综述
304 2016 年 50 期
浅谈产品数据管理系统的用户权限管理
邵广松
江西昌河汽车有限责任公司技术中心综合管理所,江西 景德镇 333000
摘要:通过对产品数据管理系统的分析,探讨了产品数据管理系统中数据、工作流程、活动、操作和角色之间的关系,提出 了基于此的用户权限的建模方法。通过在公司的 PDM 系统中建立用户权限管理模型的应用,证明了这种方法具有简单、规范、
有效等特点,并可广泛应用于其他类型的复杂信息系统中。
关键词:用户权限控制模型;数据-工作流程-活动-操作-角色模型;产品数据管理。
中图分类号:TP311.13 文献标识码:A 文章编号:1671-5659(2016)50-0304-02 引言
产品数据管理系统是沟通企业内各种信息的桥梁和框 架,它管理所有与产品相关的信息和过程的大量数据[1]。对 于这种大型的数据库系统,正确的用户权限管理[2~4]是保 证这些数据资料的安全性、准确性、完整性和一致性的基础。
文[3]提出了基于角色的访问控制理论;文[2,3]提出了基 于用户-角色的安全管理的模型;文[4,5]结合实际应用提 出了用户权限管理与工作流程管理有关的思想。
为此,本文从 PDM 系统应用特点出发,首先探讨 PDM 系 统中数据、工作流程、活动、操作和角色之间的关系以及它 们的相关性质;然后,提出基于此的用户权限管理的建模方 法。最后。以公司 PDM 系统实施过程为例,说明采用基于此 的用户权限管理模型的建模过程。
1 PDM 系统的组成要素及其关系 1.1 系统的基本要素
任何 PDM 系统都具有以下 5 种基本要素:数据、工作流 程、活动、操作和角色。为此,本文首先定义这 5 种基本要 素:
1.1.1 数据
是指 PDM 系统中以简单的数据项、复杂对象(如图形文 件)、数据库中的表、视图等形式存在的操作可直接访问的 对象。它包括数据和数据之间的关系两层含义。
1.1.2 操作
是指 PDM 系统中对数据进行存取的方式,如对数据库表 的读、写、修改、查询、删除、更新等。
1.1.3 工作流程
是指 PDM 系统中定义在具体数据上的具有确定顺序的活 动整体。如产品目录单的工作流程是由设计(或称为输入)、 校对、审核、标审和批准顺序组成,其中,设计、校对、审 核、标审和批准称为活动。
1.1.4 活动
是指 PDM 系统中数据的处理过程,一个活动可以由多个 操作构成。如设计活动可以由读、写、修改、查询、删除、
更新等组成。
1.1.5 角色
是指 PDM 系统中定义在数据上的特定操作权限的集合,
或称为对一数据具有特定访问权限的用户类。如设计员角色 是指对所设计的新产品技术文档具有读、写、修改、查询、
删除、更新等权限的用户类。
1.2 各要素之间的关系
对于 PDM 系统中任何与产品相关的信息及过程数据的管 理与维护,都存在这样一条规律,在任何时候,用户必须以 特定角色的身份按给定工作流程所规定的活动对相应数据 执行规定权限的操作。其工作流程结构见图 1。
工作流程
活动n 活动2
活动1
操作m 操作2
操作1
角色j 角色2
角色1
……
……
……
图 1 PDM 系统中工作流程结构
避开各要素的具体细节,PDM 系统中各要素之间关系以
及系统用户与各要素之间的关系可以用实体关系图表示,见 图 2。
数据
操作
角色 活动
工作流程
用户 规定
(一对一)
组成
(一对多)
包括
(一对多)
分配
(多对多)
担当
(多对多)
图 2 各要素之间的关系
在图 2 中,在系统任意稳定的状态下,一个具体数据对 象具有唯一确定的工作流程,它们之间形成一对一的关系;
工作流程由若干活动组成,它们之间形成一对多的关系;每 一活动包含若干操作,它们之间形成一对多的关系;这些活 动的不同组合并对每一种组合加以命名形成不同的角色,这 样,角色与活动之间形成多对多的关系;同样在系统中,一 个角色可由多个用户来担当,一个用户可以担当多个角色,
它们之间形成多对多的关系。
综上所述,在 PDM 系统中用户的访问权限不仅与访问对 象(数据)有关,而且与控制数据的流程有关。
2 用户权限管理的建模方法
从上述讨论可知,在 PDM 系统中设置用户权限不仅要考 虑管理对象——数据,而且要考虑管理对象的有关工作流程。
另外,文献[4]已经证明上述用户-角色关系中一个角色的权限 集合是唯一的,并且角色组成的系统中角色间存在非循环性,
即角色图中不存在环路。根据以上原理,本文将用户权限管 理建模过程分为如下几个步骤。
2.1 明确管理对象——数据
只有在明确了解管理和操作的对象有哪些类型的基础 上,才能明确它们各自的管理流程和管理与操作需求,从而 定义角色对应的权限类别。如公司用于汽车设计的 PDM 系统 涉及到的文档类型主要有:明细表、目录单、图纸、更改单、
临时更改单、技术单等。在此基础上建立数据的工作流程。
图 3 表示目录单相关记录之间的关系。
目录单 型号 A4 目录单编号 A30 图号 A30
图纸有效期 型号 A4 目录单编号 A30 图号 A30 图纸版本号 DC6.3 目录单概要
型号 A4 目录单编号 A30
目录更改记录 型号 A4 目录单编号 A30 更改单编号 A16 更改页码 1
拥有
(一对多)
生效
(一对多)
更改
(一对多)
图 3 目录单相关记录之间的关系
中文科技期刊数据库(引文版) 工程技术
2016 年 50 期 305 2.2 建立数据对象的工作流程及其活动
在 PDM 系统中,每个管理和操作的数据对象都有相应的 工作流程,如审批流程和更改流程,这些流程大多数都有企 业标准来规定,其中规定了流程中活动和活动的执行顺序;
活动规定了对数据的静态访问权限;活动的执行顺序规定了 对数据的动态访问权限。在建立 PDM 系统的用户管理模型时,
只有按照所规定的数据对象的审批流程和更改流程,才能建 立符合企业标准的对这些数据对象的用户访问权限的模型。
表 1 列出公司零组件流程及其活动和操作。
表 1 A 零组件流程及其活动和操作 被 操 作
和 管 理 的 数 据 对象
审 批 流 程 及 其 活动
活动的操作
读 写 删 改 拷 角色 贝
A 零组件
设计 是 是 是 是 是 A 零 组 件 设 计员 核 对 提
交 是 否 否 否 是 A 零 组 件 校 对员 审 核 提
交 是 否 否 否 是 A 零 组 件 审 核员 标 审 提
交 是 否 否 否 是 A 零 组 件 标 审员 审 定 提
交 是 否 否 否 是 A 零 组 件 审 定员 批 准 提
交 是 否 否 否 是 A 零 组 件 批 准员 发放 是 否 否 否 是 A 零 组 件 数
据发放员 2.3 定义角色
PDM 系统中的角色是指对某数据对象操作的集合,它与 对应数据对象的工作流程及其活动有关。表 1 中表示了汽车 某零组件 A 在流程中所定义的角色。
在 PDM 系统中可建立以下角色:普通用户、设计员、校 对员、审核员、审定员、标审员、批准员、数据发放员和系 统管理员等。其职责如下:
普通用户:进入系统的一般人员,如生产现场人员。
设计员:设计部门从事产品设计开发的人员,其对发出 的图样、设计文件的质量全面负责。
校对员:校核设计的正确性、协调性及资料成套性等,
对图样、设计文件的质量与设计共同负责。
审核员:检查设计质量,对本专业范围内的产品结构、
原理、性能协调以及经济性等主要技术问题负责。
审定员:审查设计的合理性,监督设计质量。主要审查 设计方案,原理、性能、重大协调关系,设计资料的成套性 以及是否履行了本单位内签署程序。
标审员:审定各项标准选用的正确性及品种规格的控制。
发出的图样、设计文件是否符合有关标准。
批准员:批准某项事务最终执行的人,对整个事件负责。
数据发放员:分发数据至相关单位的人。
系统管理员:PDM 系统中拥有最高权限的用户,可代行 其他一切权限。
2.4 定义用户
企业各职能部门及其各级人员原有职能主要是针对各 类型文档原有的手工管理方式设置的,采用 PDM 系统后,首 先,必须对其重新定义,明确各级人员所承担的任务及其所 接触到的数据类型。例如,规范后的公司各级技术人员所承 担的职责和任务如下:
总工程师:审查设计方案,原理、性能、重大协调关系,
对图纸、技术文档具有审定权。
质量控制人员:受总工程师的领导,负责设计文件的质 量监督审查,对图纸、技术文档具有质控权。
设计组组长:对本组设计员的设计质量负责,对本组有 关的图纸、技术文档具有审核权。
标审人员:审定图样、设计文件是否符合有关标准,对 图样、技术文档具有标审权。
设计员:设计本组有关图纸、设计文档,具有设计权。
其次,要对人员编号。编号一般应与企业组织机构和部 门无关。
最后,按照项目要求,将各类人员按角色分配到人,使 各类用户有规定的访问权限。
3 应用举例
根据公司的实际情况,以汽车零组件 A 为例,说明其用 户访问权限管理模型的建立过程。按照上述建模过程,形成 用户访问权限管理模型如表 2 所示。
另外,系统管理员是一个特殊的用户,是系统中具有最 高权限的人员,同时也负责维护系统的正常运转。他除了具 有表 2 中的所有权限外,还应具有的管理功能有:项目管理、
用户管理、权限管理、工作流程定义等。
表 2 A 零组件用户权限管理模型 被 操
作 和 管 理 的 数 据 对 象
审 批 流 程 及 其 活动
活动的操作
角色
用 户
( 编 读 写 删 改 拷 号)
贝
A 零 组件
设计 是 是 是 是 是 A 零 组 件
设计员 500982 核 对
提交 是 否 否 否 是 A 零 组 件
校对员 030013 审 核
提交 是 否 否 否 是 A 零 组 件
审核员 001425 标 审
提交 是 否 否 否 是 A 零 组 件
标审员 030190 审 定
提交 是 否 否 否 是 A 零 组 件
审定员 004625 批 准
提交 是 否 否 否 是 A 零 组 件
批准员 004321
发放 是 否 否 否 是
A 零 组 件 数 据 发 放 员
035311
由表 2 的用户权限管理模型可以看到,一个数据对象有 其工作流程;一个工作流程有一系列给定顺序的活动;同一 活动由一系列操作组成;不同活动的不同操作序列对应不同 的角色;同一角色可以由不同用户担当;同一用户可以同时 扮演不同的角色,完成不同的任务,拥有不同的权限。用户 权限管理的建模过程就是填写表 2 的过程。
4 结束语
本文针对企业 PDM 系统的设计与开发,探讨了数据、工 作流程、活动、操作和角色之间的关系,探讨了在这种模型 基础上的用户权限管理模型的建模方法。实践证明这种方法 具有建模方法规范、过程清晰、操作简单等特点,并可广泛 应用于其他类型的复杂信息的用户管理系统的建模。
参考文献
[1]高其微,莫欣农.产品数据管理及其实施[J].机械工业出 版社,1998.
[2]约瑟夫·萧塔纳.制造企业的产品数据管理[M].祁国宁,
译.机械工业出版社,2000.
[3]朱虹,冯玉才,吴永英.基于用户-角色的安全管理[J].
华中理工大学学报,2000(4).
[4]苟吉华,彭颖红,阮雪榆.PDM 实施中的建模技术[J].计 算机辅助设计与制造,1999(12).
作者简介:邵广松,男,28 岁,于 2010 年 6 月毕业于南京 航空航天大学信息工程专业。
