基础运行平台是基于本系统开发的业务功能模块部署运行的基本组件,所有业务功能模块均要基于本系统进行部署。其中包括统一的组织机构和用户管理、统一的权限管理、统一的用户认证方式,并提供计划任务调度、数据备份和恢复策略、系统参数管理、代码表配置策略、日志管理、菜单管理等公用组件。
所有使用本平台开发的应用系统均采用统一的组织机构。组织机构节点分成单位和部门不同的类别,系统提供组织机构基本的属性信息,并提供灵活扩充接口,各应用如果需要可以针对各自的需求灵活进行扩充。
系统提供API接口提供各应用模块开发人员获取组织机构信息,应用开发人员不需要了解平台数据库结构,只需要通过相应的API调用即可完成组织机构信息的查询、修改等操作。
所有在本系统开发的应用均采用统一的用户管理,各应用模块不需要再开发维护自己的用户管理系统,用户信息修改后,在整个平台生效。
系统提供统一的用户信息API接口,应用开发人员只需要调用相应接口即可完成对系统用户的所有操作,不需了解用户管理机制和数据库表结构。
系统支持常用的用户属性信息,同时提供必要的扩充机制,当业务模块需要进行扩充时,可以自行扩充必要的用户属性。
系统采用统一的权限管理机制,不同应用模块可以在系统平台提供的机制内设置自己的权限管理策略,权限设置保存在统一的权限表内,系统提供API接口方便应用开发人员获取系统用户权限。
采用两授权体系实现灵活的权限管理策略,适应大多数权限控制需求。
按角色授权,系统应用支持对用户权限进行分级,具有相同权限类型的用户创建一个角色,权限实体可以分配给角色,所有具有指定角色权限的用户均具有相应的实体权限。
按部门授权,权限可以直接分配给部门,部门下的所有用户均具有指定的实体权限。
一个用户只能属于一个部门,也必须属于一个部门,但是可以属于多个角色。一个角色权限可以分配给多个用户。
系统具有多向权限设置机制,即可以通过权限实体进行针对部门或角色进行权限设置,又可以通过角色进行权限实体设置;同时即可以针对用户设置不同的角色,又可以通过角色设置不同的用户。
部门级管理员可以管理自己部门级的角色,并对自己的角色进行权限设置。
统一身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己的身份。
身份认证一般与授权控制是相互联系的,授权控制是指一旦用户的身份通过认证以后,确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在一个数字化的工作体系中,应该有一个统一的身份认证系统供各应用系统使用,但授权控制可以由各应用系统自己管理。
统一身份认证服务系统的一个基本应用模式是统一认证模式,它是以统一身份认证服务为核心的服务使用模式。用户登录统一身份认证服务后,即可使用所有支持统一身份认证服务的管理应用系统。
系统提供两种认证接口,一是在本平台开发的业务功能模块,系统提供认证API和全局通用SESSION,凡是在本平台开发的功能,均在统一的SESSION机制下运行,不需要额外的单点登录、应用集成等;二是第三方独立应用系统,由于没有与本平台融为一体,系统提供本平台用户和第三方应用系统用户的身份映射定义功能,以实现单点登录和应用集成。
注意:组织机构、用户、权限控制组件提供的API调用接口详见《新禾应用支撑平台开发手册》。