U8權限體系目錄TOC\o"1-5"\h\z一、權限配置總體說明11、權限體系12、權限配置流程2二、角色、用戶、人員21、角色和用戶關系22、用戶和人員檔案的關系3三、功能權限31、功能權限層次32、功能權限之間的約束3四、數據權限31、記錄權限32、字段權限93、金額權限10五、功能權限、數據權限的組合約束關系11一、權限配置總體說明1、權限體系

2、權限配置流程角色-用戶設置1、在系統管理權限-角色中定義角色。2、在企業應用平臺基礎設置-基礎檔案■人員檔案中定義人員并映射相應的操作員。3、在系統管理權限-用戶中設置用戶并給用戶分配角色。分配功能權限1、在系統管理權限-權限中給角色或用戶分配功能權限。敏感數據維護在UAP平臺敏感數據維護在UAP平臺-工具-敏感數據維護工具中設置控制字段權限的業務對象。1、在企業應用平臺系統服務-權限-數據權限控制設置中設置要控制哪些記錄權限和字段權限。2、在各產品的選項中設置各產品要控制的記錄權限。3、在企業應用平臺系統服務-權限-數據權限分配中對角色或用戶分配相應的記錄權限和字段權限。二、角色、用戶、人員1、角色和用戶關系角色：角色是指在企業管理中擁有某一類職能的組織，這個角色組織可以是實際的部門，可以是由擁有同一類職能的人構成的虛擬組織。例如：實際工作中最常見的會計和出納兩個角色（他們可以是一個部門的人員，也可以不是一個部門但工作職能是一樣的角色統稱）。我們在設置角色后，可以定義角色的權限，如果用戶歸屬此角色其相應具有角色的權限。此功能的好處是方便控制操作員權限，可以依據職能統一進行權限的劃分。角色的個數不受限制，一個角色可以擁有多個用戶，一個用戶也可以分屬于不同的角色。用戶和角色的設置不分先后順序，用戶可以根據自己的需要先后設置。一個角色可以包含多個操作員。如果一個用戶既獨立分配了權限，又屬于某個角色，則表明此用戶擁有此角色和用戶本身的權限。2、用戶和人員檔案的關系人員檔案：是企業中所有的職員信息。用戶：是操作U8系統的人員。用戶一般情況下是人員檔案的一個子集，但人員檔案中的人員和操作員檔案中的用戶可以有不同的編碼和名稱，因此需要建立一個對應關系。三、功能權限1、功能權限層次功能權限按產品—菜單—按鈕逐層展開設置，從粗到細對權限進行逐步細化。既可滿足用戶粗放的權限體系要求，又可滿足精細化權限控制的要求。例如如果某用戶擁有某產品的所有功能權限，直接在產品上設置其權限，則將自動擁有該產品所屬的所有下級菜單和按鈕的功能權限。2、功能權限之間的約束業務單據的各種功能操作必須要先有單據的查詢權限才能進行單據的操作。如某一用戶需要錄入銷售訂單，則必須要擁有銷售訂單的查詢權限和錄入權限，如果只有錄入權限是無法錄入銷售訂單的。庫存管理的單據列表沒有單獨的權限，使用對應單據的查詢權限，如某一用戶有采購入庫單的查詢權限則可以查詢采購入庫單列表。人力資源：部分模塊未設置瀏覽權限（主要是HR基礎設置、人事管理業務），只要授予該模塊任何一個操作權限，即可進入該模塊。例外（人員類別、崗位序列、崗位級別、職務簇、職務級別）：分增加、修改刪除權限，沒有設置瀏覽權限。即使未授予任何權限，也可進入這五個功能，但不能進行增、刪、改操作。四、數據權限數據權限：指用戶所要使用的檔案或部分業務單據的權限，包括記錄權限、字段權限和金額權限。1、記錄權限■記錄權限：指對檔案記錄或業務數據記錄的權限控制。如存貨記錄權限控制，主要是控制用戶是否可在存貨檔案或業務單據中對具體某個存貨進行查詢或編輯。如某企業的產品分為內銷商品和出口商品兩大類，而針對國內和國外銷售的商品需要不同的部門和人員來銷售不能混銷，因此就存在針對內銷商品和出口商品的權限控制問題。針對這種應用就可使用存貨的記錄權限進行控制，設置方法：將內銷商品和出口商品分別分配給相應的用戶，這樣每個用戶就只能查詢和處理各自所有負責的商品。權限分組：按某種規則，將具有某些共性的記錄加以分類并形成權限組。通過對組權限的分配來達到設置記錄權限的目的，如供應商檔案、存貨檔案、客戶檔案。權限層次：記錄權限分為兩個層次：第一層：在平臺的數據權限中設置企業需要控制的記錄權限。第二層：在各產品中設置每一產品要控制的記錄權限。分層的意義：細化記錄權限控制，以達到按不同的應用場景分別控制權限的目的。應用背景：例如企業一般會對業務員控制客戶權限，即每個業務員只能錄入和查詢他所管轄的客戶；而同樣是客戶權限對財務人員（如往來賬會計）來講則不需要嚴格的控制。應用方案：基于以上應用的解決方案是：在平臺的記錄權限中設置控制客戶的記錄權限，并在銷售管理中也設置為控制客戶記錄權限，但在應收管理系統中則設置為不控制客戶的記錄權限，這樣業務員在銷售系統中進行業務操作時就要控制相應的客戶記錄權限，而往來賬會計在應收系統中進行業務操作時則不會控制客戶記錄權限?？刂埔巹t：單據模版：限制用戶在錄入單據時可以使用的模版。?單據設計：限制用戶能夠設計哪些單據模版，在單據格式設計器中用戶不能看到受控單據模版節點。用戶權限：如控制，則查詢、修改、刪除、審核、關閉單據時，只能對單據制單人有權限的單據進行操作；棄審對單據審核人有權限的單據進行操作；打開對單據關閉人有權限的單據進行操作；變更不控制操作員數據權限，僅判斷當前操作員是否有變更功能權限和其他幾項數據的錄入權限；參照生單時，可以參照有制單人查詢權限的單據。報表中，不控制操作員記錄級的數據權限?？蛻魴嘞蓿喝缈刂?，查詢時只能顯示有查詢權限的客戶及其記錄；填制單據時只能參照錄入有錄入權限的客戶。報表中，不控制客戶記錄級的數據權限。部門權限：如控制，查詢時只能顯示有查詢權限的部門及其記錄；填制單據時只能參照錄入有錄入權限的部門。報表中，不控制部門記錄級的數據權限。存貨權限：如控制，查詢時只能顯示有查詢權限的存貨及其記錄；填制單據時只能參照錄入有錄入權限的存貨。業務員權限：如控制，查詢時只能顯示有查詢權限的業務員及其記錄；填制單據時只能參照錄入有錄入權限的業務員。報表中，不控制業務員記錄級的數據權限。供應商：如控制，查詢時只能顯示有查詢權限的供應商記錄；填制單據時只能參照錄入有錄入權限的供應商。倉庫：如控制，查詢時只能顯示有查詢權限的倉庫及其記錄；填制單據時只能參照錄入有錄入權限的倉庫。貨位：如控制，查詢時只能顯示有查詢權限的貨位及其記錄；填制單據時只能參照錄入有錄入權限的貨位。倉庫：合同類型：如控制，在合同管理系統中填制、審核單據，查詢報表時，只能對有權限的合同類型進行操作?？颇浚喝缰茊螘r控制，需在總賬選項中選中“制單權限控制到科目”，只能參照有錄入權限的科目。如查賬時控制，需在總賬選項中選中“明細賬查詢權限控制到科目”查詢時只能顯示有查詢權限的科目及其記錄?？傎~多輔助賬提供查詢結果的記錄權限控制，其余賬表提供查詢條件的記錄權限控制。憑證類別：如制單時控制，需在總賬選項中選中“制單權限控制到憑證類別”只能參照錄入有錄入權限的憑證類別。項目：如控制，查詢時只能顯示有查詢權限的項目及其記錄；填制單據時只能參照錄入有錄入權限的項目。報賬中心單位：如控制，在報賬中心系統中錄入、審核單據，查詢報表時，只能對有權限的報賬中心單位進行操作。資金單位：如控制，在網上結算系統中填制、審核單據，查詢報表時，只能對有權限的資金單位的賬戶進行操作。集團企業目錄：如控制，查詢時只能顯示有查詢權限的集團企業目錄及其記錄。工資權限：工資權限按工資類別分別設置，如控制工資權限，則需要同時授予操作員在一個工資類別中的部門權限和工資項目權限。工資項目區分讀、寫權限，授予寫權限自動賦讀權限。如果沒有一個工資類別的部門權限或沒有工資項目的權限，則不允許打開該工資類別。人力資源報表：如控制，則需要對每張人力資源報表授權（某些采用報表設計的功能除外，如員工自助的部分功能：查看個人工資、福利等信息）。?人事業務變動：對于企業規模較大的情況，人事異動業務可能由多人負責，如有人負責入職、轉正等，有人負責離退業務，則可以控制人事變動業務權限，授予不同操作員不同的人事變動業務權限?！鰴嘞薹秶?在企業應用平臺統一設置的記錄權限：控制范圍用戶單據模版單據設計憑證類別科目項目集團企業目錄報賬中心單位資金單位合同類型客戶供應商部門業務員存貨倉庫貨位工資權限人力資源報表人事業務變動總賬VVVVVVVV應收管理VVVV應付管理VVVV成本管理V資金管理VV報賬中心VVVVVVVVV網上報銷VVVVVVVV網上結算V集團財務V管理駕駛艙V合同管理VVVVVVV售前分析VV銷售管理VVVVVVVV采購管理VVVVVVV委外管理VVVVVVV質量管理VVVV庫存管理VVVVVVV存貨核算VVVVVV進口管理VV出口管理VVVVVVVVCRM管理VVVVVVV

服務管理VVVVVVV物料清單VVV主生產計劃VVV產能管理VVV需求規劃VVV生產訂單VVVV車間管理VVVV工程變更VVVV人事管理VVVVVV薪資管理VVV計件工資VVVVVV福利管理VVVVV考勤管理VVVVV人事合同VVVVV招聘管理VVVV培訓管理VVVV績效管理VVVV員工自助VVV經理自助VVVVV?在各產品中單獨設置的記錄權限：網上銀行：在網上銀行系統中，可以讓不同的操作員管理不同的銀行賬號,即為操作員設置銀行賬戶權限及其相應的金額權限，包括查詢、制單支付和審核權限。責任中心權限：在項目管理系統提供責任中心權限設置。項目管理的單據及匯總表要有責任中心的權限才可進行操作。預算管理產品的數據權限由預算管理產品自己進行維護。數據權限的設定由用戶、預算機構、預算表、預算項目、預算口徑、權限構成。如下圖：:m角備幻.1-7A1揀帕：■‘”|前覷算淸理附用凰務唧:m角備幻.1-7A1揀帕：■‘”|前覷算淸理附用凰務唧4乩奈那嘆陽外部系扯収|退總旳權IvKS^RJH、仃麗權取簾瑕址枚唯說明：用戶（操作員）由客戶在系統管理中設置，及共享U8平臺中的用戶和角色。操作員為當前預算管理所在服務器對應的所有操作員和角色不處理多應用服務器情況，即只能對預算管理系統所在的數據服務器的操作員設置權限，如果外部系統不與預算管理系統同屬一個數據服務器，則無法實現預算控制時的預算項目權限。預算表權限、預算機構權限的設定，支持在預算管理中進行預算權限的設置預算項目、預算口徑權限的設定，支持對業務系統（總賬系統、網上報銷系統、庫存管理（存貨核算））的預算控制階段的權限控制和在查詢控制報告時的權限控制，在預算管理系統查詢控制報告同樣遵循權限的控制。針對預算項目，權限分為查詢權和錄入權，查詢權即對某預算項目控制報告和超預算信息具有查看的權限；錄入權即在錄入被控制單據時，具有錄入預算項目的權限。查詢權與錄入權完全獨立，有錄入權不一定有查詢權。在預算控制階段，如果操作員只有某預算項目的錄入權，沒有其他權限，則該操作員不能查看相關控制報告；控制反饋信息只能提供是否超預算的模糊信息，不能提供超預算幅度的具體信息。預算口徑權限的查詢權和錄入權的含義與預算項目的權限的查詢權和錄入權控制相同對“控制規則定義、預警規則定義、超預算審批金額權限定義、超預算審批待審批信息傳遞定義、超預算審批已審批信息傳遞定義”不進行權限控制，但對“預警規則定義、超預算審批金額權限定義、超預算審批待審批信息傳遞定義、超預算審批已審批信息傳遞定義”中的通知對象、審批人進行定義時，需要進行權限控制，即沒有相應預算項目、預算口徑權限的操作員不能被定義為超預算審批人、通知對象。>管理駕駛艙的數據權限包含兩部分，即部門（集團企業目錄）權限和指標權限。如果使用管理駕駛艙，在數據權限功能中可以設置管理駕駛艙部門權限和指標權限的控制功能。如果單獨使用數據倉庫，在數據權限中只能設置部門權限不能設置指標權限。2、字段權限字段權限：是對檔案、單據、單據列表、報表上的每一個數據項（字段）進行的權限控制。應用背景：企業出于安全保密性考慮，需要對單據上的某些數據項進行權限控制，如出入單據上的成本或發貨單上的售價對倉庫保管員來講應該是保密的。應用方案：通過字段權限控制，企業就可實現以上應用。在字段權限設置中將出入庫單據上和成本相關的數據項及發貨單上和售價相關的數據項，不分配給倉庫保管員相應的查詢權限，則倉庫保管員查看單據、單據列表和相關的報表時就看不到相應的成本和售價信息了。權限層次：分為敏感數據統一控制、業務對象字段權限控制兩個層次。敏感數據維護工具：把系統中的單價、金額等需要控制權限的敏感字段統一管理和維護，通過對“敏感數據”權限的控制，可以對不同的業務對象（如單據、報表、列表、參照等）同一含義的字段統一控制數據權限，以避免用戶對每個業務對象都要進行權限設置及分配。舉例：使用敏感數據維護工具中定義了“存貨”敏感業務對象，并定義了它的“折扣”屬性。建立了“折扣”與“銷售訂單”中的“折扣額”、“扣率”的對應關系；建立了“折扣”與“銷售訂單列表”中的“折扣額”、“扣率”的對應關系。目的是為了通過控制“折扣”的權限就可以一并控制“銷售訂單”和“銷售訂單列表”中“折扣額”及“扣率”的權限。預置規則見附件《字段權限預置表.xls》的“敏感數據映射關系”工作表。控制規則：?字段權限設置區分“讀權限”、“寫權限”、“無權限”三種權限級別，對某業務對象啟用了“數據權限控制”后，自動繼承敏感數據的權限設置，自動繼承敏感數據的權限分配，但可以修改；否則默認某操作員對所有字段擁有“讀”、“寫”權限。注:V861及以前版本對某業務對象啟用“數據權限控制”后，默認為“無權限”。業務對象權限控制級別高于敏感數據統一控制、業務選項控制級別高于業務對象權限控制。舉例：如已經設置了“A用戶”對“存貨折扣”只有查詢權限（在敏感數據維護工具中定義），而后在設置“銷售訂單”權限分配時，又設成“A用戶”對“銷售訂單”中的“折扣率”為“無權限”，系統執行“無權限”。字段級權限的復制規則是：“無權限”級別最高、“讀權限”次之、“寫權限”為最后。舉例：如為A用戶分配數據權限，使用數據權限復制功能。進入權限復制，選擇“字段級”，業務對象為“存貨檔案”，選擇并勾選了B、C、D三個用戶完成了復制操作，如果B、C、D用戶對存貨檔案的“參考售價”字段的權限級別分為：B用戶：無權限C用戶：讀權限D用戶：寫權限則復制后的結果為：A用戶對“存貨檔案”中“參考售價”字段的權限級別為“無權限”權限范圍：見附件《字段權限預置表.xls》的“字段權限控制范圍”工作表。3、金額權限金額權限：用于設置用戶可使用的金額級別，對業務對象提供金額級權限設置：采購訂單的金額審核額度、科目的制單金額額度。控制規則：科目制單金額額度控制：如控制，需要在總賬選項中選中“操作員進行金額權限控制”在填制憑證錄入金額時，依據設置控制科目發生額是否在該操作員授權的范圍內。如果超出控制范圍，需要授權簽字。否則當前金額不予保存。采購訂單的金額審核額度控制：主要是控制當前操作員是否有權限審核當前的采購訂單。在【系統控制臺－系統服務－權限－金額分配權限－采購訂單級別】設置當前操作員的采購限額級別。當該操作員審核采購訂單時，如果“采購訂單總金額＜=采購限額”，則該操作員有權限審核。否則，無權限審核，系統會提示“對不起，您的訂單審核上限為XXXX元，您不能審核XXX號單據?！蔽濉⒐δ軝嘞?、數據權限的組合約束關系功能權限與數據權限的控制規則：在U8系統中錄入業務單據或查詢賬表時，系統會對功能權限和數據權限進行雙重控制，即要有相應的功能權限和數據權限才能進行相應的操作。單據查詢：功能權限+數據權限，單據上任一數據無權限則整張單據不能查詢。例如查詢銷售訂單時，如果用戶有銷售訂單的查詢功能權限，但要查詢的訂單上有五個存貨，當前用戶只有其中三個存貨的查詢權限，而沒有另外兩個存貨的查詢權限，則此用戶也無法查詢此銷售訂單。單據編輯：功能權限＋數據權限，只能參照有錄入權限的檔案。例如錄入銷售訂單時，如果用戶有銷售訂單的錄入權限，參照客戶或存貨時，只能看到其有編輯權限的客戶和存貨