5. 访问控制
概述
几何成本估算软件的访问控制机制使管理员能够配置基于角色的规则,以定义组内成员对组件、装配体、卷轴、数字工厂和其他资源的访问权限。
本章包括以下主题
- 访问控制简介
- 基本概念
- 进出口
- 访问控制的准则和原则
- 用例示例
- 使用访问控制用户界面
- 访问控制的访问控制
访问控制简介
几何成本估算软件提供访问控制功能,允许管理员定义哪些用户可以对哪些对象类型(资源)执行哪些操作。这意味着你可以定义一个反映你的组织需求的安全模型,从而根据企业结构(如地区、部门、项目等)允许或拒绝访问。
注意: 几何成本估算软件强烈建议你联系几何成本估算软件专业服务部门,以获得为你的站点创建和部署访问控制环境的帮助。您可以使用本章的信息在测试环境中学习访问控制的基本知识,但专业服务人员可以帮助您开发和实施为生产环境定制的访问控制模式。
管理员功能
作为几何成本估算软件管理员,您可以:
- 提供对不同类型资源(如组件、卷轴和数字工厂)的细粒度访问
- 控制用户可以对这些资源执行的操作,如创建、读取、更新、删除或成本
- 将用户分为组和子组,并为这些组分配访问控制权限
版本演进
在以前的版本中,几何成本估算软件提供了组件和数字工厂数据的基本访问控制。这是通过不同的组件数据库模式和不同的数字工厂模式来实现的。
从几何成本估算软件2015 R1版开始,访问控制功能可以更精细地控制用户组对数字工厂、零件、装配和不同类型的卷积等资源的访问。
注: 默认情况下,新安装或升级的几何成本估算软件的"访问控制"配置为仿效传统的不同组件和数字工厂模式。选择不实施"访问控制"的网站在安装或升级后,其行为应几乎没有任何区别。
基本概念
简单地说,就是通过定义具有权限的用户组来实现几何成本估算软件访问控制,这些权限包括可以或不可以在特定资源上执行操作的规则。
几何成本估算软件访问控制不控制对字段或属性的访问,只控制对资源的访问。不过,规则可以利用自定义属性来微调对资源的访问。
核心概念
- 组:几何成本估算软件用户的集合,可以有子组
- 权限:与组相关联,由可授予或拒绝资源操作的规则组成
- 资源:要控制访问的实体
- 规则:由主题和属性组成的表达式,用于确定访问权限
资源
访问控制资源包括以下内容:
- 部件(零件和组件)
- 卷积(基本卷积、动态卷积和成本比较)
- 数字工厂
- 组和权限(用于高级配置)
组别
几何成本估算软件组是由具有相同访问要求的几何成本估算软件用户(或子组)组成的命名容器。组有权限,将在下一节讨论。
组的特点
- 组可以有子组
- 不同的组可以重复使用相同的名称
- 唯一性由每个组的完整路径决定
- 每个用户至少属于一个组:系统定义的组"所有用户"
系统定义的组
系统定义了四个组,包括一个子组:
- 所有用户 (all_users)
- 系统管理员 (administrators)
- 超级用户 (super_user)
- 数字工厂管理员 (vpe_administrators)
这些系统定义的组不能删除,但与之相关的权限可以编辑。所有用户(包括"系统管理员"和"数字工厂管理员"组的成员)都是"所有用户"组的成员。
组属性
组有一个默认属性("名称")和一个成员设置(无、自动或手动),但也可以有其他自定义属性。
权限冲突处理
如果一个用户是两个组的成员,其中一个组允许访问某个资源,而另一个组则拒绝访问同一资源,那么该用户将被拒绝访问(尽管几何成本估算软件提供了忽略或覆盖"拒绝"权限的功能)。
分组
组可以包含子组,子组也可以包含其他子组。
组成员管理
- 将用户添加到组后,该用户会自动添加到任何父组中
- 从组移除用户会自动从所有子组移除该用户
- 被移除的用户不会从父组中移除,因为他们可能属于共同父组的其他子组
子组应用场景
子组允许你模拟访问控制情况,例如,某个用户是一个项目的管理用户,但只是另一个项目的"普通"用户。在这种情况下,用户可以属于"项目A管理员"和"项目B团队成员"组。
超级用户
系统管理员组有一个名为"超级用户"的子组,在安装时会自动创建(但不会填充)。
重要注意事项
注意: 安装几何成本估算软件的管理员在进行任何其他访问控制配置之前,必须将自己添加到超级用户组。一旦超级用户组至少有了一名成员,就不能再意外删除最后一名成员,否则就有可能将自己锁定在系统之外。
超级用户权限
访问控制超级用户组的成员拥有其他用户无法获得的强大权限。具体地说,他们对组和权限拥有"strongGrant"权限。换句话说,他们拥有访问控制功能的权限。
超级用户管理
只有以下超级用户特性可以更改,而且必须由超级用户更改:
- 密码(安装完成后应尽快更改密码)
- 超级用户子组的成员资格(可以添加和删除成员)
请注意: 您不能删除超级用户组的最后一个成员。如果需要删除最后一个用户,必须先添加另一个超级用户。
权限
权限是几何成本估算软件访问控制的关键。权限与组相关联,包括:
- 一项或多项行动
- 资源
- 规则
权限修改器
权限还可以包括"授予/拒绝"行为修改器:
- 正常授予:如果权限规则为True,则允许执行操作,除非受到强拒绝权限的阻止
- 强许可:如果权限规则为True,则始终允许操作
- 正常拒绝:如果权限规则为False,除非正常授予权限允许,否则会阻止操作
- 强拒绝:如果权限规则为False,除非强授予权限允许,否则会阻止操作
行动
几何成本估算软件访问控制支持以下操作:
- 创建(适用于所有资源,但不能与其他操作结合使用)
- 读取(适用于除组和权限外的所有资源)
- 更新(适用于所有资源)
- 删除(适用于所有资源)
- 使用成本(仅适用于数字工厂资源)
- 协理(仅适用于许可资源)
操作组合规则
- "创建"可应用于所有资源,但不能与任何其他操作结合使用
- "更新"和"删除"要求资源已存在,因此可在同一权限中组合使用
- 可以为卷积创建一个权限,将读取、更新或删除任意组合在一起
- 不能创建带有成本使用操作的卷积权限,因为成本使用只适用于数字工厂资源
读取与成本使用
"读取"和"成本使用"类似,但行为有些不同:
- 如果没有数字工厂的"读取"权限,就无法看到它
- 如果有"读取"权限,则可以看到它并读取其中的数据,但除非有"成本计算"权限,否则无法使用它执行成本计算操作
- 用户要在成本指南下拉菜单中看到数字工厂,必须同时拥有读取和使用该数字工厂的成本权限
- 在"数字工厂管理器"中,用户只需拥有"读取"权限即可查看数字工厂
规则
规则是一个表达式,用于确定组员对目标资源的访问权限。
规则示例
Group.attributesValue.Region == currentGroup.attributeValues.Region
如果规则的评估结果为"true",则允许访问。如果评估结果为"false",则拒绝访问。
规则冲突处理
通过"授予"和"拒绝"权限修改器,可以加强("强")访问和拒绝结果,从而对权限进行微调。
修改器组合效果
| 授予级别 | 拒绝级别 | 说明 |
|---|---|---|
| 正常 | 正常 | 除非其他权限包含强拒绝,否则允许访问;只有在没有其他权限允许的情况下才拒绝访问 |
| 强大 | 正常 | 无论其他权限如何,都允许访问;只有在没有其他权限的情况下才拒绝访问 |
| 正常 | 强大 | 除非其他权限包含强拒绝,否则允许访问;拒绝访问,除非被强授予覆盖 |
| 强大 | 强大 | 允许访问,与其他权限无关;除非被"强授权"覆盖,否则拒绝访问 |
导入和导出
访问控制提供了导入和导出访问控制模型的功能。通常有两种使用方式:
- 将新的或更新的访问控制配置从开发和测试环境转移到生产环境
- 在您的环境和几何成本估算软件客户支持或专业服务之间传输访问控制模型
导入访问控制对象
导入访问控制对象时,如果组的完整路径在导入工件和目标系统中相同,几何成本估算软件会尝试覆盖现有的组,以保持现有的用户-组关联。
例如,假设生产系统的配置如下。注意有三个用户定义的顶级组:France_Region、Germany_Region 和USA_Region:
已在一台质量保证机上开发并测试了带有修订组结构的新"访问控制"配置。现在需要使用导出和导入功能将其迁移到生产系统。请注意,除其他更改外,两个地区组现在是用户定义的新"欧洲"组下的子组。
访问控制原则
几何成本估算软件访问控制软件采用以下原则来保护数据,并在不给用户造成负担的情况下提供安全性。
权限继承示例
默认情况下,不会阻止用户更新组件。为什么呢?因为父组的"读取"权限并没有明确拒绝用户的"更新"访问权限,只是不授予其成员更新访问权限。因此,只属于父组的成员将无法更新组件,但属于子组成员的成员却可以。父组权限不授予更新权限,但也不拒绝更新权限。
用例示例
几何成本估算软件存取控制软件默认情况下不考虑任何特定的使用情况。它的设计非常灵活,你可以根据自己的需要进行配置。
以地区为基础
假设您想根据组织的地域划分来控制对资源的访问。例如,在北美地区创建的所有组件或数字工厂都不能被北美地区以外的任何人读取、更新或删除。
以下是实施这种访问控制模式的一些建议步骤:
创建反映地域划分的组。例如,"北美用户"、"欧洲、中东和非洲用户"以及"全球用户"。
创建名为"地区"的组属性,并为每个组设置适当的属性(例如,"NA 用户"组设置为"NA","EMEA 用户"组设置为"EMEA"等)。
还可为组件方案创建类似的"区域"UDA,并计划将其与数字工厂属性(如位置或描述)相协调。将用户添加到相应的组中。
将"区域"UDA 和数字工厂区域属性设置为与"区域"组属性相匹配的适当值。
然后创建权限并将其与组关联:
配置管理员
为多个区域的管理员设置访问控制的方式与前几节中的用户类似。(如果所有管理员都能访问所有区域,则无需进行此配置)。
为每个地区的管理员创建一个组,如"NA-admins"、"EMEA- admins"和"Global-admins"。将管理员添加到相应的组中。为每个组分配"区域"组属性,并将其设置为反映区域。为相同的区域值分配数字工厂属性,如上一节所述。创建不同的规则,并将它们与组关联起来。例如,你可以赋予管理员更多访问数字工厂的权限。
使用访问控制用户界面
您可以在系统管理员窗口中使用组和权限选项卡来定义访问控制。
出于某些目的,您也可以访问"用户"选项卡(例如,您可以通过"用户"选项卡和"组"选项卡将用户分配到组),但大多数"访问控制"配置都是通过"组"和"权限"完成的。
组选项卡
使用"组"选项卡可创建或删除组和子组、为其分配用户、将其与特定的"访问控制"权限关联、定义组属性以及指定组成员行为。
以下是您的网站在进行任何重要的访问控制配置之前,组对话框的外观。
开箱即可看到四个系统定义的组:
- 所有用户
- 数字工厂管理员
- 系统管理员
- 超级用户(系统管理员的子组)
添加、编辑或删除组或子组
要添加新组,请单击"新建组"按钮:
要添加新分组,请选择现有分组并单击"新建分组"按钮:
要编辑组或子组,请选择该组并单击"编辑组"按钮:
请注意,使用该按钮只能编辑名称或组员设置。要编辑某个组或子组的权限、成员或属性,请选择该组并使用窗口右侧的窗格。
要删除某个组或子组,请选择该组并单击"删除组"按钮:
请注意,您不能删除四个系统定义组(所有用户、系统管理员、超级用户或数字工厂管理员)中的任何一个。
权限选项卡
使用权限选项卡创建、查看、删除或修改访问规则。这些权限可以通过组选项卡与组关联。
所有几何成本估算软件定义的权限都有以"aP."开头的描述性名称,并说明其用途。例如,"aP.component.RUD"是一个系统定义的权限,它赋予用户对组件的读取、更新和删除权限。
创建新权限
创建新权限的一般流程如下所示:
-
您既可以点击加号添加图标从头开始,也可以克隆一个现有权限作为起点。通常更有效的方法是找到与您想要的规则相似的规则,复制它并修改副本。
-
要从现有权限开始,请选择要复制的规则,然后单击复制图标。
-
无论您是添加新权限还是从副本开始,几何成本估算软件都会提示您输入名称,或编辑为副本创建的默认名称。完成后点击"确定"。
- 在描述字段中输入描述性字符串。
- 从"资源"下拉菜单中选择该权限的目标:
Resource: Component Component Rollup Digital Factory Group Permission User System Admin Digital Factory Toolset
- 在"操作"部分,选择"创建"或"使用"。如果选择"使用",则必须从提供的操作中至少选择一个。只有对所选资源有效的操作才会启用。
- 为该权限设置规则。如果权限总是或从不为真,几何成本估算软件会自动设置权限并显示在规则字段中。您不能编辑"总是"或"从不"规则。不过,如果你想定义一个更复杂的规则,例如比较组属性值和场景用户定义属性值,你可以选择当此规则为真时,然后建立表达式。
术语说明
关键术语
- 资源:访问控制的目标对象
- 组:用户的集合
- 权限:访问控制规则
- 规则:决定访问权限的表达式
- 修改器:调整权限行为的参数
权限级别
- 正常:标准权限级别
- 强大:高级权限级别,通常用于管理员
进出口
导入功能
访问控制系统支持从外部文件导入配置:
- 支持多种文件格式
- 批量导入用户和组
- 导入权限配置
- 验证导入数据
导出功能
可以将当前配置导出到文件:
- 导出用户和组信息
- 导出权限配置
- 生成配置报告
- 备份访问控制设置
访问控制的准则和原则
基本原则
- 最小权限原则:用户只应获得完成工作所需的最小权限
- 职责分离:不同角色应具有不同的权限
- 定期审查:定期审查和更新权限配置
- 审计跟踪:记录所有权限变更
指导原则
除了基本原则外,还有一些基本的访问控制规则需要牢记:
- 如果更改已登录系统的用户的访问控制权限,在他们注销并重新登录之前,更改不会对他们产生影响。
- 用户可以属于多个组。每个几何成本估算软件用户至少属于一个组:所有用户。但大多数用户也会被分配到一个或多个其他组,这些组反映了组织的区域、项目或工作职能。
- 属于子组的用户自动属于该子组的所有父母、祖父母等。
- 要获得资源的访问权限,用户必须至少属于一个授予该权限的组、不属于任何使用"强力拒绝"拒绝该权限的组群。
- 限制最多的权限才是最重要的权限。
- | 下一章:6. 几何分析热图*