【权限】连锁行业权限解决方案-系统自动授权

背景：

在连锁行业中，门店店长会负责自己门店一些必要的人事工作以及排班等任务，需要授予系统管理员的权限； 但如果门店较多，人员变化频繁的话，人工添加/修改管理权限的工作量会很大，而且容易产生遗漏；  因此，我们提出动态授权方案，基于员工岗位/城市/部门等一系列条件的变化，系统自动授予符合条件的人群某个管理角色；同时，不符合条件的用户也会自动回收管理权限；

功能详情：

1. 用户列表：

• 支持多条件筛选用户；
• 用户列表除了手动添加/禁用的用户外，还包括按规则自动授权的用户、满足规则可以申请权限的用户；

2. 角色列表：

• 按角色的授权模块筛选，包含筛选模块的角色都可被筛选出来；
• 新增从模版快捷添加角色，预设常用角色权限，可在预设预设权限基础微调；
• 角色列表可预览哪些角色已设置自动授权规则 或 员工申请授权规则；角色设置各类型任一条规则即视为已设置；
• 角色授权用户数包括：已经授权为管理员和满足申请条件但未申请的用户； 点击数字，可预览具体用户及账号开通情况；
• 操作列新增编辑规则，点击可进行授权规则添加/调整；

3. 添加/编辑角色：

各模块的管理范围选择条件，按模块特点会有不同；在计算最终范围时，条件之间取交集；同一个条件内选择多个值，取并集；

管理部门几种不同的选择方式：

• 组织架构，即选择指定的部门；
• 负责范围，即选择负责的不同关系，比如负责部门、负责虚拟组织等；
• 组织类型，即选择管理员自己所在部门向上的某种类型的组织；如果存在多个同类型组织，取离根节点最近的组织；

管理范围确定和变动：

• 角色设置了相对范围（需要确定用户才能最终确定部门范围的情况），授权给用户后，用户的真实管理范围会随着自身属性的变化实时更新；比如 某用户1管理范围为负责部门，那么当该用户1负责部门发生变化时，他的管理范围会自动按最新的负责部门计算；
• 已授权给用户的角色，管理范围修改后，授权用户重新登录系统时，新的管理范围生效；

4. 角色授权规则：

角色授权规则分两类：第一类，满足规则自动添加为管理员；第二类，满足条件的员工可以自助申请管理员权限，审批通过后自动成为管理员；

被授权规则授权的用户，无论是自动授权还是申请收取，一旦自身条件和角色设置的规则不一致，将自动回收管理权限；

5. 规则设置：

一个角色角色可以设置多条自动授权规则和申请授权规则； 无论哪条规则匹配，用户都有机会被授权为管理员；

授权规则目前支持以下字段：

6. 申请授权过程：

管理员权限按规则开通方式分为两种：第一，满足自动授权规则，直接成为管理员； 第二， 满足申请授权规则，有资格申请权限；

• 申请管理员权限，首先企业要设置“审批-员工审批-管理员账号”类型审批的审批流，并打开审批；
• 满足申请授权规则条件的员工，可以在自己的员工端看到「管理员权限」申请入口；
• 员工发起申请，审批通过后，系统将自动完成授权； 

7. 授权方式及覆盖逻辑：

在系统中，一个管理员只能授予一个角色的权限；但设置了授权规则，很有可能会影响到这些已经授权了的用户； 所以，针对这种反复授权的情况，有以下规则：

1. 手动修改用户角色时，无论之前角色是什么来源，都可以修改成功；
2. 用户被新申请授权规则命中，申请了新角色且审批通过时，新申请角色将自动代替原来授予的角色；
3. 用户被新自动授权规则命中，如果当前也是自动授权，那么授权角色将被更新；否则，如果当前角色是申请或手动添加的，则不再覆盖；

8. 管理员权限变化消息提醒：

当管理员权限变化时，新增加了消息提醒； 目前支持薪人薪事App、微信、钉钉、企业微信、云之家等协同工具的消息触达。

消息提醒具体场景如下：

9. 管理员ID优化：

一个管理员被删除后，重新添加为管理员，系统将认为他是新管理员； 特别在招聘模块，该管理员之前负责的职位、绑定的邮箱账号都不会自动再关联回来；在统计数据时，也会按两个人统计添加前后两份数据；

优化后：只要管理员没有从公司离职，删除管理员再添加回来，管理员还是之前的管理员，相关信息会自动关联；