انتقل إلى المحتوى

الأدوار والصلاحيات

ما هي

يقرّر ManpowerIQ مَن يستطيع فعل ماذا عبر صلاحيات مُجمَّعة في أدوار. الصلاحية قدرة واحدة (مثلًا "عرض الموظفين")؛ والدور حزمة مُسمّاة من الصلاحيات؛ ويحصل المستخدم على دور أو أكثر. وكل إجراء محمي يتحقّق من صلاحيات المستخدم المسجَّل قبل تنفيذه.

لماذا توجد

يُدار الميناء بأنواع كثيرة من الناس — مخطِّطون ومشرفون ومديرو خطوط وموارد بشرية ومسؤولون والموظفون أنفسهم. ويحتاج كلٌّ منهم شريحةً مختلفة محصورة من النظام: المخطِّط يبني الجداول، والموظف يرى جدوله هو، والموارد البشرية تتولّى الإجازات. والصلاحيات-في-الأدوار تتيح لكل وحدة عمل أن تمنح بالضبط الوصول الذي يحتاجه كل عمل، لا أكثر، مع إبقاء التحقّق مفروضًا باتّساق عبر التطبيق كله.

المفاهيم والمصطلحات الأساسية

  • الصلاحية — قدرة واحدة، تُكتب رمزًا منقوطًا مثل employee.view. تأتي الصلاحيات من فهرس عالمي واحد تتشاركه كل وحدات العمل، ومُجمَّعة في فئات.
  • الدور — حزمة مُسمّاة من الصلاحيات. والأدوار مملوكة لكل وحدة عمل: لكل وحدة عمل الآن تسعة أدوار مُعرَّفة من النظام (السبعة الأصلية إضافةً إلى HR_DIRECTOR وCOO، المُضافين في سبرنتات لاحقة)، لكن أدوار وحدة العمل ملكها هي.
  • إسناد الدور — منح دور لمستخدم. ويمكن أن يكون الإسناد اختياريًا محصورًا بقسم، ويحمل تاريخَي سريان-من / سريان-إلى، فيمكن تحديد الوصول مكانًا وزمانًا.
  • المنح المحصور بقسم — إسناد دور ينطبق داخل قسم واحد فقط، لا عبر وحدة العمل بأكملها.
  • المسؤول الأعلى — مستخدم مُعلَّم كمسؤول أعلى يتجاوز حصر وحدة العمل ويصل عبر المستأجرين. مخصّص للإدارة الموثوقة.

كيف تعمل

نموذج الوصول في ManpowerIQ متمحور حول الصلاحيات:

  1. فهرس صلاحيات عالمي واحد. يوجد فهرس واحد لرموز الصلاحيات (مثل employee.view)، مُتطابق عبر كل وحدات العمل. وكل صلاحية تنتمي إلى فئة.
  2. الأدوار حِزَم، مملوكة لكل وحدة عمل. لكل وحدة عمل أدوارها الخاصة، مزروعة من مجموعة مشتركة من أدوار النظام، يُجمِّع كلٌّ منها بعض الصلاحيات.
  3. المستخدمون يتلقّون الأدوار. يُمنح المستخدم دورًا أو أكثر. وقد يُضيَّق كل منح إلى قسم واحد ويُحدَّد بـتواريخ سريان.
  4. كل إجراء محمي يُتحقَّق منه وقت التشغيل. الشاشات وإجراءات الواجهة البرمجية محروسة بصلاحية مطلوبة (مثلًا، إجراء محروس بـemployee.view). وعندما تتصرّف، يتحقّق النظام من صلاحياتك الفعّالة — من أدوارك، بما في ذلك أي حصر بقسم — ويسمح بالإجراء أو يرفضه. والمسؤولون الأعلون يجتازون فحوص المستأجر تلقائيًا.

ولأن التحقّق على الصلاحيات لا على أسماء أدوار مُضمَّنة في الشيفرة، يمكن لوحدتَي عمل أن تشكّلا أدوارهما بطريقتين مختلفتين بينما تبقى القدرات الأساسية نفسها مفروضة باتّساق.

شاشة إدارة الأدوار — أدوار النظام التسعة (SYS_ADMIN … COO)؛ الأدوار المزروعة للنظام للقراءة فقط.

الأدوار التسعة

لكل وحدة عمل أدوار النظام التسعة هذه (السبعة الأصلية إضافةً إلى اثنين أُضيفا لاحقًا) — رمز الدور — الاسم المعروض — ما الغرض منه:

الرمز الاسم الغرض
SYS_ADMIN مسؤول النظام وصول كامل — كل صلاحية.
HR_ADMIN مسؤول الموارد البشرية إدارة الموظفين والمهارات والشهادات؛ عرض الإجازات وإعدادها؛ عرض سجل التدقيق.
PLANNER المخطِّط بناء خطط الطلب والجداول؛ عرض القوى العاملة؛ طلب الإعارة عبر المجموعات.
MANAGER مدير القسم اعتماد الجداول ونشرها؛ اعتماد الإجازات والوقت الإضافي والإعارة عبر المجموعات والإطلاق المبكّر؛ التحقّق من الحضور.
SUPERVISOR المشرف التقاط الحضور والتحقّق منه؛ تقديم الإطلاق المبكّر؛ عرض الجداول والفريق.
EMPLOYEE الموظف خدمة ذاتية: عرض جدوله، طلب إجازة، عرض ملفّه الشخصي.
VIEWER المُشاهِد قراءة فقط عبر الموظفين والمهارات والشهادات والجداول والطلب والإجازات.
HR_DIRECTOR مدير الموارد البشرية قيادة الموارد البشرية: استيراد/تحرير الحضور + الإشراف على التسوية (نطاق حضور ضيّق، لا إدارة موارد بشرية كاملة).
COO الرئيس التنفيذي للعمليات تنفيذي: مراجعة/التحقّق من الحضور + الإشراف على التسوية.

ما يستطيع كل دور فعله (كما زُرع أصلًا)

مُلخَّص من زرع الأدوار-والصلاحيات الذي يَشحن مع النظام. عامِل هذا على أنه الأساس المزروع، لا الكلمة الأخيرة (انظر الملاحظة أدناه).

  • SYS_ADMIN — كل الصلاحيات الـ97.
  • HR_ADMIN — إدارة الموظفين والمهارات، إدارة الشهادات، عرض الإجازات وإعدادها، عرض ملفّه الشخصي، عرض لوحة المعلومات، وعرض سجل التدقيق.
  • PLANNER — إنشاء/تحرير خطط الطلب، عرض وإنشاء/تحرير الجداول، عرض الموظفين/المهارات/الشهادات، طلب الإعارة عبر المجموعات، عرض الإجازات، عرض ملفّه الشخصي ولوحة المعلومات.
  • MANAGER — عرض/اعتماد/نشر الجداول، عرض الطلب، اعتماد الإجازات/الوقت الإضافي/الإعارة عبر المجموعات/الإطلاق المبكّر، التحقّق من الحضور، عرض الموظفين/المهارات/الشهادات، عرض ملفّه الشخصي ولوحة معلومات القسم.
  • SUPERVISOR — عرض الجداول، التقاط الحضور والتحقّق منه، تقديم الإطلاق المبكّر، عرض الموظفين/المهارات، عرض الإجازات، عرض ملفّه الشخصي ولوحة معلومات القسم.
  • EMPLOYEE — عرض جدوله، طلب إجازة، عرض ملفّه الشخصي.
  • VIEWER — قراءة فقط: عرض الموظفين والمهارات والشهادات والجداول والطلب والإجازات وملفّه الشخصي ولوحة المعلومات.
  • HR_DIRECTOR / COO (أُضيفا بعد أساس MIQ-003) — نطاقا حضور + تسوية ضيّقان (استيراد/تحرير/مراجعة الحضور، عرض/التحقّق من التسوية)؛ انظر Sprint/RBAC_RolePermission_Extract.md لمنحهما الدقيقة.

الصلاحيات حسب القدرة — أمثلة

عيّنة من رموز الصلاحيات والقدرات التي تتحكّم فيها، قابلة للتتبّع إلى قاعدة الحقائق. أُضيف بعضها في سبرنتات بعد زرع الـ40 صلاحية الأصلية — والفهرس الآن 97 صلاحية — ولهذا الفهرس الحالي الكامل أكبر من الأساس أعلاه.

  • allocation_rule.read / .write / .execute — عرض وتحرير وتشغيل محرّك قواعد التخصيص (التحرير = SYS_ADMIN + HR_ADMIN فقط؛ ويستطيع المخطِّط تشغيل المحرّك لكن لا تحرير مجموعات القواعد).
  • allocation_run.read / .write / .execute / .lock / .debug / .archive — إدارة جولات التخصيص عبر دورة حياتها.
  • demand.confirm / demand.override — تأكيد خطة طلب؛ تجاوز خطة/خلية مقفلة بسبب.
  • pool.read / .write، pool_lending_rule.read / .write — إدارة المجموعات وقواعد الإعارة الاتجاهية بينها.
  • imports.run / imports.view_history — تشغيل الاستيراد من Excel؛ عرض كل وظائف الاستيراد في وحدة العمل.
  • certifications.read / certifications.manage — عرض وإدارة الشهادات.
  • roster.create — إنشاء تعيينات الورديات / الجداول.

القواعد وما يُفرَض

  • الصلاحية مطلوبة لكل إجراء. كل شاشة/إجراء محمي يُسمّي الصلاحية التي يحتاجها؛ وبدونها يُرفَض الإجراء.
  • نطاق القسم. المنح المحصور بقسم يحصر الدور في ذلك القسم فقط.
  • التأريخ بالسريان. المنح ينطبق فقط بين تاريخَي سريان-من وسريان-إلى.
  • عزل وحدة العمل. الأدوار ومنوحها والمستخدمون محصورون في وحدة عمل؛ أما فهرس الصلاحيات نفسه فعالمي.
  • تجاوز المسؤول الأعلى. المسؤول الأعلى يتجاوز حصر وحدة العمل بحكم التصميم — منحٌ قويّ، مقصورٌ عمدًا على الاستخدام الموثوق.

ما هو متاح مقابل المخطَّط له

  • التحكّم في الوصول المبني على الأدوار متاح ومفروض عبر التطبيق — فهرس الصلاحيات، وأدوار وحدة العمل، والمنوح المحصورة بقسم والمؤرَّخة بالسريان، والتحقّق من الصلاحية وقت التشغيل، كلها تَشحن.
  • يزرع النظام فهرس صلاحيات عالميًا وأدوار النظام التسعة أعلاه في كل وحدة عمل.

ملاحظة. منوح الأدوار السبعة الأساسية أعلاه تأتي مباشرةً من ترحيل زرع RBAC (الـأساس)؛ وأضافت سبرنتات لاحقة صلاحيات تتجاوز الـ40 الأصلية (قواعد/جولات التخصيص، المجموعات، الاستيراد، الحضور، إدارة القوائم، وأكثر) والدورَين الإضافيين. والمصفوفة الحالية المُتحقَّق منها — 97 صلاحية × 9 أدوار — مُسجَّلة في Sprint/RBAC_RolePermission_Extract.md، والمصفوفة المرجعية الكاملة دور × صلاحية منشورة في دليل المطوّر: مصفوفة RBAC. تُظهر هذه الصفحة الأدوار المُسمّاة وصورةً تمثيلية مُوثَّقة لا المصفوفة الكاملة.

ذات صلة