**
对于查询可以设置权限组来处理;
对于字段隐藏可以采用凭证设置和编辑凭证表;
对于成本/进价可以采用科目余额存取机密科目等方式处理;
对于单据权限可以运用所有者权限处理.
**一、SBO 系统权限分类:
(1)常规权限 包括:
- 功能/窗体的访问权限 —— 是“用户界面层的访问控制”。
- 组权限 —— 访问特定组的数据对象的权限,是“数据层的访问控制”。支持组权限的对象类型包括:单据编号系列、价格清单、用户查询类别,在 常规权限 的相应模块目录中定义。详见 常规权限。
- 一次性授权 —— 无相应权限的用户可以被有相应权限的用户一次性授权忽略权限限制,而执行一次本无权限的操作,例如,在一个无相应权限的用户试图添加单据或查看报表时,需要提请有权限的用户输入他或她的用户名和密码,这将允许无权限用户执行一次本无权限的操作。一次性授权机制自动被应用,不需要定义。
(2)数据所有权权限:
数据所有权权限 —— 访问为他人所拥有的数据的权限,是“数据层的访问控制”。
(3)审批流程:
审批流程 功能作为标准权限管理的补充,进一步定义用户添加单据的权限条件,并在特定条件下触发审批过程。详见 审批流程。
二、编辑权限的前提:
(1)只有超级用户可以查看和编辑权限(为其他用户分配权限);
(2)首先要指定该用户是常规用户还是超级用户(在 定义用户 中设置),超级用户拥有所有权限而不能被编辑。
三、数据所有权权限配置
1、使用 数据所有权权限 功能的前提:
(1)在 数据所有权例外 中激活 数据所有权权限。
(2)创建员工主数据,在 数据所有权权限 中为员工授权(注:如果用户没有对应的员工主数据(在员工主数据中连接用户),则该用户没有任何数据所有权权限)。
(3)要控制访问权限的单据(或主数据)必须设置所有者(员工)。
2、数据所有权权限详述:
数据所有权权限控制机制是数据层的“数据过滤”机制,而不是用户界面层的“具体窗体的访问控制”机制(常规权限)。在用户访问数据时,无权访问的数据(单据)将被过滤。基于以下字段进行数据过滤以控制对数据的访问:
(1)单据中的 所有者 字段(单据所有者只能是一个被关联到用户的员工)
(2)由 员工主数据 确定的用户与单据所有者之间的组织关系
对每种单据类型,定义用户的以下权限 (三个选项:全部权限/只读权限/没有权限):
(1)访问 同级员工 的单据的权限 (同级关系(同一个经理):取决于访问者和所有者员工主数据的 经理 字段)
(2)访问 经理 的单据的权限 (直接上下级关系:取决于访问者员工主数据的 经理 字段)
(3)访问 下属 的单据的权限 (直接上下级关系:取决于所有者员工主数据的 经理 字段)
(4)访问 同部门员工 的单据的权限 (同部门关系:取决于访问者和所有者员工主数据的 部门 字段)
(5)访问 同分支机构员工 的单据的权限 (同分支机构关系:取决于访问者和所有者员工主数据的 分支机构 字段)
(6)访问 同团队员工 的单据的权限 (同团队关系:取决于访问者和所有者员工主数据的 所属团队列表)
注:在 数据所有权权限 窗口中的中文翻译有误,表中各列标题应为:同级、经理、下属、同部门、同分支(分部)、同团队(组)。