The following macros are not currently supported in the header:
  • style

启用基于组织的安全性

本文包含以下主题:

使用基于组织的安全性功能,您可以限制用户对其所属组织的访问权限。 启用基于组织的安全性后,用户只能查看来自其个人组织的数据。 例如,属于 Organization1 的分析人员只能查看 Organization1 的 User1 提出的故障单。 基于组织的安全性将取代 ServiceAide Cloud Service Management 的访问控制权限。

启用基于组织的安全性时,请注意以下几点:

  • 不适用于管理员。 管理员可查看所有组织中的所有故障单。
  • 隐式应用于自助用户。 自助用户只能查看其组织及其以下组织层次结构内的故障单。

基于组织的安全取决于各个应用程序实体之间的关系。 下图说明了组织和其他应用程序组件之间的关系。


关系的依存关系

基于组织的安全性实施的有效性取决于各个应用程序实体之间的关系。 请考虑以下关系:

  • 组织-联系人-支持组:您可以将联系人关联到组织或与组织关联的支持组。
  • 组织-配置项:只能将一个配置项与一个组织关联。 CI 所有者的组织对组织-配置项关系没有任何影响。
  • 组织-故障单:最终用户记录故障单时,请求人和请求委托人用户的组织将成为组织。 如果请求人和请求委托人用户没有组织,将在不使用组织的情况下记录故障单。
  • 组织-资产

启用基于组织的安全性的影响

实施基于组织的安全性会影响以下各项:

故障单、配置项和资产

  • 故障单查看和搜索:分析人员可以查看和搜索故障单以及与故障单相关的 CI(与分析人员的组织关联)。
  • 故障单创建:分析人员只能代表共享该分析人员组织的用户来记录故障单。
  • 故障单分配:应用程序将不包含组织的故障单分配给默认支持组。 应用程序将任务故障单分配给上级故障单的默认分配组。 您可以将故障单分配给具有关联组织(与故障单中的组织类似)的联系人或支持组。
  • 变更审批:“我的未完审批”将仅列出与审批人的相同组织关联的那些变更审批故障单。 作为管理员,在配置故障单的审批组时请务必谨慎。 不管关联组织为何,故障单的审批和评论对变更审批人和审核人都可见。
  • SLA 升级:当目标支持组或联系人不与故障单的组织关联时,SLA 目标违反将失败。 应用程序会将此类故障单分配给默认支持组。
  • 故障单活动:不管关联组织为何,“故障单活动”选项卡都显示故障单的所有操作和通讯。 “活动”选项卡中的“查看相关内容”选项将显示与登录用户关联的组织的故障单。
  • 故障单上受影响的服务:不管组织为何,故障单上关联的受影响服务都处于可见状态。 用户权限控制对受影响服务执行查看和变更操作的访问权限。 请求人或请求委托人用户不属于关联组织时,分析人员无法查看他们的联系人记录。
  • 资产中心:资产经理或分析人员仅可以查看与他们通过直接关系或通过支持组关系所属的组织关联的资产。

  • 资产的批量操作:资产经理或分析人员可以使用以下批量操作修改或更新其组织内的资产。 

    • 更新组织:应用此批量操作时,资产经理或分析人员仅可以查看与其组织关联的组织。

    • 更新所有者:应用此批量操作时,资产经理或分析人员可以查看属于其组织的列表所有者。

    • 创建配置项:从资产创建配置项时,“组织”字段将根据资产经理的组织自动填充。

  • 创建/编辑资产:所有资产必须与组织链接。 资产创建期间,将基于资产经理的组织显示“组织/位置”、“供应商”和“所有者”字段。

电子邮件通讯

  • 故障单的自动通知:不管关联组织为何,出站电子邮件都将发送给由通讯模板标识的收件人。
  • 故障单的手动通知:不管组织为何,应用程序都将发送手动通知。
  • 审批通知:审批人的组织和故障单之间的不一致导致不会向收件人发送任何审批通知。
  • 传入电子邮件操作:应用程序将根据传入电子邮件创建新故障单。 故障单的组织、分配的联系人或支持组之间的不一致导致自动路由失败。 在这种情况下,故障单将分配给默认支持组。
    注意:配置通讯模板时,请确保模板中指定的收件人可以查看故障单。

搜索

  • 定义的搜索定义的即用型搜索不支持基于组织的安全性。 要针对基于组织的安全性限制搜索结果,请修改查询。

示例:

旧查询
SELECT <columns> FROM <table>[INNER JOIN <table having org Id>] WHERE <existing where clause> ${@eval. 
"${usercache.usergroup.is_user_an_administrator}".equals ("false") && 
"${syssliceconfig.enable_organization_based_access_control}".equalsIgnoreCase ("true"))?(AND EXISTS 
(SELECT 1 FROM vorg_contact_group_derived_relations WHERE slice=<outer table alias>.slice AND org_id 
=<outer table alias>.<outer table org id> AND user_id=${usercache.userprofile.user_id})):))eval}
更改的查询
SELECT row_id AS ''ID'', lvl1_name AS ''Company Name'', lvl2_name AS ''Site Name'', lvl3_name AS 
''Building'', floor AS ''Floor'', suite AS ''Suite'', office_cube AS ''Office/Cube'', closet AS 
Closet FROM vorg_attrb_location v WITH(NOLOCK) WHERE slice=${usercache.userslice.active_slice} 
${@eval.("${usercache.usergroup.is_user_an_administrator}".equals ("false") 
&& "${syssliceconfig.enable_organization_based_access_control}".equalsIgnoreCase ("true"))?(AND 
EXISTS (SELECT 1 FROM vorg_contact_group_derived_relations WHERE slice=v.slice AND org_id = 
v.lvl1_id AND user_id=${usercache.userprofile.user_id})):))eval}
  • 个人搜索:由登录用户为故障单和配置项配置的个人搜索支持基于组织的安全性。

  • 搜索通讯历史:能够访问此选项的分析人员可以查看故障单或关联组织的记录。

报告、显示板和图表

报告、显示板和图表显示属于登录用户组织的故障单、资产和配置项的结果。

知识文章

基于组织的安全性不控制对知识文章的访问。 在启用基于组织的安全性后,“相关项”选项卡将显示登录用户的配置项和组织。

Web 服务

Web 服务用户与组织、站点和位置关联。 启用基于组织的安全性时,Web 服务用户只能查看关联组织的记录。 这同样适用于 Web 服务调用对故障单和 CI 记录返回的记录。

由非管理员用户进行的记录配置

您可以将管理权限分配给分析人员和支持组,以便执行以下操作:

  • 管理联系人
  • 管理组织
  • 创建配置项

对于由非管理员用户进行的配置,基于组织的安全性表示以下含义:

管理组织

“管理组织”列表显示所有组织。 不管分析人员的组织为何,“位置信息”选项卡都将列出所有站点和位置。 “联系人”选项卡仅列出组织与登录用户相同的联系人。 如果用户执行“添加联系人”操作,“名称搜索”查找将仅显示关联组织中的联系人。 不管登录用户的组织为何,“组”查找都将显示所有支持组。

管理支持组

不管登录用户的组织为何,“管理支持组”列表都将显示所有支持组。 “位置”选项卡仅显示登录用户关联的组织。 如果用户执行“添加位置”操作,“组位置”查找将显示与登录用户关联的位置。 “成员”列表将显示与支持组关联的所有联系人。 当您向支持组添加联系人时,“名称搜索”查找将仅显示关联组织中的联系人。

删除关联组织时,支持组不受影响。

管理联系人

“联系人”列表仅显示属于登录用户的关联组织的联系人。 如果联系人与多个组织关联,应用程序将仅显示与登录用户关联的组织。 当您添加位置以将联系人与组织关联时,查找将仅显示与登录用户关联的组织。 “未结项”和“相关配置项”选项卡将显示属于用户组织的故障单和 CI。

发现配置

定义发现配置时,指定一个组织。 当发现运行时,将发现作为发现配置上提供的组织的一部分的所有资产。

配置项

当您将组织与“组织”查找中的 CI 关联时,查找将显示用户的组织。 名称搜索查找将仅显示与组织关联的联系人和支持组。

支持组记录上的“查看组织故障单”复选框仅对自助组有效。 应用程序将在组织记录上显示“支持组”选项卡。 不管基于组织的安全性状态如何,应用程序还将在“支持组”表单上显示“位置”选项卡。

启用基于组织的安全性

请执行以下步骤:

  1. 依次导航到“管理”“管理”、“工具”、“配置参数”
  2. 选择“系统”类别的参数 ENABLE_ORGANIZATION_BASED_ACCESS_CONTROL
  3. 将“参数值”设置为“Yes”,然后单击“应用更改”。
    将启用基于组织的访问控制。

基于组织的安全性方案

方案:针对自助用户的隐式 OBS

在此方案中,用户可查看其请求的故障单,以及所在组织及其以下组织层次结构内的其他故障单。 以下示例将说明如何为自助用户实现默认隐式控制:

  • ABC Inc 为根级组织。
  • Bruce Adams 是与根级组织直接关联的自助用户。
  • “总部”是 ABC Inc. 下的子组织。
  • Cat Taylor 和 Colter Ames 是与子组织关联的自助用户。

配置:

  • 参数类别 = 自助参数类别
  • 参数名称 = SSU_仅_查看_我的_请求
  • 参数值 = 否

在默认支持组 Self-Service 上,选择“查看组织故障单”选项。

下表显示与每个组织关联的用户将如何查看故障单:

用户 

查看 ABC Inc. 的故障单

查看总部的故障单

Bruce Adams
Cat Taylor
Colter Ames

方案:针对自助用户的特定 OBS

在此方案中,可限制允许用户查看的内容。 以下示例将说明如何为自助用户设置特定 OBS:

  • 共有两个组织:Royal Mail 和 Parcel Force。
  • 自助用户 Lynn Parker 和 Mary Newburg 与 Royal Mail 组织关联。
  • 自助用户 Jeff Hardy 和 Joe Smith 与 Parcel Force 组织关联。
  • 要求:
    • 来自 Royal Mail 的 Lynn Parker 和 Mary Newburg 将查看其已请求的故障单。 Lynn Parker 不会查看 Mary Newburg 所报告的故障单。
    • 来自 Parcel Force 的 Jeff Hardy 和 Joe Smith 将查看其已请求的故障单以及在 Parcel Force 组织内请求的其他故障单。

配置:

  • Lynn Parker 和 Mary Newburg 与支持组 Royal Mail SSU Group 以及默认组 Self-Service 关联。
  • Jeff Hardy 和 Joe Smith 与支持组 Parcel Force SSU Group 以及默认组 Self-Service 关联。
  • 参数类别 = 自助参数类别
  • 参数名称 = SSU_仅_查看_我的_请求
  • 参数值 = 否
  • 在默认支持组 Self-Service 上,取消选择“查看组织故障单”。
  • 在支持组 Royal Mail SSU Group 上,取消选择“查看组织故障单”。
  • 在支持组 Parcel Force SSU Group 上,选择“查看组织故障单”选项。

下表显示与每个组织关联的用户将如何查看故障单:

用户 

查看个人请求故障单

查看同一组织的其他故障单

Jeff Hardy

是 

是 
Joe Smith是 是 
Lynn Parker是 是 
Mary Newburg是 

用户可通过“我的故障单”查看其组织内的故障单。

请执行以下步骤:

  1. 导航到“服务中心”,然后单击“我的故障单”。
  2. 单击“筛选”,然后选择“显示我的组织的故障单”。

注意:如果该筛选选项不可用,用户则无法查看其组织内的其他故障单。

方案:针对分析人员的 OBS – 直接组织关系

此方案将说明 OBS 对与组织存在直接关系的分析人员的影响。

  • Paul Martin 是支持组 Parcel Force Support 的成员。
  • Paul Martin 同时也是 Parcel Force Organization 的成员。
  • 支持组 Parcel Force Support 与 Parcel Force Organization 直接关联。

配置:

  • 参数类别 = 系统
  • 参数名称 = 启用_基于_组织的_访问_控制
  • 参数值 = 是

结果:

  • 通过故障单中心,Paul Martin 可查看故障单的 assigned_to_group 为 Parcel Force Support Group 的故障单。
  • Paul Martin 可对与 Parcel Force Organization 关联的故障单进行全局搜索;即,该故障单的请求人或请求委托人已将组织设为 Parcel Force Organization。

方案:针对分析人员的 OBS – 间接组织关系

此方案将说明 OBS 对与组织存在间接关系的分析人员的影响。

  • Sue Sponsor 与组织 Royal Mail 直接关联。
  • Sue Sponsor 是 Database Support Group 的成员。
  • 反过来,Database Support Group 与 Oscar Inc Organization 关联,因此 Sue Sponsor 与 Oscar Inc Organization 间接关联。
  • Database Support Group 未与 Royal Mail Organization 关联。

Sue Sponsor 可执行以下任务:

  • 通过故障单中心查看分配给 Database Support Group 的故障单。
  • 查看用户与其直接或间接关联的组织的故障单。
  • 搜索与 Royal Mail Organization 和 Oscar Inc 关联的所有故障单。 全局搜索将查找请求人或请求委托人已将组织设为 Royal Mail Organization 或 Oscar Inc 的故障单。

摘要:

  • 通过故障单中心,分析人员可查看分配给其所在支持组的故障单。
  • 属于多个组织的分析人员可查看所有关联组织的故障单。
  • 分析人员无法查看分配给其未关联支持组的故障单。
  • 与故障单的请求人或请求委托人组织直接或间接关联的分析人员可执行以下任务:
    • 按关键字或故障单号来搜索未列出的故障单。
    • 打开和编辑故障单。
  • 如果请求人组织不同于故障单的请求委托人组织且分析人员为任一此类组织的成员,则代理可访问该故障单。
  • 如果分析人员拥有故障单的访问权限,但某一联系人(请求人或请求委托人)不属于某一关联组织,则故障单上将继续显示联系人详细信息,但用户无法查看联系人记录。 此时将显示消息“您正在请求的联系人不存在,或者您无权访问该联系人”。

© 2017 ServiceAide 1-650-206-8988 http://www.serviceaide.com info@serviceaide.com