位操作接口,8,4,角色操作接口,5,5,权限操作接口,12,6,模块操作接口,10,7,日志操作接口,3,8,统一身份认证接口,4,合计,65,权限服务接口,实现技术接口化、集成支持服务化,三、下步研发方向,4,、标准及服务,模块开发规范,序号,标准系列,名称,1,模块开发标准,开发编码规范,组件开发规范,CS,模块开发规范,BS,模块开发规范,模块通讯规范,平台服务开发规范,2,数据服务,数据访问规范,合计,7,汇报完毕,谢谢,兹介绍,等,位同志到,单位工作，请接洽！,（附名单：）,人员调动单,姓名,性别,原工作部门,原职务或职称,级别,附记,档案材料：,备注：,工资转移证：,限,前报道。,随转,后转,随转,后转,东辛采油厂劳资科,2014-12-19,孟一凡 男 东辛采油厂地质所 高工,孟一凡,1,提交,2015-01-03,现河采油厂,东辛采油厂,单位,人员选择,单位选择,单位,今有,等,位同志从,调至我单位。信息如下：,人员安排,姓名,性别,原职务职称,详细信息,单位安排,现河采油厂劳资科,2014-12-21,限,前报道。,孟一凡 男 高工,孟一凡,1,东辛采油厂,确定,2015-01-03,采油一矿,今有,等,位同志从,调至我单位，经上级单位,划拨至我单位。人员信息如下：,岗位安排,姓名,性别,原职务职称,详细信息,岗位安排,现河采油厂劳资科,2014-12-21,限,前报道。,孟一凡 男 高工,孟一凡,1,东辛采油厂,确定,2015-01-03,技术员,劳资科,采油一矿,技术员,资料员,化验员,设备员,材料员,由于工作需要，现将,等,位同志，工作岗位做出调整，调整人员信息如下：,岗位调整,姓名,性别,原岗位,人员详细信息,调整岗位,现河采油厂采油一队,2014-12-21,限,前报道。,张灵云 女 技术员,张灵云,1,确定,2015-01-03,设备员,采油一矿,技术员,资料员,化验员,设备员,材料员,由于工作需要，现将,单位，并入,单位，相应人员,同时转入，个别用户调整如下：,单位合并,现河采油厂采油一队,2014-12-21,确定,姓名,人数,原工作部门,原职务职称,调整单位,附记,档案材料：,备注：,工资转移证：,随转,后转,随转,后转,孟一凡,7,现河采油九矿 技术员 现河采油厂,赵凯非,2,现河采油九矿 助工 胜利采油厂,现河采油九矿,现河采油二矿,512,