统一权限管理与组织机构结合的方法论

1组织模型

在企业中，组织是为了完成企业目标而形成的具有特定结构、分工协作的团队。组织模型就是用来定义企业的组织形式的模型，用于表达企业组织机构的中的实体间的层次和隶属。

1.1企业组织机构类型

迄今，企业组织结构主要的形式有：直线制，职能制，直线职能制，事业部制，模拟分权制，矩阵结构等。

1.2组织机构建模

从建模的角度来讲，上述各种类型中大部分都可以用树型层次机构来表示，例外的就是近年来应用越来越多的一种比较先进的管理模式－矩阵式管理。

1.2.1组织模型中的元素单元

应用中，我们可以看到组织机构中的各种元素，如：集团、公司、区域、子公司、部门、岗位、职员、职责、权限等等。在将组织机构抽象形成组织模型的过程中，我们可以将公司、部门等等这些团体性质的单元统一抽象为"组织"，并且一般都是层次结构，可表示为图1。岗位隶属于具体的组织，表示具体组织中的分工，并且也有层次关系。职务是对组织分工的通用描述，如经理是一个职务而某部门的

经理是一个岗位。部门职能描述的是一个部门的主要工作范围和职责。岗位职责描述的是一个岗位所应该担负的责任和工作范围。

在明确了组织模型中的元素单元之后，我们将他们组织在一起，

描述他们的关系，形成组织模型。

1.2.2层次型组织模型

针对非矩阵式管理的组织机构提出以下的层次组织模型：

其中组织的层次比较好理解，而岗位的层次表明了不仅在某个组织下的岗位有层次，实际所有岗位组成一颗完整的岗位树，都是树状层次结构中的节点。这是由于每个岗位都有直接上级，也就是他汇报工作的对象。下图作为组织机构的一个简单实例说明了这个问题。

2权限模型

权限模型也就是系统访问控制模型，是系统安全方案的核心。访问控制机制可以限制对关键资源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。

2.1访问控制方法

目前的主流访问控制技术有：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）。

自主访问控制和强制访问控制，都是由主体和访问权限直接发生关系，主要针对用户个人授予权限。大型应用系统的访问用户往往种类繁多、数量巨大、并且动态变化，使得权限管理负担巨大且易出错。因此在90年代时出现了基于角色的访问控制方法RBAC（Role-based Access Control）。

RBAC的基本思想是在用户和访问权限之间引入角色的概念，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。角色是访问权限的集合，用户通过赋予不同的角色获得角色所拥有的访问权限。一个用户可拥有多个角色，一个角色可授权给多个用户；一个角色可包含多个权限，一个权限可被多个角色包含。用户通过角色享有权限，它不直接与权限相关联，权限对存取对象的操作许可是通过活跃角色实现的。

2.2基于角色的访问控制模型

在RBAC标准中，描述了RBAC的几种模型。分别是RBAC核心模型、角色层次模型、约束模型，其中约束模型又分为静态职责分离(Static

Separation of Duty Relations)模型和动态职责分离(Dynamic Separation of Duty Relations)模型。

RBAC 核心模型描述了RBAC的基本思想，是要实现RBAC的系统必须实现的最小集。给用户分配角色，给角色分配权限，用户在会话中选择要激活的角色集。其中权限定义为对受保护对象的操作的许可。受保护对象可以是系统的数据、数据载体（如某个文件、窗体、数据库表），也可以是计算机资源（如打印机）。操作就是针对这些对象执行的完成一定功能的程序。

2.3RBAC模型的应用

基于简单、灵活、可扩展的原则，在系统中实现RBAC模型，可分为以下若干模块：用户定义工具、角色定义工具、权限定义工具、角色分配工具、权限分配工具、角色约束规则定义工具，系统运行时的用户会话模块、约束校验模块、权限校验模块等。可大致表示如下图。

RBAC定义的过程框架图：

其中比较关键并且对扩展性影响最大的就是权限的定义，一般来说，用户、角色、约束等经抽象后在系统中都比较稳定，最容易发生的系统扩展就是系统功能的改变导致权限的定义和分配。权限的定义首先是定义受控对象，然后定义可对受控对象执行的操作。我们可以在各功能模块中描述本模块的可控制对象及其受控方法，然后在权限定义工具中读取所有的描述，由用户映射描述生成具体的权限。

然后可以使用权限分配工具分配给角色。在系统运行时，执行某个对象的方法时，都要请求权限服务先查看此对象是否受控对象，是则查看此方法是否受控的操作，如果是则查看用户激活的角色权限中是否有此权限，有则执行操作，否则拒绝访问。

权限的控制也是业务逻辑的一部分，也分为粗粒度的控制和细粒度的控制。简单的粗粒度如上只用判断用户权限集中是否存在某一权限，细粒度控制可能就会有复杂的判断规则和逻辑，基于角色的权限控制可以实现粗粒度及部分细粒度的访问控制，并且可以给具体模块或者规则引擎提供基础的权限服务。

3组织模型和权限模型在MIS中的整合很多MIS中并没有组织模型，主要是用户、用户组的概念，这样可直接结合权限模型中的角色、权限等概念。但是对于大型的比较全面的管理信息系统，组织机构系统和权限系统都必须存在，两者如何结合是个值得探讨的问题。

在上面讨论组织模型的过程中，我们提到了部门职责和岗位职责的概念，但并没有体现在模型中，实际上，所谓职责也就是部门或岗位应该做哪些事、能够做哪些事，是部门和岗位的内在的固有属性，映射到系统中，其实就是权限。如果不和权限系统结合，职责可能只表现为一段文字描述。有了权限系统，我们可以给部门、岗位分配

权限，来描述他们的职责，这样组织模型就更全面反映了用户的组织机构。

特别要说明的是给部门分配权限和给岗位分配权限是有区别的。由于用户必须隶属于岗位，而岗位隶属于部门，部门的权限用户是不能继承的，部门的权限用来影响岗位权限。部门内的岗位权限不可超出部门权限，并且部门权限可分为通用权限（部门内岗位可自动继承）和特定权限（必须分配到具体岗位）。这样也可以实现分级的权限管理，由总管理员给部门分配权限，然后各部门管理员给本部门岗位分配权限。类似的我们也可以给职务分配权限，职务的权限将自动被关联此职务的岗位获得。

在基于角色的权限模型中，我们给角色分配权限，给用户分配角色，而在组织模型中，我们也需要给组织和岗位分配权限，给用户分配岗位，对比可发现两个模型结合的关键就在岗位和角色的关系上。处理岗位和角色的关系有合并和映射两种方法。

3.1岗位和角色的合并

由于大部分的角色就是基于实际的岗位或者职务生成的，因此可以将岗位和角色合而为一，用组织模型的岗位同时表示权限模型的角色概念，直接给岗位、组织、职务分配权限。