外观
角色与权限
智建云 UanBuild 按角色分配权限,登录后每位用户看到的侧边栏菜单、能进入的页面、以及能看到多少数据,都由所在角色的权限清单决定。本章说明权限如何生效、有哪些权限点、典型角色如何配置,供项目管理员和一线用户对照使用。
功能概述
平台的权限遵循三条基本规则。
- 权限由角色承载。每位用户在项目内归属一个或多个角色,角色被授予若干权限点,用户的权限是其所有角色权限的并集。
- 界面按权限渲染。登录后系统会下发当前用户的权限清单,前端只按这份清单显示或隐藏菜单与按钮,本身不做任何权限推导或角色判断。没有权限的菜单不会出现,直接输入地址进入无权限页面也会被后端拦截。
- 数据范围由权限驱动。拥有某个模块复核类(审核、验证、见证、审批)权限的用户按管理者对待,可以查看整个项目该模块的数据;没有复核类权限的用户只看与自己相关的数据(本人填报、本人经手的部分)。数据范围不按所属单位硬性隔离,而是跟着权限走。
平台沿用与安全随手拍一致的权限基线模型(角色到权限点的授权表结构相同)。智建云在此基础上按模块扩展了各自的权限点,覆盖看板、进度、项目、参建单位、文档、质量、品控、施工、采购、对外集成等模块。
与业务系统同一套账号
智建云与安全随手拍共用同一套企业账号体系。用一个工号或手机号加口令登录,系统会根据企业已开通的应用,展示可进入的产品;权限点则分别存放在各自的模块下,互不干扰。
界面构成
登录进入后,主界面分为三个区域。
- 左侧边栏:按业务分组的导航菜单。只显示当前用户有权限的分组和菜单项,某个分组下全部菜单都无权限时,该分组标题也会隐藏。
- 顶部栏:左侧是当前页面位置提示,右侧依次是项目选择器、当前日期和用户菜单。项目选择器用于在多个在建项目之间切换,切换后各模块的数据会跟随所选项目刷新。
- 主体区:当前菜单对应的工作页面。
侧边栏的分组与菜单项如下(括号内为控制该项显示的权限点)。
| 分组 | 菜单项 | 控制权限 |
|---|---|---|
| 进度与看板 | 管理看板 | dashboard.view |
| 进度与看板 | 进度计划 | schedule.view |
| 进度与看板 | 进度网络与关键路径 | schedule.view |
| 现场执行 | 质量管理 | quality.view |
| 现场执行 | 品控管理 | qc.view |
| 现场执行 | 施工管理 | construction.view |
| 商务采购 | 采购管理 | procurement.view |
| 文档协同 | 文件仓库 | doc.view |
| 系统集成 | 对外集成 | integration.view |
| 项目搭建 | 项目管理 | project.view |
| 项目搭建 | 组织与 WBS | schedule.view |
| 项目搭建 | 里程碑管理 | schedule.view |
| 项目搭建 | 参建单位 | participant.view |
看不到某个菜单,是权限没配到
菜单是否显示完全取决于是否拥有对应的查看类权限。如果某位同事反映找不到某个功能,先核对他的角色是否包含该模块的查看权限,而不是排查页面故障。
权限如何生效(登录到界面)
站在用户角度,权限生效的过程是这样的。
- 输入工号(或手机号)和口令登录。首次由管理员开通的账号,初始口令为 123456,登录后应及时修改。
- 系统校验账号口令,确认账号未被停用、且所在企业已开通智建云。
- 系统读取该用户在当前项目下的全部角色,汇总出权限清单,连同可访问的应用一起返回给客户端。
- 客户端据此渲染侧边栏和页面按钮。此后每次进入某个模块,后端仍会再次校验对应权限,前端显示与后端校验双重把关。
- 在顶部栏选择要操作的项目。之后所有查询和填报都针对这个项目进行。
权限调整后需要重新登录或刷新
角色或权限调整后,已经登录的用户需要重新登录,或刷新页面重新拉取权限清单,新的菜单和数据范围才会生效。授权令牌有效期为 7 天。
权限点清单(按模块)
平台的权限点按模块划分,命名为「模块.动作」。带「查看」的是进入和浏览该模块的门槛权限,带「管理/维护/审核/验证/见证/发布」的是操作与复核类权限。
| 模块 | 权限点 | 说明 |
|---|---|---|
| 看板 | dashboard.view | 查看管理看板 |
| 看板 | dashboard.ai | 查看 AI 周报 |
| 看板 | dashboard.manage | 重算健康度与看板配置 |
| 进度 | schedule.view | 查看进度计划与甘特图 |
| 进度 | schedule.report | 进度填报 |
| 进度 | schedule.manage | 维护 WBS 与里程碑 |
| 进度 | schedule.rollback | 进度回退(特权,见下方提示) |
| 项目 | project.view | 查看项目结构 |
| 项目 | project.manage | 维护项目结构 |
| 参建单位 | participant.view | 查看参建单位 |
| 参建单位 | participant.manage | 维护参建单位 |
| 文档 | doc.view | 查看文件 |
| 文档 | doc.upload | 上传与升版 |
| 文档 | doc.submit | 提交审批 |
| 文档 | doc.approve | 审批(会签/审核) |
| 文档 | doc.publish | 批准发布与作废 |
| 文档 | doc.download | 下载受控文件 |
| 文档 | doc.dispatch | 收发文登记 |
| 文档 | doc.manage | 目录与密级管理 |
| 质量 | quality.view | 查看质量问题 |
| 质量 | quality.manage | 录入质量问题 |
| 质量 | quality.rectify | 整改提交 |
| 质量 | quality.verify | 验证 / 退回(复核类) |
| 质量 | quality.review | 查看全项目质量问题(数据范围复核) |
| 品控 | qc.view | 查看 ITP / 报验 |
| 品控 | qc.manage | ITP 与检验点管理 |
| 品控 | qc.inspect | 报验提交 |
| 品控 | qc.witness | 见证与判定(复核类) |
| 品控 | qc.review | 查看全项目 ITP / 报验(数据范围复核) |
| 施工 | construction.view | 查看施工日报 / 大事记 |
| 施工 | construction.report | 填报日报 / 停复工 |
| 施工 | construction.manage | 大事记与停复工管理 |
| 施工 | construction.review | 查看全项目施工日报(数据范围复核) |
| 采购 | procurement.view | 查看采购 |
| 采购 | procurement.manage | 请购 / 订单 / 供应商 |
| 采购 | procurement.expedite | 催交与登记新的到货时间 |
| 采购 | procurement.review | 查看全项目采购订单(数据范围复核) |
| 集成 | integration.view | 查看对外集成 |
| 集成 | integration.manage | 管理客户端与 Webhook |
| 系统 | system.tenant | 租户池管理(仅系统管理员) |
schedule.rollback 是特权,谨慎授予
进度一经填报默认不可倒退。schedule.rollback 会绕过这条校验,仅在需要纠正错误填报时使用,只应授予极少数管理员,不要默认放进普通项目经理角色。新项目初始化时,管理员角色也会主动排除这一项。
文件密级权限
文档模块另有一组密级可见权限,决定用户能看到哪个密级的文件。文件密级分四级:公开、内部、秘密、机密。
| 密级 | 需要的权限 |
|---|---|
| 公开 | 无需额外权限,所有能进文件仓库的人可见 |
| 内部 | doc.security.internal |
| 秘密 | doc.security.confidential |
| 机密 | doc.security.secret |
规则是逐级放开:没有任何密级权限的用户只能看到公开文件;拥有更高一级权限的用户可见该级及以下的文件。新建文件夹的密级不得低于其上级文件夹。
在系统里管理用户与角色
管理员在侧边栏「系统管理」下自助完成人员与权限维护,不需要找开发改库。进入这两个页面需要 system.user(用户管理)或 system.role(角色管理)权限,通常授予项目经理或专职系统管理员。
用户管理
- 新建员工账号:填写工号、姓名、职务、电话并选择角色,初始密码统一为 123456,员工首次登录后自行修改。
- 维护员工信息、分配角色(一人可多角色)、一键重置密码为 123456、停用或启用离场人员。
角色权限
- 新建角色:给角色设定编码与名称。
- 配置权限:按模块勾选权限点,决定该角色能进哪些菜单、做哪些操作、看多大数据范围。
- 删除角色:该角色下仍有用户时不允许删除,需先把用户改到其它角色。
角色或权限调整后,相关员工需重新登录或刷新页面,新的菜单与数据范围才会生效。
典型角色与推荐配置
角色由企业管理员在项目内自行配置,可按项目实际岗位增减。下表是一套推荐配置,供开局时参照。可见模块指登录后侧边栏能看到的主要入口,数据范围指该角色在模块内能看到全项目数据还是仅本人相关数据。
| 角色 | 主要权限 | 可见模块 | 数据范围 |
|---|---|---|---|
| 项目经理 | 各模块 view,schedule.manage,dashboard.view/ai/manage,project.manage,doc.submit/approve/publish,quality.verify,qc.witness | 全部业务模块 | 全项目 |
| 进度工程师 | schedule.view/report/manage,dashboard.view,project.view,doc.view/upload | 进度与看板、项目搭建、文件仓库 | 全项目进度 |
| 质量工程师 | quality.view/manage/verify,construction.view,doc.view | 质量管理、施工查看、文件仓库 | 全项目质量(含复核) |
| 品控工程师 | qc.view/manage/inspect/witness,doc.view | 品控管理、文件仓库 | 全项目品控(含见证) |
| 施工员 | construction.view/report,schedule.report,quality.rectify,doc.view/upload | 施工管理、进度填报、文件查看 | 仅本人填报与经手 |
| 采购员 | procurement.view/manage/expedite,doc.view | 采购管理、文件仓库 | 全项目采购 |
| 资料员 | doc.view/upload/submit/dispatch/download/manage,doc.security.internal,participant.view | 文件仓库、参建单位 | 全项目文档 |
| 监理 | qc.witness,quality.verify,doc.view/download,dashboard.view | 品控见证、质量验证、文件查看、看板 | 全项目(复核类) |
| 业主 | dashboard.view,schedule.view,quality.view,doc.view/download | 看板、进度、质量、文件查看 | 全项目(以浏览为主) |
关于数据范围复核权限
录入类模块(施工日报、质量问题、品控报验、采购订单)的数据可见范围由专门的复核权限决定:construction.review、quality.review、qc.review、procurement.review。拥有对应 .review 权限的用户按管理者处理,能看到整个项目该模块的全部记录;没有的用户只看得到自己录入的记录(本人填报的日报、本人发现的质量问题、本人创建的报验与订单)。
举例:施工员角色有 construction.report(能填日报)但没有 construction.review,所以他在施工管理里只看得到自己填报的日报;项目经理、监理持有 construction.review,看得到全项目所有标段的日报。给一线填报岗配置角色时,如无管理需要,不要附带 .review,以免数据范围超出预期。
看板、进度、文件、参建单位等模块本身是全项目协同内容,不做按人隔离,有查看权限即可看到全部。
注意事项与常见问题
- 前端不做任何权限判断。菜单和按钮只是权限清单的呈现,真正的拦截在后端。请勿把权限控制寄望于隐藏按钮,也不必担心隐藏的功能会被绕过。
- 一人可担多角色。用户的权限是其全部角色的并集,例如同时挂进度工程师和资料员,则两套菜单都会出现。
- 权限只在开通了智建云的企业内生效。若登录后提示未开通智建云,属应用授权问题,需联系管理员在授权系统中为企业或个人开通,而非角色配置问题。
- 找不到功能优先查角色。用户反映看不到某模块,先核对其角色是否含该模块的查看权限,再考虑其它原因。
- 数据看不全通常是权限有意为之。一线岗只看到自己相关的数据是正常的数据范围控制,需要看全项目的岗位应配置对应的复核类权限。
- 审批流按角色指派。文档等审批环节可以按角色(而非具体某人)指派处理节点,因此正确配置角色不仅影响可见范围,也影响审批任务的流转。
- 调整权限后请重新登录。角色或权限变更不会即时同步到已登录会话,需重新登录或刷新页面。
初始口令与账号安全
新账号统一初始口令为 123456,请首次登录后立即修改。账号被停用后无法登录;如需暂停某人访问,停用账号即可,无需逐项撤销权限。