1、Windchill 权限介绍权限介绍站点、组织、产品权限层级站点、组织、产品权限层级站点组织产品/存储库/(Root)DemoProjectPDM华为华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线核心网产品线Folder在列表筐中显示的是Windchill系统中的域,以树状结构显示,每个域接点分为:域名和显示名称,例如:Default(站点)域名:Default,显示名称:站点 一般在Default、PDM、Project域中创建和修改访问控制规则;创建新的域,不推荐在非(Default、PDM、Project)域中创建新的域。更新存在的
2、域,同样不推荐更新非(Default、PDM、Project)域。权限权限l权限是由与对象相关联的一组规则定义的策略,它规定了承担者(何人)对权限是由与对象相关联的一组规则定义的策略,它规定了承担者(何人)对存储在特定区域(何处)并处于某阶段(何时)的存储在特定区域(何处)并处于某阶段(何时)的数据(何物)所拥有的各数据(何物)所拥有的各项操作功能及限制(项操作功能及限制(如何)如何)权限权限l研发活动多以项目的形成展开,而项目的特征是具有一定的时间性,各成员研发活动多以项目的形成展开,而项目的特征是具有一定的时间性,各成员是阶段性的参与项目(灵活的进行访问策略的授予和收回)是阶段性的参与项目
3、(灵活的进行访问策略的授予和收回)l研发活动所积累的知识和经验需要得到继承和传递,后期的研发需要对历史研发活动所积累的知识和经验需要得到继承和传递,后期的研发需要对历史的经验进行参考和借鉴(充分的进行共享、传播)的经验进行参考和借鉴(充分的进行共享、传播)l研发管理追求过程一致性,保证活动研发管理追求过程一致性,保证活动可以得到重复执行可以得到重复执行(各岗位职责(而非(各岗位职责(而非人员的职责)需要清晰的定义和固化)人员的职责)需要清晰的定义和固化)l基于基于B/S架构的各信息系统,用户只需通过架构的各信息系统,用户只需通过IE即可实现对服务器进行访问。结即可实现对服务器进行访问。结果可以
4、便捷的访问系统,同时也造成了对安全控制更高要求(非法区域登陆、果可以便捷的访问系统,同时也造成了对安全控制更高要求(非法区域登陆、下载、打印下载、打印)访问控制策略访问控制策略l为了确保适当的承担者能够对所需的对象进行恰当的访问,必须定义一些规为了确保适当的承担者能够对所需的对象进行恰当的访问,必须定义一些规则。则。Windchill系统提供了丰富的权限定义方式和规则组合,能够方便、快捷系统提供了丰富的权限定义方式和规则组合,能够方便、快捷对各种对象进行细化的权限配置。对各种对象进行细化的权限配置。部件成品CAD文档文档文件夹受管理的基线问题报告变更请求企业变更通告实施计划容器(库)Windc
5、hill系系统统受受权权限管理的限管理的对对象列表,上述象列表,上述对对象所衍生的象所衍生的软类软类型同型同样样可可进进行行权权限的控制限的控制访问控制策略访问控制策略lWindchill系统系统提供了非常精细的权限操作功能,能够对各类型的对象进行灵提供了非常精细的权限操作功能,能够对各类型的对象进行灵活、便捷的权限控制活、便捷的权限控制并非所有的并非所有的权限控制功能都适用于全部的限控制功能都适用于全部的对象象类型,例如型,例如“下下载”权限是用于限是用于将将对象的象的实体内容下体内容下载到用到用户本地的操作功能,而部件本地的操作功能,而部件类型的型的对象是通象是通过一一组属性来描述零部件特
6、征,它本身并没有属性来描述零部件特征,它本身并没有实体内容可供下体内容可供下载查看,所以看,所以“下下载”权限不适用于部件限不适用于部件类型型C_创建R_读取M_修改D_删除L_下载X_修订P_升级S_设置状态OC_修改内容CD_变更域CB_通过移动创建CC_变更上下文OI_修改标识A_管理NV_新建视图版本CE_变更权限访问控制策略访问控制策略l权权限合并限合并计计算:算:在企在企业岗位位设置中,通置中,通过会由一个用会由一个用户担任多个担任多个职责或属于多或属于多个个组,所以他所,所以他所拥有的有的权限会限会发生重叠、合并生重叠、合并权权限合并限合并计计算算过过程中遵循程中遵循谨谨慎原慎原
7、则则,以拒,以拒绝权绝权限限为优为优先先如果未定如果未定义的的权限,默限,默认为拒拒绝用户用户组组1 权限权限组组2 权限权限组组3 权限权限最终权限最终权限备注备注张工张工C、R、MC、R、MC、R、M一般情况下权限按并一般情况下权限按并集进行赋予集进行赋予杨工杨工R、M、DC、R、-(D)R、DC、R、M拒绝权限优于正向权拒绝权限优于正向权限限李工李工R、M-(M)R拒绝权限优于正向权拒绝权限优于正向权限限访问控制策略访问控制策略通常根据授权对象类型及授权方式的不同,通过将权限归纳为静态权限和动态权通常根据授权对象类型及授权方式的不同,通过将权限归纳为静态权限和动态权限二大类:限二大类:u
8、静态权限静态权限在系统的策略管理器对域进行授权在系统的策略管理器对域进行授权,可以按类型进行批量的权,可以按类型进行批量的权限授予。在创建容器(或文件夹)时选择已定义权限的域,承担者在容器内限授予。在创建容器(或文件夹)时选择已定义权限的域,承担者在容器内就能够继承预先所定义的权限规则;就能够继承预先所定义的权限规则;u动态权限动态权限通过对生命周期(或工作流)进行授权,当生命周期状态到达通过对生命周期(或工作流)进行授权,当生命周期状态到达预定阶段时权限被自动授予给承担者,当生命周期状态状态发生变更后权限预定阶段时权限被自动授予给承担者,当生命周期状态状态发生变更后权限被自动中止;被自动中止
9、;静静态态与与动态权动态权限限发发生重叠、全并生重叠、全并时时,遵循,遵循动态权动态权限限优优于静于静态权态权限的原限的原则则动态权限(工作流程限(工作流程权限)限)动态权动态权限(生命周期限(生命周期)静静态权态权限(域限(域权权限限)静态权限静态权限控制静态权限控制静态权限控制方式是对域进行访问控制、通知策略、索引建立规则实现的。域与静态权限控制方式是对域进行访问控制、通知策略、索引建立规则实现的。域与特定的上下文级别相关联,在创建上下文的同时也会生成一个对应的域,即每个特定的上下文级别相关联,在创建上下文的同时也会生成一个对应的域,即每个上下文都可以拥有自己的域和域策略。其中子项域会继承
10、父项域的策略,包括根上下文都可以拥有自己的域和域策略。其中子项域会继承父项域的策略,包括根级别的初始策略及组织层域的策略:级别的初始策略及组织层域的策略:站点组织产品/存储库/(Root)DemoProjectPDM华为华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线核心网产品线Folder静态权限控制静态权限控制根据企业岗位职责分工、组织形式等因素,静态权限静态权限控制可以分为对根据企业岗位职责分工、组织形式等因素,静态权限静态权限控制可以分为对组织(组)授权、对容器授权(角色组织(组)授权、对容器授权(角色)、对文件夹授权三种模式)、对
11、文件夹授权三种模式:通通过我我们建建议在在组织层或容器或容器层进行域策略的控制行域策略的控制站点组织产品/存储库/(Root)DemoProjectPDM华为华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线核心网产品线Folder静态权限控制静态权限控制_组组对组授权:对组授权:预先在策略管理器中对组织层(对组预先在策略管理器中对组织层(对组)进行权限的定制和分配)进行权限的定制和分配+在组织按组对成在组织按组对成员进行划分,创建容器时选择继承组织域并在容器团队中维护成员(不需对应到员进行划分,创建容器时选择继承组织域并在容器团队中维护成员
12、(不需对应到具体的角色或组,只需添加为成员即可),成员即可拥有预选所定义的权限规则;具体的角色或组,只需添加为成员即可),成员即可拥有预选所定义的权限规则;适用情况:按职能领域(横向适用情况:按职能领域(横向)分工,各岗位职责定义)分工,各岗位职责定义较清晰(一个成员通常只较清晰(一个成员通常只会属于一个角色,而同一个角色会有多个成员),规模比较大,成员同时参与的会属于一个角色,而同一个角色会有多个成员),规模比较大,成员同时参与的项目较多;项目较多;优点:优点:当需要对权限策略进行定义(调整)时,只需要在组织层进行一次调整,当需要对权限策略进行定义(调整)时,只需要在组织层进行一次调整,各容
13、器就能够获取权限策略,简便易于维护各容器就能够获取权限策略,简便易于维护;缺点:由于缺点:由于Windchill9.0及以后版本的工作流程采用自动解析团队成员的方式,及以后版本的工作流程采用自动解析团队成员的方式,如果在组织如果在组织组中维护了成员还需要在容器团队中再维护一次(否则流程无法解组中维护了成员还需要在容器团队中再维护一次(否则流程无法解析到所需的评审成员),造成重复工作;析到所需的评审成员),造成重复工作;如果启如果启动自自动搜索成搜索成员的方式添加的方式添加评审活活动的参与者,可以考的参与者,可以考虑此种此种权限控制方限控制方式式静态权限控制静态权限控制_角色角色对角色授权:对角
14、色授权:利用利用OOTB模板模板预先创建一个模板容器,在策略管理器中对模板容器上下文(角预先创建一个模板容器,在策略管理器中对模板容器上下文(角色色)进行权限的定制和分配,将模板容器另存为容器模板。创建容器时选择容器)进行权限的定制和分配,将模板容器另存为容器模板。创建容器时选择容器模板,并在新创建的容器团队按角色维护成员,成员即可拥有预选所定义的权限模板,并在新创建的容器团队按角色维护成员,成员即可拥有预选所定义的权限规则;规则;适用情况:按职能领域(横向适用情况:按职能领域(横向)分工不足,同一个成员会承担多个岗位职责)分工不足,同一个成员会承担多个岗位职责(一(一个成员通常会属于多个角色
15、,而同一个角色会有多个成员)个成员通常会属于多个角色,而同一个角色会有多个成员),规模不大,成员同规模不大,成员同时参与的项目较少;时参与的项目较少;优点:适应优点:适应Windchill9.0及以后版本工作流程中自动解析团队成员的方式,维及以后版本工作流程中自动解析团队成员的方式,维护团队较简便、快捷护团队较简便、快捷;缺点:当需要对权限策略进行调整(追加)时,需要为每个已创建的容器进行权缺点:当需要对权限策略进行调整(追加)时,需要为每个已创建的容器进行权限的调整,工作量繁重且容易遗漏限的调整,工作量繁重且容易遗漏;考考虑到已到已实现了客制化开了客制化开发进行行权限的替限的替换和和导入,此
16、种入,此种权限控制方式的缺点可限控制方式的缺点可以忽略不以忽略不计,重点推荐此种方式,重点推荐此种方式静态权限控制静态权限控制_文件夹文件夹对文件夹授权:对文件夹授权:创建一个新的域,参考对角色授权的方式创建域策略。利用创建一个新的域,参考对角色授权的方式创建域策略。利用OOTB模板模板预先创建预先创建一个模板容器,在模板容器中创建文件夹并选择预先定义的域,再一个模板容器,在模板容器中创建文件夹并选择预先定义的域,再将模板容器另将模板容器另存为容器模板存为容器模板(可同时创建多个域并维护多个不同的域策略,以便可以创建多(可同时创建多个域并维护多个不同的域策略,以便可以创建多个类型文件夹个类型文
17、件夹)。创建容器时选择容器模板,并在新创建的容器团队按角色维。创建容器时选择容器模板,并在新创建的容器团队按角色维护成员,即可实现文件夹权限的控制(例如机械文件夹只能创建机械图纸类的文护成员,即可实现文件夹权限的控制(例如机械文件夹只能创建机械图纸类的文档,而电子文件夹只能存放原理图、档,而电子文件夹只能存放原理图、PCB图);图);适用情况:需要按文件夹来规划存储区域和权限,安全级别要求比较高;适用情况:需要按文件夹来规划存储区域和权限,安全级别要求比较高;优点:实现对数据存储和权限精细的控制,满足严格的权限控制要求;优点:实现对数据存储和权限精细的控制,满足严格的权限控制要求;缺点:权限下
18、定义的过程较复杂,发生变更时维护工作量较大缺点:权限下定义的过程较复杂,发生变更时维护工作量较大;除非客除非客户能明确、固化能明确、固化权限限规则,否,否则不建不建议采用此种采用此种权限管理方式限管理方式静态权限配置静态权限配置在上下文域中对角色进行权限的授予在上下文域中对角色进行权限的授予选择授权的对象为文档类型100选择授权的对象的生命周期状态为正在工作指定权限的承担者为质量工程师角色给予的权限为创建只给予创建权限,而不给予更高的权限,如修改、删除静态权限配置静态权限配置检查已配置好的权限检查已配置好的权限域策略中可以看到承担者质量工程师拥有对100类型文档正在工作状态时创建的权限练习一
19、静态权限1.新建产品库,然后在产品团队中增加“设计工程师”,“测试工程师”两个角色,在域策略中为测试工程师配置对WTPart对象的“只读”权限,对“设计工程师”配置对Wtpart对象的“创建,读,修改”权限,然后分别用这两个角色的用户登录系统,观察在改产品库下有什么不同2.用户用户设计组权限设计组权限评审组权限评审组权限协同设计协同设计组组 权限权限最终权限最终权限备注备注张工张工C、R、MC、R、MC、R、M一般情况下权限按并一般情况下权限按并集进行赋予集进行赋予杨工杨工R、M、DC、R、-(D)R、DC、R、M拒绝权限优于正向权拒绝权限优于正向权限限李工李工R、M-(M)R拒绝权限优于正向
20、权拒绝权限优于正向权限限在系统中按下表创建“张工,杨工,李工”三个用户和“设计组,评审组,协同设计组”三个组,并创建如下针对Wtdocument对象的权限,然后观察三个组权限综合后的最终权限有什么特点?动态权限动态权限控制动态权限控制动态权限控制方式根据实现方式的不同,可分为工作流动态权限和生命周期动态动态权限控制方式根据实现方式的不同,可分为工作流动态权限和生命周期动态权限控制二种模式,而生命周期权限又可细分为转变条件和访问控制二个部分组权限控制二种模式,而生命周期权限又可细分为转变条件和访问控制二个部分组成:成:选择“站点(组织、产品,存储库)”下的“实用程序”下的“生命周期管理器”;创建
21、、更新或者查看生命周期模板;动态权限动态权限-基于生命周期的访问控制策略基于生命周期的访问控制策略1、如果生命周期的类型为“基本”,应该改为“高级”;2、选择状态,例如:“原型”,选择“角色”,将需要指定权限的角色从“可用角色”添加到”选定角色“动态权限动态权限-基于生命周期的访问控制策略基于生命周期的访问控制策略选择“访问控制”选项卡,在“选定角色”中就出现了在“角色”选项卡中选定的角色,分别为这些角色指定权限(权限的定义和前面的一样),被添加进的角色默认具有“读取”权限。动态权限动态权限-基于生命周期的访问控制策略基于生命周期的访问控制策略动态权限控制动态权限控制动态权限控制方式根据实现方
22、式的不同,可分为工作流动态权限和生命周期动态动态权限控制方式根据实现方式的不同,可分为工作流动态权限和生命周期动态权限控制二种模式,而生命周期权限又可细分为转变条件和访问控制二个部分组权限控制二种模式,而生命周期权限又可细分为转变条件和访问控制二个部分组成:成:比较从建立访问控制规则的两中方式可以看出,它们有一些差异:基于域建立访问控制规则:它可以分别为“组”、“用户”、“角色”、“组织”建立访问控制规则,但是角色必须要被添加进团队,在建立访问控制规则是需要指定对象类型;基于生命周期建立访问控制规则:它只能够为角色指定访问控制规则,角色不一定要添加进团队,它可以选择整个Windchill系统的
23、所以角色;不需要指定类型(其实,它已经默认指定了,因为生命周期需要同对象类型绑定,因此访问控制基于的类型就是生命周期绑定的类型)访问控制权限需考虑的事项父对象类型应用于父对象类型的“访问控制规则”也适用于其所有的子项类型;产品和存储库访问对于单个域策略内的每一对象类型和生命周期状态,每个承担者只能拥有一个“授予”规则和一个“拒绝”规则;如果没有任何访问控制规则,则将拒绝承担者访问该对象;如果针对同一对象类型和生命周期状态定义了“授于”权限和“拒绝”权限,则“拒绝”权限优先;明确地“授予”或“拒绝”用户的权限将始终覆盖组权限;建议 在建立规划访问控制时,最好围绕组和角色(而非用户);将访问控制规
24、则数保持在尽可能少的数目,以实现业务要求;用限制性规则,例如,在上下文级别授予“读取”访问权限,然后在生命周期内授予“修改”权限;除非绝对必要,否则避免使用“拒绝”权限;练习二 动态权限1.在类型和属性管理器中创建一个文档软类型,JWDocument 2.创建生命周期 LC_JWDocument 包含如下状态(正在工作,正 在审阅,设计,已发布四个状态),在“正在工作”状态对角色“作者”添加“下载,修改,修订”权限,在“正在审阅”状态对角色“作者”添加“读取”权限3.创建WF_JWDocument 工作流,工作流包含“开始”-“提交评审活动”-“设置正在审阅状态”-“专家评审活动”-“结束”几个节点4.将工作流WF_JWDocument 关联到生命周期LC_JWDocument 的“正在工作”状态5.创建文档类型JWDocument,然后启动工作流观察在不同生命周期状态下,角色“作者”的权限有什么变化?谢 谢
浙ICP备2021020529号-1 | 浙B2-20240490 
