U8权限分配

U8权限体系

目录

一、权限配置总体说明................................................................................................................... 11、权限体系............................................................................................................................. 1 2、权限配置流程..................................................................................................................... 2二、角色、用户、人员................................................................................................................... 21、角色和用户关系................................................................................................................. 22、用户和人员档案的关系..................................................................................................... 3三、功能权限................................................................................................................................... 31、功能权限层次..................................................................................................................... 32、功能权限之间的约束......................................................................................................... 3四、数据权限................................................................................................................................... 31、记录权限............................................................................................................................. 3 2、字段权限............................................................................................................................. 9 3、金额权限........................................................................................................................... 10 五、功能权限、数据权限的组合约束关系 ................................................................................. 11

一、权限配置总体说明

1、权限体系

人员映射角色分配角色用户分配权限功能权限功能权限数据权限记录权限字段权限金额权限 2、权限配置流程

二、角色、用户、人员

1、角色和用户关系

角色：角色是指在企业管理中拥有某一类职能的组织，这个角色组织可以是实际的部门，可以是由拥有同一类职能的人构成的虚拟组织。例如：实际工作中最常见的会计和出纳两个角色(他们可以是一个部门的人员，也可以不是一个部门但工作职能是一样的角色统称)。我们在设置角色后，可以定义角色的权限，如果用户归属此角色其相应具有角色的权限。此功能的好处是方便控制操作员权限，可以依据职能统一进行权限的划分。

 角色的个数不受限制，一个角色可以拥有多个用户，一个用户也可以分属于不同的角色。

用户和角色的设置不分先后顺序，用户可以根据自己的需要先后设置。一个角色可以包含多个操作员。

 如果一个用户既独立分配了权限，又属于某个角色，则表明此用户拥有此角色和用户本

身的权限。

2、用户和人员档案的关系

 人员档案：是企业中所有的职员信息。

 用户：是操作U8系统的人员。用户一般情况下是人员档案的一个子集，但人员档案中

的人员和操作员档案中的用户可以有不同的编码和名称，因此需要建立一个对应关系。

三、功能权限

1、功能权限层次

功能权限按产品—菜单—按钮逐层展开设置，从粗到细对权限进行逐步细化。既可满足用户粗放的权限体系要求，又可满足精细化权限控制的要求。

例如如果某用户拥有某产品的所有功能权限，直接在产品上设置其权限，则将自动拥有该产品所属的所有下级菜单和按钮的功能权限。

2、功能权限之间的约束

 业务单据的各种功能操作必须要先有单据的查询权限才能进行单据的操作。如某一

用户需要录入销售订单，则必须要拥有销售订单的查询权限和录入权限，如果只有录入权限是无法录入销售订单的。

 库存管理的单据列表没有单独的权限，使用对应单据的查询权限，如某一用户有采

购入库单的查询权限则可以查询采购入库单列表。  人力资源：

 部分模块未设置浏览权限（主要是HR基础设置、人事管理业务），只要授予该

模块任何一个操作权限，即可进入该模块。

 例外（人员类别、岗位序列、岗位级别、职务簇、职务级别）：分增加、修改、

删除权限，没有设置浏览权限。即使未授予任何权限，也可进入这五个功能，但不能进行增、删、改操作。

四、数据权限

数据权限：指用户所要使用的档案或部分业务单据的权限，包括记录权限、字段权限和金额权限。

1、记录权限

 记录权限：指对档案记录或业务数据记录的权限控制。如存货记录权限控制，主要

是控制用户是否可在存货档案或业务单据中对具体某个存货进行查询或编辑。如某企业的产品分为内销商品和出口商品两大类，而针对国内和国外销售的商品需要不同的部门和人员来销售不能混销，因此就存在针对内销商品和出口商品的权限控制问题。针对这种应用就可使用存货的记录权限进行控制，设置方法：将内销商品和出口商品分别分配给相应的用户，这样每个用户就只能查询和处理各自所有负责的商品。

 权限分组：按某种规则，将具有某些共性的记录加以分类并形成权限组。通过对组

权限的分配来达到设置记录权限的目的，如供应商档案、存货档案、客户档案。  权限层次：

记录权限分为两个层次：

第一层：在平台的数据权限中设置企业需要控制的记录权限。 第二层：在各产品中设置每一产品要控制的记录权限。

分层的意义：细化记录权限控制，以达到按不同的应用场景分别控制权限的目的。 应用背景：例如企业一般会对业务员控制客户权限，即每个业务员只能录入和查询他所管辖的客户；而同样是客户权限对财务人员（如往来账会计）来讲则不需要严格的控制。

应用方案：基于以上应用的解决方案是：在平台的记录权限中设置控制客户的记录权限，并在销售管理中也设置为控制客户记录权限，但在应收管理系统中则设置为不控制客户的记录权限，这样业务员在销售系统中进行业务操作时就要控制相应的客户记录权限，而往来账会计在应收系统中进行业务操作时则不会控制客户记录权限。  控制规则：

 单据模版：限制用户在录入单据时可以使用的模版。

 单据设计：限制用户能够设计哪些单据模版，在单据格式设计器中用户不能看

到受控单据模版节点。

 用户权限：如控制，则查询、修改、删除、审核、关闭单据时，只能对单据制

单人有权限的单据进行操作；弃审对单据审核人有权限的单据进行操作；打开对单据关闭人有权限的单据进行操作；变更不控制操作员数据权限，仅判断当前操作员是否有变更功能权限和其他几项数据的录入权限；参照生单时，可以参照有制单人查询权限的单据。报表中，不控制操作员记录级的数据权限。  客户权限：如控制，查询时只能显示有查询权限的客户及其记录；填制单据时

只能参照录入有录入权限的客户。报表中，不控制客户记录级的数据权限。  部门权限：如控制，查询时只能显示有查询权限的部门及其记录；填制单据时

只能参照录入有录入权限的部门。报表中，不控制部门记录级的数据权限。

 存货权限：如控制，查询时只能显示有查询权限的存货及其记录；填制单据时

只能参照录入有录入权限的存货。

 业务员权限：如控制，查询时只能显示有查询权限的业务员及其记录；填制单

据时只能参照录入有录入权限的业务员。报表中，不控制业务员记录级的数据权限。

 供应商：如控制，查询时只能显示有查询权限的供应商记录；填制单据时只能

参照录入有录入权限的供应商。

 仓库：如控制，查询时只能显示有查询权限的仓库及其记录；填制单据时只能

参照录入有录入权限的仓库。

 货位：如控制，查询时只能显示有查询权限的货位及其记录；填制单据时只能

参照录入有录入权限的货位。仓库：

 合同类型：如控制，在合同管理系统中填制、审核单据，查询报表时，只能对

有权限的合同类型进行操作。

 科目：如制单时控制，需在总账选项中选中“制单权限控制到科目”，只能参

照有录入权限的科目。如查账时控制，需在总账选项中选中“明细账查询权限控制到科目”查询时只能显示有查询权限的科目及其记录。总账多辅助账提供查询结果的记录权限控制，其余账表提供查询条件的记录权限控制。

 凭证类别：如制单时控制，需在总账选项中选中“制单权限控制到凭证类别”，

只能参照录入有录入权限的凭证类别。

 项目：如控制，查询时只能显示有查询权限的项目及其记录；填制单据时只能

参照录入有录入权限的项目。

 报账中心单位：如控制，在报账中心系统中录入、审核单据，查询报表时，只

能对有权限的报账中心单位进行操作。

 资金单位：如控制，在网上结算系统中填制、审核单据，查询报表时，只能对

有权限的资金单位的账户进行操作。

 集团企业目录：如控制，查询时只能显示有查询权限的集团企业目录及其记录。  工资权限：工资权限按工资类别分别设置，如控制工资权限，则需要同时授予

操作员在一个工资类别中的部门权限和工资项目权限。工资项目区分读、写权限，授予写权限自动赋读权限。如果没有一个工资类别的部门权限或没有工资项目的权限，则不允许打开该工资类别。

 人力资源报表：如控制，则需要对每张人力资源报表授权（某些采用报表设计

的功能除外，如员工自助的部分功能：查看个人工资、福利等信息）。

 人事业务变动：对于企业规模较大的情况，人事异动业务可能由多人负责，如

有人负责入职、转正等，有人负责离退业务，则可以控制人事变动业务权限，授予不同操作员不同的人事变动业务权限。

 权限范围：

 在企业应用平台统一设置的记录权限： 控制范围

用户

单据模

单据设

凭证类

科目

项目

集团企业目录

总账 应收管理 应付管理 成本管理 资金管理 报账中心 网上报销 网上结算 集团财务

√ √√

√ √

√ √√

√√

报账中心单位 √

√

√

√√ √ √ √√

√ √ √ √√

√ √ √ √ √

√

资金单位

合同类型

客户

供应商

部

业

存

仓

货位

工资权限

人力资源报表

人事业务变动

门 务

员

货 库

版 计 别

√ √ √ √

√ √

√ √ √ √√ √ √ √

√ √ √ √

管理驾驶舱 合同管理 售前分析 销售管理 采购管理 委外管理 质量管理 库存管理 存货核算 进口管理 出口管理 CRM管理

√√√√√√√√√√√

√ √

√

√

√ √ √ √ √ √ √ √ √ √ √ √

√

√ √ √ √√ √ √ √ √ √

√ √ √√ √

√ √

√ √ √ √

√ √ √ √√ √ √

服务管理 物料清单

√√

√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

√

√ √ √

√√

√√√√√√√√√

√

主生产计划 √产能管理 需求规划 生产订单 车间管理 工程变更

√√√√√

√ √ √ √ √ √ √ √ √ √

人事管理 √薪资管理 √计件工资 √福利管理 √考勤管理 √人事合同 √招聘管理 √培训管理 √绩效管理 √员工自助 √经理自助 √

 在各产品中单独设置的记录权限：

 网上银行：在网上银行系统中，可以让不同的操作员管理不同的银行账号，

即为操作员设置银行账户权限及其相应的金额权限，包括查询、制单支付和审核权限。

 责任中心权限：在项目管理系统提供责任中心权限设置。项目管理的单据

及汇总表要有责任中心的权限才可进行操作。

 预算管理产品的数据权限由预算管理产品自己进行维护。数据权限的设定

由用户、预算机构、预算表、预算项目、预算口径、权限构成。如下图：

说明：

 用户（操作员）由客户在系统管理中设置，及共享U8平台中的用户

和角色。操作员为当前预算管理所在服务器对应的所有操作员和角色。不处理多应用服务器情况，即只能对预算管理系统所在的数据服务器的操作员设置权限，如果外部系统不与预算管理系统同属一个数据服务器，则无法实现预算控制时的预算项目权限。

 预算表权限、预算机构权限的设定，支持在预算管理中进行预算权限

的设置

 预算项目、预算口径权限的设定，支持对业务系统(总账系统、网上报

销系统、库存管理(存货核算))的预算控制阶段的权限控制和在查询控制报告时的权限控制，在预算管理系统查询控制报告同样遵循权限的控制。针对预算项目，权限分为查询权和录入权，查询权即对某预算项目控制报告和超预算信息具有查看的权限；录入权即在录入被控制单据时，具有录入预算项目的权限。查询权与录入权完全独立，有录入权不一定有查询权。在预算控制阶段，如果操作员只有某预算项目的录入权，没有其他权限，则该操作员不能查看相关控制报告；控制反馈信息只能提供是否超预算的模糊信息，不能提供超预算幅度的具体信息。预算口径权限的查询权和录入权的含义与预算项目的权限的查询权和录入权控制相同

 对“控制规则定义、预警规则定义、超预算审批金额权限定义、超预

算审批待审批信息传递定义、超预算审批已审批信息传递定义”不进行权限控制，但对“预警规则定义、超预算审批金额权限定义、超预算审批待审批信息传递定义、超预算审批已审批信息传递定义”中的通知对象、审批人进行定义时，需要进行权限控制，即没有相应预算项目、预算口径权限的操作员不能被定义为超预算审批人、通知对象。

 管理驾驶舱的数据权限包含两部分，即部门（集团企业目录）权限和指标

权限。如果使用管理驾驶舱，在数据权限功能中可以设置管理驾驶舱部门权限和指标权限的控制功能。如果单独使用数据仓库，在数据权限中只能设置部门权限不能设置指标权限。

2、字段权限

 字段权限：是对档案、单据、单据列表、报表上的每一个数据项（字段）进行的

权限控制。

应用背景：企业出于安全保密性考虑，需要对单据上的某些数据项进行权限控制，如出入单据上的成本或发货单上的售价对仓库保管员来讲应该是保密的。 应用方案：通过字段权限控制，企业就可实现以上应用。在字段权限设置中将出入库单据上和成本相关的数据项及发货单上和售价相关的数据项，不分配给仓库保管员相应的查询权限，则仓库保管员查看单据、单据列表和相关的报表时就看不到相应的成本和售价信息了。

 权限层次： 分为敏感数据统一控制、业务对象字段权限控制两个层次。

敏感数据维护工具：把系统中的单价、金额等需要控制权限的敏感字段统一管理和维护，通过对“敏感数据”权限的控制，可以对不同的业务对象（如单据、报表、列表、参照等）同一含义的字段统一控制数据权限，以避免用户对每个业务对象都要进行权限设置及分配。举例：使用敏感数据维护工具中定义了“存货”敏感业务对象，并定义了它的“折扣”属性。建立了“折扣”与“销售订单”中的“折扣额”、“扣率”的对应关系；建立了“折扣”与“销售订单列表”中的“折扣额”、“扣率”的对应关系。目的是为了通过控制“折扣”的权限就可以一并控制“销售订单”和“销售订单列表”中“折扣额”及“扣率”的权限。预置规则见附件《字段权限预置表.xls》的“敏感数据映射关系”工作表。  控制规则：

 字段权限设置区分“读权限”、“写权限”、“无权限”三种权限级别，对

某业务对象启用了“数据权限控制”后，自动继承敏感数据的权限设置，自动继承敏感数据的权限分配，但可以修改；否则默认某操作员对所有字段拥有“读”、“写”权限。注：V861及以前版本对某业务对象启用“数据权限控制”后，默认为“无权限”。

业务对象权限控制级别高于敏感数据统一控制、业务选项控制级别高于业务对象权限控制。举例：如已经设置了“A用户”对“存货折扣”只有查询权限（在敏感数据维护工具中定义），而后在设置“销售订单”权限分配时，又设成“A用户”对“销售订单”中的“折扣率”为“无权限”，系统执行“无权限”。

 字段级权限的复制规则是：“无权限”级别最高、“读权限”次之、“写权限”

为最后。

举例：如为A用户分配数据权限，使用数据权限复制功能。进入权限复制，选择“字段级”，业务对象为“存货档案”，选择并勾选了B、C、D三个用户完成了复制操作，如果B、C、D用户对存货档案的“参考售价”字段的权限级别分为： B用户：无权限 C用户：读权限 D用户：写权限

则复制后的结果为：A用户对“存货档案”中“参考售价”字段的权限级别为“无权限”

 权限范围：见附件《字段权限预置表.xls》的“字段权限控制范围”工作表。

3、金额权限

 金额权限：用于设置用户可使用的金额级别，对业务对象提供金额级权限设置：

采购订单的金额审核额度、科目的制单金额额度。  控制规则：

 科目制单金额额度控制：如控制，需要在总账选项中选中“操作员进行金额

权限控制”在填制凭证录入金额时，依据设置控制科目发生额是否在该操作员授权的范围内。如果超出控制范围，需要授权签字。否则当前金额不予保存。

 采购订单的金额审核额度控制：主要是控制当前操作员是否有权限审核当前

的采购订单。在【系统控制台－系统服务－权限－金额分配权限－采购订单级别】设置当前操作员的采购限额级别。当该操作员审核采购订单时，如果“采购订单总金额<=采购限额”，则该操作员有权限审核。否则，无权限审核，系统会提示“对不起，您的订单审核上限为××××元，您不能审核XXX号单据。”

五、功能权限、数据权限的组合约束关系

功能权限与数据权限的控制规则：在U8系统中录入业务单据或查询账表时，系统会对功能权限和数据权限进行双重控制，即要有相应的功能权限和数据权限才能进行相应的操作。

 单据查询：功能权限＋数据权限，单据上任一数据无权限则整张单据不能查询。

例如查询销售订单时，如果用户有销售订单的查询功能权限，但要查询的订单上有五个存货，当前用户只有其中三个存货的查询权限，而没有另外两个存货的查询权限，则此用户也无法查询此销售订单。

 单据编辑：功能权限＋数据权限，只能参照有录入权限的档案。例如录入销售订

单时，如果用户有销售订单的录入权限，参照客户或存货时，只能看到其有编辑权限的客户和存货，其没有权限客户和存货则无法参照或录入。

 单据变更：功能权限＋数据权限（不含操作员数据权限），只能参照有录入权限

的档案。

 单据列表查询：功能权限＋数据权限，表头任一数据无权限则整张单据不显示；

表体无权限的存货不显示，有权限的显示。

 例如查询销售订单列表时，如果用户有销售订单列表的查询权限，假设要查

询的某张销售订单的所对应的客户当前用户没有查询权限，则无论当前用户对销售订单表体的存货是否有查询权限，此销售订单他都无法在单据列表中看到。

 例如查询销售订单列表时，如果用户有销售订单列表的查询权限，假设要查

询的某张销售订单的所对应的客户当前用户有查询权限，但此销售订单上的表体有五个存货，当前用户只对其中四个存货有查询权限，而对另外一个存货没有查询权限，则查询订单列表时，当前用户只能看到当前订单上其有查询权限的四条存货记录。

 报表查询：功能权限＋数据权限，过滤时无查询权的数据不能参照、录入，表头

任一数据无权限则整张单据不显示、统计；表体无权限的存货不显示、统计。库存管理有金额数据项的报表（ROP采购计划相关报表除外）还控制账表金额权限：没有账表金额权限的用户，这些报表将不显示单价、金额项。

 远程导出基础档案时，系统自动清除档案上的权限组信息，保证导入方对该档案

可操作。

人力资源：

 人事、薪资、经理自助：功能权限+数据权限（部门权限+字段权限），如没有一个

部门的权限，则不能浏览该部门的人员数据、岗位数据，如没有一个字段的读权限，则在列表或单据中看不到该字段的内容，如有某字段的读权限没有写权限，则只能看到该字段的内容但不允许修改。

 人事、薪资、福利、考勤、人事合同：功能权限+数据权限（部门权限），如没有

一个部门的权限，则不能浏览该部门的数据。  招聘、培训、绩效：功能权限，不控制数据权限。