统一用户和权限管理设计.ppt

上传人：laozhun

文档编号：2341486

上传时间：2023-02-13

格式：PPT

页数：47

大小：3.01MB

《统一用户和权限管理设计.ppt》由会员分享，可在线阅读，更多相关《统一用户和权限管理设计.ppt（47页珍藏版）》请在三一办公上搜索。

1、江苏电力信息化登高项目,2010.5,统一用户和权限管理方案汇报,工作背景现状、问题和建议设计目标设计原则设计方案现实方案,目录,工作背景现状、问题和建议设计目标设计原则设计方案现实方案,目录,SG186期间国网完成了全国统一的目录部署。SG186期间江苏建力了统一框架，实现了自开发业务系统（生产、配电、综合管理、财务、物资、法律）的统一授权和功能统一展现。SG186期间江苏完成了门户与协同办公的建设，实现了门户和OA系统的很好的整合。江苏作为SGERP的试点，正在做企业架构设计和业务梳整，并准备上线SAP系统中的部分模块。SG186期间国网推广了SAP和很多配套的管控系统，迅速提升了全国

2、电网信息化的水平。SGERP期间国网正在做统一的信息化设计。,工作背景,4,江苏省电力公司信息化登高项目|2023年2月13日星期一,工作背景现状、问题和建议设计目标设计原则设计方案现实方案,目录,现状、问题和建议,6,江苏省电力公司信息化登高项目|2023年2月13日星期一,现状、问题和建议,7,江苏省电力公司信息化登高项目|2023年2月13日星期一,工作背景现状、问题和建议设计目标设计原则设计方案现实方案,目录,设计目标-全国网范围内所有系统统一授权,9,江苏省电力公司信息化登高项目|2023年2月13日星期一,业务系统A部署在国网,业务系统B部署在国网,业务系统C部署在国网,业务系

3、统D部署在国网,业务系统A部署在网省,业务系统B部署在网省,业务系统C部署在网省,国网用户,网省用户,从国网角度看目前状况,1.各个业务系统权限模型不一致，有好有差；增加了企业内部部门和人员权限变更及企业部门重组时的调整难度。2.最终用户要面对很多系统的很多功能，增加用户使用难度。3.过于明确的业务系统界线，不利于企业从全公司角度协调和控制业务系统的划分和实现。4.二级部署的应用，对于要使用网省应用功能的国网用户，要在国网和网省进行两次授权，或者要让用户分别访问部署在各个网省的应用，可维护性很差，并且增加了最终用户的使用难度。,使用业务系统,使用业务系统,国网业务系统权限管理员,国网业务系统权

4、限管理员,国网业务系统权限管理员,国网业务系统权限管理员,网省业务系统权限管理员,网省业务系统权限管理员,网省业务系统权限管理员,权限管理,权限管理,权限管理,权限管理,设计目标-全国网范围内所有系统统一授权,10,江苏省电力公司信息化登高项目|2023年2月13日星期一,国网部署结点,省网部署结点,国网用户,网省用户,统一展现层,业务系统A,业务系统B,业务系统C,业务系统D,国网部署结点,省网部署结点,国网部署结点,省网部署结点,国网部署结点,统一用户和权限管理,资源目录,国网权限管理员,网省权限管理员,使用业务功能,权限授权,业务系统E,省网部署结点,统一展现业务功能,获取权限信息,保存

5、权限信息,1.把各种部署方式的业务系统从逻辑上整合成一个业务，使得从国网角度看到全局而又简洁的业务系统。2.用户统一通过统一展现层使用所有业务系统的功能，带来：A.改善用户体验B.可以根据业务需要在统一展现层重组业务模块划分，模糊了业务应用的边界，更易调协业务应用和实现。3.统一权限模型和权限管理流程，简化企业权限管理的工作。,目标状况,设计目标-提供用户的分级管理,11,江苏省电力公司信息化登高项目|2023年2月13日星期一,国网LDAP,网省LDAP,把国网用户同步到网省,把用户同步到各业务系统,把用户同步到各业务系统,业务系统A部署在国网,业务系统B部署在国网,业务系统C部署在国网,业

6、务系统D部署在国网,业务系统A部署在网省,业务系统B部署在网省,业务系统C部署在网省,国网业务系统人员管理员,从国网角度看目前状况,1.用户信息同步到业务系统，并不能做到完全自动，还是需要管理维护：A.增加了业务系统维护量；B.两边信息很有可能产生不一致；C.增加了系统运维维护量。2.需要针对各个业务系统分配人员管理员,国网统一用户管理,网省统一用户管理,国网业务系统人员管理员,国网业务系统人员管理员,国网业务系统人员管理员,网省业务系统人员管理员,网省业务系统人员管理员,网省业务系统人员管理员,网省统一人员管理员,国网统一人员管理员,设计目标-提供用户的分级管理,12,江苏省电力公司信息化登

7、高项目|2023年2月13日星期一,业务系统A,业务系统B,业务系统C,业务系统D,统一用户和权限管理,资源目录,用户管理员,需要用户信息时动态获取,业务系统E,用户管理只在统一用户和权限管理中进行，业务系统不做用户管理相关的任何操作，简单化管理工作量。通过把管理工作分解到下级单位和部门，使得处理用户变化更为及时。,目标状况,国家电网,财务部,审计部,XX部,XX省电力公司,财务部,审计部,XX部,用户管理员,用户管理员,用户管理员,XX市公司,财务部,审计部,XX部,用户管理员,用户管理员,用户管理员,用户管理员,用户管理员,用户管理员,用户管理员,设计目标-提供权限的分级管理,13,江苏省

8、电力公司信息化登高项目|2023年2月13日星期一,业务系统A,业务系统B,业务系统C,业务系统D,统一用户和权限管理,资源目录,权限管理员,需要权限信息时动态获取,业务系统E,通过把权限管理工作分解到下级单位和部门，使得处理权限变化更为及时。,目标状况,国家电网,财务部,审计部,XX部,XX省电力公司,财务部,审计部,XX部,权限管理员,权限管理员,权限管理员,XX市公司,财务部,审计部,XX部,权限管理员,权限管理员,权限管理员,权限管理员,权限管理员,权限管理员,权限管理员,设计目标-为企业级流程业务提供统一的组织机构用户权限,14,江苏省电力公司信息化登高项目|2023年2月13日星期

9、一,部门休假审批人,江苏省电力公司,财务管理部,部门休假审批人,人资模块,休假申请审批,申请人申请休假,申请人所在部门的“部门休假审批人”审批,申请人所在单位的“单位休假审批人”审批,李四,业务流程,财务部,主任,休假情况查看,人员基本情况查看,江苏省电力公司,统一用户和权限提供的信息,工作背景现状、问题和建议设计目标设计原则设计方案现实方案,目录,满足当前需要：满足国网公司对当前信息化工作的管理要求；满足可见的未来的需要：最大程度上适应电力未来业务变更的建设要求；参照标准：如果有正好合适的标准直接使用标准，如果有相近的标准要参照该标准。简化操作：在满足需求的前提下尽可能简化涉及的概念和操作

10、。系统可靠性：尽可能提供系统的可靠性。,设计原则,16,江苏省电力公司信息化登高项目|2023年2月13日星期一,工作背景现状、问题和建议设计目标设计原则设计方案现实方案,目录,行政组织,18,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型企业组织分析,李四,XX公司,总经理工作部,主任,财务部,总经理,XX下级公司,张三,XX部,李四,主任,企业用来管理人员的组织体系，它的层级和分枝会比较详细。由于组织、岗位、人员构成通常来自于人资管理。,19,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型企业组织分析,业务组织,XX公司,总经理

11、工作部,部门合同审批人,财务部,巨额合同审批人,XX下级公司,XX部,部门合同审批人,业务组织用来表达业务系统权限的分配、支持业务流程的运行由组织、角色、企业角色组成比如：SAP中的利润成本中心、仓库、工厂党务体系、工会体系项目性业务对应的项目组组织,20,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型企业组织分析,数据组织,XX公司,XX下级公司,设备1,设备2,设备3,设备4,设备5,设备隶属于,业务对象中表达该对象的归口管理组织或隶属组织由组织构成,行政组织,21,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型企业组织分析,李四

12、,XX公司,总经理工作部,主任,财务部,总经理,XX下级公司,张三,XX部,李四,主任,业务组织,XX公司,总经理工作部,部门休假审批人,财务部,巨额合同审批人,XX下级公司,XX部,部门休假审批人,数据组织,XX公司,XX下级公司,三者很有可能不一至，数据组织通常表示业务对象的归口管理和隶属，也就内含着权限的分配，所以通常可以把企业组织和数据组织合并。行政组织只做人员管理。,22,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型总体模型,基准组织与用户,角色体系,业务组织体系,系统功能体系,相互关系,23,江苏省电力公司信息化登高项目|2023年2月13日星期一,

13、组织机构权限模型基准组织与用户,基准组织体系：企业主要的行政组织体系。人：参与到本企业运营的所有人员，并且不再区分用户和人，角色性质的用户的业务内涵由业务组织角色来完成。比如用户“系统管理员”，原则上不允许存在，可以建一个业务组织角色“系统管理员”，然后把相应的人加到这个业务组织角色中即可。其数据分两部分：A：被人力资源管理模块的数据（全民、集体、农电员工）B：非人力资源管理模块管理的数据（临时员工、外来的临时人员）,李四,江苏省电力公司,财务部,主任,24,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型业务组织体系,业务组织体系：通常一个企业都会存在不同的业务模

14、块或业务模型，比如党务管理、财务管理、营销管理、生产管理，通常因为业务运转的需要业务模型会对应一套或多套于基准组织并不完全一至的组织体系，我们把这种组织体系称为业务组织体系，一套业务组织体系可以被多个业务系统共享基准组织单元组成的组织体系也作为组织体系中的一套。业务组织四个作用：一：作为该组织下的业务组织角色拥有的功能权限在组织这个维度上的数据权限；二：可以基于业务组织做权限的分级管理，从上图中可以看出业务组织角色是隶属于业务组织的，从而可以很方便的做到本单位或本部门的管理员管理本部门的人和权限，而不需要专门分配专业的权限管理人员；三：作为业务系统中业务数据之一使用；四：在业务流程中可以以

15、业务组织为基础定义出集团内部相对通用的参与者。这四个作用依据业务系统的需要进行取舍，比如可以把业务组织只当成业务数据之一来使用。,25,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型角色体系,权限模型基于RBAC模型扩展。业务角色、业务组织角色用于分配资源（功能、权限对象）；分组是根据业务需要将角色进行归类。业务角色：一个业务系统的业务角色，指要完成该业务系统的业务需要几种角色来完成。业务角色属于业务系统，它与业务组织没有关系。业务组织角色：业务组织角色是具体关联业务角色、业务组织机构、和人的对象，它会继承与之对应的业务角色上的功能权限，同时它也位于某个业务组织下，

16、并且要在业务角色上分配人员。角色体系作用：1.集中控制角色权限分配方案。2.在工作流部分可以通过角色定义出与业务组织没有绝对关系的参与者，从而实现业务流程集中控制。,26,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型角色体系,部门休假审批人,江苏省电力公司,财务管理部,部门休假审批人,人资模块,27,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型系统功能体系,全面描述每个业务系统有哪些功能、有哪需要权限控制的数据,休假情况查看,人员基本情况查看,薪酬管理,新增,删除,修改,人资模块,休假申请审批,28,江苏省电力公司信息化登高项目|20

17、23年2月13日星期一,组织机构权限模型相互关系,门户,29,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型统一展现,部门休假审批人,江苏省电力公司,财务管理部,部门休假审批人,人资模块,休假申请审批,李四,江苏省电力公司,财务部,主任,休假情况查看,人员基本情况查看,业务组织单元,业务模块,基准组织单元,业务功能,业务角色,业务组织角色,岗位,人员,人资管理,休假情况查看,人员基本情况查看,通过用户标识获取当前用户所有功能权限,XX管理,30,江苏省电力公司信息化登高项目|2023年2月13日星期一,组织机构权限模型功能和流程,部门休假审批人,江苏省电力公司,财

18、务管理部,部门休假审批人,人资模块,休假申请审批,申请人申请休假,申请人所在部门的“部门休假审批人”审批,申请人所在单位的“单位休假审批人”审批,省公司/财务部/张三,李四,李四,设计时,运行时,江苏省电力公司,财务部,主任,休假情况查看,人员基本情况查看,业务组织单元,业务模块,基准组织单元,业务功能,业务角色,业务组织角色,岗位,人员,31,江苏省电力公司信息化登高项目|2023年2月13日星期一,统一权限内新增用户的可选流程,增加人员,授权,增加人员,统一用户管理确认,执行人：被修改人员所在部门的人员管理员执行内容：确认该人员可以使用哪些业务系统。,用户申请使用系统,授权,执行人：新增人

19、员所有所在岗位的所在部门可用系统的业务系统管理员执行内容：给新增人员授权,授权,执行人：新增人员可用系统的本单位的业务系统管理员执行内容：给新增人员授权,执行人：申请使用的系统的本单位的业务系统管理员执行内容：给申请人员授权,该流程需要事先在部门上设置各部门会使用哪些业务系统,32,江苏省电力公司信息化登高项目|2023年2月13日星期一,统一权限内修改用户所在岗位的可选流程,调整人员岗位,调整授权,调整人员,统一用户管理确认,执行人：被修改人员所在部门的人员管理员执行内容：确认该人员调整后可以使用哪些业务系统。,用户申请使用系统,授权,执行人：被调整人员调整之前所有所在岗位和调整之后所在岗位

20、的所在部门可用系统的业务系统管理员执行内容：给人员调整授权,授权,执行人：被调整人员之前可用系统和之后可用系统的本单位的业务系统管理员执行内容：给人员调整授权,执行人：申请使用的系统的本单位的业务系统管理员执行内容：给申请人员授权,该流程需要事先在部门上设置各部门会使用哪些业务系统,33,江苏省电力公司信息化登高项目|2023年2月13日星期一,统一权限方案逻辑图,1.国网总部和网省及各部门管理员都通过统一用户和权限管理进行所有业务系统的授权，从国网总部和网省的授权信息逻辑上组合成一个完整的企业的权限信息。2.业务系统通过统一用户和权限管理获取当前登录用户在本系统中的权限。,统一用户和权限管理

21、,业务系统,管理员,34,江苏省电力公司信息化登高项目|2023年2月13日星期一,国网部署结点,省网部署结点,国网用户,网省用户,统一展现层,业务系统A,业务系统B,业务系统C,业务系统D,国网部署结点,省网部署结点,国网部署结点,省网部署结点,国网部署结点,统一用户和权限管理,资源目录,国网权限管理员,网省权限管理员,使用业务功能,权限授权,业务系统E,省网部署结点,统一展现业务功能,获取权限信息,保存权限信息,1.把各种部署方式的业务系统从逻辑上整合成一个业务，使得从国网角度看到全局而又简洁的业务系统。2.用户统一通过统一展现层使用所有业务系统的功能，带来：A.改善用户体验B.可以根据业

22、务需要在统一展现层重组业务模块划分，模糊了业务应用的边界，更易调协业务应用和实现。3.统一权限模型和权限管理流程，简化企业权限管理的工作。,统一权限方案逻辑图,工作背景现状、问题和建议设计目标设计原则设计方案现实方案,目录,基准组织与用户,业务组织体系和业务组织角色,系统功能和业务角色,36,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案-主要对象存储格式,人员,组织机构,岗位,角色分组,业务组织机构,业务组织角色,业务系统,业务角色,业务组织体系,功能,权限对象,数据类型,数据集,其它关系通过对象属性来表达,部署模块,部署结点,权限相关信息存储在资源目录。,统一权限管理

23、,37,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案与业务系统对接方式,自开发业务系统（无权限、用户相关信息表）,统一权限管理,SAP系统,获取功能和数据权限信息,把角色同步到统一权限，统一权限把用户到角色的分配信息同步到SAP,权限相关信息,岗位,SAP角色,SAP系统,SAP角色,功能,数据,SAP把角色同步到统一权限,统一权限把用户到角色的分配信息同步到SAP,统一权限管理,38,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案与SAP系统对接方式2,岗位,业务组织1,SAP系统,SAP角色1,功能权限,数据权限,统一权限把业务组织角色、用户到角色

24、的分配信息同步到SAP；同时调用SAP中的角色授权界面进行当前角色的功能和数据权限的授权；,业务组织角色1,业务组织角色2,业务组织2,业务组织角色21,业务组织角色2X,SAP角色2,功能权限,数据权限,SAP角色21,功能权限,数据权限,SAP角色2X,功能权限,数据权限,1.SAP的角色也统一在统一权限中管理，可以与流程使用的角色统筹考虑。,同步,39,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案基准组织数据来源,1.基准组织、岗位、人员将从人资模块同步。2.人资模块到统一权限由原来的自动同步改成部分变化（增、删、改）必须通过流程转和部分变化可以自动同步。3.统一权

25、限在确认变更使变更生效后要走后续变更流程。,40,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案用户数据的变更流程,人资增加人员,统一用户管理确认,确认新增,新增的人员原来在统一用户中就存在,执行人：新增人员所在部门的人员管理员执行内容：确认新增的人员是否已经存在。如果存在系统把人员对应的人资管理中的ID修正即可,人资删除人员,统一用户管理确认,处理权限（被删除人员涉及角色的各业务系统的权限管理员）,确认删除,不是真的删除,执行人：被删除人员所在部门的人员管理员执行内容：确认删除是否真删除。如果是真删除，把该用户的状态设置成失效。,人资系统修改人员属性以及人员所在部门属性不

26、通过流程，直接同步。,授权,执行人：新增人员所有所在岗位的所在部门可用系统的业务系统管理员执行内容：给新增人员授权,41,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案基准组织机构数据的变更流程,人资增加机构,统一用户管理确认,人资修改机构名称和上级机构属性,统一用户管理确认,处理（被删除机构涉及的各业务系统的业务系统管理员）,确认有删除,只是简单的改名称,执行人：新增机构的机构管理员执行内容：确认新增的机构是否已经存在。如果存在系统把机构对应的人资管理中的ID修正即可,执行人：被修改部门的机构管理员执行内容：确认是同一个机构改一下姓名，还是把一个机构改成了另一个机构。如果

27、是把一个机构改成了另一个机构，要分解成删除原机构、增加新机构的操作。并且在增加新增机构时还要判断新机构是否已经存在，如果存在系统把机构对应的人资管理中的ID修正即可。,人资删除机构,统一用户管理确认,处理（被删除机构涉及的各业务系统的业务系统管理员）,确认删除,不是真的删除,执行人：被删除机构的机构管理员执行内容：确认删除是真删除，还是只是删除一下然后还会重建同样的机构。如果是真删除，把该机构的状态设为失效。,人资系统修改机构除了名称以外的其它基本属性不通过流程，直接同步。,42,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案岗位数据的变更流程,人资增加岗位,统一用户管理确

28、认,分配岗位职责（新增岗位所在部门权限管理员）,确认新增,新增的人员原来在统一用户中就存在,人资修改岗位名称,统一用户管理确认,分配岗位职责（新增岗位所在部门权限管理员）,确认新增,新增的人员原来在统一用户中就存在,执行人：新增岗位所在部门的岗位管理员执行内容：确认新增的岗位是否已经存在。如果存在系统把岗位对应的人资管理中的ID修正即可,执行人：被修改岗位所在部门的岗位管理员执行内容：确认是同一个岗位改一下名称，还是把一个岗位改成了另一个岗位。如果是把一个岗位改成了另一个岗位，要分解成删除原岗位、增加新岗位的操作。并且在增加新岗位时还要判断新岗位是否已经存在，如果存在系统把人员对应的人资管理中

29、的ID修正即可。,人资删除岗位,统一用户管理确认,执行人：被删除岗位所在部门的岗位管理员执行内容：确认删除是真删除，还是只是删除一下然后还会重建同样的岗位。,人资系统修改岗位除了名称以外的其它基本属性不通过流程，直接同步。,43,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案岗位人员分配关系的变更流程,人资增加人员到岗位,统一用户管理确认,执行人：岗位所在部门的岗位管理员执行内容：确认新分配的人员的实际职能是否是该岗位。如果是接受分配，如果不是不接受,人资从岗位上删除人员分配,统一用户管理确认,执行人：岗位所在部门的岗位管理员执行内容：确认被删除的分配关系是否与实际相符，如果是接受分配，如果不是不接受,调整人员权限（岗位所在部门权限管理员）,调整人员权限（岗位所在部门权限管理员）,44,江苏省电力公司信息化登高项目|2023年2月13日星期一,统一权限方案物理分部和信息流,1.组织机构权限数据存储根据应用系统的部署方式和推广方式的不同分别存放在国网和省网的Ldap中；2.国网和省网Ldap数据采用增量方式进行同步，提高双方同步效率;,45,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案物理分部和信息流,46,江苏省电力公司信息化登高项目|2023年2月13日星期一,实现方案典设和江苏方案,谢谢！,