三员管理场景使用手册

简介

三员管理模式运行阶段为三员管理角色（系统管理员[afc-role-system-admin-manager]，安全管理员[afc-role-security-manager]，安全审计员[afc-role-audit-manager]）和其他普通角色之间权限互斥阶段，即三员管理员拥有了哪些菜单、功能码等权限后，普通角色不能拥有这些权限。三员管理角色下的三员人员只做权限下的管理功能。

使用方式

使用三员管理模式时分为两阶段，初始化阶段和运行阶段。

• 初始化阶段作为三员管理场景使用前步骤，该阶段由以下几个步骤组成

1. 三员角色权限初始化sql（该阶段为新环境初始化数据库阶段，三员管理角色拥有哪些权限由初始化sql来定，不提供维护界面，非sql初始化的权限，即由界面直接授权的权限在三员管理运行模式下该部分授权权限不算三员角色的权限）
2. 三员账号管理（该菜单界面只有admin有权限操作，用于添加三员账号）
3. 三员账号授权（由admin将新创建的三员账号和三员角色进行关系绑定，一个三员账号只能绑定一个角色）

特殊说明：三员账号无员工、机构、岗位关系，只存在于user和角色role关系

• 运行阶段为三员管理实际使用阶段，该阶段需要修改配置文件afc.three-management.running.enable=true来开启运行模式

初始化阶段

初始化阶段不需要开启三员管理运行模式开关（即afc.three-management.running.enable=false），由以下几步顺序初始化。

1. 在获取到介质包部署之前，先对全量初始化sql资源权限部分根据业务需求进行修改，即是对三员角色权限进行初始化（三员管理角色菜单无特殊菜单需求时，直接使用介质包中初始化sql即可）。

2. 部署介质后，登录admin账号在三员管理菜单页进行新增三员管理账号，如下图：

3. 三员账号授权，即三员账号绑定三员角色。

   

运行阶段

开启三员管理运行模式通过配置文件application-afc.properties中修改afc.three-management.running.enable值为true。

开启三员运行模式后注意事项：

1. 角色查询中以下角色不在列表中展示（系统管理员[afc-role-system-admin-manager]，安全管理员[afc-role-security-manager]，安全审计员[afc-role-audit-manager]，租户管理员[afc-role-tenant-manager]，平台管理员[afc-role-sys-manager]）

   

2. 角色授权菜单页面中的页面、功能码数据排除掉三员角色所拥有的资源。（三员角色被授权的菜单、页面、功能码不能再被普通角色使用（即互斥关系））

   

3. 审计日志查询功能分以下两种场景

   • 在登录安全审计员角色下的账号时，查询的审计日志为系统管理员[afc-role-system-admin-manager]，安全管理员[afc-role-security-manager]角色下的人员操作日志。

     

   • 在登录安全管理员角色下的账号时，查询的审计日志为普通账号下的操作日志，即非三员管理角色下的账号。

     

4. 租户管理员、平台管理员角色下的账号不能在登录。