复盘大集中模式下的角色权限设计
|
图4 系统管理员>区域管理员>单位管理员>业务角色 三、定义角色、职位、职务之间的关系在我们用户信息管理中,需要填写用户的职位或职务,在定义角色、职位与职务的关系之前,需要先明确职位与职务之间的关系。 职位:指企业的某个员工需要完成的一个或一组任务;例如:销售总监 、销售经理、财务/出纳员、司机、仓库管理员等。 职务:职员所具有的头衔称谓,包括职权和职责两方面内容,随着语义的拓展职位亦有此意思;例如:科员,主任,经理,总经理。 因此,职位包含职务的意义,职务基本也与职位相对应。而系统中的权限,是用户在现实工作中的权限或工作范畴在系统中的映射。为了简化角色与职位之间的关系,定义现实中用户职位或职务中包含的权限,在系统上均通过角色进行管理设置。 四、角色权限的设计角色设计主要分为角色管理、分配用户及分配权限3个模块,通过对这3个模块的控制,实现多区域管理模型下的权限设计。 1. 角色管理在多区域管理模型下,需要支持权限统一管理与多层级权限下放两种场景。 分离角色的管理与使用权限,由创建单位对角色权限进行管理,创建单位与使用单位共同分配用户,可满足权限统一管理要求的同时,兼具各单位自行调整用户的需求。
图5 系统角色管理 2. 分配用户分配用户的页面,需要根据用户当前管理的权限范围进行控制,仅支持查看和分配管辖范围内的用户。例如单位管理员仅支持查看和分配自己单位的用户,系统管理员可查看并分配系统内的所有用户。 由于同一角色可能支持多个管理员分配用户,为了系统安全与方便追溯,可通过操作人字段记录此用户是由谁进行分配的。
图6 分配用户 3. 分配权限为了实现对系统各模块的权限管理,将每个模块划分为3个部分:菜单、页面数据、按钮。其中将菜单及按钮纳入操作权限,将页面数据归为数据权限。 由于各功能模块都是根据业务具体场景进行设计开发的,因此权限也需要根据业务具体要求而进行划分与设计。但为了系统的统一管理,可以建立统一的设计规范,以维持系统架构统一甚至减少开发工作量。 1)操作权限 通过控制菜单,实现管理用户控制特定模块的需求;通过页面按钮,实现控制用户在此模块下可以进行的操作。 以角色管理页面为例,分配角色管理菜单的用户,即可查看对应的角色数据,再通过对“新增”“删除”“启用”“禁用”等按钮的控制,限制用户在此模块下的操作。 部分页面的字段还需要区分“只读”“可改”,以实现各角色在相同页面中不同的管理需求。
图7 操作权限 2)数据权限 数据权限是权限管理中最核心的部分,随着组织架构的复杂,数据权限的设计也逐渐复杂甚至需要个性化开发。但从通用性上可以将数据权限划为两种类型:管理范围、列表字段。 管理范围用于管理当前模块的数据范围,在多区域管理模式下,主要将数据分为个人、部门、单位、区域及自定义五个维度。 为了支持业务中个性化的数据管理要求,可以通过自定义实现数据的个性化管理;另外区域维度需要组织架构支持,如果区域较少时,可以直接考虑通过自定义来实现。 列表字段用于同一列表同一数据范围下继续细分的数据权限管理,以实现同一数据下对部分敏感信息的隐藏。
图8 数据权限 五、写在最后从产品角度出发,在RBAC权限模型下,对业务数据的灵活配置,支持数据、操作权限的多层级下放,是满足最多管理场景的设计模式。 但在项目角度,需要做好产品现状及改造的成本评估,结合现场培训、推广及后续维护的工作难度,选择合适的权限管理方式,才能尽快满足项目验收。 以本次项目为例,由于涉及单位较多,大型单位有频繁的角色调整需求,部分一级单位需要查看附属单位业务数据,但镇街级单位或部分附属单位人员较少,对系统使用要求不高。如果所有单位都自行管理系统角色,不仅增加了小型单位人员的工作量,还提高了前期推广的培训成本。 因此,对系统进行权限设计时,需要最大化场景考虑,以支持现场根据管理模式进行灵活调整。但现场也需要从实际业务出发,从自身成本与客户利益角度选择最优的管理方案。 我们规划大型系统平台时,除了关注系统功能之外,还需要了解客户的管理模式,从更宏观的角度观察整个业务的布局。因此在本次复盘中,除了对权限设计的总结外,还尝试归纳不同组织架构下权限的管理方式。 希望与各位一同进步,在ToB领域乘风破浪一往无前!
本文素材来自互联网 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
