我们最近推出了Onshape Enterprise，这是我们的高级平台，面向设计流程更复杂的公司，通常涉及分布在多个地点的多个产品线和团队。我们的开发团队在过去的18个月里构建了Onshape Enterprise，包括六个月的测试，其中包括数百个试点用户。（要全面了解局外人，请查看DEVELOP3D编辑Al-Dean的产品评论）。现在我来听听业内人士的看法……作为Onshape在企业功能方面的团队领导，我为我们在产品开发周期的每个阶段带来的前所未有的可见性而自豪。你的天才员工和他们创造的产品并不是完全不同的，不连贯的原子，它们随机地来来去去。每个人和每件事都是相互关联的，建站服务，Onshape Enterprise帮助各种规模的公司紧密团结起来，长期管理人员和产品。听起来不错，你说，但这一切是怎么运作的呢？要快速了解Enterprise的全部功能，最好的方法是在本视频中带我的同事Neil Cooke的产品之旅。然而，在这个博客中，云品，我想探讨基于角色的访问控制的价值。"基于角色的访问控制"（RBAC）是一个广泛使用的术语，但其含义因使用RBAC模型的系统而异。在较高的层次上，所有RBAC模型的目标是允许您根据人们所扮演的"角色"而不是特定的用户来指定"谁可以访问什么"。许多RBAC模型（包括Onshape模型）的另一个属性是一个人所扮演的角色取决于上下文。例如，在Onshape中，同一个人可以在一个项目中担任"项目管理员"角色，但在另一个项目中担任"设计工程师"角色。定义角色在Onshape中，公司的角色集是在公司级别定义的，即只有一组角色适用于整个公司。在公司层面上，角色只是一个名字——比如设计工程师或供应商——而它本身并不控制对任何事物的访问。简单地说，这是人们在公司里可以扮演的任何逻辑角色。您的Onshape企业公司提供了一组"开箱即用"的角色。公司管理员可以添加或删除其公司的角色集，也可以修改现有角色。使用权限方案除了角色之外，Onshape还允许公司管理员为其公司创建、删除和修改一组"权限方案"。权限方案定义角色和权限集之间的一组关系。例如，权限方案可以指定"设计工程师"角色具有"编辑"权限，而"供应商"角色具有"查看和评论"权限。与角色一样，权限方案本身并不控制对任何内容的访问。您可以将其视为权限的一种"模板"（如下一节所述）来控制对事物的访问。您的Onshape企业公司提供了一套"现成"的权限方案。公司管理员可以对其公司的权限方案集进行添加和删除，也可以修改现有的权限方案。创建项目角色和权限方案组合在一起，控制对项目上下文中事物的访问。Onshape Enterprise独有的项目类似于帮助您组织公司文档的顶级文件夹，但它们具有一些附加功能（包括基于角色的权限）。每个项目的一个属性是项目使用什么权限方案。换言之，每个项目都引用公司的许可方案之一。创建项目时，必须指定要与该项目关联的权限方案。稍后，您可以更改项目引用的权限方案。每个项目的另一个属性是"角色映射"，这是一个条目列表，指定哪些人担任哪些特定的角色。例如，一个项目的角色图可能会说，在该项目中，John和Mary是设计工程师，Fred是供应商。将所有这些可视化地结合在一起，下图显示了一个公司，它有三个角色，两个权限方案（名为"外部权限方案"和"内部权限方案"）和一个项目（名为"我的项目"）：我的项目使用外部权限方案。请注意我的项目的角色映射如何定义哪些用户扮演由外部权限方案定义的各种角色。假设Fred试图访问我项目的一个文档。弗雷德作为供应商被列在项目的角色图中。项目使用外部权限方案，该方案指定供应商角色具有查看和评论权限。因此，Fred获得了对文档的查看和评论权限。你们公司想如何组织工作？您可能会想知道"为什么所有这些类型的对象都在RBAC模型中？"明确地说，行业云，大数据前景，我们预计大多数公司的角色数量相对较少，许可方案的数量也相对较少（甚至可能只有一两个）。项目的数量可以从小到大，取决于公司正在做的工作量以及公司希望如何组织工作。另外，重要的是要明白，上面几乎所有的内容都不需要被广大用户理解。创建项目的用户需要对模型有一个粗略的概念，而公司管理员需要了解整个过程。但最终用户只需创建和访问文档，并自动获得对这些文档的适当访问权限。这个模型的主要原因是帮助确保资源（文档和文件夹）随着时间的推移得到统一的保护，并且它允许公司管理员建立和维护一套关于保护的策略。当用户创建一个项目时，他们只需要从一组已建立的权限方案中选择一个，然后插入他们想要填充与所选权限方案相关联的各种角色的用户的名称。与此相关，此模型使公司管理员更容易更改公司的保护策略。通过更改权限方案（例如，更改授予角色的权限），使用该权限方案的所有项目都将自动更新，因此项目的文档现在根据新策略得到保护。当一个公司有很多项目时，很可能项目的权限需求可以分为许多"bucket"，例如，一个bucket可能包含作为军事合同一部分的项目。另一个bucket可能用于包含原型工作的项目。而另一笔资金可能是公司认为在公司内部受到严格控制的项目。等等。每个方案的权限都可以在这些bucket中实现。例如，所有用于原型工作的项目可能都不需要供应商，因此这些项目将使用一个完全不提及供应商角色的权限方案。实际参与项目的人员可能因项目而异。Judy可能被允许访问一个严格控制的项目，但不能访问另一个项目。即使她是一名设计工程师，她可能不会被分配到每一个严格控制的项目中的设计工程师的角色。有兴趣了解更多？请继续关注本博客，物联网的前景，了解即将发布的一系列有关Onshape Enterprise前所未有的好处的文章。