行级别权限管理
行级别权限可以帮助您实现不同的人使用同一份报表或大屏时,可以看到不同的数据。例如:广东省的员工只能看到广东省的数据,北京市的员工只能看到北京市的数据。可以在提高工作效率的同时,减少业务数据泄露的风险。
行级别权限需要在数据模型级别上进行,在数据模型编辑页面可以对维度字段设置行级别权限。Sugar BI支持固定值和动态值两种设置方式,固定值适用于空间成员较少的场景,针对不同权限的成员分别设置权限规则;动态值适用于成员较多的场景,通过匹配用户属性为空间内所有用户设置权限,无需为每类用户单独设置规则。
通过固定值设置行级别权限
假设空间中有 A、B、C、D 四个用户,我们希望用户 A 和用户 B 只能看见“东北”地区的数据,用户 C 只能看见“西北”地区的数据,用户 D 没有任何区域数据的权限,那么我们可以按照如下步骤进行设置:
设置 A、B 用户的权限
- 在数据模型编辑页面点击右侧的「数据行权限设置」,在弹出的设置弹框中,选择「固定值」设置方式,点击固定值权限下的“加号”,新增一条“只能看见东北地区的数据”权限规则。
- 可以看到固定值权限设置包括「字段权限设置」和「授权成员设置」两部分,如下图所示:
我们首先点开「字段权限设置」:
- 将「权限名称」设置为“只能看见东北地区的数据权限”
- 将「权限规则」设置为“AND”,这个表明多条「权限内容」之间是“且”还是“或”的关系
- 点击「权限内容」下面的“加号”,在弹出的设置弹框中,选择我们要设置权限的地区维度,并选择取值为“东北”,如下图所示:
接下来切换到「授权成员设置」,将设置的权限授权给用户 A 和用户 B:
点击上图中「授权用户」下面的“加号”,在弹出的添加用户的弹框里,选择用户 A 和用户 B,点击确认即可。
设置 C 用户的权限
再为用户 C 新增一条固定值数据权限规则“只能看见西北地区的数据权限”,具体设置流程同 A、B 用户类似,这里不再赘述。
设置 D 用户的权限
设置完用户 A、B、C 的权限之后,点击确定返回最初设置页面,可以看到一个「未添加权限用户拥有所有权限」的复选框,不勾选时,未设置权限的用户 D 默认看不到该数据模型中所有地区的数据;如果勾选了这项,那么用户 D 可以看到所有地区的数据。所以此处这项不勾选。
根据以上设置即可实现我们想要的效果。
通过动态值设置行级别权限
接下来通过动态值实现对 A、B、C、D 四个用户权限的设置。
动态值权限是通过匹配用户属性的值来设置各个用户的权限的,所以首先需要对用户属性进行设置。
用户属性在组织管理中设置,为 A、B、C、D 四个用户添加“地区”属性,用户属性的相关介绍参照用户属性设置,这里的取值如下图所示:
回到空间中,在数据模型编辑页面打开「数据行权限设置」编辑弹框,「设置方式」选择“动态值”。
点击下方“加号”,进行动态值规则设置,具体设置如下图所示:
设置 D 用户的权限
设置完动态权限之后,点击确定返回最初设置页面,可以看到一个「没有用户属性字段的用户拥有所有权限」的复选框,不勾选时,没有地区属性字段的用户 D 默认看不到该数据模型中所有地区的数据;如果勾选了这项,那么用户 D 可以看到所有地区的数据。所以此处这项不勾选。
点击确认和保存之后,即可实现我们想要的效果。
属性值中可以使用英文逗号连接多个值
动态值的设置中有一个属性值中可以使用英文逗号连接多个值
的选项,如果勾选了这个选项,可以实现多选的逻辑。比如当前动态值设置的仍为地区
字段,A 用户的属性值设置为"东北,华北,西北"
,那么在进行行级别权限判断的时候,就会为 A 用户查找东北
,华北
,西北
这 3 个地区的数据。
最终效果
用户 A 和用户 B 的效果如下图所示,可以看到只能显示“东北”地区的数据:
用户 C 的效果如下图所示,可以看到只能显示“西北”地区的数据:
用户 D 的效果如下图所示,可以看到用户 D 看不到使用数据模型的图表的数据:
用户属性设置
从右上角头像工具栏的「组织管理」进入,您可以在这里看到组织的「用户属性管理」,可以对组织中用户的属性进行管理。
- 「属性设置」:可以对用户的属性进行增删改操作
-
「批量导入」:可以通过上传 Excel、CSV 文件,批量导入用户属性数据,可以点击「下载模板文件」下载当前组织中的用户属性的 Excel 文件模板,便于您在此基础上进行修改并导入。
需要注意的是,上传的用户属性数据中必须包含用户的邮箱列。
- 除了批量导入,还可以直接在用户属性表格中对属性值进行修改。鼠标移动到属性值单元格上时会出现“编辑”按钮,点击“编辑”按钮即可在弹出的编辑框中修改该属性值。修改完成后,点击上方出现的提交按钮即可保存您的修改。