i@Report系统中分为三种用户:管理员、报表户、服务器用户。管理员和报表户被系统默认赋予了固定的权限,所以接下来介绍权限,重点围绕服务器用户的赋权来展开。
1. 赋权对象
赋权的对象,即可以对那些对象和元素赋权。在i中可以对机构赋权、对服务器用户赋权、给角色赋权,三者有和区别和关联:
- 机构赋权:选中某机构机构的节点,对该节点赋权;
该机构下的所有用户自动继承该机构的权限;
该机构的下级机构不会继承该机构权限;
该机构的上级机构也不会继承该机构权限;
- 用户赋权:选中某用户,直接对用户赋权。该用户具有的权限是所在机构的权限跟自身权限的叠加;
- 角色赋权:添加一个角色,对该角色赋权。还可以将角色分配给机构或者用户,那么机构或用户就会继承该角色的权限。
角色由管理员定义,用于控制服务器用户对对象和数据的访问权限。基于角色赋权方法显著的两大优势是:1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
不管是对机构、用户还是角色赋权,赋权的方式和方法都是相同的。
2. 服务器管理权限
服务器层面的权限分配,涉及到7项,每项意义何在,下面表格说明:
权限 | 说明 |
管理服务器 | 跟admin同等的服务器管理权限,同时具备所有任务组和任务的管理权限以及所有任务顶级汇总户的填报权限; |
创建任务组 | 创建任务组的权限,对自己创建的任务组有管理权限,例如在任务组下新建任务、管理报表户列表等; |
查看日志 | 查看系统日志的权限; |
添加审批者 | 新增/修改审批流程的权限; |
管理角色 | 可以新建角色,并将自己所具有的权限分配给角色; |
查看全部代码组 | 查看所有的服务器代码组; |
管理全部代码组 | 管理所有服务器代码组; |
3. 机构和用户管理权限
机构与用户权限关系比较复杂,因为机构和用户呈现在同一个界面,机构总是隐含用户范围的。可以说看见了一个机构也就看见了该机构的用户,要看见或者查找一个用户就必须能看见其所在的机构。对机构拥有某种操作能力,则一定可以对用户拥有某种操作能力。比如管理机构,即可管理用户。
这种关系,是由于机构和用户之间的隶属关系决定,规则明细如下 :
- 可以管理所有机构,即可管理所有用户。
- 可以管理所在机构和其下级机构,即可管理所在机构和其下级机构的用户。
- 可以查看所有机构,则可查看所有用户。
- 要求管理所有用户 或者 管理所在机构和其下级的用户和查看所有用户,则应可以查看所有机构。
- 可以查看所在机构和其下级机构,则可查看所在机构和其下级机构的用户。
- 要求管理所在机构和其下级机构的用户,则应可以查看所在机构和其下级机构。
- 可以管理所在机构和其下级机构和查看所有机构,则可管理所在机构和其下级机构的用户和查看所有用户。
- 没有任何机构权限,则也没有任何用户权限
4. 权限场景举例
4.1 场景一
某i服务器由于管理人员是轮岗值班,也就是同时需要多个用户居右超级管理员的权限。
那么只需要将服务器节点的"管理服务器"权限分配给相应的服务器用户即可
4.2 场景二
一个i的服务器,同时给三个独立的部门应用,要求互不干扰各自管理模块。要求每个部门都有管理自己机构的权限、管理自己用户的权限、创建并管理自身任务组和任务的权限。
admin首先需要创建三个并列的顶级机构:001 机构一;002 机构二;003机构三
分别对三个机构赋权,任何一个机构都需要以下权限:
- 服务器/创建任务组的权限
- 机构/管理下级的权限
- 机构/分配权限的权限
- 用户/分配权限的权限
4.3 场景三
服务器上有三个任务,任务1、任务2、任务3,分别新建三个角色任务1汇总户填报、任务2汇总户填报、任务3汇总户填报;三个角色分别赋予三个任务的填报权限;这样一来,管理员就可以根据机构和用户的各自需求,将不同的角色分配出去了。
就以其中一个角色的创建和权限的分配为例,介绍一下。
第一步,切换到奥角色管理界面,点击新建按钮,定义角色的代码和角色名称:
第二步,将某任务的汇总户填报权限分配给该角色:
第三步,将角色分配给相应的机构或者用户:
请先登录