6. 安全子系统6. 安全子系统CUBA 框架使用下面的方法来控制访问权限: 使用基于角色的系统来分配用户权限。系统管理员在系统部署的时候或者生产环境可以配置一组角色和用户。 使用具有权限约束继承的分级访问组结构。 访问权限控制有下列级别: 实体的操作(CRUD):比如,用户 **Smith** 可以查看文档,但是不能创建,更改或者删除文档。 实体属性(修改,读取,访问禁止):用户 **Smith** 可以查看除了 amount 之外的文档的所有属性。 对特定实体实例的访问(行级访问控制):用户 **Smith** 只能查看他们部门创建的文档。 集成LDAP,可以为 Windows 用户提供单点登录(Single Sign-On)。更多关于 SSO 的信息,请参阅 IDP 插件 文档 。