?

PDM系統權限管理

【導讀】
權限是指在信息系統中用戶對其中某具體模塊任務的訪問操作能力,它應是具體的,可操控的,且須體現在操作對象具體執行操作上。而常見的操作對象有菜單欄、操作按鈕、報表以及數據等。

在清軟英泰PDM系統中,通常會有多個用戶同時參與產品的研發過程并對數據進行各種操作。在方便用戶從系統中獲取所需數據和信息的同時,避免對數據進行誤操作和人為破壞的隱患,是保持產品數據的完整性、一致性和安全性的重要因素。這就要求PDM系統具有完善和靈活的權限管理機制,可以為用戶設定適合其工作需要的權限,從而真正達到縮短產品的研發周期、提高質量、降低成本的目的。

1權限管理子模塊設計

    1.組織結構管理
    組織架構管理模塊由公司、部門、崗位組成,形象構建了企業的組織架構,并生動映射了人員結構關系。該部分主要實現了查看、添加、刪除、更新、維護公司、部門、崗位基本信息等功能。


    2.用戶角色管理
    角色是針對系統安全設計的一個抽象概念,并非真實存在,且不像現實企業中組織機構有著固定機構部門和成員組成,而是可以隨意根據需求進行創建、刪除和修改角色。它是PDM系統中與執行權限相關聯的唯一實體,通常用于表示用戶對系統任務的執行權限集合,故合理的角色建立和分配對權限管理的重要性顯而易見。合理的角色架構可以減少管理人員的工作負擔,簡化授權行為,避免浪費系統資源和空間,更好地達到安全有效控制系統資源訪問權限的目的。

權限設置

 

    角色有管理角色和常規角色之分,常規角色有總經理、體系工程師、以及為方便TS16949體系審核員審核設置的TS16949體系認證管理員等角色;而管理角色依據“三權分立”策略,分為系統管理員、審計員和安全員。類似于企業中的人事組織機構,角色之間也有一定的層次關系,如此一來層次分明,便于清晰管理。
 

    系統管理員職責在于創建維護角色等相關基礎數據,授權指派相應權限予用戶。審計員則需要有效地對系統管理員的授權行為進行監督和審核,擁有審核權利;安全員通過查看系統日志進而對其他用戶進行有效實時監督。權限分離,相互牽制,從而達到提高系統安全性的目的,同時也更好的體現了T-RBAC的最小特權原則。
 

    另外,本PDM系統一大特色,方便TS16949體系認證,特設TS16949體系管理員,擁有瀏覽TS16949體系各過程中所涉及到的文件以及各項指標,方便其審核認證企事業單位是否滿足符合TS16949體系,并決定是否頒發相應權威認證證書。其中,TS16949體系是目前己被世界汽車行業領域認可和采用的一套完整質量體系標準,在汽車以及汽車零部件行業領域實施TS16949,有助于提高其工業質量水平,可使企事業和世界先進管理水平接軌,加強企事業市場競爭力,更快獲取得到進入世界市場通行證。
 

    ①用戶基礎信息管理模塊主要實現了用戶的姓名、性別、民族、聯系電話、畢業院校、人員定編等用戶基本屬性的新增、刪除、修改和查看等維護管理功能。
 
    ②角色基礎信息管理主要包含查看、創建、修改、刪除角色基本信息、角色層次建立、角色關系整理等功能。用戶通過角色來獲取系統訪問操作權限,角色等價于訪問控制權限集合,而且角色也只有承載系統訪問操作權限之后才會對用戶具有指派或分配意義。角色劃分應依據以上詳述。
 
    ③用戶崗位管理清晰反映了用戶在組織結構中的所屬關系、用戶等級關系等。一般都是通過添加用戶基本信息進行注冊系統用戶,使其合法性,之后需根據現實工作中在企業組織架構中擔任的職位,將己注冊的合法用戶對應到PDM系統的組織結構的相應崗位中。
 
    ④公司部門角色管理主要是指公司、部門、角色三者之間進行關聯,是用
戶角色關聯的前提和基礎,最后形成了類似于公司企業的組織結構。
 
    ⑤用戶角色管理主要是指用戶和角色相關聯,為系統用戶分配指派到相應角色。此時用戶便被賦予一定角色,并擁有該角色所擁有的全部權利和義務。


    3.授權管理
    權限是指在信息系統中用戶對其中某具體模塊任務的訪問操作能力,它應是具體的,可操控的,且須體現在操作對象具體執行操作上。而常見的操作對象有菜單欄、操作按鈕、報表以及數據等。鑒于PDM系統中權限的特點、性質以及操作對象的不同,權限分為數據級權限和實體級權限,分類清晰,授權明確,同時滿足PDM系統對權限管理的多重需求。

權限管理

 

    PDM是由基礎信息和工作流配置等功能模塊組成,不同的功能模塊對應著企業中不同的管理職能,由于用戶在企業中的職位職責不同,則對應在系統中,被授予相應不同的操作權限。PDM任務依據是否與動態工作流項目相關分為主動任務和被動任務,與之對應的權限分為實體級權限和數據級權限兩種。
 

    實體級權限是指與工作流無關的被動任務對應的操作權限,具有一定的層次性。如用戶登錄之后主界面顯示了各種菜單項,即是模塊入口級權限,而菜單級別下的用戶信息界面中的添加、刪除、修改等功能即是指界面上與工作流無關的頁面操作級權限。如下圖3.7所示。
 

實體級權限

    數據級權限是指與工作流相關的動態權限,最大特點是動態性。PDM系統運行過程中,執行工作流項目實例以及時間延續都將會引起任務、任務狀態以及負責人責任和權利的改變,因此,在系統工作流初始化配置時,應根據產品周期狀態不同,為角色集分配指派不同的權限。如圖3.8所示。

數據級權限

    授權管理具體包括實體級權限管理、數據級權限管理以及委托授權管理三部門,其中實體級權限管理主要是指為系統用戶分配指派實體級權限;數據級權限主要是指為系統用戶分配指派數據級權限;委托授權主要是指委托人將所屬的數據級權限和實體級權限委托為被委托人一段時日進行管理和操作。
 

    ①實體級權限管理模塊主要實現了為用戶分配指派實體級權限,配置完成進入系統之后,依據配置結果呈現給不同用戶以不同的功能模塊。具體實體級權限管理過程首先需要實際情況和經驗數據,制作生成實體級權限角色模板,為所有非工作流的主動任務統一配置實體級權限,減少冗余操作,為下一步具體配置主動任務做鋪墊。隨后可依據配置模板給出的參考備選做相應調整,為系統用戶指派合理的實體級權限。
 
    ②數據級權限管理是指為不同角色分配不同工作流項目中不同工作流節點文件的不同數據級權限,可隨著工作流項目實例運行,動態授予,執行完成之后動態回收用戶角色的數據級權限,從而在運行工作流實例的過程中實現PDM系統的動態訪問控制。其中PDM系統中,由后臺控制執行工作流程狀態變化,一個狀態執行結束后轉變為另一個狀態,通過消息通訊機制方便及時有效無延時地以各種通知相應負責人,而倘若該任務沒執行,則任務欄中該任務將一直提不。
 
    具體配置管理過程如實體級權限管理,需先依據經驗數據配置一個通用的數據級權限配置模板,減少大量冗余繁瑣的配置操作,簡化管理員操作。隨后生成數據級權限配置模板之后,可依據配置模板中提供的參考備選做小范圍調整隨即可。
 
    ③委托授權管理主要實現了誰可以將其擁有的部分或全部權限委托給誰多長時間使用權,什么時間被授予權限生效,什么時間截止并收回使用權,且在委托期內需按時完成委托任務,從而保障整個流程的有效按時執行。
 

    4.審計跟蹤
    審計跟蹤可記錄和監控用戶在何時對何種信息資源執行了何種操作,是權限管理不可或缺的一部分,PDM系統必備的安全機制,最后一道系統安全防線。它貫穿PDM權限管理實現的整個過程,從最初的身份認證到后續的訪問控制都離不開審計。
 

    審計追蹤是系統管理員保障其他系統用戶合法權益的一種方式。如果用戶知道自己所作所為會被完整無缺地記錄在審計日志中,且需要為自己行為負責,則用戶自己必然不會違反安全策略或繞道而行。例如審計跟蹤記錄了某用戶在何時執行了哪些任務,進而幫助管理層人員確定到底是有何種原因導致了該錯誤。同時審計也可在故障發生之后,用以重建事件和恢復數據。
 

    審計跟蹤常采用日志記錄方式,而日志記錄主要有登錄日志、操作日志兩種方式。登錄日志主要記錄用戶登錄信息,例如公司名稱,部門名稱,崗位名稱,用戶名,登錄時間,登錄主機IP地址,是否登錄成功等詳細信息;操作日志主要記錄用戶對某些重要文件操作行為,例如對項目A中控制計劃文件的編制、審核、批準行為需要詳細記錄。通過查看日志記錄可以及時發現用戶違規惡意操作,為系統安全又增添一道安全保護屏障。
 

2訪問控制子模塊設計

    訪問控制主要實現用戶身份認證以及權限認證兩大功能,對用戶請求、操作進行邏輯處理。
 
    1.身份認證
    應用信息系統中的身份認證類似于現實生活中的身份證、軍官證和護照等有效證件,通過用以標示用戶身份的基本信息來鑒別用戶身份的真偽,是信息系統防范入侵的首要保護措施,是訪問控制的依據和前提,其作用不容小覷。
 

    實際應用中通常依據用戶所知道的、用戶所擁有的以及用戶是誰這三種方式進行身份驗證。其中用戶所知道的是指口令密碼和用戶名;用戶所擁有的是指令牌或USB KEY;用戶是誰簡單就是說依據用戶的獨一無二的、穩定的、可采集的身體特征進行驗證身份。另外還可通過數字證書進行認證。
 

    口令驗證方式是目前身份驗證方法中應用最為廣泛的一種,具有安全性、簡單易維護等優點。常用的兩種方式,用戶自定義和系統自動隨機生成。數字證書是由證書授權中心CA機構發行的一串數字,用以標示并有效證明對方身份,簡單而言,就是用戶在信息系統中的身份證。
 

    一個最簡單的數字證書是由所有者的公鑰、所有者的名字以及發行機構的數字簽名部分組成。數字證書具有唯一性、不可抵賴性等特點,能夠保障數據完整,確保信息傳遞過程中不被篡改和重組;能夠保障除接收者之外的任何人都無法讀取相應數據信息,確保數據保密。因此,根據身份認證各方式的特點,本系統主要選取了口令驗證和數字證書兩種方式進行身份驗證。
 

    另外,系統中的任務執行往往與角色關聯,執行相關任務時,需要登錄相應角色,且同一個用戶往往擔任一個或多個角色,這樣就導致了同一個用戶需要登錄不同角色執行不同任務,需要多次登錄,多次輸入公司、部門、角色、密碼等基本信息,不斷切換將會給用戶造成極大的不便,工作繁忙的領導尤為明顯。于是設計用戶登錄界面時,登錄信息不以用戶角色作為篩選條件,而是通過輸入用戶以及其所屬公司、部門和崗位等基本信息計算用戶所擁有的所有角色和權限進行主界面初始化。
 

    2.訪問控制
    訪問控制這部分主要包括權限計算和邏輯判斷兩部分。當用戶訪問系統驗證身份辨別用戶合法性之后,計算當前用戶擁有的所有權限,邏輯判斷動態顯示可執行任務。一個用戶擁有一個或多個角色,一個角色往往被授予多個權限,而權限分為數據級權限和實體級權限,故需要先計算該用戶都擁有哪些權限之后,對比執行該任務所需的權限,如果匹配則可執行,如果系統為給該用戶授予其相應該權限,則禁止該用戶執行該操作,此操作實屬非法操作。
 

    1)計算匯總用戶被授予的權限集步驟如下:

    ①依據用戶角色映射獲取當前用戶所擁有的所有角色。

    ②依據實體級權限管理模塊,檢索整個實體級權限表,獲取被授予的所有實體級權限。

    ③依據數據級權限管理模塊,檢索整個數據級權限表,獲取被授予的所有數據級權限。

    ④依據委托授權管理模塊,查詢整個委托實體級權限表,獲取當前用戶受委托臨時所擁有的被委托實體級權限。

    ⑤依據委托授權管理模塊,查詢整個委托數據級權限表,獲取當前用戶受委托臨時所擁有的被委托數據級權限。

    ⑥第②、③、④、⑤步的實體級權限和數據級權限計算總和,即為當前用戶被賦予的所有權限值,也是用戶能在整個PDM系統所看到,所得到,所能使用到的權限值。
 
 
    2)在動態工作流流程中,從角色出發,根據角色相應職務、權利、職責,分析角色之間的交互行為,最終抽象分析得到PDM系統中工作流節點報表編制、審核、批準三種狀態以及工作流節點動態審批流程。詳細動態審批流程步驟如下。
 
    ①當某工作流項目實例運行至某待執行的工作流節點時,擁有該節點編制權限的系統用戶,以編制人身份發起任務并激活該任務實例,進入編制狀態。
 
    ②由編制人填寫、檢查并匯總各項數據、執行完成該工作流節點后,生成報表,進入完成/待審核狀態。相反,如果編制未完成,繼續編輯直至編輯完成。
 
    ③判定該工作流節點是否需要會簽,若是需要多部門會簽,則征求會簽各部門審核人意見進行審核,匯總之后提交最終審核意見。如若不需要,則交由具有該工作流節點審核權限的審核人審核,提交最終審核意見。
 
    ④最終審核意見若是通過,則進入審核通過/待批準狀態,交由批閱人批閱,查看報表并核實真實性和有效性,通過數字證書再次驗證批閱人有效身份,并提交最終的批閱意見,轉至步驟     
    ⑤。如若審核未通過,則審核人提交審核意見并駁回,進入編輯狀態,交由編制人重新編制,轉至步驟②。
 
    ⑤若批準通過,生成一個有效版本,并轉至步驟⑥判定是否進行版本變更。而批準未通過,則批閱人提交批準意見并駁回,進入編輯狀態,交由編制人重新編制,轉至步驟②。
 
    ⑥如果實際情況需要申請版本變更的話,保存該版本所有歷史數據,并生成新版本,轉至步驟①。而如果不需要,轉至步驟⑦。
 
    ⑦判斷該工作流項目實例中是否全部工作流節點全部執行完畢,如果沒有,則轉至步驟①。如果工作流節點全部執行結束,則意味著整個工作流項目執行結束。
工作流節點動態審批流程圖如下圖3. 9所示。

工作流節點動態審批流程圖

    3)通常委托的執行步驟分為四個階段:委托請求階段、委托接受階段、委托執行階段、委托回收階段或委托撤銷階段,具體工作流程如下。
    ①委托人向被委托人提出委托請求,被委托人在某個時間段的什么情況下擁有某項權限,并需要按時完成該項任務。
 
    ②被委托人根據自己個人情況,如當時自己任務的輕重,對被委托的任務是否熟悉,能否勝任,以及任務截止時間是否即將到期等情況決定自己是否接受此委托。被委托人如若接受委托人的委托請求,則轉至步驟③執行;如若不接受此請求,跳轉到步驟①,委托人可向另外一個用戶重新委托授權。
 
    ③被委托人需在委托期間以及委托權限范圍之內執行被委托事項。同時在有效期內,如果委托人提前恢復正常工作需撤銷委托,則提前撤銷委托回收權限,委托授權結束。如果在此階段沒有任何撤銷需求,則轉至步驟④。
 
    ④被委托人在時間到期之時自動截止回收其任務權限,委托授權結束。

 

 

    4)整個系統訪問控制總流程如下:

    ①打開用戶登錄界面,系統用戶輸入用戶名,密碼,崗位等基本信息進行有效身份驗證,判定其身份的合法性。

    ②如果鑒定用戶身份合法,跳轉至步驟④;如果鑒定為不合法用戶,跳轉至步驟③。

    ③錯誤次數加1,并判斷累計錯誤次數是否超過3次,如若錯誤總次數超過3次,則操作結束,如果沒有返回步驟①,重新登錄。

    ④計算用戶角色所擁有的所有權限,具體算法詳見如上述,之后系統自動加載被授予權限所對應的動態菜單、工作流項目視圖結構、我的任務欄等功能模塊界面,進行主界面初始化操作。

    ⑤如若系統用戶請求任務執行,則跳轉到步驟⑥;如果沒有,則操作結束。

    ⑥如若執行非工作流任務時,直接執行增刪改查等操作;如若執行工作流節點,則按照工作流流程進行編制、審核、批準等操作。

    ⑦如若執行過程中有錯誤和異常情況出現,需及時加以處理,并記錄到日志中,隨后跳轉至步驟⑤;如若沒有異常,則請求操作完成,記錄到日志中,跳轉至步驟⑤。

 

本文為御云PLM軟件原創文章,如想轉載,請注明原文網址摘自于http://www.aiotaq.com/dongtai/217.html,請注明出處;謝謝配合!
 
 

  • 2019-09-07 09:41
  • 我要分享:
聲明:文章"PDM系統權限管理"為上海御云信息科技有限公司原創文章,轉載請注明出處,謝謝合作!您所在位置:PLM系統 > 服務與支持 > 服務與支持 > 技術知識庫 >

聯系清泰代表

熱門文章
熱門標簽
?
日韩A∨无码中文无码电影
<dl id="fdhf1"><dl id="fdhf1"><output id="fdhf1"></output></dl></dl>
<dl id="fdhf1"></dl>
<noframes id="fdhf1"><video id="fdhf1"></video>
<dl id="fdhf1"></dl><output id="fdhf1"><output id="fdhf1"><delect id="fdhf1"></delect></output></output>
<output id="fdhf1"><output id="fdhf1"><delect id="fdhf1"></delect></output></output>
<dl id="fdhf1"></dl>
<dl id="fdhf1"><output id="fdhf1"></output></dl>
<video id="fdhf1"><output id="fdhf1"></output></video>
<dl id="fdhf1"></dl>
<dl id="fdhf1"></dl><video id="fdhf1"></video>
<noframes id="fdhf1">
<dl id="fdhf1"></dl>
<video id="fdhf1"><output id="fdhf1"><output id="fdhf1"></output></output></video>
<video id="fdhf1"></video>
<dl id="fdhf1"></dl>
<dl id="fdhf1"></dl>
<video id="fdhf1"><dl id="fdhf1"></dl></video>
<dl id="fdhf1"><output id="fdhf1"></output></dl>
<video id="fdhf1"><dl id="fdhf1"></dl></video>
<dl id="fdhf1"></dl><dl id="fdhf1"></dl>
<video id="fdhf1"><output id="fdhf1"><delect id="fdhf1"></delect></output></video>
<noframes id="fdhf1"><video id="fdhf1"><output id="fdhf1"></output></video><dl id="fdhf1"></dl>
<video id="fdhf1"><output id="fdhf1"><delect id="fdhf1"></delect></output></video><video id="fdhf1"></video>
<dl id="fdhf1"></dl><video id="fdhf1"></video>