跳到主要内容

人员访问权限

概述

权限由主体、资源、行为三个要素组成,例如文件权限的组成:主体(单位/部门/人员)、资源(空间/文件夹/文件)、行为(查看/下载/上传/删除等),悦库鉴权机制使用权限验证人员对资源操作行为的合法性。

权限按作用类型分为:允许权限和拒绝权限。允许权限用于表达允许谁对哪个资源拥有什么操作行为,拒绝权限用于表达拒绝谁对哪个资源拥有什么操作行为。拒绝权限优先级大于允许权限,即当设置主体对同一资源同时拥有允许和拒绝权限时,鉴权结果为以拒绝权限为准。

主体权限由私有权限和继承权限两部分组成,私有权限是为主体设置的权限,继承权限是根据组织路径逐层递推累加权限后得出的所有权限,私有权限优先级大于继承权限。

实例1研发一部 的访问权限,继承自公司研发部

实例2:人员小明的访问权限,继承自公司研发部研发一部

实例3:人员小明的访问权限只继承公司权限,但不继承研发部权限:

如果不继承上级部门的访问权限,可以自定义人员的私有权限,实现更自主可控的访问控制。

视频封面
管理文件权限使用教程

文件权限

文件权限是一种以主体(组织/人员)为视角,表达主体对文件可执行的行为,可以在主体上进行查看和编辑。

为组织/人员添加文件权限时,需要选择作用文件路径访问行为,例如可以为小明添加文件权限:

允许 小明 对 "/公共空间/企业制度/入职手册" 执行 "下载"行为

作用 包括 "允许" 或 "拒绝" ,"拒绝" 优先级大于 "允许",例如:设置小明对上级文件夹"企业制度"为允许下载权限,但同时设置对"入职手册"为拒绝权限时,最终小明对"入职手册"的下载行为会被拒绝。

文件路径是网盘中的文件路径,可以是空间、文件夹、文件的路径。

访问行为是对文件执行的操作,包括:显示列表、预览内容、下载、编辑、新建、移动、重命名、删除、分享等,为了方便还可以将多个访问行为定义为一个行为组,例如可以将 显示列表、预览内容给、下载三个行为定义为只读行为组,这样后续设置其他资源的只读访问规则时就比较便捷了。

添加权限后可以在权限列表中进行编辑和删除操作,批量权限操作可以提高工作效率,也被很好的支持。

image-20240827112059818

文件权限组

权限组中包含多个文件访问规则(如下图),可以批量授权给指定的人员或组织,避免重复的授权操作,大幅提升管理效率。

image-20250311132429896

文件权限组功能的入口在 人事管理组管理 页面中,您可以自行操作体验,实际使用比较简单。以下我们将着重介绍一下权限组的主要使用场景,有助于理解其作用:

批量文件授权

权限组的特性可以应用到多种使用场景,例如在企业中,试用期员工对一些文件的访问往往是受限制的,对每个新来的试用期员工,管理员都需要逐个文件去做授权限制就太麻烦了。

权限组功能可以很好的解决这类问题,通过创建一个试用期员工权限组(如下图),将拒绝访问的文件都加入到权限组中,后续给试用期员工授权时只需要指定权限组即可,而不需要逐个文件授权,这大大提高了管理员的工作效率,一旦员工试用期结束,则可以直接将权限组从其授权中移除即可解除授权限制。

image-20250311132423434

还有类似的例子:悦库企业网盘中有公共空间,允许公司所有人员查看和下载,但可能只需要部分管理人员编辑文件和上传新文件,这种需求也可以建立管理人员权限组,将需要管理的文件加入权限组中,后续给管理人员授权时只需要指定权限组即可。

跨部门项目协作

当企业中多个人员需要共同参与一个大型项目时,参与项目的人员可能涉及设计、工程、市场、财务等多个部门,同时与项目有关的文件也可能分布在多个部门中,虽然项目要用这些文件,但各部门内部也要用,因此无法直接将这些文件归类到单一的共享路径中处理授权,这会产生比较复杂的访问授权管理问题。

例如,项目文件原本隶属于各个部门内部管理,但如果项目需要这些文件,就可以建立一个A项目文件权限组(如下图),其中包含一组相关的文件授权,通过为权限组指定项目人员,方便的为项目人员批量授权文件访问权限。

image-20250311132001506

如果项目人员中需要有管理者和普通成员的差别,还可以建立多个权限组,分别指定不同的文件授权,这样一旦项目文件的权限组定义完成,后续项目中有人员流动就不再需要为每个人需要访问的文件逐个授权,只需要从权限组包含的人员中添加或移除即可。

视频演示

视频封面
权限组功能使用演示

职能权限

除了对文件进行新建、上传、下载等操作的访问控制,您可能也希望对文件空间、人事管理、运维管理等功能操作进行控制,这样可以进一步对人员访问范围进行管控,例如:

在文件空间访问控制场景,实现:小明的客户端不显示"我的空间"和"协同空间"页面,只能看"公共空间"页面。 在人事访问控制场景,实现:允许小明进行人员组织管理,但不允许删除人员

与诸如新建、上传、下载等文件访问行为对应,人事管理中的新建用户、编辑用户、删除用户等操作被定义为职能行为,管理员可以像管理文件权限一样管理职能权限。和文件权限类似,职能权限也是以主体(组织/人员)视角,表达主体对人员/组织可执行的职能行为,可以在主体上进行查看和编辑。

为人员添加职能权限时,需要选择作用人员/组织访问行为。这里的访问行为是职能访问行为,包括空间管理、人事管理、运维管理三类职能访问行为,如下图。

image-20240709112558863

添加职能权限后可以在权限列表中进行编辑和删除操作,批量权限操作可以提高工作效率,也被很好的支持。

视频封面
管理职能权限使用教程

文件空间入口的访问控制

文件空间行为中的 开启我的空间、开启协同空间、开启公共空间 对分别对应我的空间、协同空间、公共空间的入口显示和隐藏,为文件空间添加任何文件权限前,必须先开启对应类别的空间入口,否则人员会因为没有空间入口而不能访问已授权的文件。

例如用户场景,实现:允许 小明 对 "/公共空间/企业制度/入职手册" 执行 "下载"行为

在没有为小明开启公共空间的情况下,添加 "入职手册" 的访问权限,系统会提示:“开启公共空间,以便使此文件空间可见?”,这样可以让管理员便捷的为人员添加空间入口。也就是说,如果不给小明开启协同空间,即使为他添加了文件权限,他也会因为没有“开启公共空间”的入口,而无法访问此文件。

根据不同的需求,可以通过多种方式为小明 开启协同空间,最简单的方式是在小明的单位中直接添加普通人员角色,因为普通人员角色中包含了“开启协同空间”的访问行为,其他方式比如在小明的所属部门或直接为小明指定普通人员角色都可以,必要的话也可以直接给小明指定“开启协同空间”的职责权限。