管理员角色使用管控

所属产品:

所属标签:

1 产品概述

需求场景:

分级管理员支持对下级管理员设置组织管辖范围、应用管辖范围限制,限制下级管理员可授权的组织和应用范围。

但之前角色还没有数据隔离限制,所有管理员都可以管理和使用所有角色,会造成下级管理员使用的角色,可能实际超出自己的应用管辖范围,造成越权使用。


产品价值:

实现管理员间对于角色的数据权限管控,防止管理员使用超出自己应用管辖范围的角色来授权,规避管理员授权过程中越权风险,提升企业管理安全。


基本实现原理:

通过定义角色私有和公开属性,来实现角色在管理员组间的使用控制。

角色共有三种状态:公开、分配、私有。

公开状态则角色对所有管理员组可以使用,私有状态则仅创建该角色的管理员组可以使用,分配状态可以设置使用范围让在使用范围内的管理员组可以使用或修改。

从而实现对管理员使用角色过程的管控。


1.1 定义通用角色

路径:【基础服务】-【权限管理】-【通用角色】

在通用角色编辑界面,增加了“公开状态”属性字段,来定义角色的可见范围。

角色共有三种状态:公开、分配、私有。如下图角色默认是“公开”状态,即该角色所有管理员组都可以使用和修改。


如下图,如果角色“公开状态”设置为“私有”,则该角色默认仅当前管理员用户所在的管理员组可以使用和修改。


如下图,如果角色“公开状态”设置为“分配”,则需要指定角色使用范围,来确定该角色可以给哪些管理员组使用。

此时如图所示,该通用角色“公开状态”设置为“分配”,“公开范围”页签中增加了“测试人员分组”“测试人员9分组”两个管理员分组,则意味着最终该角色,可以分配给这两个管理员组使用。

如果打开“允许修改通用角色”开关,则对应管理员组还可以修改该角色,否则只可以使用该角色不可以修改该角色。


特别说明:

一个管理员组A可见的通用角色包含以下三部分:

管理员组A自己创建的所有“私有”角色。

其他管理员组创建的“分配”角色且使用范围中包含管理员组A。

所有“公开”的角色。

推荐知识