一、為什麼要做許可權控制?
每個企業都有自己的分工協作體系;不同崗位的員工,負責不同的工作內容;不屬於崗位職責範圍內的事情,員工通常不具有參與權和知情權。
如果每個崗位的員工都可以參與所有的工作、看到所有的資訊,就會給企業的分工協作體系造成巨大沖擊,導致內部管理混亂。更極端的情況是,員工利用自己“無限制的參與權和知情權”,進行違法的牟利活動,給企業帶來致命的損害。
企業需要通過對員工在系統中擁有的許可權進行控制,讓不同崗位、層級的員工,只能使用和看到其職權範圍內的功能和資訊,才能確保分工協作體系能順暢運作,同時維護企業資訊保安。
二、許可權系統的適用場景
許可權系統,是指對使用者在系統中可操作的功能、可檢視資料範圍進行控制的功能模組。它是通過設定不同的使用者角色,再將許可權分配給各個角色,控制不同的使用者,能在系統中使用什麼功能、檢視什麼資訊,是企業對員工進行許可權控制的一個工具。
並非所有的系統都需要做許可權控制——只有當系統功能足夠多、使用角色多樣時,才有對使用者進行許可權控制的必要。當更多崗位的工作內容被納入系統時,系統使用的角色也會從單個變成多個;為了避免員工的許可權不受限帶來的資訊保安問題,就需要分崗位進行許可權控制。
而當系統功能單一、或使用角色單一時,意味著系統的使用者必須擁有該功能的許可權,或他們的工作職責也相同,需要使用的功能也相同;此時,對使用者許可權進行控制沒有太大意義。
三、功能許可權
根據員工的崗位職責,控制在系統中能使用的功能,是最常見的情況,也是許可權控制最基礎、最主要的部分——限制使用者能使用的功能,稱之為功能許可權控制。
功能許可權取決於使用者在實際工作中,要負責的工作內容。而工作內容取決於使用者所在崗位的崗位職責;因此,功能許可權取決於使用者的崗位職責,使用者有什麼崗位職責,在系統上就應該對應擁有什麼功能許可權。
四、資料許可權
多個不同或相同崗位的員工都擁有同一個功能的許可權,但該功能產生的資料,每個員工並不需要看到所有資料,而只能看到一部分。限制使用者在檢視某類資料時,能檢視到的資料範圍,稱之為資料許可權控制。
如果資料不做資料許可權控制,會導致對應業務的核心資料,被有該功能許可權的所有員工檢視到。而資料許可權控制能夠確保資料的私密性,避免因員工的資料許可權超出許可權範圍,給企業帶來不穩定因素和損失。
在LeaRun的Java快速開發平臺中,許可權設計全程視覺化操作,只需在角色管理中點選對應角色,選擇功能/資料授權,進入相應介面,勾選需要授權的模組即可完成全部賦權。過程簡單明瞭,極易操作,能夠幫助企業快速完成許可權管理。
文.LeaRun