1、權限模型介紹角色管理權限分配用戶管理權限-角色-用戶權限控制權限查詢新特性lNCV5采用RBAC模型(Role-Based Access Control，基于角色的訪問控制)。l引入角色，以角色為橋梁把用戶和權限連接起來。l用戶只需關注其在組織結構中擔當的角色，而角色所擁有的權限由角色本身決定，這樣用戶通過擔當角色而擁有相應權限。信任公司l角色為權限的一個集合，具體表示組織中的一職責、或者一工作、或者一任務等等。l角色管理維護角色基本信息（編碼、名稱），設置角色中用戶。上級公司可以管理本公司和所有下級公司角色。l資源類型(公司類型、主體帳簿類型和復合類型)：角色的資源類型不同能夠分配的功能權限

2、就不同。1.主體帳簿類型的角色，只能分配總帳模塊下節點的功能權限。2.公司類型的角色，能夠分配除總帳模塊下節點外所有節點的功能權限。3.復合類型的角色能夠分配所有的功能權限。l信任公司：為角色設置信任公司(如上圖)，為了達到角色讓其他公司用戶兼職目的（用戶管理中完成），但角色在創建公司有效。例 1：C1公司公司R1角色角色C2公司公司用戶信任信任兼職兼職l公司管理員角色：只負責用戶權限管理的角色。其他角色不能進行用戶權限管理。l擔當此角色的用戶可以管理本公司和下級公司的用戶權限。l集團用戶想要此角色，則由賬套管理員進行委派；公司用戶則由上級公司的管理員委派此角色。 分 配公司l分配公司：角色可

3、以分配給下級公司，相當于每個分配公司也產生了此角色（表示此角色除了屬于創建公司外，也屬于這些分配公司）。l例 2：C1公司公司C2公司公司分配分配擔當擔當R1角色角色用戶R1角色角色l角色的信任和分配的區別：信任不改變角色的作用域，如在例 1中，R1角色只在C1公司有效；而分配則擴大了角色的作用域，如在例 2中，R1角色在C2公司也有效。信任對于用戶是擴大了作用域，而分配對于用戶是部分擴大了作用域，部分獲得了作用域。信任角色分配是在被新任公司直接用戶管理就可以添加角色。分配包括本公司用戶以及被分配公司用戶，被分配公司用戶必須在角色所在公司的角色管理里面添加用戶。l角色可以委派給本公司用戶，分配

4、到其它公司的角色也可以委派給上級公司用戶。例3(和例1、例2區別)：C1公司公司C2公司公司分配分配R1角色角色用戶R1角色角色兼職兼職擔當擔當l分配到其它公司的角色也可以委派給那個公司的用戶,如例2。公共權限l權限：對數據進行訪問的許可。l權限分配統一管理，包括功能權限和各種數據權限；上級公司可以管理本公司和所有下級公司角色權限。l采用插件技術定制需要分配的各種權限；權限的業務擴展由插件決定，比如客商權限具體什么業務含義、是否上級控制等。 l角色的公共權限和私有權限角色的公共權限和私有權限: :公共權限，表示角色在創建公司和各分配公司都擁有這部分權限；私有權限，表示角色在各公司所擁有的私有權

5、限；而角色在公司的權限由公共權限和在此公司的私有權限組成。對于功能權限，分配總賬節點權限時，也可以分配公共權限，則這部分權限能在所有主體賬簿下使用，并且能給具體的主體賬簿分配私有權限。 l用戶指能登錄NC系統的用戶，是登錄賬號。l用戶管理主要維護用戶基本信息（編碼、名稱、口令等），口令策略（認證方式、口令有效期）、用戶對應的業務員、角色的委派（用戶能夠擔當的本公司角色和其它公司角色）。l上級公司可以管理本公司和所有下級公司用戶。分配了公司的角色（可以選擇部分）沒有分配公司的角色信任當前公司的其它公司角色l用戶可以委派本公司創建的角色，本公司創建的角色包括分配了公司的角色和沒有分配公司的角色。參

6、考例3。 l用戶還可以委派信任本公司的角色。參考例1。 用戶角色角色權限權限C1公司公司創建創建信任信任創建創建擔當擔當兼職兼職委派委派分配分配l控制具體公司是否啟用權限或者控制具體主體賬簿是否啟用權限。比如可以控制部分公司啟用按鈕權限，控制部分主體賬簿啟用會計科目權限。l上級公司可以管理本公司和所有下級的權限啟用。 l在公司或者主體賬簿啟用權限控制的前提下，還可以控制具體角色是否啟用權限，這由角色管理完成。 l功能權限最大集控制：限制用戶能夠分配的功能權限，不能超過用戶擁有的功能權限。 l查詢用戶的功能權限、角色的功能權限、功能權限的用戶清單、功能權限的角色清單。l使用查詢引擎實現，可以根據

7、業務需求增加或修改查詢功能。1.標準化、系統化。采用標準RBAC模型，權限系統化。權限管理只能由少數特權用戶完成（即擔當公司管理員角色的用戶）。2.集中化管理。包括用戶管理、角色管理、權限分配和權限控制，都可以由集團統一控制。3.上下級垂直管理。上級公司可以管理下級公司，可以為下級公司進行用戶管理、角色管理、權限分配和權限控制。 4.插件化：權限分配和權限查詢，各插件定制。5.NC5不再直接為用戶分配權限，廢棄了NC3系列的用戶組、用戶關聯公司和快捷分配。1)角色外延了用戶組，NC3系列的用戶組只能在當前公司使用，而角色還可以跨公司、跨主體賬簿共享權限。2)NC3系列的“用戶關聯公司”表示“用戶直接關聯了公司后，相當于用戶也屬于關聯公司”；而在NC5中，用戶必須具有其他公司的角色，才間接表示用戶關聯了此公司。3)NC3系列的快捷分配造成了大量的用戶組以及重復的用戶權限；而在NC5中，只需要角色分配多個公司，再分配公共權限，即可完成統一控制，減少了大量數據。 6.NC5增加了權限的細粒度控制。1)NCV5中，角色也可以控制是否啟用