入坑零代码、低代码、APaas系统,你需要了解权限控制上有哪些坑?

楼主
我是社区第201491位番薯,欢迎点我头像关注我哦~

原文地址:https://www.zhihu.com/question/485463474

当前零代码、低代码、APaas系统话题热度不断提高,随之其是否能实现复杂业务一直是业内争吵的焦点。很多公司准备入坑,但不知道这坑到底有多深,本人根据切身经验加以探讨。

整体上从对权限的支撑能力,将权限支撑能力划分为:仅适合权限要求弱小团体使用;仅适合单部门体系使用;能适用于公司网状或矩阵化权限管理使用;能适用于集团型公司复杂权限使用。

相对于EXCEL,权限控制解决EXCEL文件权限控制不足问题。如多人收集汇总数据、多级部门汇总数据,避免人员看到、维护大于本人员权限数据。权限控制之重要性,是系统选型核心重点。

当前零代码、低代码、APaas系统大都从表格入手,多从模仿Salesforce、Airtable这些软件开始。表格网络化之后,第一要解决问题是权限问题,权限问题解决不好,表格网络化基本没有存在市场价值。

由于沿用Salesforce、Airtable概念,这导致目前市场上软件大多数权限基于单表控制;或者由于基于表的概念,对于数据量较大、使用部门较多的情况考虑欠缺,这整体导致权限控制能力相对比较弱,限制了对复杂业务、多部门协作的支持。

从目前市场上软件还看,基本都可以实现对表记录新增、修改、删除、导入、导控制,对视图权限控制,对字段权限控制,但在行权限控制上比较薄弱。对于行权限控制分为以下三种情况:

(1)无法对行记录权限进行控制;

(2)仅对部门条线化管理权限可以控制,如本人看本人、领导看本人、上级领导看下线领导、上级部门看下线部门,即存在隶属关系权限控制。

(3)矩阵化部门权限管理(或监督型权限管理),如质量保障部、财务部、风险控制部,可以查看销售部门、采购部门、项目相关数据,而这些部门与销售部门、采购部门等没有隶属关系。

(4)项目权限控制,成员加入项目后,项目成员可编辑查看该记录信息。

对于权限控制,可参考本人《零代码、低代码、APaaS系统设计(之四)权限设计推荐》一文

一、无法对行记录权限进行控制

此类权限控制,没有提供数据权限、行权限功能。严格说,此类软件仅适于很小的团队应用,相关团队对于数据权限没有太高要求,没有本人只能看本人数据权限要求。此类软件一般适用于权限要求弱、小团体使用。

如下图:

(图1、某1软件权限设计界面)

(图2、某2软件权限设计界面)

二、仅对部门条线化管理权限可以控制

此类权限一般在模板表定义时,定义一个成员字段,通过成员字段设置作为成员、作为记录拥有者、仅用于记录人员数据,在权限处设置本人和下属,即具有相关的记录权限。此类软件仅适合单部门体系使用。

此类权限局限性为:

(1)、对于部门设定某普通员工作为业务管理员,代为管理某业务数据的(如合同管理员、案件管理员等)不能很好支持。

(2)、矩阵化部门权限管理(或监督型权限管理)不能很好支持。如财务部门要监管销售合同数据。

(3)、如果员工岗位调到其他部门,而数据上又没有将该员工在原部门数据成员、数据拥有者记录取消,则可能出现新部门领导看到其他部门数据情况。

注:一般通过表字段上定义部门、公司字段,通过该字段控制部门数据查看范围相对比安全。

(4)该设计由于仅显示名称,对于公司存在人员重名,无法区分;对于集团公司,存在不同公司下有相同部门时,无法区分部门。一般对于较大公司对于信息管理,需要通过集团、公司、事业部、部门等字段共同区分人员和部门。

从以上我们可以看到,条线化管理应用局限性也比较大,如涉及要跨财务、质量管理、风控、法务等体系管理,则很难支持该业务。

如下图:

(图3、某3软件模板表增加成员字段)

(图4、某3软件权限配置)

(图5、某4软件行权限配置)

(图6、某4字段条件匹配当前人员权限配置)

三、矩阵化部门权限管理(或监督型权限管理)

1、逐个表定义权限,按部成、成员字段区配权限

矩阵化部门(或监督型)权限管理,目前一般是在表上通过增加部门字段、成员字段,然后,在权限设置时,将成员字段设置当人员人或指定人员匹配,校验是否本人或指定我人有权记录;将部门字段与指定部门匹配(如当前用户所在部门、当前部门所在部门及下级部门、指定的部门),即可以实现条线化权限管理,同时,也可以实现财务等部门管理其他部门数据的业务要求。此类软件能适用于公司网状或矩阵化权限管理使用,人员用户数量不适过多。

以上权限控制的缺陷是:

(1)逐个表配置,权限配置工作量巨大。

(2)不支持大集团分级数据授权模式。

如下图:

(图7、某4软件成员匹配设置)

(图8、某4软件部门匹配设置)

2、模板表中定义筛选公司或部门字段in操作人员部门权限表

此类权限是定义组织机构,并定义角色或人员所具有的组织机构权限(如图7),然后,在表单中定义公司、部门字段找当前人员有权限的公司和部门记录。

该方式的优点是,

(1)、权限条件统一定义,人员或角色定义组织机构权限仅需权一次,权限定义工作量相比较小。

(2)、权限可通过in 语句多层嵌套,可以实现较为复杂权限。如“五”中所述权限。

(图9、某5软件人员部门权限设置)

(图10、某5软件通过SQL条件嵌套过滤数据)

上图权限满足:按角色过滤数据、按项目组过滤数据、按主责人员和最后修改人员过滤数据、按组织机构和组织机构权限表过滤数据复合权限控制。

注:本种权限控制,在零代码、低代码、APaas系统中非常少。

四、项目权限控制

此类权限一般在模板表定义时,定义一个成员字段,通过成员字段设置多选成员,并通过权限处设置成员为加入的、拥有的,来界定多个成员有权限。参见图3、图4。

该设计局限性:

(1)、一般成立项目组,成员可能由多个公司、部门、人员组成,项目组中需要区分以上信息;人员在项目中担任不同角色,需要区分;人员有不同的加入项目时间和离开项目时间,需要进行区分。目前设计无法加以区分。

(2)、项目权限控制时,还涉及项目中子任务、内容权限控制,一般项目控制为,项目经理对项目中所有子任务有调整权、检查权;项目中可能分成数个项目小组,小组长对本人负责范围内的子任务有调整权、检查权。目前,试用软件范围内,尚未看到有软件支持子任务权限控制。

注:项目权限控制是日常管理中运用非常普遍权限控制,建议重点支持。

五、考虑不足权限控制

1、通过子表公司、部门授权控制主表行记录:

工作任务、事故、案件等,在企业管理中一般指定主责公司、主责部门、主责人员(不同部门可能各设一名)。同时,同一项任务由多部门共同承担、一事故涉及多公司和部门、一案件当事人涉及集团内多公司,在管理时存在两个角度管理:A、主责公司部门统筹管理;B、涉事公司统计本公司涉及的任务、事故、案件等。实际上业务办理虽然工作主责管理单位跟进,但该工作对本单位有紧密关联关系,相关部门负责人、相关公司负责人要纳入本公司和部门跟踪范围。因此,根据子表所列公司、部门控制权限,也是权限的一种主要形式。

2、多种组织机构权限控制

企业管理由于管理需要,不仅要按统一固定组织机构管理数据,还需要按多种不同组织机构管理数据。例如:按销售大区管理、按管理体系管理(如人力资源、财务体系、风控体系、采购体系、办公室体系等)、党组织等。

销售管理中,大区管理(东部区、西部区等,该大区在组织机构上不一定存在,仅仅在总部指定人员分别负责不同区域分公司和代理商的销售管理)。

集团公司一般进行体系化管理,如人力资源体系、财务体系、风控体系,各公司财务、人力资源、风控服务本公司管理,同时,要服从本体系管理。

多组织体系授权控制支持,是复杂权限授权支持要件,也是集团化权限管理要件。

3、集团分级行数据授权

集团公司人数众多,如人员权限全归集团总部授权,其工作量巨大,相关系统管理员无力承担该工作量。一般情况下,由集团总部授权子集团管理本集团范围内公司和部门,子集团再授权给下级公司管理本级公司下部门人权授权。目前,分级数据授权在零代码、低代码、APaas领域暂未发现该类授权。只有分级授权,才能适应大型企业权限应用,能适用于集团型公司复杂权限使用

注:从成员选择未考虑同名人员、多部门、多公司区分,以及实现复杂权限管理的供应商比例非常大,目前市场上对于大型企业的典型客户不足,或涉及业务尚不复杂。供应商应重点解决权限问题,以满足复杂业务需要。降低公众中,无法实现复杂业务印象不利影响。

综上所述:从以上分析,部分软件仅适合小团体使用;部分软件仅适合单体系部门使用;部分软件可适用矩阵化管理模式,但其权限分配工作量巨大,仍有待进一步优化;而对于复杂权限支持,目前市场上软件均存在不同程度不足。软件企业采购,根据适用范围慎重选型。

适用团队规模 功能特点 备注
小团队使用 无法对数据行权限进行控制  
单部门条线团队使用 定义岗位和员工上下级关系;
定义编辑、查看本人创建数据。定义上级编辑、查看本人,及下属、下级单位数据;
人员调动时,可能出现权限漏洞。
网状矩阵化(监督型)团队使用 支持部门条线化权限授权。
模式1:基于表单,通过表单上字段条件定义人员、角色,设置可管理部门组织机构权限。模式2:基于组织机构等维护,定义人员、角色部门组织机构权限;基于表单,定义表上字段与某部门组织机构权限过滤筛选关系。
适用协同人力资源、财务、风控、办公室等多部门联合使用。
使用小规模公司管理
集团化团队使用 支持网状矩阵化(监督型)权限分配;
支持分级授权;支持分组织机构授权;支持通过涉及组织,多层反查约束授权。
重点支持5000人以上权限分配;
大型组织,需重点考察部门和人员选择界面(部门多、人员多),是否分层显示部门、分部门过滤人员,一次性加载部门和人员说明未经历大团队项目考验。分级授权重点考察组织机构控件是否可部分加载有权限部门;多分、子公司管理
项目团队管理 定义行记录(项目)团队,以及行记录主责人员(项目经理);
定义团队小组长,及可编辑、查看资源(如任务、任务下文件等);实现仅本团队成员可编辑、查看本记录数据。非本团队成员无权查看和维护。
涉及项目管理需考察

分享扩散:

沙发
发表于 2022-3-23 14:46:07
您这都是原创文章嘛?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

返回顶部 返回列表