目前已經提出的針對資訊系統的通路控制模型有很多種,如:矩陣模型、自主通路控制模型、強制通路控制模型、基于角色的通路控制模型、工作流通路控制模型等,大多數PDM/PLM系統的授權模型往往是上述幾種授權模型的綜合。
1.前言
産品資料管理系統PDM和産品全生命周期管理系統PLM是以軟體為基礎,管理與産品相關的資訊和所有與産品相關過程的技術。随着資料庫技術與面向對象技術的應用,PDM/PLM技術得到了迅速的發展,并且逐漸實作了與企業其它資訊系統如CAD、CAPP、 ERP、CRM等系統的內建。PDM/PLM系統管理的範圍不僅限于設計部門和制造部門,也涉足到銷售、制造、财務、售後服務等各個部門。
PDM/PLM系統的安全是靠認證、通路控制、審計、加密等多種技術共同協作來保證的。通路控制技術處于系統安全的中心環節,保證了資料的保密性、完整性和可用性。在企業資訊化程度越來越高的今天,PDM/PLM系統中的通路控制技術發揮了越來越重要的作用。通路控制技術和授權模型在很大程度上影響着PDM/PLM系統的可用性、易用性和安全性。
目前已經提出的針對資訊系統的通路控制模型有很多種,如:矩陣模型、自主通路控制模型、強制通路控制模型、基于角色的通路控制模型、工作流通路控制模型等,大多數PDM/PLM系統的授權模型往往是上述幾種授權模型的綜合。
2.主流PDM/PLM系統授權模型的比較
表1 一些PDM/PLM産品的授權模型分析
表1給出了幾個主流PDM/PLM系統授權模型的比較。下面主要介紹一下這些系統在授權模型方面比較有特色的地方。
2.1 WindChill
WindChill采用了Domain(域)的概念,一個Domain是一些不同類型對象的集合。在每個不同的Domain上可以定義不同的通路控制政策和通路控制權限。
在每個Domain上的通路控制政策是由一系列的通路控制規則組成的。通路規則規定了主體對客體在各種生命周期狀态下的通路權限。規則的一般形式為“if then ”。這些規則是可以沿類樹從父類向子類蔓延。WindChill采用ACL(通路控制清單)的方式來展現一個對象上的通路控制規則。
2.2 Teamcenter Enterprise
Teamcenter Enterprise 中的權限控制使用“基于規則” 的方式,可以通過規則來實作對使用者操作權限的控制,控制使用者、角色、工作組和部門對一個對象、一類對象或資料倉庫的操作權限,并可與電子流程相結合。
Teamcenter Enterprise支援三類規則:
★通路控制規則(Message Access Rules)
★通知規則(Notification Rules)
★資料定位規則(Location Selection Rules)
Teamcenter Enterprise中提出了動态使用者的概念,一個使用者,隻有在滿足某種屬性條件的前提下,才可以具有某些權限。
2.3 Teamcenter Engineering
Teamcenter Engineering通過兩種方式控制使用者對資料文檔的通路:
★面向對象的通路控制方式
★以規則為基礎對資料對象實行分類通路控制
其中規則方式是一種粗線條的管理方式,在規則控制的通路(Rule_Based Access)控制中,可根據資料對象目前的狀态、類型、所屬使用者或組三個屬性統一确定可存取該資料的人員範圍。
Teamcenter Engineering中同樣采用了基于角色的通路控制,一個用必須以某種角色登陸,才能擷取相應的權限。
Teamcenter Engineering通過存取規則定義表,初始化權限模型,比較容易閱讀。
3. PDM/PLM 授權需求的多元化
雖然目前對PDM/PLM系統的授權模型的研究和應用有了很大的進展,但是這些模型并不能完全支援客戶在實際使用中提出的各種權限需求。這些需求主要表現在下面幾個方面:
★主體的多元化:權限不僅需要定義到使用者和角色上,而且必須支援權限定義在其它類型的主體上。比如,使用者可以通過分組形成靜态組織,也可以通過動态分組形成項目組,有時需要把權限定義到這些靜态組織和項目組上。
★權限的多元化:權限根據不同的客體應用,可以分為對象類權限、對象權限、屬性權限、部件權限、管理權限、二次配置設定權限、代理權限等。普通的基于類的授權,已經不能滿足實際的應用需求,必須建立對類的執行個體化對象以及對象屬性的權限控制。另外,相對于使用者和類來說,執行個體化對象的數量非常龐大,如何保證通路驗證的效率是授權模型在實作過程中最大的難題。
★對象在生命周期中的權限變化:同一個使用者,對同一個對象,在該對象的不同生命周期,有着不同的權限。如設計員在圖紙對象的設計階段有修改的權限,在該圖紙被釋出之後,該設計員就隻有浏覽和讀的權限了。這就要求把權限定義到對象的生命周期上。
★統一的授權模型架構:随着PDM/PLM系統的發展,PDM/PLM系統中包括的子系統越來越多,比如除了傳統的資料管理子系統,很多PDM/PLM系統還內建了工作流子系統,ERP子系統,CAD子系統等。這就要求必須有一個統一的授權架構來支援在PDM/PLM中控制這些子系統中的資料的權限,而不能隻由各個子系統的授權模型來控制權限。
★權限分級管理:目前大部分PDM/PLM系統的權限管理都由全局的系統管理者角色來擔任,該系統管理者負責配置設定整個系統的權限。由于該系統管理者可以無所不為,實際上系統管理者成了企業安全最大的漏洞。而在實際應用中,由于部門之間往往存在着各種利益沖突,是以在實施資料的管理中,不僅有全局化的資料,而且各個部門會有各自的資料,這就要求管理者的權限必須受到限制,不能随意通路各個部門的私有資料。此外,從實際的運作管理來講,該系統管理者也無法詳細了解各個部門的人員對權限使用的要求,無法更好地設定企業的權限。是以需要建立分級的權限管理者。
★規則授權和矩陣授權的結合:基于條件表達式的規則授權有很高的靈活性,但是當規則增多時,系統的效率會大大下降,因為需要逐條對規則判斷。另外一個對象可能會出現在多條規則中,是以需要一套複雜的機制來處理規則之間的授權沖突。而基于矩陣的授權因為可以直接利用資料庫的查詢機制,是以有很高的效率。但是基于矩陣的授權靈活性、擴充性較差。如何把這兩種方式結合起來,進而實作靈活高效的授權機制,以适應日益複雜的企業對授權的需求,是對PDM/PLM系統權限模型提出的一個更大挑戰。
4. TiPLM 的授權模型
清軟英泰的産品全生命周期管理系統——TiPLM是基于.Net開發的采用多層體系結構的PLM系統。在TiPLM的底層服務中有專門的安全服務子產品,為TiPLM的各個子產品和應用程式提供統一的安全服務。權限驗證就是這些安全服務中的一個重要組成部分。為了滿足企業的實際需求,TiPLM的權限模型在基于角色和基于流程的授權模型的基礎上,進行了多方面的擴充。其主要特點展現在下面幾個方面。
4.1 統一的授權架構
TiPLM的授權模型的體系架構如圖1所示。包括了五個子產品和四個接口。授權邏輯模型定義了權限驗證的邏輯規則。普通使用者使用TiDesk子產品完成其工作,TiDesk通過接口1進行使用者通路的權限驗證。權限管理者使用TiModeler子產品通過接口2進行權限的設定。系統定制員使用TiPolicy通過接口3定制企業授權的元模型和插件擴充。通過接口4可以實作針對不同資料庫(如Oracle,SQLServer等)的符合邏輯模型的權限驗證規則。
4.2 多級蔓延機制
由于PDM/PLM系統中有多種主體和客體類型,比如主體有使用者、角色、組織等,客體有類、執行個體化對象、對象屬性等,這些不同的類型有各種依賴和制約關系。是以在實際進行權限驗證時,必須綜合考慮這些類型之間的關系。TiPLM系統采用了多級蔓延機制來保證權限驗證的正确性和易用性。
5.結束語
企業對PDM/PLM系統授權的各種特定需求,是企業PDM/PLM系統實施過程中經常遇到的問題。如何準确、快捷、有效、及時地滿足這些授權需求,是各個PDM/PLM軟體廠商都需要考慮的問題。雖然這個問題的影響因素包括很多方面,但是,一個具有支援可定制的、開放的、易擴充的授權模型的系統是至關重要的,也是必須的,否則将無法滿足企業日益增長和變化的需求。綜上所述,可以看到TiPLM系統可以從多個層面滿足企業在PDM/PLM系統實施和應用過程中對授權的不斷變化的需求。
轉載于:https://www.cnblogs.com/yitian/articles/813951.html