让决策更智能
新一代智能数据分析平台

角色管理

观远产品部发表于:2021年03月10日 11:27:29更新于:2021年04月13日 20:34:16

    观远支持通过自定义角色的配置,控制指定角色(人群)拥有指定功能入口(如仪表板、数据大屏、轻应用等)的查看或编辑权限,实现系统管理员对功能模块的高度自定义权限管控。

    特别注意:此处的角色,是平台功能角色(如数据处理者、大屏制作者等),非传统业务意义上的企业角色(如经理、财务等),业务角色的分组在观远BI平台中,更多是通过用户组来实现。

    系统中的角色分为三种:账号角色、系统角色和自定义角色。

role-01.png

以下分别介绍。

账号角色

    账号角色与账号类型一一对应,是系统预置角色。

    目前共有三种:管理员、普通用户和只读用户。

    账号角色是系统预置角色,有默认权限范围和最大权限范围(权限上限)。

  • 管理员

    默认权限:所有功能模块的读写权限。

    权限上限:所有功能模块的读写权限。

  • 普通用户

    默认权限:如下图左。

    权限上限:没有管理员设置中心相关的权限,其余功能模块的权限均可授予。如下图右。

role-02.png

  • 只读用户

    默认权限:如下图左。

    权限上限:除管理员设置中心以外,其余功能模块的查看权限,没有编辑权限。如下图右。

role-03.png

    权限上限是指能获得的最大权限范围。当用户通过其他途径获得上限之外的权限,会被限制,不会生效。

role-04.png

    举例:用户小张,是个只读用户。则

    1)他默认有仪表板、数据大屏、幻灯片、组合报表的查看权限

    2)他可以通过自定义角色,获取如轻应用、自定义地图等模块的查看权限。

    3)他的权限上限是除管理员中心以外,各功能模块的查看权限。如果他通过用户组的自定义角色获得仪表板的编辑权限,因其在权限上限外,因此不生效,他始终无法对仪表板进行编辑。

    注:在没有开启自定义角色功能开关时,三种账号角色只有默认权限,系统管理员没有修改账号角色的默认权限的操作入口,只有开启自定义角色功能开关,系统管理员可以调整账号角色的功能权限。

系统角色

    系统角色,目前只提供“组管理员”角色。也是系统预置角色。详细介绍可点此查看

自定义角色

    当开启自定义角色的功能后(需联系观远实施顾问开启),相关页面变化如下。

  • 用户管理——角色管理页面中,新增自定义角色列表,以及编辑角色的入口

role-05.png

  • 权限管理,新增 角色权限配置页面。

role-06.png

  • 用户/用户组/用户属性批量管理/用户批量新建/用户批量导出/用户批量导入中,出现角色信息。

role-07.png

自定义角色的权限配置

    系统管理员创建自定义角色并给自定义角色分配权限,可分配的模块内容,是除管理员设置模块以外的其他功能模块,目前包括下图这些:

role-08.png

功能操作权限影响

    每个功能权限目前对应2种操作权限:查看和编辑。

    如果有编辑权限,则可以:

    1)可以看到此功能入口

    2)可以在此功能模块里看到自己有权查看的资源

    3)可以在此功能模块里新建资源

    4)可以对此功能模块里对有所有者权限的资源进行增删改操作

    5)可以在其他模块里看到此功能模块的入口

    如果仅有查看权限,则只有上述1)2)5)。 无法新建内容,无法对有所有者权限的资源增删改。

    如果没有查看和编辑权限,则无法看到对应功能入口。

自定义角色配置最佳实践举例

    自定义角色其实主要针对普通用户。(管理员有所有权限,只读用户只有查看权限,都比较简单直接)

    如何在普通用户的权限最大范围内去合理地设置自定义角色,建议可以从BI用户的职责入手。

    比如,如下一个经典的企业数据分析体系中,有3种角色:

role-09.png

    这三个角色职责不同,对应需要的功能模块是不同的,在普通用户的权限范围内,如何合理分配不同功能权限呢?

  • 数据建设者,主要负责原始数据的处理、基础权限的配置等,则可以新建如“数据建设者”、“数据管理者”、“ETL制作师”的角色,给予以下权限:

role-10.png

    甚至,还可以进一步细分,数据建设者只有其中数据集的查看/编辑、ETL的查看/编辑、数据账户的查看、权限模板的查看权限;而数据账户的编辑和权限模板的编辑 统一由数据管理者创建,数据建设者只能使用,保证数据安全。

  • 数据制作者,主要负责分析数据,搭建看板、应用,则可以新建如“数据制作者”的角色,给予以下权限。

role-11.png

    这个权限配置,数据制作者可以使用数据集创建仪表板、大屏等,但无数据处理权限。数据集是由数据建设者处理好的,防止数据制作者(一般是业务人员)不当操作导致数据质量的下降。

    甚至,还可以进一步细分,如看板搭建师,只有其中仪表板的查看/编辑和数据集的查看权限;大屏设计师,只有其中数据大屏的查看/编辑和数据集的查看权限等,各司其职。

  • 数据消费者,主要负责浏览数据分析结果,访问搭建好的仪表板、应用等,偶尔有自己动手分析的需求,则可以,配置如图功能模块的权限:

role-12.png

    一个企业中数据消费者是人数最多的就是数据消费者,因此可以把普通用户的默认权限修改为上图配置,好处有两点:

    1)设置为普通用户的默认权限,则当用户的账号类型是普通用户时,默认就是上图角色权限,不需要单独再去添加自定义角色;

    2)普通用户的默认权限如果比数据消费者大,有可能造成部分功能模块权限泛滥。

功能权限强依赖搭配

某些功能模块之间存在强依赖关系,且属于重要资源,进行了单独管理,在配置的时候是必须组合搭配才能使功能正常使用。 主要如下:

role-18.png 


    您需要登录后才可以回复