高校網上辦事大廳權限管理的探索與實踐

文/李降宇 郭曉明 張巍

1 引言

傳統的網上辦事大廳是基于工作流開發的服務審批流程，各審批節點與角色進行綁定，由系統管理員在權限管理模塊分配用戶所屬的角色。 通常軟件系統需要設計開發一個基于角色的權限管理模塊，由系統管理員來識別各用戶具有何種角色并進行權限分配和維護。系統用戶特別是涉及到流程節點的審批人，由于每年工作變動很頻繁，作為網上辦事大廳的系統管理員不能第一時間掌握變動信息，將會影響流程的審批工作，給全校師生使用網上辦事大廳申請審批工作帶來很大的困擾。

以大連理工大學為例，網上辦事大廳的用戶涵蓋了全校師生，超過5 萬人，目前已經開放的服務流程69 個，涉及到的流程審批崗位192 個，后面隨著開放的服務流程越來越多，新建的流程審批崗位也會大量增加。作為流程節點的審批人通常是機關管理人員，這些人員的工作調動很頻繁，如果每次都要依賴系統管理員進行用戶的權限分配，后期系統管理員的維護工作巨大。

在網上辦事大廳建設初期，考慮到我校已初步建立二級單位信息化專干隊伍，他們可在第一時間掌握人員變動信息。通過將用戶崗位的維護工作下放到二級單位信息化專干隊伍，由各二級單位的信息化專干維護辦事大廳所使用崗位的人員，既能減輕系統管理員的運維壓力，也可提高各審批崗位維護的及時性和準確性。那么網上辦事大廳的權限如何與獨立的崗位角色管理平臺有效關聯是權限管理設計工作的重點。

2 權限管理的設計思路

圖1：辦事大廳服務流程圖

圖2：添加崗位示例圖

圖3：添加成員示例圖

網上辦事大廳的權限管理由原來的權限管理模塊獨立出來，單獨設計權限管理平臺——崗位角色管理平臺，網上辦事大廳的系統管理員只負責建設流程節點使用的崗位并維護信息化專干的人員信息，將用戶的崗位角色維護下放到各二級單位，由各二級單位的信息化專干進行維護。人員隸屬的機構和崗位的分配權限獨立于網上辦事大廳平臺，權限下放到了二級單位進行維護，做到了權限獨立于業務系統分配，其他系統也可以復用已定義的組織機構和人員崗位角色，同時也減輕了因為高校管理人員頻繁調動帶來的數據修改不及時等的運維壓力。基于上述權限管理思路，我們設計了崗位角色平臺，來滿足網上辦事大廳審批流程的權限管理需要。

（1）與校級公共庫同步，獲取全校組織機構及教工數據。

（2）在崗位角色平臺中將崗位劃分為通用崗位和部門崗位：通用崗位涉及到全校各單位都要維護的審批崗位；部門崗位只是針對某一部門需要維護的特定審批崗位。

（3）辦事大廳系統管理員：創建并維護通用崗位和部門崗位，以及維護全校各二級單位信息化專干人員信息。

（4）二級單位信息化專干：建立部門下部門崗位，維護通用崗位和部門崗位對應的人員名單。

3 權限管理功能設計要點

3.1 組織機構管理

崗位角色平臺中組織機構信息與學校共享庫中的組織機構信息進行自動同步、校驗。 可以分層級、分類別的查看組織機構架構信息，并查詢組織機構下屬人員信息。 平臺以圖形或樹狀結構展現學校組織機構的關系信息，并以樹狀結構展現學校組織機構的關系信息，包括其該組織機構的具體信息、成員信息，并顯示該組織機構的下屬機構具體信息、非直屬機構以及該下屬組織機構的成員信息。

平臺提供可以查看和導出此組織機構下崗位、角色設置情況，以及崗位、角色人員情況、空置情況、歷史分配情況。

3.2 用戶管理

從數據源頭（人事處、教務處、研究生院、國際教育學院等）、用戶狀態（在校、離校、在職、離職、在學、畢業等）、用戶賬戶及狀態、用戶的類型等把用戶分成不同的身份群體，身份群體之間的成員可能會重復、交叉，身份數據依賴于源頭提供的基礎數據和公共庫的同步規則形成，可以動態增加、減少。

平臺可查看全部用戶列表及對用戶列表進行集成管理。 在此模塊可以查看當前用戶所屬的機構等信息，并支持用戶、身份的互查，不同身份、不同用戶屬性的組合查詢。

用戶列表中在校的師生數據來自公共數據庫的同步，其他（外聘或臨時人員）數據可有管理員新建或在集成管理頁面以列表形式導入。

3.3 崗位管理

根據學校各個部門職責分工與崗位設置的要求構建學校崗位模型，崗位進行分級、分層設定，崗位信息包括：崗位編號、崗位名稱、管理機構、可設定崗位機構（集合）、崗位類別（通用崗位或部門崗位）、崗位人員設定有效期、可設定人員類型、人數限制、是否必須設定、崗位設定規則（自動映射、手動管理）、崗位收回規則等，并制定崗位申請、管理流程。

崗位角色平臺支持基于學校組織機構的崗位管理，包括崗位信息維護、崗位與用戶的映射綁定設置等。支持分級組織機構崗位管理設定，具有管理權限的人員可以管理所屬組織機構下的崗位及崗位用戶。

圖4：節點綁定崗位示例圖

圖5：崗位與服務流程對應關系圖

圖6：服務流程與相關崗位關系圖

3.4 角色管理

角色劃分為通用角色和子系統角色，通用角色是所有系統都可以使用，子系統角色只針對子系統設定，角色可以進行手動管理，也可以設定與崗位自動關聯。

可以基于組織機構、崗位、身份類型、性別、年級、班級以及其他用戶屬性信息來創建角色，支持根據屬性動態創建和取消角色，可以采用多屬性集合的方式設定角色。

崗位角色平臺可以添加關聯的子系統，并支持子系統角色查詢。 也可以與學校其他系統角色及用戶信息自動同步、校驗。

3.5 授權管理

授權管理模塊設置不同等級的管理員對“崗位角色管理平臺”進行管理，平臺管理員可擁有平臺的所有功能，可把用戶、組織機構、崗位、角色管理授權給二級或三級組織機構管理員管理，可把子系統角色管理權限授權給二級部門管理員，同時其也可以把權限分配給部門中其它人員。二級單位管理員只負責維護本單位的組織機構、崗位角色與人員對應關系。

3.6 接口提供和管理

崗位角色管理平臺提供給第三方標準化調用接口，接口提供更新訂閱功能，可以把組織機構、崗位、角色與用戶的變動進行實時發布。其他系統可以獲取組織機構、身份、崗位列表、角色，也可以通過組織機構、身份、崗位、角色來獲取用戶列表，從而開展各項系統工作。 同時也可通過數據同步方式實現用戶列表的推送。所有接口可通過Web 管理端設置、瀏覽和監控。

3.7 審計功能

平臺審計功能記錄管理員、二級管理員的所有操作日志，包括崗位管理、角色管理、權限分配、接口調用等，并提供圖形化查詢和簡單分析功能，以及相應的審計功能。

4 應用實踐

4.1 辦事大廳中流程節點使用的審批崗位配置

在辦事大廳中配置服務流程，首先應梳理該流程需要配置的崗位名稱，并在崗位角色平臺中提前配置完成，再為服務流程節點配置相應的崗位名稱，這樣流程節點即可與匹配崗位角色平臺中設定的崗位。

第一步配置辦事大廳服務流程（圖1）。

第二步，在崗位角色平臺中配置流程節點對應的崗位名稱（圖2）。

第三步：在崗位角色平臺中維護該崗位對應的各單位審批人員列表（圖3）。

第四步，配置流程節點的崗位，對應崗位角色平臺中設定的崗位id 和崗位名稱（圖4）。

4.2 崗位角色平臺中審批崗位與辦事大廳服務流程的對應關系展示

如圖5所示。

4.3 辦事大廳中服務流程與崗位角色平臺中審批崗位的對應關系展示

如圖6所示。

5 結束語

網上辦事大廳首次采用獨立設計的崗位角色平臺進行流程審批崗位設置和權限管理，完善了用戶及權限管理體系，由二級單位信息化專干隨時維護崗位角色平臺的人員信息，實現了辦事大廳審批崗位的靈活管理，減輕了系統后期運維的工作壓力。