角色管理
概述
在企业中访问控制的范围取决于员工所担任的角色,角色中包含已确认的职能访问行为和能力。
一个组织或人员可以同时拥有多个角色,如下图是一名部门主管人员可能拥有的多个角色:
默认角色
系统将角色分为三个类别,分别为集权角色、分权角色和自定义角色。其中系统默认的集权角色和分权角色不能修改,这样可以保证角色名称与角色的能力始终匹配。
集权角色包含对文件、人事、运维的职能行为,因此有较大的管理范围,通常适用对系统业务安全要求不太严格的企业,使用比较方便。系统默认创建:管理员、主管、普通员工 三个集权角色。管理员有系统范围内所有资源的访问权限。主管根据其关联的单位或部门,拥有单位或部门范围中所有资源的访问权限。普通员工默认可以查看自己单位中的文件和组织。
分权角色分离了文件、人事、运维三种职能行为,单个角色只能管理其中的一类职能行为,因此不具有访问系统所有资源的权力,这样系统整体更安全。系统默认创建:文件管理员、人事管理员、文件主管、人事主管、运维主管、普通员工 六个分权角色,每个角色根据其包含的职责有不同的访问能力。
自定义角色由管理员自行创建,其中包含的职能行为,必须是管理员所拥有的职能行为的子集,以避免权限泄露。自定义角色与创建它的单位绑定所属关系,具有单位隔离特性,只能本单位人员才能查看和使用。
角色级别
角色按权力级别分为:管理员角色、主管角色、普通角色。管理人员不能创建高于自身角色级别的新角色,当为其他人指派角色时,被指派角色行为集必须是当前管理者自身角色的行为集的子集,这样可以防止角色恶意提权问题。
由系统创建的默认角色,其中一、二级为管理角色,三级为普通角色:
一级管理员角色
一级管理员角色只能隶属于总部之下,按职责分为文件/人事管理员,管理员角色可以查看整个组织。
文件管理员,可以管理系统中的所有文件,可以查看系统中的所有单位、部门和人员。
人事管理员,可以管理系统中所有下属单位以及下属单位中的部门和人员、管理本单位角色和公共角色,拥有人事管理最高权利,但只拥有人事权利,无管理文件权利。
二级主管角色
二级主管角色,管理的具体组织范围,根据指派角色时为其绑定的单位/部门而定。
文件主管,可以管理绑定单位/部门中的所有文件,可以查看当前单位中的所有部门和人员。
人事主管,可以管理绑定单位/部门中的所有部门和人员、管理角色,无管理文件权限。
运维主管,对系统进行运行管理维护,无其他管理权限。
三级普通角色
普通员工,可以在授权范围内对文件进行操作,默认仅可以访问本单位内的文件和组织,经过授权可以访问外部单位的资源。
职责分离
职责分离是确保单个人员不具备完成恶意行为的所有必要权限的一种策略。
最常见的⽰例是:财务工作中的发起⽀付和授权⽀付操作,任何⼀个⼈员都不应该能够同时拥有这两种权限。
在文件管理领域中以FTP服务器为例:运维人员的职责是系统运行维护,却可以超出自身职责,直接查看FTP服务器上的所有企业文件(本应属于文件管理职责),运维人员的职责不明确,将为企业文件增加泄露风险。
管理角色按职责分为职能管理和文件(业务)管理。人事管理和运维管理属于职能管理,人事管理角色只负责管理组织和人员,运维管理角色则只负责管理系统运维相关工作,职能管理角色不参与对文件访问权限的管理。文件管理角色专门负责组织内的文件(业务)管理,不参与组织的职能管理。
角色的操作
1. 添加和列表
管理员添加角色时应优先选择添加系统默认角色,添加后可直接使�用,系统默认角色分为集权和分权两种类型:
集权角色是指角色中包含文件管理、人事管理、系统运维等多种职责于一身,使用简单方便。
分权角色用于实现角色的职责分离,每个角色只能拥有一种职责,避免单个用户权限过大,造成安全隐患。
- 集权角色
- 分权角色
| 角色名称 | 描述 |
|---|---|
| 管理员 | 拥有系统中所有权限 |
| 主管 | 拥有所属单位或部门的所有管理权限 |
| 普通员工 | 仅可访问已授权文件 |
| 角色名称 | 描述 |
|---|---|
| 文件管理员 | 拥有系统中所有文件的管理权限 |
| 人事管理员 | 拥有所有单位和人员的人事管理权限 |
| 文件主管 | 拥有单位或部门中所有文件的管理权限 |
| 人事主管 | 拥有所属单位或部门的人事管理权限 |
| 运维主管 | 拥有系统运维的所有权限 |
| 普通员工 | 仅可访问已授权文件 |
当前系统默认角色不满足需求时,可以添加自定义角色,添加自定义角色时需要自行选择角色拥有的的职能行为。
角色添加后,可以在角色列表中显示,同时该列表也会展示 角色被指派的人员/组织、所属单位、创建者等信息。
2.角色担任者
角色的担任者是指被指派角色的人员/组织。
如果需要使角色中包含的行为能力对人员/组织生效,需要指定三个关键要素:角色、担任者、作用组织,它们的关系是:角色可以被指派给人员,也可以指派给组织,被指派角色的人员和组织成为该角色的担任者,角色担任者可以在其作用的组织中行使角色能力。
用户故事举例:希望指定小明为文件管理员角色,并对研发部行使文件管理员的角色职权。
实现方法:添加文件管理员角色、然后指定小明为该角色的担任者,作用组织为研发部。
3. 编辑和删除
管理员可以对角色执行编辑和删除操作,操作目标角色的职能行为必须在管理员自身已拥有职能行为范围内,且操作目标角色的级别不能高于管理员自身拥有的角色级别,以避免越权行为。