OPEN3000系统工程化手册
之六 权限及责任区
2006年5月
1
第八章 权限管理(PRIV_MANAGER) ............................................................................................. 3 8.1 概述 .............................................................................................................................................. 3
目 录
8.1.1 功能 ...................................................................................................................................... 3
8.1.2 特殊属性 .............................................................................................................................. 3 8.1.3 角色 ...................................................................................................................................... 4 8.1.4 用户 ...................................................................................................................................... 4 8.1.5 组 .......................................................................................................................................... 5 8.2权限管理界面(PRIV_MANAGER) ................................................................................................... 5 8.2.1 启动和退出 .......................................................................................................................... 5 8.2.2 功能的定义与维护 .............................................................................................................. 8 8.2.3 角色的定义与维护 .............................................................................................................. 9 8.2.4 组的定义与维护 ................................................................................................................ 12 8.2.5 用户的定义与维护 ............................................................................................................ 16 8.3 权限定义步骤举例 .................................................................................................................... 24
第九章 责任区管理 ............................................................................................................................ 33 9.1 概述 ............................................................................................................................................ 33 9.2 定义责任区 ................................................................................................................................ 34
9.2.1启动责任区定义界面 ......................................................................................................... 34 9.2.2定义基本责任区 ................................................................................................................. 34 9.2.3定义复合责任区 ................................................................................................................. 41 9.3 选择责任区(责任区切换) .................................................................................................... 44
2
第八章 权限管理(priv_manager)
8.1 概述
为了保证系统的安全性,不同的用户赋予不同的权限,只有被授权的用户才能作相应的操作。而“用
户权限定义与管理界面”(priv_manager)就是定义不同用户权限的工具。
系统的权限定义采用层次管理的方式。相关的主体有五种:功能、角色、特殊属性、用户和组。下面分别介绍这五个概念。
8.1.1 功能
“功能”是最小的不可再分的权限单位。“功能”的定义原则是尽量简单化和单一化。一个“功能”只实现一种目的,两个不同的“功能”之间不能有权限重合的部分。权限管理中的功能是系统里设置了控制权限的功能。例如,“查看前置报文”,在权限管理中就没有该功能,因此,“查看前置报文”就没有权限控制,任何人都可以看前置报文。而权限管理中有“遥控“这个功能,因此,“遥控”功能是受权限控制的,只有具有“遥控”权限的用户才能进行遥控操作。用户不能添加权限定义里的功能。
8.1.2 特殊属性
与功能一样,特殊属性也是最小的不可再分的权限单位。但特殊属性一定是作用在某一个具体的对象(包括数据表域,报表和图形)之上,用于对该具体对象权限的补充定义。一般来说当定义了“模型定义写”权限的用户可以对所有的表写操作,当然也可以对某些表的某些域或所有域(全表)定义禁止查询/只查询/修改/删除记录/增删改等等特殊属性权限。实际应用是,一般的远动维护人员可以对设备表,参数表等等进行读写操作,但是像PUBLIC/系统类/表信息表,域信息表,菜单表等等数据字典类的表非常关键,如果被误修改可能导致整个系统无法运行,像这些关键的表只能允许系统管理员修改,而普通具有“模型定义写”权限的角色则不能对这些特殊的表修改。可以设计如下,定义角色“系统维护”和角色“系统管理”都具有“模型定义写”功能,在角色“系统维护”里定义数据表域特殊属性,对表[表信息表,域信息表?菜单表]等等定义“只查询”,这样仅拥有“系统维护”角色的用户只能对上述定义了特殊属性的表(表信息表,域信息表。。菜单表)查询,而不能写,而拥有“系统管理” 角色的用户则可以对所有的
3
表进行写操作,这样就增加了系统的安全性。同样,可以对某个角色(用户)定义某张具体的图形的“禁止读取/只读/可编辑”特殊属性,对某张具体的报表定义“读取/只读/可编辑”的特殊属性。
8.1.3 角色
角色由一个或多个功能以及一个或多个特殊属性组成。
角色定义的原则是:组成角色的功能之间应该具有横向或纵向的协作关系,完全没有关系的功能不应放入同一个角色之中,具有相反权限的功能也不应放入同一个角色之中,角色的定义应该尽量最小化,如果一个角色中有两类功能组合,最好定义成两个角色。
例如,可以定义系统运行角色,系统维护角色和数据库管理员角色,系统运行角色包括“画面挂牌”,“画面遥测封锁”,“遥控”等等运行类功能,系统维护角色包括“告警方式定义”、“曲线定义”、“采样定义”、“画面文件写”、“报表文件写”、“公式修改”,“模型定义写”等等维护的功能,数据管理员角色包括“商用库恢复”、“商用户备份”等等数据库维护方面的功能。
8.1.4 用户
用户是权限系统中最重要的主体,是用户权限设置的最终体现,一个用户可以定义包含几种角色,那么用户就可以拥有角色的全部权限。还可以单独对用户进行功能定义,比如单独增加角色中没有的功能,或者单独减去角色中的功能。
还可以对用户进行特殊属性的设置。例如,定义了角色“系统维护”包括功能 “公式修改”,“模型定义写”,角色“系统维护”,还包括对表“表信息表”只读的特殊属性,角色“数据管理员”包括功能“商用库恢复”、“商用库备份”,定义用户whz,包含角色“系统维护“,“数据管理员“,但是对功能“商用库恢复”定义了“单独减去“,对表“菜单表“定义了只读的特殊属性,则用户whz拥有的全部权限是从角色“系统维护“继承的“公式修改”,“模型定义写”和对“表信息表“只读,还有从角色“数据管理员“继承的“商用户备份”,还有自己单独定义的对表“菜单表”只读,即功能列表如下“公式修改”,“模型定义写”、“商用户备份”和对表“表信息表“、“菜单表”只读。
系统中分为三种级别的用户:超级用户、组长、普通用户,不同级别的用户的权限不同。超级用户的权限最大,可以创建、删除用户,创建、删除角色、创建、删除组,以及定义,修改用户权限、角色权限,还可以定义组里的用户,但不能修改普通用户的密码,只能在创建时生成初始密码;组长级别的用户可以修改组员的权限,但不可以修改组员的密码,也不能创建、删除用户;而普通用户除了能浏览本组成员的
4
相关推荐:
loading