Update 바론SSO조직도 관련 검토.md

바론SSO조직도 관련 검토.md

@@ -8,6 +8,7 @@
 
 - 여러 자회사별 조직도를 회사 단위로 분리하여 관리한다.
 - 조직도는 부서/팀에 고정하지 않고 본부, 부문, 부서, 팀, 셀 등 유연한 조직 단위 계층으로 관리한다.
+- 본부장, 부문장, 부서장, 팀장, 셀장 같은 조직장 역할은 회사별 설정에 따라 선택적으로 관리한다.
 - 조직 변경은 권한이 있는 담당자만 요청할 수 있고, 승인 후 각 회사 DB에 제한적으로 반영한다.
 - 각 회사 DB 컬럼 구조가 다르므로 회사별 조직 매핑 정책과 DB 반영 어댑터를 둔다.
 - 회원가입은 각 회사 인사 DB의 발령상태와 재직상태를 기준으로 허용 여부를 판단한다.
@@ -25,16 +26,17 @@
    - [조직도 기준 데이터 정의](#32-조직도-기준-데이터-정의)
    - [조직도 원천 시스템 결정](#33-조직도-원천-시스템-결정)
    - [회사별 조직도 관리 화면 설계](#34-회사별-조직도-관리-화면-설계)
-   - [조직도 UI 오픈소스 적용 방안](#35-조직도-ui-오픈소스-적용-방안)
+   - [조직장 역할 관리 방안](#35-조직장-역할-관리-방안)
-   - [조직도 공유 및 외부 표시 방안](#36-조직도-공유-및-외부-표시-방안)
+   - [조직도 UI 오픈소스 적용 방안](#36-조직도-ui-오픈소스-적용-방안)
-   - [직원 사진 관리 및 표시 방안](#37-직원-사진-관리-및-표시-방안)
+   - [조직도 공유 및 외부 표시 방안](#37-조직도-공유-및-외부-표시-방안)
-   - [조직도 변경 권한 정책 정의](#38-조직도-변경-권한-정책-정의)
+   - [직원 사진 관리 및 표시 방안](#38-직원-사진-관리-및-표시-방안)
-   - [조직도 동기화 및 DB 반영 방식 설계](#39-조직도-동기화-및-db-반영-방식-설계)
+   - [조직도 변경 권한 정책 정의](#39-조직도-변경-권한-정책-정의)
-   - [회원가입 정책 정의](#310-회원가입-정책-정의)
+   - [조직도 동기화 및 DB 반영 방식 설계](#310-조직도-동기화-및-db-반영-방식-설계)
-   - [SSO 로그인 및 서비스별 접근 권한 정책 정의](#311-sso-로그인-및-서비스별-접근-권한-정책-정의)
+   - [회원가입 정책 정의](#311-회원가입-정책-정의)
-   - [서비스별 접근 권한 관리자 기능](#312-서비스별-접근-권한-관리자-기능)
+   - [SSO 로그인 및 서비스별 접근 권한 정책 정의](#312-sso-로그인-및-서비스별-접근-권한-정책-정의)
-   - [관리자 화면 구성](#313-관리자-화면-구성)
+   - [서비스별 접근 권한 관리자 기능](#313-서비스별-접근-권한-관리자-기능)
-   - [감사 로그와 이력 관리](#314-감사-로그와-이력-관리)
+   - [관리자 화면 구성](#314-관리자-화면-구성)
+   - [감사 로그와 이력 관리](#315-감사-로그와-이력-관리)
 4. [우선순위](#4-우선순위)
 5. [후속 진행 작업](#5-후속-진행-작업)
 6. [기대 효과](#6-기대-효과)
@@ -148,6 +150,10 @@ Baron SSO에서 사용할 조직도 기준 항목을 정의한다.
 | 조직장 사용자 ID | 해당 조직 단위의 책임자 |
 | 사용 여부 | 폐지된 조직인지 여부 |
 
+조직장 역할은 조직단위유형에 따라 자동으로 해석할 수 있다.
+
+예를 들어 조직단위유형이 `본부`이면 조직장은 `본부장`, `부문`이면 `부문장`, `팀`이면 `팀장`, `셀`이면 `셀장`으로 표시할 수 있다.
+
 ### 3.3 조직도 원천 시스템 결정
 
 조직도와 직원 정보의 원천 시스템을 회사별로 결정한다.
@@ -186,7 +192,44 @@ Baron SSO가 모든 회사의 인사 원장을 대체하는 구조는 위험하
 
 이 화면은 단순 조직도 조회 화면이 아니라 `회사별 조직 귀속 정보 관리 화면`으로 정의한다.
 
-### 3.5 조직도 UI 오픈소스 적용 방안
+### 3.5 조직장 역할 관리 방안
+
+조직도에는 본부장, 부문장, 부서장, 팀장, 셀장처럼 각 조직 단위의 책임자를 표시하고 관리할 수 있어야 한다.
+
+다만 모든 회사와 모든 조직 단계에 반드시 조직장이 존재하는 것은 아니므로, 조직장 역할은 필수값이 아니라 회사별 설정에 따른 선택 항목으로 관리한다.
+
+권장 구조는 다음과 같다.
+
+```text
+조직단위유형
+-> 조직장 역할명 설정
+-> 조직장 지정 여부 설정
+-> 조직장 사용자 매핑
+-> 조직도/권한 정책/승인 정책에서 활용
+```
+
+조직장 역할 설정 예시는 다음과 같다.
+
+| 조직단위유형 | 표시 역할명 | 조직장 필수 여부 | 설명 |
+| --- | --- | --- | --- |
+| 본부 | 본부장 | 선택 | 회사에 따라 본부장이 없을 수 있음 |
+| 부문 | 부문장 | 선택 | 부문 조직을 쓰는 회사에서만 사용 |
+| 부서 | 부서장 | 선택 또는 필수 | 일반적으로 많이 사용 |
+| 팀 | 팀장 | 선택 또는 필수 | 팀 단위 승인/조회 권한에 활용 가능 |
+| 셀 | 셀장 | 선택 | 셀 조직을 쓰는 회사에서만 사용 |
+
+운영 정책은 다음과 같다.
+
+- 조직장 역할명은 회사별로 다르게 설정할 수 있다.
+- 특정 조직단위유형에는 조직장을 두지 않도록 설정할 수 있다.
+- 한 조직 단위에 조직장을 1명만 둘지, 복수 책임자를 허용할지 회사별로 정한다.
+- 조직장이 공석인 조직 단위는 조직도에서 `공석` 또는 미표시로 처리한다.
+- 조직장 변경은 조직 변경 이력과 동일하게 변경 전/후 이력을 남긴다.
+- 조직장 정보는 서비스별 접근 권한이나 승인권자 판단에 활용할 수 있다.
+
+예를 들어 팀장이 지정된 팀은 해당 팀 소속 직원의 특정 요청 승인자로 사용할 수 있고, 본부장이 없는 회사는 본부장 역할을 비활성화할 수 있다.
+
+### 3.6 조직도 UI 오픈소스 적용 방안
 
 조직도 화면은 직접 처음부터 구현하기보다 검증된 오픈소스 라이브러리를 활용하는 방안을 우선 검토한다.
 
@@ -207,7 +250,7 @@ Baron SSO가 모든 회사의 인사 원장을 대체하는 구조는 위험하
 - 노드 이동, 조직 단위 생성, 직원 소속 이동은 모두 변경 전/후 비교 화면을 거친다.
 - 최종 반영은 승인 후 회사별 DB 반영 어댑터를 통해 수행한다.
 
-### 3.6 조직도 공유 및 외부 표시 방안
+### 3.7 조직도 공유 및 외부 표시 방안
 
 각 회사의 완성된 조직도는 Baron SSO 내부에서만 보는 것이 아니라 각 회사 인트라넷, 모바일 페이지, 그룹웨어 등에서도 표시할 수 있게 한다.
 
@@ -246,7 +289,7 @@ https://sso.example.com/org-chart/companies/{companyCode}/export.png
 -> 필요 시 PNG/SVG/PDF 이미지 재생성
 ```
 
-### 3.7 직원 사진 관리 및 표시 방안
+### 3.8 직원 사진 관리 및 표시 방안
 
 조직도와 SSO 로그인 화면에서 직원 사진을 표시하려면 사진 파일의 원천, 저장 방식, 노출 범위를 별도 정책으로 정의해야 한다.
 
@@ -309,7 +352,7 @@ https://sso.example.com/photos/users/{userId}?size=thumbnail
 
 개인정보 보호 관점에서 사진 원본을 SSO에 장기 보관하는 방식은 피하고, 표시 목적에 필요한 최소 크기와 최소 정보만 관리하는 것이 적절하다.
 
-### 3.8 조직도 변경 권한 정책 정의
+### 3.9 조직도 변경 권한 정책 정의
 
 조직도의 변경은 각 회사에서 정해진 인원만 가능해야 한다.
 
@@ -346,7 +389,7 @@ https://sso.example.com/photos/users/{userId}?size=thumbnail
 - 승인 전에는 각 회사 DB에 반영하지 않는다.
 - 모든 변경 전/후 이력과 작업자를 기록한다.
 
-### 3.9 조직도 동기화 및 DB 반영 방식 설계
+### 3.10 조직도 동기화 및 DB 반영 방식 설계
 
 초기 단계에서는 CSV 또는 Excel 업로드 방식으로 시작하고, 이후 API 또는 배치 동기화로 확장한다.
 
@@ -446,7 +489,7 @@ Baron SSO 조직도 계층
 
 예를 들어 셀 단위가 추가되었지만 A회사 DB에 `cell_code` 컬럼이 없다면, 셀 정보는 SSO 조직도에서만 관리하고 실제 A회사 DB에는 상위 팀의 `team_code`만 반영할 수 있다.
 
-### 3.10 회원가입 정책 정의
+### 3.11 회원가입 정책 정의
 
 Baron SSO 회원가입은 각 회사 인사 DB에 존재하는 직원인지 확인한 뒤 허용해야 한다.
 
@@ -485,7 +528,7 @@ Baron SSO 회원가입은 각 회사 인사 DB에 존재하는 직원인지 확
 - 조직단위코드가 없는 사용자는 기본 시스템 접근을 제한한다.
 - 가입 후 부여되는 기본 권한은 회사, 재직상태, 발령상태, 소속 조직 기준으로 결정한다.
 
-### 3.11 SSO 로그인 및 서비스별 접근 권한 정책 정의
+### 3.12 SSO 로그인 및 서비스별 접근 권한 정책 정의
 
 조직도 관리는 최종적으로 SSO 접근 권한 정책과 연결되어야 한다.
 
@@ -550,7 +593,7 @@ SSO 로그인 요청
 
 예를 들어 재직자 중에서도 특정 부서만 회계 시스템에 접근하거나, 특정 직책 이상만 관리자 시스템에 접근하도록 제한할 수 있다.
 
-### 3.12 서비스별 접근 권한 관리자 기능
+### 3.13 서비스별 접근 권한 관리자 기능
 
 서비스별 접근 정책을 관리할 수 있는 관리자 페이지를 제공한다.
 
@@ -573,7 +616,7 @@ SSO 로그인 요청
 
 기본 정책은 회사/상태/조직/직책 기준으로 자동 적용하고, 예외 정책은 특정 사용자에게 기간을 정해 수동 부여한다.
 
-### 3.13 관리자 화면 구성
+### 3.14 관리자 화면 구성
 
 초기 관리자 화면은 SSO 접근 통제에 필요한 조회와 상태 확인을 기본으로 구성하고, 이후 회사별 조직도 편집 기능을 확장한다.
 
@@ -591,6 +634,8 @@ SSO 로그인 요청
 - 시스템별 접근 가능 사용자 표시
 - 직원 사진 동기화 상태 조회
 - 직원 사진 표시/비공개 상태 관리
+- 조직장 역할 설정
+- 조직장 지정/변경
 - 권한 그룹 매핑
 - 서비스별 접근 정책 관리
 - 사용자별 예외 접근 권한 관리
@@ -602,7 +647,7 @@ SSO 로그인 요청
 
 팀장 보고 시에는 단순한 `조직도 화면`이 아니라 `SSO 접근 통제 화면`으로 설명하는 것이 적절하다.
 
-### 3.14 감사 로그와 이력 관리
+### 3.15 감사 로그와 이력 관리
 
 SSO는 보안 영역이므로 변경 이력과 접근 이력을 반드시 남겨야 한다.
 
@@ -616,6 +661,7 @@ SSO는 보안 영역이므로 변경 이력과 접근 이력을 반드시 남겨
 - 서비스별 접근 허용/차단 이력
 - 퇴사자 로그인 시도 이력
 - 조직 정보 변경 이력
+- 조직장 지정/변경 이력
 - 권한 변경 이력
 - 서비스별 접근 정책 변경 이력
 - 사용자별 예외 권한 변경 이력