使用 HZERO 单据权限
单据权限主要用于配置业务单据类型以及可控制的权限维度基础数据,配合角色、子账户的权限管理,进行单据数据权限的限制,为HZERO平台提供一种可选的基础数据权限屏蔽功能。通过配置单据维度、单据权限灵活的生成数据权限屏蔽规则,免去了手动配置权限规则大量sql代码
单据权限
- 菜单层次:平台层
- 菜单路径:系统管理 > 单据权限管理 > 单据权限
- 默认角色:平台管理员
字段说明
| 字段名称 | 字段描述 | 必输 | 可修改 |
|---|---|---|---|
| 单据编码 | 单据权限类型唯一标识 | 是 | 否 |
| 单据名称 | 单据权限类型的名称 | 是 | 是 |
| 来源微服务 | 从HADM.ROUTE.SERVICE_CODE值集视图中选取微服务,是数据屏蔽的目标微服务,作用于权限范围 |
是 | 是 |
| 来源数据实体 | SqlID,如org.hzero.platform.infra.mapper.LovMapper.selectLovHeaders | 是 | 是 |
| 层级 | 可选择平台、租户。平台权限范围为平台下所有租户,租户权限范围为租户维护下配置的租户 |
是 | 是 |
| 权限控制类型 | 可选择所有人、仅配置,当选择所有人时数据屏蔽当前权限范围下所有用户,仅配置可以通过角色管理、子账户管理手动配置屏蔽用户 |
是 | 是 |
| 排序号 | 用于排序 | 是 | 是 |
| 描述 | 单据权限类型的描述信息 | 是 | 是 |
| 启用 | 启用和禁用两种状态,当为禁用时不能使用该单据权限类型 | 是 | 是 |
| 租户维护 | 当层级为平台时可配置,点击新建按钮从HPFM.TENANT值集视图中选择添加租户,点击删除按钮删除选择的租户 |
是 | 是 |
操作
- 查询:点击
查询数据,查询条件单据名称,支持模糊查询 - 新建:点击
新建单据权限类型
- 编辑:点击表格列操作,编辑单据维度
- 维护权限维度:在单据权限上分配权限维度,详情见下文
维护权限维度
点击操作⟶维护权限维度
字段说明
| 字段名称 | 字段描述 | 必输 | 可修改 |
|---|---|---|---|
| 限定业务范围 | 通过HIAM.DOC_TYPE.DIMENSION值集视图选择维度类型是业务范围的单据维度 |
是 | 否 |
| 限定个人用户 | 通过HIAM.DOC_TYPE.DIMENSION值集视图选择维度类型是个人用户的单据维度 |
是 | 是 |
| 来源匹配表 | 与单据维度的值对比的目标表,当前业务范围需要限制的表名 | 是 | 是 |
| 来源匹配字段 | 与单据维度的值对比的目标表字段,当前业务范围需要限制的字段 | 是 | 是 |
操作
- 新建:点击
添加单据维度,单据权限维度以维度类型分为限定业务范围、限定个人用户两部分,对它们的操作并没有区别。 - 编辑:点击操作列下编辑,编辑分配的单据维度来源匹配表、来源匹配字段
- 删除:点击操作列下删除,在提示中点击确认删除分配的单据维度
作用
维护权限维度为单据权限配置单据维度,相当于添加数据屏蔽规则,每个单据维度都是数据屏蔽条件。单据权限对数据屏蔽仍是通过数据权限实现,维护一个单据维度后会动态配置上对应的权限范围与权限规则
新建维护的单据维度都会生成对应的权限规则和权限范围,可在编辑维度权限页面上查看对应数据屏蔽规则
编辑维护的单据维度同时会修改对应权限规则,如果修改了来源匹配表字段则会生成新的权限范围,原来的权限范围会保留并删除与权限规则的对应关系。
删除维护的单据维度会禁用对应的权限规则,禁用单据权限会禁用该单据权限对应的所有权限规则。目前以上对单据权限的操作需要重新保存单据权限才能对权限规则和权限范围生效。
单据权限优先级
角色管理配置的单据权限优先级低于子账户管理,如用户A配置了单据权限B1,A当前角色配置有单据权限B2,这单据权限B1生效
角色管理-维护数据权限
- 菜单层次:租户层
- 菜单路径:系统管理 > 角色管理 > 角色管理
- 默认角色:租户管理员
点击操作列下操作 ⟶维护数据权限
对维护数据权限的修改需要点击保存按钮后生效
权限维度 Tab页
页面布局
左右两栏,左侧展示可访问的单据权限,右侧展示选中单据权限维护的单据维度
字段说明
| 字段名称 | 字段描述 |
|---|---|
| 单据 | 单据权限的单据名称 |
| 权限维度范围 | 权限维度分为业务范围、个人用户,用于过滤权限值展示的权限维度。如TEST-002单据权限选中业务范围,权限值则只会显示权限范围为业务范围的单据维度公司。 |
| 权限值 | 展示单据权限下配置的单据维度,勾选复选框后可在权限数据Tab也上配置维度值 |
操作
- 查询:点击,查询条件单据名称可模糊查询
- 勾选:勾选了右侧某个限制范围,代表此角色使用该单据维度限制单据数据访问。
权限数据 Tab页
页面布局
左右两栏,左侧展示可配置维度数据的单据维度,该列表展示的是在权限维度 Tab页中勾选的权限值。右侧展示单据维度的配置数据,若单据维度定义中值来源类型为本地编码则该部分内容为本地编码指向的页面渲染结果,如公司单据类型(图一)。若是值集该部分内容为值集视图选配页面,如值集单据维度(图二)。
图一:
图二:
操作
-
配置单据维度数据:为单据维度配置维度数据
-
本地编码(以图一为例):在页面中通过勾选公司复选框为公司单据维度添加数据,取消勾选的复选框为公司单据维度删除数据,由于本地编码页面无固定格式,就不再赘述
-
值集 (以图二为例)
2.1 添加数据:点击
打开该单据维度值来源配置的值集视图(可多选),勾选数据后点击确认按钮完成添加数据2.2 删除数据:勾选需要删除的数据,点击
,在提示中选择确认完成数据删除2.3 加入全部:打开加入全部开关,将把该值集中的数据全部加了单据维度中,无需再手动添加值集权限
-
-
复制权限:将该角色的单据权限配置复制添加给其他角色
-
点击
,在弹出窗口中选择需要复制权限的角色。
-
添加角色:点击
新建按钮,在HIAM.ASSIGNABLE_ROLE值集视图中选择添加角色 -
取消角色:在操作列中点击取消,移除选中的角色
-
修改角色:点击角色列,通过
HIAM.ASSIGNABLE_ROLE值集视图重新选择角色 -
复制权限:点击保存按钮,将该角色单据权限复制到选中角色
-
作用
角色管理-维护数据权限定义当前角色所要限制的单据数据,使得该角色只能访问通过数据屏蔽规则的单据。如角色A配置了单据权限B,并为B维护了单据维度C,C的来源匹配表为order_table、company_id,添加了值(1、2、3),则角色只能查询到order_table表里 company_id in (1,2,3)的单据。
子账户管理-权限维护
- 菜单层次:租户层
- 菜单路径:系统管理 > 子账户管理
- 默认角色:租户管理员
点击操作列下操作 ⟶权限维护
操作
-
配置单据维度数据:配置当前用户的权限,与上文角色管理-维护数据权限中权限数据的
配置单据维度数据操作相同,不再赘述。 -
权限交换:交换两个用户的权限
点击
,在弹窗中使用HIAM.USER_AUTHORITY_USER值集视图选择需要交换权限的目标用户,点击确认按钮完成交互权限
- 权限复制:将当前用户的权限一键添加至其他用户,与上文角色管理-维护数据权限中权限数据的
复制权限操作相同,不再赘述。
作用
子账户管理-权限维护定义当前用户所要限制的单据数据,作用同角色管理-维护数据权限且优先级高于角色管理-维护数据权限。