前言

上篇文章主要介绍了HFM中的日记账模块，接下来看看HFM是如何控制权限的。

HFM权限相关的几个概念

• 用户：所有使用HFM的人员。一般有两个来源，一是从公司域中同步，二是HFM本地（Native Directory）新增；
• 组：基于实际需求，具有一样权限的用户可以看成是一个组。可以从域中同步，也可以从本地新增，与用户一致。
• 角色：HFM中，把不同的系统功能或者系统操作都定义为不同的角色，例如：日记账管理员角色、合并角色等；
• 安全类：HFM中安全类也有三种，第一种默认安全类系统中叫[Default]，第二种是数据权限安全类，第三种是目录权限安全类。当然，日记账也可以设置安全类。

权限控制原理

• 默认安全类[Default]：[Default]与角色中的默认值对应，如果[Default]设置成“无”，无论第二种数据权限设置成什么，都没办法看到数据，但是第三种会生效；
• 数据权限安全类：跟源数据中“SecurityClass”有关系，目前能设置“SecurityClass”属性的维度有：Entity、Account、C1-C4；常见的只定义了Entity。当某个组或者某个用户给了对应安全类的权限，则能看到跟对应维度叉乘的所有数据。如果，给了某个Entity权限，那么只能看到这个实体的所有数据；如果既给了某个Entity权限，又给了某个C1的权限，则会取他们的交集，只会看到这个实体和这个C1的权限；
• 目录权限，目录权限在系统中定义，区别于数据权限只能在元数据中定义。在新增文件夹或者表单时，会让选择安全类，此时的安全类能看到所有的安全类，包括上面三个安全类的所有，此时需要选择专门用来控制文件夹的安全类。

实现方式

方式一：用户+角色+安全类（谁+做哪些操作+干哪些范围），好处是可以设置一些特殊的用户权限；

方式二：组+角色+安全类（哪些人+做哪些操作+干哪些范围），好处是可以设置一批人都是这个权限，列如张三和李四AB角，那么只需要建一个组，然后把张三和李四都放到这个组中，那么他们的权限就一样了。

总结

HFM权限控制相对来说比较单一，如果想要灵活配置，需要在项目建设初期就要合理规划好，否则后续变更权限，工作量巨大，同时还可能出现问题。