一、功能权限收拢到角色
1.解决什么问题?
问题1:
实现我的团队支持自定义配置前,需要先支持按不同角色配置可查看的内容。
客户期望管控不同角色可查看的团队信息,如只有高层管理者可查看人才盘点、绩效、薪资。
问题2:
当前企业会通过自定义角色配置出高管角色,如ceo,但目前无法给自定义角色开通我的团队。
2.系统现状
目前,我的团队功能开通,是在自助服务-功能权限中配置
但该功能无法满足按不同角色配置,即所有角色的权限均是一样的。
3.逻辑描述&上线后感知
方案上线后,我的团队功能将通过角色功能权限开通。
1)将我的团队功能权限收到角色权限中,企业就可以配置不同角色能查看到的内容,超级管理员、自定义角色也可以开通我的团队功能。
2)数据迁移:
原我的团队 | 迁移方案 | 是否有感知 |
指定组织职责开通: 当用户作为某个部门的特定职责时,自动开通
| 组织职责角色: 当用户作为某个部门的特定职责时,自动授予角色。
开通指定组织职责查看的租户,上线后组织指责色会拥有我的团队权限。 | 数据迁移用户无感知 后续开通入口有变化,但功能逻辑与原有一致 |
按汇报线开通: 当用户作为实线汇报上级时,自动开通
| 新增“直线经理”角色: 当用户作为实线汇报上级时,自动授予角色。
开通汇报线查看的租户,上线后“直线经理”角色会拥有我的团队权限。 | 同上 |
二、数据权限收拢到角色
1.解决什么问题?
问题1:
用户会发现在不同页面查看到的数据范围不同。
在花名册和组织架构中可以查看A、B部门,在我的团队只能查看A部门。
原因是我的团队并不是根据角色管理范围查询的,而是业务处理的。
问题2:
业务处理还会导致,给自定义角色开通我的团队后,并配置管理范围,在我的团队里查看仍然是无数据
问题3:
(方便未来扩展)团队是by子公司、区域、成本中心、项目等维度进行划分,但目前我的团队目前只能根据部门、汇报线划分。
而角色的管理范围目前已支持按多维度授权,后续就可以根据角色管理授权方式来划分团队。
2.系统现状
我的团队并不是根据角色管理范围查询的,而是业务处理
3.逻辑描述&上线后感知
方案上线后,我的团队数据权限请求角色管理范围
原我的团队 | 迁移方案 | 是否有感知 |
按部门查看: 可查看用户作为该组织职责的部门及其子部门 | 无需迁移方案,直接读取角色管理范围
组织职责角色的管理范围: 用户作为该组织职责的部门及其子部门 | 无感知,但是会支持配置自定义角色在我的团队可查看的数据范围 |
按汇报线查看: 可查看实线汇报线的所有下级(包含直接和间接) | 无需迁移方案,直接读取角色管理范围
“直线经理”角色的管理范围: 可查看实线汇报线的所有下级(包含直接和间接) | 同上 |
ps:若给自定义角色也开通我的团队功能,数据权限也会包含将该角色配置的管理范围
三、字段权限优化
1.解决什么问题?
序号 | 问题 | case | |
1 | 解决字段越权 | 用户拥有作为: ·培训经理角色:花名册管全公司,可见培训字段 ·培训部负责人:花名册管培训部,可见所有字段
结果:该用户在花名册看全公司员工都能看到所有字段了
| |
2 | 收拢两套字段权限管理 角色字段权限、档案权限 | 产品设计上无法兼容管理者角色和HR角色 | HR在花名册和在IM穿透查看、审批穿透查看的员工信息不一致
|
同时用户也无法理解两套配置各自的作用
| 两套权限的关系是什么? 什么时候走档案权限? 啥叫上级可见,啥叫他人可见?
| ||
3 | 角色字段覆盖更多字段 | 招聘字段、履历字段为啥不能配置可见权限? | |
2.功能改动1:角色字段权限调整
2.1 逻辑描述
原逻辑 | 新逻辑 |
返回当前用户所有角色的字段权限交集或并集 ps:people一开始是交集,后因多家客户反馈有问题,改成并集。目前仍有17家为交集 | 第一步:查询当前用户有对应功能权限(带function_id请求,若为空则所有角色)的角色的管理范围 第二步:返回管理范围有被查看员工的角色的字段权限并集 |
2.2 客户感知
场景:
当用户作为培训经理角色(花名册管全公司,可见培训字段)
同时作为培训部门负责人(花名册管培训部,可见所有字段)
原逻辑效果 | 新逻辑效果(有感知) |
交集租户:查看全公司人员只能查看培训字段 并集租户:查看全公司人员都能查看所有字段 | 查看非培训部员工:可见培训字段 查看培训部员工:可见所有字段 |
3.功能改动2:档案权限收到角色字段权限中
3.1 逻辑描述
后续将不会存在档案权限设置页,所有页面请求字段权限统一走角色字段权限
原档案权限 | 新逻辑 | 图示 |
上级可见列 | 直线经理角色:控制作为上级时可见的字段 |
|
查看&编辑列 | 员工角色:控制员工本人可查看、可编辑的字段 | |
他人可见列 | 同事角色:控制查看非汇报线上下级同事时的权限 | |
需审核列 | 自助服务-个人信息修改-设置需审核字段:需审核的字段员工修改时需发起审批流程 |
|
3.2 客户感知
原档案权限控制的页面 | 原逻辑 | 新逻辑 | |
查看本人资料(PC&移动端) | 走档案权限-本人可见 | 走员工角色-字段权限 无感知:将员工角色-字段权限配置成和档案权限-本人可见一致 | |
我的团队(PC) | 走档案权限-上级可见 | 走角色权限 有感知:与2.2感知一致 角色A(我的团队管A部门,字段1) 角色B(我的团队管B部门,字段2) 原:AB部门都走档案权限-上级可见 新:A部门看字段1;B部门看字段2 | |
团队成员 (移动端) | 看本人 | 走档案权限-本人可见
| 走本人角色-字段权限 无感知:将员工角色-字段权限配置成和档案权限-本人可见一致 |
在开通我的团队的角色的管理范围内的员工 | 走档案权限-上级可见 | 走对应角色-字段权限 有感知:与2.2感知一致 | |
不在开通我的团队的角色的管理范围内,且不是本人员工 | 走档案权限-他人可见 | 走同事角色-字段权限 无感知:将员工角色-字段权限配置成和档案权限-他人可见一致 | |
IM穿透&miniprofile页 | 同上一行 | 同上一行 | |
团队绩效列表的人员字段 (只展示开启团队绩效权限的角色的管理范围内,且排除自己的成员) | 走档案权限-上级可见 | 走角色权限 有感知:与2.2感知一致 | |
绩效待办的人员字段 | 走档案权限,并且根据绩效环节执行人类型写死:
| 走角色权限 有感知: 1、绩效节点指定人或指定上级时,不会按照固定类型,而是根据该用户的角色字段权限。 【具体场景】绩效评估环节执行人选择上级类型,并指定执行人为小明 【原逻辑】小明会有档案权限-直接上级的字段权限,即使小明是普通员工 【新逻辑】会读小明拥有的角色的字段权限,若小明只有普通员工角色,则看不到相关员工信息字段,但不影响查看和打分绩效 2、读字段权限逻辑与2.2感知一致
| |
4.功能改动3:字段权限扩展字段
4.1 逻辑描述
原逻辑 | 新逻辑 |
仅支持个人信息、任职信息、招聘信息、合同字段字段 | 扩展履历字段、成长记录以及自定义tab字段 |
4.2 客户感知
有感知:通过以下表格分析会发现,无法初始化新增字段的可见权限,需客户配置
页面 | 分析 | ||
原角色权限控制,如花名册 | 有对应tab的功能权限,则可见所有字段 若兼容此线上效果,需要将新增的字段清洗为均有可见权限
| ||
原档案权限控制,如我的团队 | 根据档案权限控制,但档案全下会下架,统一走角色权限 若兼容此线上效果,需要将新增的字段清洗为和档案权限保持一致
|
